Kerberos System som kan brukes til sette opp
Kerberos • System som kan brukes til å sette opp en sikker forbindelse med en server • Bruker delte hemmelige nøkler • Basert på Needham-Schroeder autentifikasjonsprotokoll
To komponenter • Authentication Server (AS): Håndterer innlogging på forespørsel fra brukeren • Ticket Granting Service (TGS): Håndterer oppsetting av sikker forbindelse
Autentifisering (1)
Autentifisering (2)
Sette opp en sikker forbindelse
SESAME • Sikkerhetssystem som ligner på Kerberos • Bruker offentlige nøkler kombinert med hemmelige nøkler • Klient-server system hvor klientene bruker applikasjoner på andre noder (servere) • Komponenter kan deles inn i 3 grupper
Komponenter i SESAME
Generelle sikkerhetskomponenter • • Security Management Information Base (SMIB) Authentication Server (AS) Privilege Attribute Server (PAS) Key Distribution Server (KDS)
Komponenter på klientsiden • User sponsor • Authentication and Privilege Access Client (APA Client) • Secure Association Context Manager (SACM)
Komponenter på tjenersiden • Secure Association Context Manager (SACM) • PAC Validation Facility (PVF)
Privilege Attribute Certificate (PAC) Field Description Issuer domain Name the security domain of the issuer Issuer identity Name the PAS in the issuer's domain Serial number A unique number for this PAC, generated by the PAS Creation time UTC time when this PAC was created Validity Time interval when this PAC is valid Time periods Additional time periods outside which the PAC is invalid Algorithm ID Identifier of the algorithm used to sign this PAC Signature value The signature placed on the PAC Privileges A list of (attribute, value)-pairs describing privileges Certificate information Additional information to be used by the PVF Miscellaneous Currently used for auditing purposes only Protection methods Fields to control how the PAC i s used
E- handel og elektroniske betalingssystemer • Anonymitet og personvern • Protokoller – E- cash – Secure Electronic Transactions (SET)
Sikkerhet i Elektroniske betalingssystemer • • Hindre uautorisert aksess Hindre fornektelse (repudiation) Sikre anonymitet Sikre gjennomføringen av transaksjonen
Kontantbasert handel • Minibank – Personlig kort – PIN • Hjemme- PC – Digitale penger • Smart kort • Lagres lokalt på maskinen
Digitale penger • Krav til digitale penger og integritetsmekanismer – Brukes èn gang – Umulig å forfalske – Må kunne verifisere • Pengene • Banken – Forhindre fornektelse
Anonymitet og personvern • Viktig å bevare kundens anonymitet og privatliv • Microdata – Dataelementer som sendes med hver transaksjon som samlet kan avsløre de involverte i transaksjonen – Kan brukes i tvisttilfeller • Pseudonymer og alias
Eksempel: Cash is King
E- cash • Bygger på konseptet om digitale penger • Fokus på anonymitet – Blind signatur (RSA): en konvolutt der innsiden er dekket med blåpapir, slik at alt som skrives på utsiden av konvolutten vil gi avtrykk på arket inne i konvolutten • t = mk^e mod n
Secure Electronic Transactions (SET) • VISA, Mastercard, Microsoft og Netscape • Utvikle en nettbasert standard for betaling med kredittkort på internett • Åpen, publisert protokoll
• Dual Signatur: bygger opp en message digest; md 1 = H(m 1) av m 1, md 2 = H(m 2) av m 2 og konkatenerer en tredje digest av md 1 og md 2: md(dual) = H(concat(md 1, md 2)). md(dual) signeres med avsenders private nøkkel
SET
- Slides: 22