Tento článok bol vytlačený zo stránky https://referaty.centrum.sk

 

Bezpečnostné aspekty využívania prostriedkov IKT

ASPEKT - Hľadisko, stanovisko, postoj uplatňovaný v procese uplatňovania určitej veci.

Ochrana osobných údajov Zákon NR SR č. 52/98 Z.z. Zákon o ochrane osobných údajov v informačných systémoch rieši otázky ochrany týchto údajov pred zneužitím neoprávnenými osobami, organizačné aspekty použitia techniky (i výpočtovej) k zabezpečeniu tejto ochrany, ako i trestné postihy za porušenie ustanovení zákona.

Osobné údaje - sú údaje týkajuce sa priamo určenej , alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo, alebo nepriamo na základe použitého identifikátora , alebo na základe jednej či viacerých charakteristýk, alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychyckú ,mentálnu, ekonomickú, kultúrnu, alebo sociálnu identitu.
Medzi osobné údaje patrí čokoľvek o osobe, počnúc od rodného čísla, adresy, až po veľkosť topánok.

Bezpečnosť osobných údajov
Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ a sprostredkovatel' tým, že ich chráni pred odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou a rozširovaním. Na tento účel prijme primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania. Prevádzkovateľ a sprostredkovateľ prijme opatrenia vo forme bezpečnostného projektu informačného systému (ďalej len "bezpečnostný projekt").
Bezpečnostný projekt obsahuje najmä
bezpečnostný zámer, vymedzuje základné bezpečnostné ciele, ktoré je potrebné dosiahnuť na ochranu informač¬ného systému pred ohrozením jeho bezpečnosti,
analýzu bezpečnosti informačného systému, podrobný rozbor stavu bezpečnosti informačného systému
bezpečnostné smernice upresňujú a aplikujú závery vyplývajúce z bezpečnostného projektu na konkrétne pod¬mienky prevádzkovaného informačného systému.
Prevádzkovatel' a sprostredkovatel' preukázatel'ne poučia právnické osoby a fyzické osoby, ktoré majú alebo môžu mať prístup k ich informačnému systému, o právach a povinnostiach ustanovených týmto zákonom a o zodpovednosti za ich porušenie.

Povinnosť mlčanlivosti
Prevádzkovate l' a sprostredkovateľ sú povinní zachovávať mlčanlivosť o osobných údajoch, ktoré spracúvajú. Povin¬nosť mlčanlivosti trvá aj po ukončení spracovania.
Oprávnená osoba je povinná zachovávať mlčanlivosť o osobných údajoch, s ktorými príde do styku; tie nesmie vyu¬žiť ani pre osobnú potrebu a bez súhlasu prevádzkovatel'a ich nesmie zverejniť a nikomu poskytnúť ani sprístupniť.
Povinnosť mlčanlivosť platí aj pre iné fyzické osoby, ktoré v rámci svojej činnosti (napr. údržba a servis technických prostriedkov) prídu do styku s osobnými údajmi u prevádzkovatel'a alebo sprostredkovatel'a.
Povinnosť mlčanlivosti trvá aj po zániku funkcie resp. pracovného pomeru oprávnenej osoby.

Dohľad nad ochranou osobných údajov
Za výkon dohl'adu na ochranou osobných údajov zodpovedá prevádzkovate 1'. Ten v prípade, že zamestnáva viac ako 5 osôb poverí jednu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení. Prevádzkovatel' zabezpečí vyškolenie zodpovedných osôb. Registrácia informačného systému
Prevádzkovateľ registruje informačné systémy alebo vedie o nich evidenciu v rozsahu a za podmienok ustanovených týmto zákonom. V prípade pochybnosti o tom, či informačný systém podlieha registrácii, rozhodne úrad na ochranu osobných úda¬jov. Stanovisko úradu je záväzné. Kódovanie (šifrovanie) je transformácia určitej informácie z jednej formy na druhú pomocou určitého algoritmu s použitím parametra. Ak je parameter verejný, ide o kódovanie, ak je utajený, o šifrovanie. Kódovať však môžeme údaje i do nečíselnej podoby. Typickým príkladom nečíselného kódovania je Morseova abeceda alebo Braillovo písmo pre nevidiacich.

Šifrovanie:

Šifrovanie je transformácia informácií (dáta, ktoré chceme utajiť) do podoby, ktorá je by mala byť nezrozumiteľná pre človeka aj pre počítača, ale z ktorej je možné získať pôvodnú formu použitím inverznej transformácie - dešifrovania. Príslušnú dešifrovaciu transformáciu musia poznať len osoby, ktoré majú mať možnosť správe rozumieť. Informácia potrebná na šifrovaciu resp. dešifrovaciu transformáciu sa nazýva kľúč (šifrovací, dešifrovací). Je to údaj, ktorý si musíme chrániť, jeho funkcia je podobná ako heslo (v počítači a kdekoľvek inde), ktoré často používame.

Šifrovacie algoritmy môžeme rozdeliť do dvoch kategórií (symetrické a symetrické).

Symetrcké šifrovanie
Symetrické šifrovacie algoritmy sú také, kde šifrovací a dešifrovací kľúč sú rovnaké. To znamená, že rovnakým kľúčom šifrujeme aj dešifrujeme.
Symetrické šifrovacie algoritmy sú spravidla rýchle, no problém je prenos kľúča od autora k adresátovi šifrovanej správy.

Príkladom symetrického šifrovania je algoritmus DES (Data Encryption Standard) prijatý v roku 1977 ako národná norma USA pre šifrovanie. Niektorí experti považujú algoritmus DES za málo bezpečný (tvrdia, že sa dá „zlomiť“, t.j. dešifrovať pôvodný obsah správy bez presnej znalosti tajného kľúča). Zástancovia DES algoritmus však tvrdia, že „zlomenie“ DES algoritmu by trvalo niekoľko rokov a stálo by niekoľko miliónov amerických dolárov.
Používa sa aj „trojnásobný DES“ algoritmus (triple DES), ktorý používa dva DES-kľúče a trikrát algoritmus DES. Tento „trojnásobný DES“ je bezpečnejší ako obyčajný DES algoritmus.
Špičkovým algoritmom je v súčasnosti algoritmus IDEA (International Data Encryption Algorithm) publikovaný v roku 1990. IDEA s 128-bitovým kľúčom je dnes považovaný za bezpečný.

ASYMETRICKÉ ŠIFROVANIE Pri asymetrickom šifrovaní sa používa tzv. kľúčový pár, kde je úzky vzťah medzi šifrovacím a dešifrovacím kľúčom (sú vzájomne na seba inverzné - čo sa zašifruje jedným, dá sa dešifrovať len druhým).

Vlastnosti:
• • Zo znalosti jedného kľúča nemožno odvodiť druhý kľúč.
• • Asymetrické šifrovanie je pomalšie ako symetrické šifrovanie.
• • Asymetrické šifrovanie zabezpečuje autenticitu, t.j. ak niečo dokážeme dešifrovať verejným kľúčom nejakej osoby, máme záruku, že to šifrovala ona.

Tento pár kľúčov je komplementárny v tom zmysle, že to, čo sa zašifruje jedným z týchto kľúčov, je možné dešifrovať iba druhým kľúčom z tejto dvojice a naopak. Naviac platí, že len zo znalosti jedného kľúča nie je možné (triviálnymi postupmi) odvodiť hodnotu druhého kľúča.

Ak chceme zašifrovať dokument tak, aby ho vedel dešifrovať iba ten, komu je daný dokument určený, je potrebné zašifrovať ho verejným kľúčom adresáta. To znamená, že tento dokument bude možné dešifrovať iba súkromným (tajným) kľúčom adresáta a ten pozná výlučne on.

Najpopulárnejším asymetrickým šifrovacím algoritmom je algoritmus RSA (River, Shamir, Adelman), ktorý sa používa s rôznou dĺžkou kľúča, napr. 1024 bitov. Tento algoritmus sa nepodarilo ešte nikomu zlomiť a je považovaný za dostatočne bezpečný.]
RSA algoritmus sa môže použiť napríklad na prenos tajného DES kľúča druhej strane (tento DES kľúč sa vygeneruje na počítači odosielateľa náhodným spôsobom) a v ďalšom sa potom už pre vzájomnú komunikáciu používa algoritmus DES, pretože ten, ako už bolo spomenuté, je rýchlejší (t.j. proces šifrovania a dešifrovania trvá omnoho kratší čas ako pri asymetrickom šifrovaní). Toto však platí iba pre jedno spojenie (communication session). Pri nadviazaní ďalšieho spojenia sa vygeneruje nový DES kľúč, pošle sa druhej strane zašifrovaný algoritmom RSA, atď.

Digitálny odtlačok - Hash funkcia

V praxi sa väčšinou nešifruje súkromným kľúčom odosielateľa celá správa, ale najprv sa z danej správy pomocou tzv. hash funkcie vygeneruje „digitálny odtlačok“ pevnej dĺžky (nezávislej od dĺžky správy). Digitálny odtlačok je akýsi súhrn, zhrnutie (digest) danej správy; zjednodušene si ho môžete predstaviť aj ako „kontrolný súčet“ tejto správy.

Transformácia obsahu správy na digitálny odtlačok je jednosmerná transformácia, t.j. opačný postup nie je možný – z digitálneho odtlačku sa nedá spätne vygenerovať obsah správy.
Ďalšou dôležitou vlastnosťou digitálneho odtlačku správy je, že ak sa zmení obsah správy (čo len jeden znak, jeden bit), zmení sa aj digitálny odtlačok tejto správy (v dostatočnej miere)
Vďaka tejto vlastnosti si prijímateľ správy (ak dostane od odosielateľa aj správu aj digitálny odtlačok tejto správy) môže veľmi jednoducho overiť, či pri prenose došlo k zmene obsahu správy: Z prijatej správy si (rovnakým postupom ako odosielateľ, pomocou hash funkcie ) vypočíta digitálny odtlačok a porovná ho s tým digitálnym odtlačkom, ktorý dostal od odosielateľa. Ak sú identické (rovnaké), má istotu, že obsah správy sa počas prenosu nezmenil. Ak tieto dva odtlačky nie sú rovnaké, upozorní ho to, že nemôže dôverovať obsahu tejto správy, pretože počas prenosu došlo k zmene jej obsahu. Pre úplnosť možno dodať, že v tomto prípade nie je možné zistiť, čo presne bolo v správe zmenené (ktorá časť správy), avšak to ani nie je cieľom používania elektronického podpisu.
Rýchlosť daného algoritmu je limitovaná z dvoch strán. Musíme byť schopný v rozumnom čase vypočítať danú hodnotu a zároveň musí byť zložitý (pomalý), aby sa nedal ľahko prelomiť.
Praktické využitie kontrolného súčtu je pri overení integrity daného dokumentu, či nebol cestou modifikovaný. Dokument posielame nešifrovaný, ale podpísaný. To znamená, že správnosť hashu (nie je modifikovaný) nám zaručuje Certifikačná autorita pomocou infraštruktúry verejného kľúča.

Elektronický podpis

Ak naviac chceme, aby adresát (príjemca) mal jednoznačnú istotu, kto mu tú správu poslal a že to, čo dostal, je skutočne to, čo mu odosielateľ odoslal, je potrebné správu elektronicky podpísať. Na autentifikáciu odosielateľa sa používa asymetrické šifrovanie, avšak v obrátenom poradí. Odosielateľ zašifruje správu svojím súkromným kľúčom (Obr. 3). V tomto prípade hocikto môže dešifrovať túto správu prostredníctvom verejného kľúča odosielateľa (a teda si ju aj prečítať). V tejto súvislosti je dôležité, že príjemca (čitateľ) správy bude mať istotu, že odosielateľ je skutočne autorom danej správy. Elektronický podpis sa zvyčajne pripojí k odosielanej správe (podobne ako tradičný podpis). Ako už bolo spomenuté vyššie, elektronický podpis zaručuje aj integritu elektronického dokumentu. Elektronický podpis sa často nazýva aj digitálny podpis (nakoľko je realizovaný v digitálnej podobe).

Pokiaľ teda poznáme majiteľa súkromného kľúča, vieme, kto správu odoslal a odosielateľ nemôže tvrdiť, že túto správu neposlal on. Súkromný kľúč preto musí byť zabezpečený proti jeho zneužitiu druhou osobou.

Pri podpisovaní dokumentu elektronickým podpisom a jeho zasielaním cez nezabezpečené prostredie (akým je napr. internet) sa používa kombinácia obidvoch postupov – zašifrovanie súkromným kľúčom odosielateľa aj verejným kľúčom adresáta (zjednodušená verzia tohto postupu je na Obr. 4).

Steganografia

Je to druh šifrovania, lepšiep ovedané ukritia dôverného dokumentu do multimedialneho súboru -- najčastešie obrazok, menej obvyklý zvuk, občas do špecialnych partícií diskov, diskiet.

Steganografické programi si vypítajú multimediálny súborr a dôverný dokument a voliteľne aj heslo ktoré zvíši aj bezpečnosť takéhoto ukrytia a vlastne predstavuje symetrický šifrovací kľúč, ktorým sa jednotlivé znaky (bajty) dôverného dokumentu zašifrujú do multimediálneho súboru.

Koniec vytlačenej stránky z https://referaty.centrum.sk