- Stahuj zápisky z přednášek a ostatní studijní materiály
- Zapisuj si jen kvalitní vyučující (obsáhlá databáze referencí)
- Nastav si své předměty a buď stále v obraze
- Zapoj se svojí aktivitou do soutěže o ceny
- Založ si svůj profil, aby tě tví spolužáci mohli najít
- Najdi své přátele podle místa kde bydlíš nebo školy kterou studuješ
- Diskutuj ve skupinách o tématech, které tě zajímají
Studijní materiály
Zjednodušená ukázka:
Stáhnout celý tento materiál=========================================================================================
DOPORUČOVAL BYCH TOTO POUŽÍT JAKO KONTROLU, NE JAKO PRIMÁRNÍ STUDIJNÍ MATERIÁL
-tak jsem to aspoň dělal já s původní verzí (která měla někdy ne zcela správné odpovědi)
-ale ani tato pravděpodobně není bez chyby
-monoho odpovědí bylo převzato z předchozí verze
-jaro 2007, 240 otázek
=========================================================================================
Co jsou a jak fungují tokeny založené na hodinách? Jaké jsou jejich bezpečnostní nedostatky?
Bývají součástí autentizačních kalkulátorů. Generují kód jedinečný pro daný přístroj a čas. tento kód umí (musí umět) spočítat i autentizační server. Problém s platností časových rámců a se synchronizací hodin.
Popiš stručně Shamirův protokol bez klíčů (Shamir's no-key protocol).
=technika přenosu klíče bez předchozí znalosti nějakého tajemství (předešlého klíče atd.). Založen na komutativní symetrické šifre E. Každá strana má svůj klíč Ka, Kb (A nezná Kb, B nezná Ka).
A -> B: Eka(X)
A B: Ekb(X)
Nyní obě strany sdílí X. Problémem je existence komutativní symetrické šifry. Tento problém nebyl zatím v praxi vyřešen.
Byly pro hašovací algoritmus SHA-256 již nalezeny (a veřejně publikovány) kolize?
Ne
Diskutujte velikost matice přístupových práv.
Může být dvoj(objekty,subjekty) nebo trojrozměrná (třetím rozměrem je program -> pro konkrétní subjekt,program,objekt jsou definována přístupová práva). Př.:
(Alice,editor,účetní data) má práva {r}
(Alice,editor,log soubory) má práva {}
Velikost obou matic je velká natolik, že se nevyplatí ji takto ukládat. Přistupuje se pak k ukládání po objektech(seznamY přístupových práv) nebo po subjektech (seznamY přístupových oprávnění).
Co je to "sandbox" a k čemu se používá?
=jedna z metod spouštění nedůvěryhodného kódu. Je to omezené prostředí, ve kterém nemá kód k určitým prostředkům (př aplety Javy stažené z webu se neukládají na disk a smí komunikovat pouze s původním serverem)
Jaké chyby mohou biometrické systémy udělat?
problém živosti vzorku (je vzorek od živé odoby?, pochází skutečně od osoby, která jej předkládá?(problém silikonových a jiných náhražek))
vysoké FAR(false acceptance rate), FRR(false rejection rate)
existence FTA(fail to acquire), FTE(fail to enroll)
Je možné pomocí zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb zajistit integritu zprávy:
ano, zprávu je možné modifikovat, ale modifikace bude detekována
Jaké bezpečnostní principy podporuje protokol SSL/TLS?
autentizace stran-pomocí certifikátů a protokolu výzva-odpověď
integrita a autenticita dat-pomocí autentizačních kódů(MAC)
důvěrnost dat-po úvodní inicializaci("handshake") je vytvořen/ustaven sym klíč šifrující všechnu následnou komunikaci
Umožňuje zaručený elektronický podpis identifikovat autora podepsané zprávy?
Ano
Jaký je rozdíl mezi transportním a tunelovacím režimem IPsec?
V TRANSPORTNÍM REŽIMU není šifrována reálná IP hlavička. end-to-end(point-to-point)=koncové zařízení-to koncové zařízení
V TUNELOVACÍM REŽIMU je šifrována i reálná IP hlavička. Tunelovací režim probíhá vždy firewall-firewall zašifrovaná hlavička je nahrazena novou vygenerovanou.
K bezpečnému uložení soukromého klíče můžeme použít:
čipovou kartu
soubor na disku, chráněný heslem
bezpečný HW modul pro PCI sběrnici
PDA chráněné otiskem prstu
K čemu slouží a na jakém principu je založena pasivní autentizace
u elektronických pasů?
Pasivní a aktivní autentizace je podobná metodám SDA a DDA ve specifikaci EMV(metody na detekci padělaných/falešných karet s čipem). -> pasivní autentizace (povinná) zabraňuje vytváření nových(falešných) čipových karet-pasů, aktivní autentizace (nepovinná) zabraňuje i kopírování již vzniklých čipových karet-pasů. Princip:
1. Všechna data (v podobě hašů) jsou digitálně podepsána vydávající autoritou a uložena v souboru EF.SO(D) na čipu
2. Pro ověření podpisu je třeba mít k dispozici (kořenový) certifikát vydavatele (certifikační řetězec, vedoucí ke kořenovému certifikátu, je uložen na čipu-v pase)
http://www.ics.muni.cz/zpravodaj/articles/534.html
Co je potřeba zajistit pro spolehlivé nasazení pořadových čísel (sekvencí) jako vhodných časově proměnných parametrů?
obě strany musí dlouhodobě udržovat aktuální-poslední použitou hodnotu
Uveďte příklad elektronického podpisu, který není digitálním podpisem.
podpis emailu
K čemu slouží protokol Oakley?
Je součástí IPsec a je založen na protokolu Diffie-Hellman,ale odstraňuje jeho hlavní nedostatky - absence autentizace, neodolnost vůči útoku man-in-the-middle. Odolný taky proti útokům přehráním(pomocí časových parametrů), útokům typu DoS(pomocí tzv. cookies)
Co je to prahová hodnota (threshold) u biometrických systémů?
Threshold - A predefined number, often controlled by a biometric system administrator, which establishes the degree of correlation necessary for a comparison to be deemed a match.
http://www.findbiometrics.com/Pages/glossary.html
=hranice shody registračního vzorku a aktuálně snímaného vzorku=kdy se aktuálně snímaný vzorek ještě považuje za dostačující k autentizaci/identifikaci.
Při jakých útocích se využívá narozeninového paradoxu?
při útocích na klíčované hašovací funkce - na vlastnost bezkoliznosti(silné i slabé)
K čemu slouží protokol ssh?
slouží k přihlášení klienta(uživatele) k serveru
K čemu slouží steganografie? Uveďte příklad použití.
Steganografie se narozdíl od kryptografie nesnaží převést zprávu do tvaru nesrozumitelného pro třetí stranu, ale snaží se utajit samotnou existenci zprávy. Často se kombinuje s kryptografií. Například v bezpečnostním SW pro šifrování dat je umožněno vytvářet virtuální šifrované disky, v rámci těchto virtuálních disků je možno vytvářet další viditelné i neviditelné šifrované disky. Je pak doporučeno aby uživatel vytvořil šifrovaný disk, do něj uložil privátně vyhlížející obsah a obsah který potřebuje opravdu zabezpečit uložil do skrytého disku. Při mučení by pak byl nucen vyzradit heslo k šifrovanému disku, ale útočník by na skrytý disk nepřišel.
Jak silná je autentizace počítačů pomocí ethernetových MAC adres?
hodně slabá - ethernetové adresy nejsou tajné a lze ji i snadno změnit
Je kryptografická hašovací funkce SHA-512 v současné době považována za bezpečnou?
Ano
Co je cílem autentizace uživatele (se zřetelem na oprávněné i neoprávněné potenciální uživatele).
Provést ověření identity(autentizaci):
co nejjednodušeji pro oprávněné (autorizované) uživatele
co nejsložitěji pro neoprávněné (neautorizované) uživatele
Pokud pro rozbalení šifrovaného zip souboru zadávám heslo, jedná se o:
autorizaci
K čemu slouží a jaký je princip Encapsulated Security Payload (ESP) záhlaví v IPSec?
zajišťuje integritu a autenticitu dat a důvěrnost, brání útokům přehráním. Je použit symetrický šifrovací klíč
Máte strany A a B, sdílející jeden tajný symetrický klíč. Jak byste provedli autentizaci
strany A vůči straně B, tak aby protokol byl odolný vůči útokům odposlechem a přehráním?
k..sym. klíč
B->A: Ek(nB)
A->B: Ek(nA,nB,"B")
K čemu slouží a jaký je princip Authenticated Header (AH) záhlaví v IPSec?
zajišťuje integritu a autenticitu dat, chrání před útoky přehráním. Je použit MAC se sekvenčním číslem
Průkopníkem/ky v oblasti asymetrické kryptografie byl/i:
Diffie,Hellman,Rivest
Co je to FTA (fail to acquire) u biometrických systémů?
neschopnost získat aktuálně snímaný vzorek - čili to patí jen pro již REGISTROVANÉ uživatele
http://209.85.135.104/search?q=cache:2qG3himE_6UJ:www.authenti-corp.com/iris06/report/IRIS06_draft_report_v0-40p_20070331.doc+FTE,+FTA&hl=cs&ct=clnk&cd=8&gl=cz
Je IPsec povinný pro IPv4?
Ne
Na čem závisí úspěšnost útoku hroubou silou (na soubor s haši hesel)?
na vozrci:) : (čas platnosti x počet odhadů za jednotku času)/velikost abecedy^delka hesla
Je dobrá kryptografická hašovací funkce prostá:
Ne
:-/ http://cs.wikipedia.org/wiki/Prost%C3%A1_funkce
Uveďte příklad fyzického řízení přístupu.
ochrana offline uložených archivních kopií dat
Co je to cyklický záznam jako datový typ u čipových karet?
Pokud dorazíme na konec souboru, začne se automaticky přemazávat od začátku. Vhodné např. pro logy.
Co je to dedicated file (DF) u čipových karet?
něco jako adresář při nahlížení na strukturu dat na čipu jako na strukturu dat na disku
Jaký je rozdíl mezi modelem Bell-LaPadula a Biba (u MLS systémů)?
jsou to vzájemné inverze(model Biba je inverzí Bell-LaPaduly)
Bell-LaPadula zajišťuje důvěrnost
model Biba zajišťuje integritu
Jaké máme možnosti při spouštění nedůvěryhodného kódu?
autentizace kódu - např Microsoft Authenticode
speciální jazky neumožňující škodlivou činnost - JavaScript
kontrolní programy, které před spuštěním kontrolují kód na škodlivou činnost(heuristiky antivirových programů)
spuštění kódu s minimálními přístupovými právy -unixový nobody
sandbox - applety Javy
Jak zajištujeme integritu veřejného klíče?
pomocí certifikátu veřejného klíče (veřejný klíč je spjat s daným uživatelem, pravost uživatele i tohoto veřejného klíče zajišťuje certifikační autorita)
Co je a k čemu slouží časová analýza (u čipových karet)?
=jeden z logických útoků na čipové karty. Vužívá toho, že čas potřebný ke zpracování operace závisí na známém vstupu, známém použitém algoritmu a na datech uložených na kartě. Pomocí známých věcí tak můžeme odvodit data na kartě.
Uveď dvě výhody a dvě nevýhody volitelého řízení přístupu.
jednoduchost->malá režie,flexibilita (dál velká vyjadřovací schopnost)
Algoritmus RSA:
je jedním z prvních asymetrických algoritmů, ale stále se používá
za bezpečnou délku klíče se považuje alespoň 2048 bitů
Seřaďte následující biometrické technologie podle přesnosti:
otisky prstů, oční duhovka, rozpoznání obličeje, verifikace podpisu.
NEJPŘESNĚJŠÍ oční duhovka, otisk prtu, rozpoznání obličeje, verifikace podpisu NEJMÉNĚ PŘESNÉ
Co je to CVV/CVC u platebních karet?
pořípadě ještě CID
jedná se o čísla na čipové kreditní kartě která se používají pro nákup přes internet
CVV(VISA), CVC(MasterCard), CID(American Express)
https://secure.cybertime.net/cvvcvccid_number.html
Jakým typům útoků se snaží zabránit aktivní autentizace u elektronických pasů?
Pasivní a aktivní autentizace je podobná metodám SDA a DDA ve specifikaci EMV(metody na detekci padělaných/falešných karet s čipem). -> aktivní autentizace (nepovinná) zabraňuje jednoduchému čtení dat z karty a tudíž zabraňuje kopírování již vzniklých čipových karet-pasů.
Seznam přístupových oprávnění (capabilities) popisuje práva jednoho:
subjektu
Co to jsou markanty otisku prstu, co víš o biometrice otisku prstu?
Markanty jsou významné prvky v otisku prstu (začátek,konec čáry, rozbíhání čar...)
rychlost 1ms až 2s, FAR pod 0,1% při FRR asi 5%, čtečky jsou optické,silikonové(kapacitní), ultrazvukové
ACL (Access Control List) se vztahuje k jednomu:
objektu
Existují čipové karty s 32-bitovými procesory?
Ano
Jaký je rozdíl mezi jednoduchou a diferenciální výkonovou analýzou (SPA vs. DPA)?
SPA - utocnik primo sleduje spotrebu proudu v systemu.Tímto postupem je mozno napr. identifikovat vetsí bloky instrukcí, které se treba i opakují (cykly DESu, operace RSA atd.). Pri vyssím rozlisení mohou být rozpoznány jednotlivé instrukce. Tato analýza muze být pouzita napr. na zlomení implementací RSA, protoze odhalí rozdíly mezi operacemi násobení a umocnování. Podobne, mnoho implementací DESu má viditelné rozdíly mezi operacemi permutace a posun, takze mohou být rozlomeny. Cipových karet, jez jsou citlivé na tuto analýzu je velké mnozství, ale není zvlást obtízné postavit zarízení, která jsou proti tomuto útoku odolná.
DPA-DPA je mnohem výkonnejsím útokem nez SPA a je mnohem obtíznejsí jí zabránit. Zatímco SPA útoky pouzívají primárne vizuální prohlízení pro identifikaci relevantních výkonových zmen, tak DPA útoky pouzívají statistickou analýzu a techniky pro korekci chyb pro získání informací, jez mají vztah k soukromým klícum.DPA se skládá ze dvou fází. Shromázdení dat a analýza dat. Sbírání dat pro DPA muze být provedeno vzorkováním príkonu zarízení behem kryptografických operací, jak uz bylo popsáno. Pro DPA je potreba posbírat mnozství (stovky az tisíce) kryptografických operací, jez pouzívají cílový soukromý klíc. http://www.fit.vutbr.cz/~cvrcek/cards/karty.html.en
K čemu se používá CRC?
Detekce chyb, k zajištění integrity dat. Poskytuje ochranu pouze proti NEúmyslné zmene dat
Co je to slovníkový útok?
Útok hádání hesel podle databáze (slovníku) častých hesel, klasického slovníku, etc...
Co znamená klasifikace uživatelů a objektů (dat) v MLS?
rozdělení uživatelů do kategorií podle důvěryhodnosti(každý uživatel má pak 1. počáteční bezp. úroveň(tzv. clearance), 2.přihlašuje se s aktuální bezpečnostní úrovní)
klasifikace objektů do tříd(U,C,S,TS) podle důvernosti
Jaký je rozdíl mezi fyzickými a logickými útoky na čipové karty?
při fycizkém útoku dochází ke zničení nebo poškození karty(invazivní-preparace čipu...; semiinvazivní - použití elektromagnetického záření různých vlnových délek). Fyzický útok vyžaduje speciální zařízení,vybavení a znalosti.
při logickém se útoku je potřeba znát detailní znalosti o struktuře karty,útokem se karta nepoškozuje
Co je to master file (MF) u čipových karet?
Kořenový adresář-počátečně se pracuje s ním pak se přistupuje k nižším vrstvám
Co je to referenční monitor (u řízení přístupu)?
Referenční monitor je mezičlánek, který kontroluje každý přístup subjektu k objektu vůči zásadám bezpečnostní politiky.
Jaký je rozdíl mezi aktivními a pasivními RFID tagy?
pasivní-bez baterie,levnějsí,mensí,skoro neomezena zivotnost
aktivní-s baterií-mohou šířit vlastní signál,dražší,životnost 5 let
Jaký je rozdíl mezi komerčními a forenzními biometrickými systémy?
Komerční - automatické, nízká přesnost, nekvalitní registrace může být provedena znova, uchováváme pouze zpracované charakteristiky, výsledek v sekundách, není nutná odborná znalost systému, miniaturizace, cena je důležitá
Forenzní - nutná profesionální obsluha, vyšší přesnost, registrace nemůže být provedena, uchováváme zpracované charakteristiky i původní biometrické vzory, výsledek až dny, nutná odbornost systému a principu funkce, na velikosti nezáleží, cena je vysoká ale není pro nás hlavní faktor.
Co je to bezpečnostní oprávnění (clearance) u MLS (MultiLevel Systems) systémů?
jedna ze dvou bezpečnostních úrovení uživatele(druhá-aktuální bezp. úroveň). Uživatel s aktuální bezp. úrovní má přístup pouze k objektům nepřevyšujícím danou úroveň bezp. oprávnění(clearance).
Jaká biometrická data jsou ukládána v současné době do Českých
elektronických pasů?
pouze obličej(fotka)
http://www.ics.muni.cz/zpravodaj/articles/534.html (kapitola 3 - biometrické pasy, 4. odstavec)
Jsou obvykle v OS ukládána hesla šifrovaně nebo hašovaně?
hašovaně
Byly pro hašovací algoritmus MD5 již nalezeny (a veřejně publikovány) kolize?
Ano
Je rychlejší kryptografie symetrická nebo asymetrická:
symetrická
Uveďte příklad protokolu typu zero-knowledge (nejen jméno, ale i princip).
identifikační Feige-Fiat
Důvěryhodná třetí strana T zvolí tajné prvočísla p,q a zveřejní n=p.q
A volí tajné s (nesoudělná(spol.děl.=1 :) 1 A e=0 nebo 1
A->B y=r.s^e mod n
Opakujeme t-krát, pst podvádění je 2^-t
Jaký je rozdíl a k čemu slouží autentizace zákazníka a autorizace platby?
Součástí autorizace platby je autentizace zákazníka-ten použije minimálně dvou faktorovou autentizaci(token=karta,tajemství=PIN/heslo) + podpis
NEVÍM JISTĚ
Jaký je rozdíl mezi Key Distribution center a Key Translation center?
Key distribution center sám generuje klíče pro jednotlivé "sessions". Key translation center pouze distribuuje klíče,které dostalo od jedné z komunikujících stran klientů.
Co to jsou polyinstance (u databázových MLS systémů) a jak vznikají?
Chráníme existenci informace na vyšší úrovni. Uživatel na nižší úrovni chce vytvořit soubor, který již existuje, buď mu to povolíme nebo zakážeme. Pokud mu to zakážeme odhalíme existenci chráněné informace. Pokud mu to povolíme vznikne soubor se stejným označením ale různým významem na různých úrovních zabezpečení. U DB je to nertiviální problém - řeší se zatajením (místo samotné informace je uvedena jen výše dvěrnosti) nebo smyšleným příběhem (informace v db sice je,ale je nepravdivá/nepřesná)
Co je to FAR (false acceptance rate) u biometrických systémů?
počet nesprávných přijetí. Uživatel který by se neměl dostat do systému se do něj dostane. Čím vyšší FAR, tím menší bezpečnost systému. Nepřímo závislé na FRR.
Jak je rozdíl mezi certifikační a registrační autoritou?
registrační autorita je jen jakýsi pomocník cert. autority. RA je nepovinnou složkou,přijímá žádosti o registrace uživatelů,ověřuje pravdivost údajů,předává certifikát k podpisu certifikační autoritě, podepsaný cert. předá klientovi
Splňuje digitální podpis požadavky kladené na zaručený elektronický podpis?
EL. PODPIS musí splňovat:
jednoznačně spojen s podepisující osobou - ANO
umožňuje identifikace podepisující osoby ve vztahu k datové zprávě - ANO
byl vytvořen pomocí prostředků, které podepisující osoba musí udržet pod svou výhradní kontrolou - ANO
podpis je k datové zprávě připojen tak, že je možno zjistit následnou změnu dat - ANO
digitální podpis splňuje požadavky kladené na el. podpis
Jaký je vztah mezi ACL (Access Control List) a ACE (Access Control Element) u řízení přístupu?
ACL je seznam položek. Jeden ACL se vztahuje k jednomu objektu. Jedna položka seznamu je ACE. ACE může být buď subjekt nebo skupina subjektů (v unixu group)
Jaké hašovací funkce se používají pod OS UNIX pro ukládání hesel uživatelů?
MD5 - heslo až 255 znaků, sůl až 8 znaků. V minulosti upravený DES algoritmus.
Co je to "race condition"? Uveďte příklad.
Operace "ověření práv" a "použití práv" nejsou atomické, může docházet ke kolizím. Zneužitelné u aplikací s vyšším oprávněním SUID/SGID, cgi webové aplikace.
Jak jsou využity režimy procesoru (Rings of protection) pro bezpečnost?
Řízení přístupu na úrovni HW, několik režimů činnosti s
Vloženo: 26.04.2009
Velikost: 59,47 kB
Komentáře
Tento materiál neobsahuje žádné komentáře.
Mohlo by tě zajímat:
Skupina předmětu PV157 - Autentizace a řízení přístupu
Reference vyučujících předmětu PV157 - Autentizace a řízení přístupu
Podobné materiály
- MB008 - Algebra I - Poznamky_prednaska
- MB008 - Algebra I - Poznámky
- PB152 - Operační systémy - Poznámky
- PV122 - Formální struktura přirozeného jazyka - Poznamky
- SZMAP - Státní zkouška (magisterský studijní program Aplikovaná informatika) - Stanice_IS_(ARDBS)_poznamky
- SZMAP - Státní zkouška (magisterský studijní program Aplikovaná informatika) - Stanice_IS_(Bezpecnost_IS)_poznamky
- VB003 - Ekonomický styl myšlení I - Poznámky ESM
- PB150 - Architektury výpočetních systémů - Poznamky_ke_zkousce_na_6_A4
Copyright 2024 unium.cz