DigitSigno

Boldog Új Évet!

Kívánunk az elektronikus tanúsítvány, az elektronikus aláírás minden előnyét használó olvasóinknak és leendő olvasóinknak !

Reméljük a 2011. esztendő mindenkinek boldogságot hoz.

A DigitSigno csapata

2. VPN Virtuális magánhálózat (Virtual Private Network)

Az általánosan elfogadott definíció szerint a virtuális magánhálózat a helyi hálózat olyan kiterjesztése, amely megosztott vagy nyilvános hálózatokon keresztül titkosított kapcsolatokat tartalmaz. A gyakorlatban leginkább akkor létesítünk VPN kapcsolatot, ha nem biztonságos hálózati kapcsolaton (interneten) keresztül akarunk biztonságos kommunikációt folytatni. A VPN kapcsolat segítségével úgy küldhetünk és fogadhatunk adatokat két számítógép között, mintha azok közvetlen kapcsolatban lennének egymással.

A VPN kapcsolatot kezdeményező VPN-ügyfél (vagy VPN-kliens) számítógép a belső hálózat részévé válik a kapcsolat időtartama alatt és elér minden olyan szolgáltatást, amely a hálózat többi számítógépe részére is elérhető.

A titkosított kapcsolat létrehozásához szükséges az ún. VPN alagút. A nyilvános hálózaton a végpont (VPN-kiszolgáló) eléréséhez szükséges útvonalra vonatkozó adatokat a beágyazás alkalmával az átvinni kívánt adatokhoz kapcsolódó fejléc tartalmazza. Egy példa a VPN kapcsolat kialakítására:

A VPN leggyakoribb alkalmazási területei:

• site-to-site VPN – két telephely összekötése internetes hozzáférésen keresztül;
• távmunkahálózat – távmunkások és a központ közötti internetes összeköttetés;
• egy központ és több telephely összekapcsolása.

A virtuális magánhálózat segítségével a számítógépek vagy a lokális hálózatok egymástól igen nagy távolságra is elhelyezkedhetnek, akár más kontinenseken is lehetnek, de a VPN kapcsolat kiépíthető egy fizikai számítógép és az azon futó virtuális gép között is.

A Windows operációs rendszerek több protokoll felhasználásával is biztosítják a virtuális magánhálózatok kialakítását. Így például az adatkapcsolati rétegben a PPTP vagy az L2TP protokollok, a hálózati rétegben az IPSec alkalmazásán keresztül.

PPTP (Point-to-Point Tunneling Protocol) protokoll

A pont – pont alagútprotokoll a PPP (Point-to-Point Protocol) kiterjesztéseként létrehozott alagútprotokoll. A PPTP beágyazza és titkosítja az átvinni szándékozott PPP keretet a 128 bites RC4-es titkosítás használatával az MS-CHAP, az MS-CHAP v2 vagy az EAP-TLS hitelesítési eljárásból generált titkosító kulcsok segítségével. A PKI szempontjából az EAP-TLS hitelesítési eljárás alkalmazása fontos, mert ez lehetővé teszi az intelligens (Smart) kártyával és az USB eTokennel történő hitelesítést.

L2TP (Layer Two Tunneling Protocol) protokoll

A második rétegbeli alagútprotokoll a PPP keretek beágyazását végzi el, azonban a titkosítás – a hálózati adatok biztonságos átvitelét biztosító – IPSec-protokollon alapul. A kettő kombinációját L2TP/IPSec-protokollnak nevezzük, melynek alkalmazásához teljes nyilvános kulcsú infrastruktúrára van szükség (beleértve a tanúsítványkiadó szolgáltatást is). A protokollokat a VPN-ügyfélnek és a VPN-kiszolgálónak is támogatnia kell. Ez a Windows 2000 és afeletti operációs rendszerek (szerverek) esetében biztosított.

IPSec (Internet Protocol Security) protokoll

Nyílt szabványokból álló keretrendszer, amely kriptográfiai szolgáltatások segítségével biztosítja a titkosított kommunikációt az IP-protokollt használó hálózatokon. Az IPSec megvédi az IP csomagok tartalmát, továbbá biztonságot nyújt a hálózati támadásokkal szemben. Az IPSec protokoll például a kulcskicserélési művelet során a 3DES algoritmussal az adatcsomagok rejtjelezését biztosítja. Beállíthatjuk egyes gépekre, tartományokra vagy szervezeti egységekre egyaránt. Az IPSec tanúsítványalapú hitelesítést használ.

VPN-Karantén

Végezetül, de nem utolsósorban néhány szó a VPN-karanténról, hiszen csatlakozás után minden számítógép itt találkozik – a VPN-karanténban – a számítógépre érvényesülő erősen korlátozott házirenddel, azaz IP-szűrőkkel és munkamenet időzítők beállításaival. Az ellenőrző szkript lefuttatása után, a feltételek megléte esetén a szkript feloldja a karantén korlátozásait és a beállított távelérési házirendet érvényesíti a kapcsolatra. Ha a csatlakozott számítógép nem teljesíti az ellenőrzés feltételeit, akkor a kapcsolat megszakításra kerül.

1. A nyilvános kulcsú infrastruktúráról (PKI) röviden

A nyilvános kulcsú infrastruktúra az aszimmetrikus rejtjelezésre épülő rendszerek összessége. Ide tartoznak az egyes algoritmusok, kulcspártípusok, alkalmazások és szolgáltatások.

Napjaink egyik legelterjedtebb nyilvános kulcsú algoritmusa az RSA, aminek működését – a bloggal összhangban – igyekszünk most részletesebben bemutatni.

Először nézzük meg közelebbről az RSA algoritmust:

Az RSA algoritmus lényege a prímtényezőkre bontás (a blogon látható erő egy videó), más néven a faktorizálás. A széles körben elterjedt és alkalmazott algoritmus a prímszámok szorzatából indul ki. Visszafejtésének nehézségét az jelenti, hogy a szorzat prímtényezőinek visszaszámolása komoly feladatot jelent.

Akkor, ha elég nagy prímszámokat használunk, gyakorlatilag a visszafejtés lehetetlen, habár a biztonsági rés felfedezéséről 2010. március 5-e óta tudomásunk van. A gyakorlatban 10 a 100-on kitevőjűnél nagyobb prímszámokat alkalmaznak, vagyis az eljárás igazi nehézsége a megfelelő nagyságú és erősségű prímszámok megtalálásában rejlik.

Az algoritmus a kulcspár előállításához használja a prímszámokat (nem a kódoláshoz és dekódoláshoz), ezért a magánkulcs visszafejtéséhez, vagyis az eljárás feltöréséhez faktorizálás szükséges.

A védekezés a prímszámok és a kulcsgenerálás egyéb paramétereinek gondos kiválasztásával lehetséges. Az eljárás un. blokkok rejtjelezésével működik, kulcs és blokkméretként jellemzően a kettő hatványai használatosak, ma a két leggyakrabban használt érték az 1024 és a 2048 bit.

Érdekességként megjegyezhető, hogy az 1024 bit hosszú kulcsot már katonai célokra is alkalmasnak tartják.

Az RSA olyan speciális kulcspárt használ, aminek hatalmas előnye az, hogy a kulcspár nyilvános részével lehet titkosítani, és a titkos részével lehet elektronikusan aláírni. (Lásd: Almási, J.: Elektronikus aláírás és társai. Sans Serif, 2002.)

Az RSA algoritmus publikációja számos helyen megtalálható az interneten, az alábbi összefoglaló Ködmön József műve alapján készült. (Lásd: Ködmön, J.: Kriptográfia. ComputerBooks, 1999.)

Ez az algoritmus Fermat kis tételén alapul.

E szerint a tétel szerint, ha p prímszám, és nem osztója a egésznek, akkor

a^(p-1)-1

osztható p -vel.  A tétel alapján, ha p és q különböző prímszámok, és a-nak egyik sem osztója, akkor mind p, mind pedig q osztója a^(p-1)(q-1) -1  értéknek, ami képlettel leírva:

qp | a^(p-1)(q-1) -1

Ez nem más, mint a kis Fermat tétel, csak a tételbeli képletben a helyére egyszer a^p-1, egyszer pedig a^q-1 kerül rendre a q-val, illetve p -vel való oszthatóságot felírva.

Mivel p és q különböző prímek, ezért a szorzatukkal is osztható a^(p-1)(q-1) -1

Legyen n=qp.

Ekkor a^(p-1)(q-1)+1 pont a maradékot ad n-nel osztva, ha a kisebb, mint n.

Legyen ef=(p-1)(q-1)+1 szorzat alakban felírva.  Ekkor az

a^ef  mod n = a

egyenlethez jutottunk, ahol a mod a maradékképzést jelenti.

Legyen a nyilvános kulcs az e,n számpáros, a titkos kulcs pedig az f szám.

A kódolás során az üzenetet először számokká alakítjuk át olyan módon, hogy a számok mindegyike kisebb legyen, mint n. Ezután az egyes m számokat az

M=m^e mod n

képlettel kódoljuk előállítva a rejtjelezett M üzenetet, és ezt az üzenetet az

m=M^f mod n

képlet alapján lehet dekódolni.

A felhasznált számoknak olyan nagyoknak kell lenniük, hogy az n számot ne lehessen prímtényezőkre bontani. Ha ugyanis az n számot fel tudjuk bontani n=qp alakra, akkor e alapján a maradékos inverz megkeresésével lehet meghatározni f-et.

A prímtényezős felbontásra pillanatnyilag nem áll rendelkezésre hatékony algoritmus, bár az sem bizonyított, hogy ilyen algoritmus nem létezik. Mivel az alapvető aritmetikai műveletek, mint szorzás, összeadás, hatványozás hatékonyan elvégezhetőek, ezért lehetséges olyan nagy p és q használata, amely esetén n rövid idő alatt nem bontható fel szorzattá.