--- tags: 資安 --- # CH1 Information Security 本課程會著重在密碼學的演算法和協定，還有網路安全 [ch2 加密法](https://hackmd.io/@Ired/ISch2N0t3) [ch3 DES](https://hackmd.io/@Ired/ISch3N0t3) [ch5 AES](https://hackmd.io/@Ired/ISch5N0t3) [ch6 Block cipher](https://hackmd.io/@Ired/ISch6N0t3) [ch7 pseudorandom](https://hackmd.io/@Ired/ISch7N0t3) --- 對稱加密 非對稱加密 資料完整性演算法：保護資料不被更改或偵測資料有沒有被更動 認證協定 [對稱加密VS非對稱加密](https://medium.com/@RiverChan/%E5%9F%BA%E7%A4%8E%E5%AF%86%E7%A2%BC%E5%AD%B8-%E5%B0%8D%E7%A8%B1%E5%BC%8F%E8%88%87%E9%9D%9E%E5%B0%8D%E7%A8%B1%E5%BC%8F%E5%8A%A0%E5%AF%86%E6%8A%80%E8%A1%93-de25fd5fa537) --- #### Examples of Security Violation 1. A要傳訊息給B，C未經過授權，但利用工具能夠知道甚麼時候傳訊息，並可以知道訊息內容然後留存。 2. 管理者D傳訊息給下屬E，要求更新電腦授權名單，結果訊息被F攔截並且更改，再將偽造過的訊息傳給E。 3. F直接偽造一個全新的訊息，假冒成是D傳的訊息，發到E的電腦上。 4. 有員工被無預警解雇時，管理者發送訊息到伺服器取消這名員工的帳號權限 -當伺服器完成動作後會發送確認訊息給員工 -員工有能力可以攔截訊息或延長訊息傳送時間，在這時間他可以進行最後的登入並把資料儲存下來，而管理者完全不會收到任何警告。 --- #### 電腦安全 **資訊安全三要素(又稱為CIA Triad )** * 機密性(Confidentiality):機密資訊不可揭露於未經授權的主體之下，這裡所提到的主體，可以是一個人、一個團體或一套系統。 * 可用性(Availability):已經取得授權的主體可以『及時地』與『不受中斷地』讀取或使用資訊，而其主要目的就是要維持作業活動的順暢性。 * 完整性(Integrity):對任何機密資訊所施行的修改運作，都必須是經過授權且無竄改情事的，主要目的就是要維持資訊的真實度 (veracity)、一致性 (consistency) 與完整性 (completeness) [NIST網路安全框架](https://www.ithome.com.tw/news/133170) [資訊安全：Three Principles -- CIA](http://blog.udn.com/chungchia/3428077) --- #### OSI Security Architecture OSI安全架構主要分成三部分：安全攻擊、安全服務、安全機制 ##### 安全攻擊 安全攻擊為「任何會損害到組織資訊安全的動作、措施」 安全攻擊又可分為兩類 1. 被動攻擊(Passive attack) 透過監視或攔截網路上的資料，但不會直接竄改資料本身， 常見的攻擊有:訊息揭露、網路流量分析[^first] [^first]: 網路流量分析:當不法者無法直接從訊息通道中直接竊取訊息內容，可由觀察並分析訊息傳送的方向、頻率、以及收發文者的身份識別來找出其所代表的意義。 2. 主動攻擊(Active attack) 嘗試對資料進行變造、或是對系統的設定做出修改等，會直接影響到資訊及系統本身的攻擊。 常見的攻擊有: | 攻擊類型 | 說明 | | -------- | -------- | | 偽裝(Masquerade) |一個體假冒成另一個體的身分，通常會跟其他攻擊搭配使用| |重覆傳送(Replay)|攻擊者竊聽到正在傳送的密碼，將訊息複製並重送以獲得授權(攻擊者不須解密)| |篡改訊息內容(Modification of messages)|未經過授權更改原始資料，或更改資料的排列| |拒絕服務(Denial of service)|使系統網路無法正常運作，讓正常的使用者無法存取，破壞可用性(Availability)| :::info :bulb: 由於主動攻擊的手法多元，因此很難預防，所以大多數的防禦手法是偵測攻擊並且把攻擊造成的損害復原或是將損害延後發生 :::: --- ##### 安全服務 **為了加強網路信息系統的安全性，對抗安全攻擊而採取的一系列措施稱為安全服務**。 ISO7498-2中定義了5大類安全服務---*認證(Authentication)、訪問控制(Access control)、數據保密性(Data confidentiality)、數據完整性(Data integrity)、不可否認(Nonrepudiation)* * **認證(Authentication)** 用來保證訊息的真實性，讓接收者能確保訊息是由授權的傳送端發出，避免第三方假冒。 > Two specific authentication services: > 1.Peer entity authentication 辨別雙方身分 > (可防止偽裝和重送攻擊) > 2.Data origin authentication 收到資料時確認sender的身分 > (無法防止竄改或重送攻擊) * **存取控制(Access Control)** 用來預防未經驗證的存取 * **數據保密性(Data confidentiality)** 對未經驗證的公開資料的保護，包括訊息內容、頻率、長度、或其他可分析的東西 * **數據完整性(Data integrity)** 用於保證所接受的消息為未經複製、插入、篡改、重排或重放，主要用於防止主動攻擊。 > Connection-oriented integrity service:no duplication, insertion, modification, reordering, or replays > connectionless integrity service: message modification only * **不可否認(Nonrepudiation)** 接受者能夠證明消息的確是否消息的發送發出的，而發送者能夠證明這一消息的確已被接受者接受了。 [存取控制.pdf](http://epaper.gotop.com.tw/pdf/aee030900.pdf) [安全服務-百度](https://baike.baidu.com/item/%E5%AE%89%E5%85%A8%E6%9C%8D%E5%8A%A1) [網安midterm重點](https://graffine.pixnet.net/blog/post/6051478) ##### 安全機制 Security Mechanism **Specific Security Mechanisms** * Encipherment 加密: 用加密技術將一些訊息或數據作加密 * Digital signatures 數位簽名: 在封包內添加一些雙方知道的data，拆封包時會確認data是否正確 * Access controls 訪問控制: 確保只有通過授權的人能傳東西給你，applying passwords, using firewall, or just by adding PIN to data * Data integrity 數據完整性: * Authentication exchange 認證交換: TCP/IP 雙向握手 * Traffic padding :在封包內填充bit，防止網路分析 * Routing control :Enables selection of particular physically secure routes for certain data * Notarization 公證: 使用第三方來確保認證 安全機制要處理陌生存取有兩種方法: 1. Gatekeeper function > 登入系統:拒絕所有有授權以外的訪客 > 篩選系統:將不想要的病毒、訊息、檔案或蠕蟲擋住 如果還是被入侵，則使用下個方法 2. Internal Control 監控該入侵者的活動，並記錄自己資料以防被竄改  [CH2 加密法](https://hackmd.io/@Ired/ISch2N0t3)