Sprzętowe wspomaganie zabezpieczenia informacji

Prowadzący: Krzysztof Gierłowski
E-mail: krzysztof.gierlowski@pg.edu.pl
UWAGA: Materiały mogą zostać uaktualione do 01.09.2020 r.

Laboratorium dotyczy zastosowania klucza sprzętowego w procesie uwierzytelniania, zabezpieczenia danych oraz komunikacji elektronicznej. Podczas laboratorium wykorzystany zostanie klucz sprzętowy YubiKey 5 obsługujący szereg trybów pracy i podłączany z użyciem interfejsu USB.

W realizacji zadań niezbędne będą:

  1. Wiedza dotycząca zagadnień związanych z tworzeniem i wykorzystaniem certyfikatów elektronicznych oraz infrastrukturą klucza publicznego (PKI).
  2. Umiejętność generowania certyfikatów o określonych parametrach podpisanych przez CA przy wykorzystaniu pakietu OpenSSL (http://lab.kti.gda.pl/pki/).
  3. Umiejętność konfiguracji i obsługi programu pocztowego (The Bat!, https://www.ritlabs.com/en/products/thebat/).
  4. Umiejętność konfiguracji i obsługi programu KeePass 2 (https://keepass.info/).
  5. Umiejętność zarządzania certyfikatami w systemie Windows.
  6. Umiejętność obsługi klucza sprzętowego YubiKey 5.
  7. Wiedza dotycząca obliczania entropii haseł.

Przykładowe problemy na wejściówkę (2 pkt / 5):

  1. Sposób działania, tóżnice pomiędzy oraz zalety i wady uwierzytelniania HOTP i TOTP.
  2. Sposób działania, tóżnice pomiędzy oraz zalety i wady uwierzytelniania U2F i FIDO2.
  3. Wymogi niezbędne, aby certyfikat X.509 mógł zostać użyty do ochrony wiadomości email z użyciem mechanizmu S/MIME.
  4. Różnice pomiędzy mechanizmem uwierzytelniania challenge-response i OTP.
  5. Entropia haseł.
  6. Podstawy działania krytografii asymetrycznej i PKI.

Materiały

  1. Instrukcja do laboratorium
  2. Instrukcja obsługi pakietu OpenSSL (generowanie certyfikatu o określonych parametrach, głównie: openssl req, openssl ca, openssl pkcs12, plik konfiguracyjny openssl.cnf, openssl x509)
  3. Obliczanie entropii hasła (T.Siemiński)

Materiały dodatkowe

  1. Wykład: uwierzytelnianie

Planowane typy zadań

  1. Wykorzystanie klucza sprzętowego do przechowywania hasła statycznego.
  2. Uwierzytelnianie z użyciem mechanizmu Fast IDentity Online (FIDO).
  3. Porównanie uwierzytelenia OATH-HOPT i challenge-response.
  4. Zabezpieczenie magazynu danych programu KeePass z użyciem mechanizmu challenge-repsponse.
  5. Zabezpieczenie magazynu danych programu KeePass z użyciem mechanizmu OATH-HOPT.
  6. Zabezpieczenie komunikacji email z użyciem mechanizmu Personal Identity Verification (PIV) i certyfikatów X.509.