Sprzętowe wspomaganie zabezpieczenia informacji
Prowadzący: Krzysztof Gierłowski
E-mail: krzysztof.gierlowski@pg.edu.pl
UWAGA: Materiały mogą zostać uaktualione do 01.09.2020 r.
Laboratorium dotyczy zastosowania klucza sprzętowego w procesie uwierzytelniania, zabezpieczenia danych oraz komunikacji elektronicznej. Podczas laboratorium wykorzystany zostanie klucz sprzętowy YubiKey 5 obsługujący szereg trybów pracy i podłączany z użyciem interfejsu USB.
W realizacji zadań niezbędne będą:
- Wiedza dotycząca zagadnień związanych z tworzeniem i wykorzystaniem certyfikatów elektronicznych oraz infrastrukturą klucza publicznego (PKI).
- Umiejętność generowania certyfikatów o określonych parametrach podpisanych przez CA przy wykorzystaniu pakietu OpenSSL (http://lab.kti.gda.pl/pki/).
- Umiejętność konfiguracji i obsługi programu pocztowego (The Bat!, https://www.ritlabs.com/en/products/thebat/).
- Umiejętność konfiguracji i obsługi programu KeePass 2 (https://keepass.info/).
- Umiejętność zarządzania certyfikatami w systemie Windows.
- Umiejętność obsługi klucza sprzętowego YubiKey 5.
- Wiedza dotycząca obliczania entropii haseł.
Przykładowe problemy na wejściówkę (2 pkt / 5):
- Sposób działania, tóżnice pomiędzy oraz zalety i wady uwierzytelniania HOTP i TOTP.
- Sposób działania, tóżnice pomiędzy oraz zalety i wady uwierzytelniania U2F i FIDO2.
- Wymogi niezbędne, aby certyfikat X.509 mógł zostać użyty do ochrony wiadomości email z użyciem mechanizmu S/MIME.
- Różnice pomiędzy mechanizmem uwierzytelniania challenge-response i OTP.
- Entropia haseł.
- Podstawy działania krytografii asymetrycznej i PKI.
Materiały
- Instrukcja do laboratorium
- Instrukcja obsługi pakietu OpenSSL (generowanie certyfikatu o określonych parametrach, głównie: openssl req, openssl ca, openssl pkcs12, plik konfiguracyjny openssl.cnf, openssl x509)
- Obliczanie entropii hasła (T.Siemiński)
Materiały dodatkowe
- Wykład: uwierzytelnianie
Planowane typy zadań
- Wykorzystanie klucza sprzętowego do przechowywania hasła statycznego.
- Uwierzytelnianie z użyciem mechanizmu Fast IDentity Online (FIDO).
- Porównanie uwierzytelenia OATH-HOPT i challenge-response.
- Zabezpieczenie magazynu danych programu KeePass z użyciem mechanizmu challenge-repsponse.
- Zabezpieczenie magazynu danych programu KeePass z użyciem mechanizmu OATH-HOPT.
- Zabezpieczenie komunikacji email z użyciem mechanizmu Personal Identity Verification (PIV) i certyfikatów X.509.