22
Kerberos •System som kan brukes til å sette opp en sikker forbindelse med en server •Bruker delte hemmelige nøkler •Basert på Needham- Schroeder autentifikasjonsprotokoll
Kerberos
•System som kan brukes til å sette opp en sikker forbindelse med en server
•Bruker delte hemmelige nøkler
•Basert på Needham-Schroeder autentifikasjonsprotokoll
To komponenter
• Authentication Server (AS):Håndterer innlogging på forespørsel fra brukeren
• Ticket Granting Service (TGS):Håndterer oppsetting av sikker forbindelse
Autentifisering (1)
Autentifisering (2)
Sette opp en sikker forbindelse
SESAME
• Sikkerhetssystem som ligner på Kerberos
• Bruker offentlige nøkler kombinert med hemmelige nøkler
• Klient-server system hvor klientene bruker applikasjoner på andre noder (servere)
• Komponenter kan deles inn i 3 grupper
Komponenter i SESAME
Generelle sikkerhetskomponenter
• Security Management Information Base (SMIB)• Authentication Server (AS)• Privilege Attribute Server (PAS)• Key Distribution Server (KDS)
Komponenter på klientsiden
• User sponsor• Authentication and Privilege Access Client (APA
Client)• Secure Association Context Manager (SACM)
Komponenter på tjenersiden
• Secure Association Context Manager (SACM)• PAC Validation Facility (PVF)
Privilege Attribute Certificate (PAC)
Field Description
Issuer domain Name the security domain of the issuer
Issuer identity Name the PAS in the issuer's domain
Serial number A unique number for this PAC, generated by the PAS
Creation time UTC time when this PAC was created
Validity Time interval when this PAC is valid
Time periods Additional time periods outside which the PAC is invalid
Algorithm ID Identifier of the algorithm used to sign this PAC
Signature value The signature placed on the PAC
Privileges A list of (attribute, value)-pairs describing privileges
Certificate information Additional information to be used by the PVF
Miscellaneous Currently used for auditing purposes only
Protection methods Fields to control how the PAC i s used
E- handel og elektroniske betalingssystemer
• Anonymitet og personvern
• Protokoller– E- cash– Secure Electronic Transactions (SET)
Sikkerhet i Elektroniske betalingssystemer
• Hindre uautorisert aksess
• Hindre fornektelse (repudiation)
• Sikre anonymitet
• Sikre gjennomføringen av transaksjonen
Kontantbasert handel
• Minibank– Personlig kort– PIN
• Hjemme- PC– Digitale penger
• Smart kort• Lagres lokalt på maskinen
Digitale penger
• Krav til digitale penger og integritetsmekanismer– Brukes èn gang– Umulig å forfalske– Må kunne verifisere
• Pengene• Banken
– Forhindre fornektelse
Anonymitet og personvern
• Viktig å bevare kundens anonymitet og privatliv
• Microdata– Dataelementer som sendes med hver
transaksjon som samlet kan avsløre de involverte i transaksjonen
– Kan brukes i tvisttilfeller
• Pseudonymer og alias
Eksempel: Cash is King
E- cash
• Bygger på konseptet om digitale penger
• Fokus på anonymitet– Blind signatur (RSA): en konvolutt der
innsiden er dekket med blåpapir, slik at alt som skrives på utsiden av konvolutten vil gi avtrykk på arket inne i konvolutten
• t = mk^e mod n
Secure Electronic Transactions (SET)
• VISA, Mastercard, Microsoft og Netscape
• Utvikle en nettbasert standard for betaling med kredittkort på internett
• Åpen, publisert protokoll
• Dual Signatur: bygger opp en message digest; md1 = H(m1) av m1, md2 = H(m2) av m2 og konkatenerer en tredje digest av md1 og md2: md(dual) = H(concat(md1, md2)). md(dual) signeres med avsenders private nøkkel
SET
