Praktisk kryptering i praksis Jakob I. Pagter Security Lab Alexandra Instituttet A/S
Alexandra Instituttet A/S Almennyttig anvendelsorienteret forskning fokus på IT GTS Godkendt Teknologisk Service (1 af 9 GTSinstitutter i DK) 100+ ansatte generating R&D Researchers Providers Users Commercial Development Consultancy Ideation Networks Dissemination inspiration
Click to edit Master title Services style Serviceplatform som eksempel 09/05/14 Page 3
Plan Alexandra Instituttet Kryptering 101 Passwords og nøgler Kryptering af dokumenter USB-kryptering Harddiskkryptering Mailkryptering VoIP-kryptering Cloud-baseret fildeling Lavpraktisk Fokus!
Click Krypto edit 101: Master Cæsars title substitutionsciffer style Substitionscifferet med en nøgle : ryk nøgle til højre i alfabetet: nøgle=3 a d, b e,, æ a Dekrypter går naturligvis 3 til venstre Ciffertekst = Krypter 3 (besked) = Krypter 3 (sikkerhed) = vlnnhukhg Dekrypter 3 (ciffertekst) = Dekrypter 3 (vlnnhukhg) = sikkerhed = besked
Click Krypto edit 101: Master Symmetrisk title style kryptografi Samme nøgle til kryptering og dekryptering (som Cæsar) Kendte eksempler RC4, A5/1 DES, 3DES AES Nøglestørrelser idag: 128 256 bit (baseret på hvor svært det skal være at bryde)
Click Krypto edit 101: Master Asymmetrisk title style kryptografi En offentlig nøgle til kryptering (hængelåsen) og en anden (privat) til dekryptering (nøgle) Kendte eksempler RSA (NemID) Nøglestørrelser i dag 2048bit og opefter Betydeligt langsommere end symmetrisk krypto
Krypto 101: Grundlæggende udfordringer Don t DIY gør det ikke selv Services Brug åbne løsninger Afvej risici mod ease-of-use
Click Kryptografi edit Master i praksis title = style passwords http://xkcd.com/538/
Password-sikkerhed i praksis Kryptografiske nøgler genereret udfra eller beskyttet af passwords Notorisk svært at generere gode passwords 40 tegns menneske-genererede passwords giver 50 bit tilfældighed! Brug et passwordtool! LastPass enterprise features Keepass open source 1password nice integration/ui Services
Hvad kan så krypteres? Lagrede data Dokumenter USB-drev Harddisk Kommunikerede data Mail Voip (alm tlf - L ) Chat
Kryptering af dokumenter Use-case Ad-hoc beskyttelse af gemte dokumenter eller uregelmæssigt behov for at sende fortrolige data via fx mail Løsninger/produkter Adobe 9+ http://www.adobe.com/dk/ products/acrobat/protect-pdf-security -encryption.html Office 2013 Windows indbygget komprimering Hvordan/anbefalinger Brug det Passwords fra password tool Udveksl password via fx sms
USB-kryptering Use case Behov for transport af fortrolige dokumenter og ad-hoc udveksling Produkter/løsninger Krypteringssoftware fx TrueCrypt og GPG USB-drev med indbygget krypto Hvordan/anbefalinger Køb USB med indbygget kryptering Fx Kingston, GoldKey Gerne FIPS certificeret (FIPS 140-2) Generer password med passwordtool
Harddiskkryptering Use-case Beskyttelse af al data på maskine mod fx tyveri Løsninger Fx TrueCrypt OS-support på Windows, OS X mv. Hvordan/anbefalinger Benyt det indbyggede Generer password med passwordtool (hvis du kan!)
Mail-kryptering Use-case Krypteret email Løsninger S/MIME (kan benyttes med NemID) PGP (eg. open source-udgaven GPG) Hvordan/anbefalinger Easy-of-use: S/MIME + NemID Ellers: GPG (http://www.gnupg.org/)
Voip og chat (almindelig telefon glem det!) Use case Behov for fortrolige samtaler Løsninger/hvordan Fx Silent Circle
Click Cloud: to edit The Master Dropbox title style example Today: server-side encryption Wish: client-side encryption 09/05/14 Page 17
Click edit Master style The to problem withtitle client-side encryption? Inside perimeter Human memorable passwords Cryptographica lly strong keys Bad idea Popular choice Some enterprise solutions Trust provider Business choice 09/05/14 Cloudbased X Page 18 Security choice X How to get there without trust in CSP?
Click Sikre to edit cloud-fildelings-tjenester Master title style Services
Cloud-baseret fildeling Use case: cloud-baseret fildeling Løsninger som dropbox er notorisk usikre Problemet: at flytte din nøgle rundt til forskellige klienter Løsninger: Stol på leverandør, eller Nøgler genereret udfra passwords, eller Hold selv styr på nøgler Konkrete eksempler BoxCryptor SpiderOak Sepior Storage (pilotdrift snart ;) Eller med sølvpapirhatten GPG Tools
Click to edit Master title style sepior.com Key Management System manage Access control ACL Cleartext files Cryptographically strong keys Cloud-based solution Central management Encrypted files 09/05/14 Page 21 Main properties Server-side re-encryption for revocation Performance Scalability
Tak for opmærksomheden! twitter.com/pagter