Skip to content

Month: September 2014

IT-sec chapter 2

Symmetric key encryption

aka single key encryption aka conventional encryption.

There are five ingredients  in symmetric key encryption:

  1. Plain text – The input. It could be data or text.
  2. Encryption algorithm – The algorithm that transforms the plain text into gibberish. It performs substitutions and transformations on the plan text.
  3. Secret key – The secret key is also part of the input into the encryption algorithm. The substitutions and transformations generates different output depending on the key.
  4. Cipher text -This is the result of the plan text when the encryption algorithm is done with it.
  5. Decryption algorithm – This is kind of the encryption algorithm run backwards with the key, which “transforms” the cipher text into plain text.

There are two requirements for an symmetric key encryption algorithm:

  1. One should not be able to decipher the cipher text or extract the key even if it’s in possession of other cipher text along with the plain text that produced it.
  2. Sender and receiver has to make sure the key is stored and transferred securely. If the attacker knows the key and encryption algorithm it is able to decipher the text.

Continue reading IT-sec chapter 2

IT-sec kapitel 1

The basics

Notera att dessa anteckningar inte är ens i närheten av fullständiga. Simon: Läs om.

Det finns tre grundkoncept inom IT-säkerhet. Dessa är kända som The CIA Triad. De är:

  • Confidentiality
    • Privacy. Alltså att användare ska ha kontroll över vilken data denne delar samt hur den används
      Data confidentiality. Användarens data hanteras på ett ansvarsfullt och tryggt sätt.
  • Integrity
    • Data integrity. Alltså att den datan man lagrar inte kan modifieras på ett oönskat sätt samt system integrity, systemintegritet; alltså att systemet inte kan modifieras på ett oönskat sätt.
  • Availability
    • Tillgänglighet. Att tjänsten man tillhandahåller är tillgänglig som utlovat.

 

Utöver oss ovanstående punkter är även följande punkter viktiga aspekter:

Authenticity. Alltså att kunna verifiera äktheten i t.ex. meddelanden, överföringar eller inloggningar.

Accountability.
Möjligheten att kunna backa för att se vem som gjort vad, hur ett problem uppstod eller var inkräktaren tog sig in.

Svårigheter
Vid första anblick verkar IT-säkerhet simpelt; bara följ ovanstående regler så kommer allt vara säkert. När man ser djupare på problemet blir det snart tydligt att det inte är så simpelt; hur ska krypteringsnycklar överföras? Hur ska vi utveckla säkerhetsmekanismer och var ska dessa finnas? Hur ska vi se till att dessa inte kan modifieras?

Ofta utvecklas system utan att se till hur det kan upprätthålla säkerhet. Säkerhetsaspekten tillkommer senare och byggs till i systemet – dåligt. Istället ska systemet designas med säkerhet i åtanke från kravanalys och designprocessen till underhåll.

Typer
Det finns två typer av attacker:
Aktiv attack
I en aktiv attack försöker inkräktare modifiera data eller systemresurser eller påverka målets infrastruktur (operations).

Passiv attack
I en passiv attack försöker inkräktare lyssna efter data eller utvinna data ur systemet utan att påverka dess resurser.

Den vanligaste typen av attack är “Malwares”. Det vanligaste skyddet är anti-virus följt av brandvägg.

 

 

IT-sec @ KTH

På lördag startar kursen

HI117V IT-säkerhet I – 7,5 hp

Här kommer jag att ta anteckningar från den kurslitteratur, de övningar samt uppgifter jag kommer att stöta på under kursen.

Kursen går på halvfart (strax under egentligen) vilket innebär att jag kommer att läsa den fram till slutet av december i år.

 

Önska mig lycka till, jag lär behöva det.