Алгоритмы шифрования и их применение в.Net приложениях для защиты данных Radislav Kerimhanov rkerimhanov@codemastersintl.com. - презентация

1 Алгоритмы шифрования и их применение в.Net приложениях для защиты данных Radislav Kerimhanov

2 Содержание Что такое защита информации? Уязвимые места Web приложений Виды атак на Web приложения Алгоритмы шифрования и их сравнение Шифрование в.Net Примеры Шифрование данных в БД Шифрование строк подключения к БД Пример шифрования строк подключения к БД Заключение

3 Что такое защита информации? Информация – это любые сведения, которые интересуют конкретного человека в конкретной ситуации. Защита информации - совокупность мероприятий, методов и средств, обеспечивающих: исключение НСД к ресурсам ЭВМ, программам и данным; проверку целостности информации; исключение несанкционированного использования программ (защита программ от копирования).

4 Уязвимые места Web приложений URL Поля ввода данных HTTP и HTTPS

5 Виды атак на Web приложения Подбор (Brute Force) Недостаточная аутентификация (Insufficient Authentication) Небезопасное восстановление паролей (Weak Password Recovery Validation) Предсказуемое значение идентификатора сессии (Credential/Session Prediction) Подмена содержимого (Content Spoofing) Межсайтовое выполнение сценариев (Cross-site Scripting, XSS) Расщепление HTTP-запроса (HTTP Response Splitting) Атака на функции форматирования строк (Format String Attack) Внедрение операторов SQL (SQL Injection)

6 Алгоритмы шифрования Симметричные алгоритмы шифрования (SymmetricAlgorithm) DES TripleDES Rijndael RC2 Ассиметричные алгоритмы шифрования (AsymmetricAlgorithm) RSA DSA Хэш алгоритмы шифрования (HashAlgorithm) MD5 SHA1 SHA256 SHA512

7 Симметричные алгоритмы Hello world Алгоритм симметричного шифрования Olleh dlrow Секретный ключ Hello world Алгоритм симметричного шифрования Секретный ключ

8 Асимметричные алгоритмы Hello world Алгоритм асимметричного шифрования Olleh dlrow Открытый ключ Hello world Алгоритм асимметричного шифрования Закрытый ключ

9 Шифрование в.Net Абстрактный алгоритм Реализация по умолчаниюДлина ключаМаксималь ная длина ключа DESDESCryptoServiceProvider 64 TripleDES TripleDESCryptoServiceProvider 128, RC2 RC2CryptServiceProvider Rijndael RijndaelManaged 128,192, RSA RSACryptoServiceProvider 384–16384 (с увели- чением на 8 бит) 1024 DSA DSACryptoServiceProvider 512–1024 (с увеличе- нием на 64 бита) 1024

10 Шифрование данных в БД Шифрование с помощью хэш алгоритма ЛогинПароль JoePresidentAEB0FC9FCEA137CF9BBC594BBC97991C10CD9138 MaryDeveloperDEFAFC9FCEA137C BBC97991C TomNewHireAEB0FC9FCEA137CF9BBC594BBC97991C10CD9138 Шифрование с помощью хэш алгоритма + SALT ЛогинПарольSalt JoePresident876ABD9FCEA137CF9BBC594 BBC97991C10CD9138 5d8a2052-1f3e-4fe1- 9ca4-7c891a MaryDeveloperADCAD79FCEA137C B BC97991C b98-3ce5-4f62- a ce93ed7bb TomNewHireBC89129FCEA137CF9BBC594B BC97991C10BDCA09 fd05e0fe-d17c-4d6c- 8a bb5613c

11 Шифрование строк подключения к БД

12 Заключение Достоинства симметричных алгоритмов по сравнению с асимметричными: скорость (по данным Applied Cryptography на 3 порядка выше) простота реализации (за счёт более простых операций) меньшая требуемая длина ключа Недостатки: сложность управления ключами в большой сети сложность обмена ключами «Тот, кто владеет информацией, владеет миром»