Professional Documents
Culture Documents
KISS - Predavanje 1
KISS - Predavanje 1
UNIVERZITET U SARAJEVU
Odsjek za telekomunikacije
MSc studij, I godina
Predmet: Kriptografija i sigurnost sistema
Predava: R. Prof. Dr Narcis Behlilovi, dipl. ing. el
- PREDAVANJE 1 -
Potreba za ouvanjem sigurnosti najede je usko povezana sa tajnodu. Istorijski gledano stoga je
gotovo cijeli tok razvoja civilizacije proet nadmetanjem izmeu ouvanja tajnosti i razotkrivanja
tajnosti. Svaki postupak ouvanja tajnosti ifriranje, permanentno je izloen i kontra dejstvu dakle
razotkrivanju tajnosti deifrovanju. Onog momenta kada se otkrije postupak da se razotkrije razbije
zatita, koju nudi odreeni postupak zatite algoritam, ona praktino postaje bezvrijedna i mora se
pristupiti traganju za novim algoritmom.
Ovaj postupak moe se uporediti sa bakterijama, one ive i razvijaju se neometano dok ljekari ne otkriju
antibiotik, koji ih unitava. Tada su bakterije prinuene da evoluiraju, kako bi ''nadmudrile'' djelovanje
antibiotika, i to je prirodni proces koji teko da ima kraj. Neto sasvim ekvivalentno deava se u
inenjerskim akademskim krugovima, gdje svjedoimo konstantnom usavravanju i evoluciji algoritama
ifriranja.
Opisani procesi su stalno posticali razvoj nauke i tehnologije, kao to to ine i danas. Najvedi pobornici
ovakvih istraivanja, vojni i sigurnosni sistemi raspolaudi gotovo neogranienim resursima, stvorili su
odline preduslove i za sigurniji rad globalnih raunarskih mrea u civilnim primjenama, odnosno
racionalnije provoenje niza civilnih aktivnosti poput: digitalne trgovine, digitalnih prava, digitalne
administracije, te mnoge druge aspekte koji poboljavaju kvalitet ivota u modernoj svakodnevnici.
Ako se za Prvi svjetski rat govorilo da je to rat hemiara (prvi put upotrebljeni iperit i hlor), tada je Drugi
svjetski rat uinio fiziare dominantnim (napravljena i baena atomska bomba), onda bi eventualni Tredi
svjetski rat najvjerovatnije bio propraden superiornodu matematiara - jer su oni formalno u stanju da
najbolje kontroliu informacije, brinu se o njihovoj sigurnosti i tajnosti. U dananje dobra potranje za
informacijama, kako u vojne tako i poslovne i druge civilne namjene, u prednosti je onaj koji vlada
relevatnijim informacijama.
Ovdje treba naglasiti i da mnogi zasluni strunjaci i naunici, koji su dali veliki doprinos u stvaranju
preduslova za uspostavljenje i ouvanje sigurnih komunikacije, nisu istovremeno i pobrali priznanja i
slavu proporcionalnu rezultatima svoga rada, upravo zbog neophodnosti tajnosti njihovih istraivanja i
otkrida.
Danas se smatra da kvantna raunala mogu dosta efikasno obezvrijediti kvalitete mnogih algoritama.
Ipak u naunoj javnosti jo uvijek nema dovoljno pouzdanih podataka o brzini prevazilazenja, primitivnog
stadija razvoja kvantnih raunala.
Ovo prua polaznu osnovu za ocjenjivanje predloenih zatitnih metoda. Osobe koje su namjenski
pribavile CISSP certifikat trebale bi biti obavezno ukljuene u sastav ekspertnih timova koji ocjenjuju
kvalitet predloene sigurnosne politike.
Pri realizaciji zacrtane sigurnosne politike, do eljenih rezultata je ipak mogude dodi na vie razliitih
naina. U okviru izbora najprihvatljivijeg rjeenja posebno treba voditi rauna o njegovoj cijeni i uticaju
na performanse raunarskog sistema.
Prethodno pobrojanih 10 segmenata zatite poslovnog sistema zahtjeva ne samo timski rad, nego i
angaovanje razliitih strunih profila, meu kojim su i inenjeri specijalizirani za aspekte zatite u
komunikacionim tehnologijama.
U predmetnom projektovanju se inenjerski zadaci, vezuju uglavnom za segmente broj 3, 9 i 10.
1.3.1
1.3.2
Strategija ostvarivanja sigurnosti je plan, koji pokazuje pravac ostvarivanja zahtjevanih usluga. U tom
dokumentu definie se tano ko je odgovoran za koji aspekt sigurnosti, te putem kojih resursa se taj
aspekt namjerava realizirati.
Koncept zatitnih prstenova (eng. Protection Rings) oko sistema je rjeenje koje je esto prisutno u
praksi. Na blok emi sa slike 1.1, zatitni prsten 1 oko centra, ima zadatak da titi izvorne podatke i
informacije tog sistema. Unutar sigurnosnih mehanizama koji se koriste na ovom nivou spadaju i
ifrovanje i digitalno potpisivanje podataka, te pradenje (eng. Auditing) operacija i objekata koji su
pristupili sistemu.
Drugi sloj implementira CIA koncept, koristedi mehanizme na sistemskom nivou. Oni su implementirani
na radnim stanicama, serverima ili mainframe raunarima, na nivou operativnih sistema koji su na njima
instalirani.
Tredi sloj titi sistem od mree u kojoj se nalazi i sadri mehanizme PKI (eng. Public Key Infrastructure),
VPN (eng. Virtual Private Network) i mrene barijere (hr. vatrozid, eng. firewall).
Spoljanji sloj (zatitni prsten 4) je granica izmeu analiziranog sistema i spoljanjeg svijeta (najede
iskazanog u formi Interneta, ali i ma kojeg drugog autonomnog mrenog sistema koji nije pod nazorom
lokalne mrene administracije). U ovom sloju su smjetene mrene barijere i provjera identiteta rutera i
DNS servera, koji se aktivno ukljuuju u proces uspostavljanja komunikacijske veze. Ovom sloju zatite
odgovara ''demilitarizovana zona'' (eng. DMZ), odnosno javno dostupni dio privatne mree, iji koncept
i namjena de biti naknadno obajnjeni.
Opisani model slojevite zatite baziran je na injenici da je mnogo manja vjerovatnoda da se probiju svi
zatitni slojevi, od vjerovatnode da se probije samo jedan od njih ili dio njih, te da pri probijanju jednog
sloja zatite ne mogu nastupiti katastrofalne posljedice po sigurnost cjelokupnog sistema.
INFORMACIJE - PODACI
Zatitni prsten 1
Zatitni prsten 2
Zatitni prsten 3
Zatitni prsten 4
INTERNET
1.3.3
Sigurnosni modeli
Na osnovu vrste provedene transformacije i usluge koja se tim obezbjeuje u opticaju su dva osnovna
modela.
Prvi model sa slike broj 1.2 prikazuje komunikaciju dva subjekta preko nesigurnog komunikacionog
kanala. Njihova komunikacija se realizuje uz posredovanje lica od povjerenja, kojem oba subjekta
vjeruju, a koji im omogudava sigurnosno zatidenu komunikaciju. Ovakav model se primjenjuje u sistemu
PKI.
Lice od povjerenja
(lokalni sistemski administrator ili ustanova koja
kontrolie pristup tajnim informacijama)
poruka
tajna
informacija
poruka
Sigurnosna
transformacija
komunikacioni kanal
Sigurnosna
transformacija
tajna
informacija
napada
Drugi model prikazan na slici broj 1.3. prikazuje model komunikacije sa kontrolom pristupa unutar
modela, ali i sa uvarom pristupa spolja, zbog kojeg se unutranjim raunarskim resursima izvana
pristupa tek nakon ispunjenja odreenih dodatnih provjera.
''uvar'' kontrola
pristupa izvana
Pristupni kanal
Protivnik
- ovjek - napada
- softver - virus, crv