Стажировка 2016-08-04 01 Денис Нелюбин. Шифрование и...
TRANSCRIPT
Шифрование и безопасность
Денис Нелюбин
Дайджест• a.k.a. [Cryptographic] Hash Function
Дайджест• MD5 (Структура Меркла-Дамгарда)• SHA-1 (Secure Hash Algorithm 1)• SHA-256 (SHA-2, 256 бит)
md5sum, sha256sum
Ассиметричное шифрование• a.k.a Шифрование с открытым ключом
Шифрование сообщения
Цифровая подпись
Шифрование и подпись
Алгоритмы• RSA (Rivest, Shamir и Adleman)• DSA (Digital Signature Algorithm)• ECC (Elliptic curve cryptography)• ГОСТ Р 34.10-2012
Симметричное шифрование
Алгоритмы• AES (Advanced Encryption
Standard)a.k.a. Rijndael
• Blowfish• DES и Triple DES
(Data Encryption Standard)
Гибридное шифрование
ssh• Гибридное шифрование• ~/.ssh/id_rsa — приватный ключ• ~/.ssh/id_rsa.pub — публичный
ключ
ssh-keygen
Вопрос доверияОткуда Алиса знает, что публичный ключ Боба, действительно принадлежит Бобу?
Доверие в ssh~/.ssh/authorized_keys — публичные ключи, которым разрешено входить в систему под именем данного пользователя
Почему не пароль?>>> 95**203584859224085422343574104404449462890625L
>>> 2**409610443888814131525066917527107166243825799642490473837803842334832839539079715
57456848826811934997558340890106714439262837987573438185793607263236087851365277945956976543709998340361590134383718314428070011855946226376318839397712745672334684344586617496807908705803704071284048740118609114467977783598029006686938976881787785946905630190260940599579453432823469303026696443059025015972399867714215541693835559885291486318237914434496734087811872639496475100189041349008417061675093668333850551032972088269550769983616369411933015213796825837188091833656751221318492846368125550225998300412344784862595674492194617023806505913245610825731835380087608622102834270197698202313169017678006675195485079921636419370285375124784014907159135459982790513399611551794271106831134090584272884279791554849782954323534517065223269061394905987693002122963395687782878948440616007412945674919823050571642377154816321380631045902916136926708342856440730447899971901781465763473223850267253059899795996090799469201774624817718449867455659250178329070473119433165550807568221846571746373296884912819520317457002440926616910874148385078411929804522981857338977648103126085903001302413467189726673216491511131602920781738033436090243804708340403154190336L
ssh/etc/ssh/sshd_config
PubkeyAuthentication yesPasswordAuthentication no
Доверие в PGP (GPG)• Боб дал отпечаток (дайджест) своего
ключа Алисе при личной встрече• Алиса подписала публичный ключ Боба
своим приватным ключом• Публичный ключ Боба и подпись Алисы
доступны всем• Сеть доверия
Доверие в SSL/TLS
Доверие в SSL/TLSДоверие корневым центрам сертификации (CA — Certificate Authority)
Цепочка сертификатов
Сертификат
X.509DN — Distinguished nameCN — Common nameCN = www.example.org
OU = Technology
O = Internet Corporation for Assigned Names and Numbers
L = Los Angeles
ST = California
C = US
Сертификат• Публичный ключ• Имя владельца• Атрибуты
– Срок действия– Сфера действия– ...
• Подпись
Файлы.pem (Privacy-enhanced Electronic Mail) — в base64 (-----BEGIN … -----END…).p12, .pfx (PKCS #12, Public-Key Cryptography Standards) — в бинарном видеkeystore — в Java формате
SSL/TLS• Гибридное шифрование• Проверка сертификата сервера через
цепочку доверия• Проверка сертификата клиента
(в некоторых случаях)• Длинный SSL handshake
HTTPSHTTP поверх SSL/TLS
Самоподписанный сертификат
• Сертификат, подписанный своим приватным ключом
• Нулевая цепочка доверия• Для тестов
Wildcard сертификатCN = *.example.com
Получение сертификата• Сгенерировать
– Приватный ключ– Публичный ключ — самоподписанный
сертификат• Сформировать запрос на подпись (CSR)• Получить подписанный сертификат
(и промежуточные сертификаты)
На сервере• Приватный ключ• Сертификат• Цепочка подписей
Браузер• Имеет список доверенных CA• Проверяет сертификат сервера:
– Соответствие CN домену запроса– Срок действия– Цепочку доверия– Не отозван ли?
• CRL• OCSP
Как хранить пароли
Почитатьhttps://ru.wikipedia.org/wiki/Сложность_пароляhttps://ru.wikipedia.org/wiki/Криптосистема_с_открытым_ключомhttps://ru.wikipedia.org/wiki/SSL
