dcrystalj · November 4, 2013 17:55
diff --git a/zapiski.txt b/zapiski.txt
 de facto de iure standard
 neizračunljive / neobvladljive / rešljivi problemi...
 Hierarhija certifikatov 
 RSA potek komunikacije - nevarnost man in the middle
 simetrično asimetrično kriptiranje
 tam kjer dela prof. firma ENISA ???
 odpiranje certifikata, izpis z uporabo cmd: openssl
 IETF - sprejemnaje certifikatov
 izdaja certifikata SigenCA ->  upravna enota -> CA -> zavarovana soba iz katero EMagnetno valovanje ne uide -> pošljejo mail in pošto -> se prijaviš gor da vejo kdo si ti -> browser začne generirat ključe privatne in javne -> generiramo zaščiten kanal od nas do CA tako da z javnim ključem (od CA) zakriptiramo  -> server dobi pol vpišemo mi tiste 2 gesli da ve kdo smo mi -> s post get ga dobimo in si shranimo na disk

 PKI - 
 PKCS 7, 12 standard za izvoz certifikata skupaj z privatnim ključem
 časovno žigosanje -> agenciji pošljemo podpis, ona da zraven hasha timestamp zakrpitira s privatnim in da naprej
 	je del pkija, dostava časovne vrednosti

 ENISA cloud - poglej?!

 wireless standard IEEE 802.11
 WIFI aliansa 1999 - industrijska iniciativa - dobiš nalepko če je skladno
 wep: nima kontejnerskih protokolov =>  (tle not maš lah Diffi helman, izmenjava s pomočjo RSA), omogočajo flexibilnost
 	 kako se ključi izmenjajo ni bil del standarda (vnašanje ročno -> problem ker jih pol maš cel lajf iste)
 	 lahko pasivno posluša al pa aktivno
 	 OPS open system authentication: omogoča dostop vsem postajam
 	 SKA shared key a uthentication (overimo samo klienta ne pa AP) pošiljamo naključno vrednost in kriptiramo prejeto pogledamo 	če je ql
 	 	mora bit kakovostno naključno število (veliko entropijo)
 	 isti ključ za več postaj
 	 prosojnice kako se ga razbije rc4...
 	 
 	 2 sistema:
 	 open channel system auth 
 	 open shared key auth

 	 problemi - prekratek inicializacijski vektor(24 ?), slaba hieararhija še nek..

 	 RC4 |CRC-32

 PMI - uporaba v sistemih za nadzor dostopa

 MTA - message transfer agnets - na njih povezani UA - user agents
 mail protokola: SMTP
 -RFC 821 (transport)
 -RFC 822 
 med MTA in UA se lahko pogovarjaš z STMP, IMAP ali POP 3

 močno zagotavljanje celovitosti 
 - digitalni podpisi
 - MIC / ICV  message integritation value (SHA 2,.. 256)
 1.) pre-image resistance
 2.) second pre-image resistance (mora bit računsko zahteven problem da se 2 skrati slikata v isti hash)
 3.) collision resistnace - najbolj zahteven za izvest

 EBC electronic boot code -način kodiranja

 WPA
 EAPoL - extensible authentication protocol.. navadno RADIUS
 OTP - one time princip (primer EAP-RequestOTP):
 	A(user)             S(strežnik)  s(seed)
 	H1 = H(s)
 	H2 = H(H1(s))
 	Hn = H(Hn-1(s)) . tole nesemo banki ročno
 						pošljemo Hn-1 navadno  server pa zračuna hash in primerja z Hn ki ga je dobil ročno
 	TKIP | michael

 WPA2 uporablja polnokrvni AES

 novi standardi
 WHDI, WiHD, WiGig za domače uporabe (dvd predvajalnik, domači kino.., WiGig(edino ki ma neko varnost))

 VAROVANJE NA MREŽNEM PROTOKOLU
 	OAKLEY (ubistvu diffihelman) - generični protokol () brez formatov. dorečen zgolj matično. entiteti se pogajata kake parametre bosta uporalbljala in potem prideta do sejnega ključa. podprt diffi helman in diffihelman na eliptičnih krivuljah

 GRUPA - abstrakta algebrajska struktura (G, o)
 	zahteve: za vse a,b,c € G velja: asocitativnost, obstoj identitete, inverz (a o a^-1 = 1)

 ISAKMP - inžinirsko dorečen protokol (kontejnerski - vanj sede oakly), poznamo koristne vsebine kot so za Secure asosiation, za zmenjavo ključev, certifikati, agencije za certificiranje, naznanitve(notifications), varnostno povezavo
 		NONCE (enkratne vrednosti) -> uporabljamo za preprečitev napadov s ponovitvami - replay attack
 ISAKMP uporablja tudi piškotke za preprečitev DDOS napadov.
 	- pozna več načinov funkcioniranja osnovni:
 	 		-> base exchange mode (prosojnice A pošlje-> B, SA in NONCE za izmenjavo ključev)
 			-> Identity protection exchange - za nadgradnjo varovanja identitete. (A pošlje-> B, SA in NONCE)
 			-> authentication only exchange
 			-> informational exchange
 			-> agresivna izmenjava - minimizira število korakov, identiteta ni ščitena v osnovi

 SNP - simple network protokol za upravljanje z omrežji. Lah maš problem če ga upelješ da ti router šteka.

 IPSEC pravimo da ima 2 načina delovanja, vendar obstaja še transport mode in tunnel mode

 protokola (OAKELY, ISAKMP) osnova za IPsec 

 IPSEC - podpora za ipv4, ipv6, omogoča zaščito za LAN, WAN, Globalno zaščito, nadzor dostopa, ščitenje kontrole, čšitneje pred nadzorom prometa, preprečuje napade s ponovitvami, ni viden za končnega uporabnika.
 	- je na tretjem sloju zato za končnega uporabnika ni viden.
 	- slabost: overhead, ni granulacije ( vse pošta http ftp gre skoz to)

 7 IPSec standardov
 	- Arhitektura
 	- AH autentication header - za overjanje (podpira oba transport mode in tunnel mode)
 	- Encapsulated Securiuty payload - v smislu zaupnosti in opcijsko tudi overjenju (ravno tako oba transport mode in tunnel mode)
 	- Auth Algorithm
 	- Encryption algorithm - tu je mišljena zaupnost
 	- Key management
 	- Domain of interpretation

 Varnostna povezava je enosmerna povezava z uporabljenimi varnsotnimi storitvami, za dvosmerno moramo met 2 taki povezavi. 
 rabimo:
 		Security parameter index SPI, 
 		AHA ali ESP mode, 
 		in še IP... prosojnice 

 IPSec - SA -> selektorji
 	izmenjati si moramo ključe, algoritme, bločno šifro EBC ali CBC.
 	življenska doba se šteje s časom in byte count - kok informacij je bilo prenešenih in pol nov ključ
 	CBC rabi text in inicialni vektor
 	SPD security policy databaase ima vnose za ip paket in kazalce na varnostne povezave. - navadno kr flat asci datoteka
 	Lahko en addres ali več (wildcard - interval).

 	trava =):
 	Kako se alociarjo naslovi ip ? - isp - DAIP - IANA- zapovni 
 	IAN definira porte kot so 80, 21, 22..

 	pri ipv6 imamo nalepke (labels) za QoS (opcijsko polje za razširitve)
 	zvok je ful občutljiv na jitter (bl k slike)
 	pri komunikacijah imamo opravka z okni - funckija je da na le nekaj paketov potrdimo, bolš izkoričen medij.
 	TTL namenjen za to da paket ne tava po omrežju če se kje fali xD


 transportni način:
 	osnovni paket ostane v celoti viden

 	AH overi na začetku celotno vsebino in samo dele glave
 	ESP opsijsko overi vsebino in se ne dotika glave v tem načinu

 	kako overimo celo glavo čepraw se en del premika? standard pravi da postavi na vrednost 0 ko računamo overjanje.

 	

 Tunelski način: 
 	cela vsebina gre v nov paket (sendvič)
 	 profesor si zmislu 2 vrsta tunela: črni tunel - ESP v tunelskem načinu (čist nč ne spreminjamo)
 	 									beli tunel - ni povedu

 	zagotavlja celotno zaščito paketa ko dodamo AH ali ESP paketu, dodamo nov IP paket in novo glavo. Router se ne dotika tega umesnega dela. 

 	AH - ni nujno vedno iste dolžine - lahko so ključi različno dolgi...
 		- postavimo ga za originalno glavo ki je namenjena routerjem in pol še svojo glavo - zato pravimo da je tunelski način vendar je v osnovi še vedno paket viden. 
 		- čez celo transportno plast razen delov ki so mutable

 PROS 184 na sliki narobe da ESP ne sme it skoz zarad tega ker firewall ne vidi vsebine.
	de facto de iure standard
	neizračunljive / neobvladljive / rešljivi problemi...
	Hierarhija certifikatov
	RSA potek komunikacije - nevarnost man in the middle
	simetrično asimetrično kriptiranje
	tam kjer dela prof. firma ENISA ???
	odpiranje certifikata, izpis z uporabo cmd: openssl
	IETF - sprejemnaje certifikatov
	izdaja certifikata SigenCA -> upravna enota -> CA -> zavarovana soba iz katero EMagnetno valovanje ne uide -> pošljejo mail in pošto -> se prijaviš gor da vejo kdo si ti -> browser začne generirat ključe privatne in javne -> generiramo zaščiten kanal od nas do CA tako da z javnim ključem (od CA) zakriptiramo -> server dobi pol vpišemo mi tiste 2 gesli da ve kdo smo mi -> s post get ga dobimo in si shranimo na disk

	PKI -
	PKCS 7, 12 standard za izvoz certifikata skupaj z privatnim ključem
	časovno žigosanje -> agenciji pošljemo podpis, ona da zraven hasha timestamp zakrpitira s privatnim in da naprej
	je del pkija, dostava časovne vrednosti

	ENISA cloud - poglej?!

	wireless standard IEEE 802.11
	WIFI aliansa 1999 - industrijska iniciativa - dobiš nalepko če je skladno
	wep: nima kontejnerskih protokolov => (tle not maš lah Diffi helman, izmenjava s pomočjo RSA), omogočajo flexibilnost
	kako se ključi izmenjajo ni bil del standarda (vnašanje ročno -> problem ker jih pol maš cel lajf iste)
	lahko pasivno posluša al pa aktivno
	OPS open system authentication: omogoča dostop vsem postajam
	SKA shared key a uthentication (overimo samo klienta ne pa AP) pošiljamo naključno vrednost in kriptiramo prejeto pogledamo če je ql
	mora bit kakovostno naključno število (veliko entropijo)
	isti ključ za več postaj
	prosojnice kako se ga razbije rc4...

	2 sistema:
	open channel system auth
	open shared key auth

	problemi - prekratek inicializacijski vektor(24 ?), slaba hieararhija še nek..

	RC4 \|CRC-32

	PMI - uporaba v sistemih za nadzor dostopa

	MTA - message transfer agnets - na njih povezani UA - user agents
	mail protokola: SMTP
	-RFC 821 (transport)
	-RFC 822
	med MTA in UA se lahko pogovarjaš z STMP, IMAP ali POP 3

	močno zagotavljanje celovitosti
	- digitalni podpisi
	- MIC / ICV message integritation value (SHA 2,.. 256)
	1.) pre-image resistance
	2.) second pre-image resistance (mora bit računsko zahteven problem da se 2 skrati slikata v isti hash)
	3.) collision resistnace - najbolj zahteven za izvest

	EBC electronic boot code -način kodiranja

	WPA
	EAPoL - extensible authentication protocol.. navadno RADIUS
	OTP - one time princip (primer EAP-RequestOTP):
	A(user) S(strežnik) s(seed)
	H1 = H(s)
	H2 = H(H1(s))
	Hn = H(Hn-1(s)) . tole nesemo banki ročno
	pošljemo Hn-1 navadno server pa zračuna hash in primerja z Hn ki ga je dobil ročno
	TKIP \| michael

	WPA2 uporablja polnokrvni AES

	novi standardi
	WHDI, WiHD, WiGig za domače uporabe (dvd predvajalnik, domači kino.., WiGig(edino ki ma neko varnost))

	VAROVANJE NA MREŽNEM PROTOKOLU
	OAKLEY (ubistvu diffihelman) - generični protokol () brez formatov. dorečen zgolj matično. entiteti se pogajata kake parametre bosta uporalbljala in potem prideta do sejnega ključa. podprt diffi helman in diffihelman na eliptičnih krivuljah

	GRUPA - abstrakta algebrajska struktura (G, o)
	zahteve: za vse a,b,c € G velja: asocitativnost, obstoj identitete, inverz (a o a^-1 = 1)

	ISAKMP - inžinirsko dorečen protokol (kontejnerski - vanj sede oakly), poznamo koristne vsebine kot so za Secure asosiation, za zmenjavo ključev, certifikati, agencije za certificiranje, naznanitve(notifications), varnostno povezavo
	NONCE (enkratne vrednosti) -> uporabljamo za preprečitev napadov s ponovitvami - replay attack
	ISAKMP uporablja tudi piškotke za preprečitev DDOS napadov.
	- pozna več načinov funkcioniranja osnovni:
	-> base exchange mode (prosojnice A pošlje-> B, SA in NONCE za izmenjavo ključev)
	-> Identity protection exchange - za nadgradnjo varovanja identitete. (A pošlje-> B, SA in NONCE)
	-> authentication only exchange
	-> informational exchange
	-> agresivna izmenjava - minimizira število korakov, identiteta ni ščitena v osnovi

	SNP - simple network protokol za upravljanje z omrežji. Lah maš problem če ga upelješ da ti router šteka.

	IPSEC pravimo da ima 2 načina delovanja, vendar obstaja še transport mode in tunnel mode

	protokola (OAKELY, ISAKMP) osnova za IPsec

	IPSEC - podpora za ipv4, ipv6, omogoča zaščito za LAN, WAN, Globalno zaščito, nadzor dostopa, ščitenje kontrole, čšitneje pred nadzorom prometa, preprečuje napade s ponovitvami, ni viden za končnega uporabnika.
	- je na tretjem sloju zato za končnega uporabnika ni viden.
	- slabost: overhead, ni granulacije ( vse pošta http ftp gre skoz to)

	7 IPSec standardov
	- Arhitektura
	- AH autentication header - za overjanje (podpira oba transport mode in tunnel mode)
	- Encapsulated Securiuty payload - v smislu zaupnosti in opcijsko tudi overjenju (ravno tako oba transport mode in tunnel mode)
	- Auth Algorithm
	- Encryption algorithm - tu je mišljena zaupnost
	- Key management
	- Domain of interpretation

	Varnostna povezava je enosmerna povezava z uporabljenimi varnsotnimi storitvami, za dvosmerno moramo met 2 taki povezavi.
	rabimo:
	Security parameter index SPI,
	AHA ali ESP mode,
	in še IP... prosojnice

	IPSec - SA -> selektorji
	izmenjati si moramo ključe, algoritme, bločno šifro EBC ali CBC.
	življenska doba se šteje s časom in byte count - kok informacij je bilo prenešenih in pol nov ključ
	CBC rabi text in inicialni vektor
	SPD security policy databaase ima vnose za ip paket in kazalce na varnostne povezave. - navadno kr flat asci datoteka
	Lahko en addres ali več (wildcard - interval).

	trava =):
	Kako se alociarjo naslovi ip ? - isp - DAIP - IANA- zapovni
	IAN definira porte kot so 80, 21, 22..

	pri ipv6 imamo nalepke (labels) za QoS (opcijsko polje za razširitve)
	zvok je ful občutljiv na jitter (bl k slike)
	pri komunikacijah imamo opravka z okni - funckija je da na le nekaj paketov potrdimo, bolš izkoričen medij.
	TTL namenjen za to da paket ne tava po omrežju če se kje fali xD


	transportni način:
	osnovni paket ostane v celoti viden

	AH overi na začetku celotno vsebino in samo dele glave
	ESP opsijsko overi vsebino in se ne dotika glave v tem načinu

	kako overimo celo glavo čepraw se en del premika? standard pravi da postavi na vrednost 0 ko računamo overjanje.



	Tunelski način:
	cela vsebina gre v nov paket (sendvič)
	profesor si zmislu 2 vrsta tunela: črni tunel - ESP v tunelskem načinu (čist nč ne spreminjamo)
	beli tunel - ni povedu

	zagotavlja celotno zaščito paketa ko dodamo AH ali ESP paketu, dodamo nov IP paket in novo glavo. Router se ne dotika tega umesnega dela.

	AH - ni nujno vedno iste dolžine - lahko so ključi različno dolgi...
	- postavimo ga za originalno glavo ki je namenjena routerjem in pol še svojo glavo - zato pravimo da je tunelski način vendar je v osnovi še vedno paket viden.
	- čez celo transportno plast razen delov ki so mutable

	PROS 184 na sliki narobe da ESP ne sme it skoz zarad tega ker firewall ne vidi vsebine.