Forelesning 3: Nøkkelhåndtering og PKI
|
|
- Marianne Edvardsen
- 4 år siden
- Visninger:
Transkript
1 Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2018 Workshop-spørsmål med svarforslag Forelesning 3: Nøkkelhåndtering og PKI Spørsmål 1 a. Hvorfor er god håndtering av kryptografiske nøkler essensiell for styrken på kryptografi? b. Tre viktige kategorier er: i) symmetriske hemmelige nøkler, II) asymmetriske offentlige nøkler og III) asymmetriske privatnøkler. Forklar hvilken type sikkerhet tjenester/beskyttelse (dvs. konfidensialitet, integritet og autentisitet) som kreves for hver nøkkelkategori. c. Beskriv sikkerhetsmekanismer/metoder som kan brukes til å implementere den nødvendige sikkerhetstjenesten/beskyttelse for nøkler. d. Gi en kort liste over de viktigste prosesser/trinn i nøkkelhåndtering. a. Det svakeste ledd bestemmer sikkerheten i kryptoløsninger. Styrken på kryptografiske sikkerhetsløsninger er dermed begrenset av styrken og beskyttelsen av kryptoøklene. Kryptonøkler utsettes for mange trusler. Det er viktig å forstå relevante trusler, fordi det gjør det mulig å innføre nødvendige sikkerhetstiltak for å beskytte nøklene. Nøkkelhåndtering består i utgangspunktet av et sett med prosedyrer og tiltak for å beskytte kryptonøklene under generering, bruk og destruering. b. Nødvendig beskyttelse er: i) symmetriske hemmelige nøkler og II) asymmetriske private nøkler må alltid holdes konfidensiell (dvs. beskyttet mot uautorisert eksponering) og må ha integritet/autentisitet (dvs. beskyttet mot forfalskning/uautorisert modifisering). III) asymmetriske offentlige nøkler må ha integritet/autentisitet (dvs. beskyttet mot forfalskning/uautorisert modifisering). Fysisk sikringen og tilgangskontroll kan brukes å beskytte kryptonøkler, og er faktisk den eneste måten å beskytte rotnøkler. Tamper-proof enheter kan brukes til å generere, lagre og arkivere nøkler. Hjernen/hukommelsen kan bli lagre keys/passord. Kryptografiske teknikker kan brukes for å beskytte alle andre kryptografiske nøkler, f.eks. 1) sertifikater for å beskytte offentlige nøkler mot endringer og 2) kryptering for å gi konfidensialitet beskyttelse av underordnede nøkler eller sesjon/øktsnøkler under distribuering. De viktigste prosessene for nøkkelhåndtering inkluderer nøkkelgenerering, nøkkeldistribuering, lagring, oppdatering, revokering, gjenoppretting, arkivering, destruering og revisjon/tilsyn
2 Spørsmål 2 a. Forklar diagrammet for nøkkeltilstander og overganger mellom nøkkeltilstander, som illustrert i NIST SP800-57, figur 5, s b. Når en nøkkel er aktiv, kan den være angitt til bare å beskytte, bare prosessere eller begge deler. Ved å henvise til de 19 nøkkeltypene som er beskrevet i NIST SP800-57, oppgi to eksempler på nøkkeltyper som bare beskytter, to eksempler på nøkkeltyper bare prosesserer, og to eksempler på nøkkeltyper som både beskytter og prosesserer. c. Forklar hvorfor nøkkeltypene 17, 18 og 19 er feilbetegnelser. Foreslå bedre navn for disse nøkkeltypene. a. Tilstandsdiagrammet vises på figuren nedenfor. b. Kryptonøkler i aktiv tilstand: Bare til bruk for beskyttelse: privat signaturnøkkel (type 1) og offentlig nøkkeltransport-nøkkel (type 11) Bare til bruk for prosessering: Offentlig signaturnøkkel (type 2) og privat nøkkeltransport-nøkkel (type 10) Til bruk både for beskyttelse og prosessering: Symmetrisk autentiseringsnøkkel (type 3) og symmetrisk krypteringsnøkkel (type 6) c. Begrepet autorisering brukes i betydningen av tilgangskontroll. Det ville være bedre å kalle disse tilgangskontroll-nøkler, eller tilgangsnøkler.
3 Spørsmål 3 a. Hvorfor er det viktig å ha en begrenset kryptoperiode for nøkler? Nevn minst fire grunner. b. Hva er forskjellen mellom beskyttelse og prosessering ved bruk av nøkler? c. Sammenlign anbefalt kryptoperiod for private og offentlige signaturnøkler ifølge NIST SP800-57? Vil du si at gyldighetsperioden av rotsertifikater i nettlesere følger anbefalingene fra NIST SP800-57? d. Hvis man antar at kraftige kvantekomputere vil være praktisk tilgjengelig innen 2030, er gyldighetsperioden av rotsertifikater fornuftig? a. Det er flere gode grunner til å begrense kryptoperioden: Begrenser mengden av informasjon som er tilgjengelig for kryptanalysis av en enkelt nøkkel. Begrenser skaden hvis en enkelt nøkkel er knekt/kompromittert. Begrenser bruken av en bestemt algoritme til dens estimerte effektive levetid. Begrenser tiden en angriper kan foreta på fysiske, prosedyremessige og logiske angrep mot sikkerhetsmekanismer som skal beskytte nøkkelen mot uautorisert tilgang. Begrenser perioden der informasjon kan bli kompromittert ved utilsiktet utlevering av nøkkelmateriale til uautoriserte aktører. Begrenser tiden som er tilgjengelig for beregningsintensive kryptanalytiske angrep (i applikasjoner der langsiktig nøkkelbeskyttelse ikke er nødvendig). b. Perioden der en nøkkel brukes for beskyttelse er når nøkkelen brukes for kryptering og for digital digital signatur. NIST kaller denne perioden «Originator Usage Period» (OUP). Perioden der en nøkkel brukes for prosessering er når nøkkelen brukes for dekryptering og for å validere digitale signaturer. NIST kaller denne perioden «Recipient Usage Period» (RUP). c. Gyldigheten for nettleserens rootsertifikater refererer til RUP, og er i samsvar med anbefalingen av SP for en offentlig nøkkel for signatur-validering, som er «flere år (avhengig av nøkkel-lengden)» (tabell 1, s. 45). Informasjonen som er oppgitt på nettleserens info-sider sier intet om den faktiske OUP som praktiseres av CA er (sertifiseringsautoriteter). d. Gyldighetsperioden som er oppgitt for mange rotsertifikater er selvsagt altfor lang hvis det antas at kraftige kvantecomputere vil være tilgjengelige innen 2030.
4 Spørsmål 4 a. Hva er spoofing-problemet med hensyn til offentlige nøkler? b. Forklar hvordan digitale sertifikater kan gi en løsning på spoofing-problemet. c. Hvilke betingelser bør man sette for å ha tillit til et digitalt sertifikat? Begrunn ditt svar. d. Er en digital signatur det samme som et offentlig-nøkkelsertifikat? Begrunn ditt svar. a. Spoofing-problemet er at en angriper kan utgi seg for å være en annen ved at angriperen erstatter en offentlig nøkkel (for eksempel Alices offentlige nøkkel) med en falsk nøkkel der angriperen kjenner den tilhørende private nøkkel. Dette gjør at angriperen kan gi seg ut for å være (spoofe) Alice (f.eks ved å kunne lese kryptert e-post ment for Alice). b. Et digitalt sertifikat etablerer en logisk binding mellom en identitet og dens offentlige nøkkel, fordi CA en sertifiserer denne bindingen med en digital signatur. c. Du kan ha tillit til informasjonen i sertifikatet (bindingen mellom identitet og offentig nøkkel) hvis du stoler på at utsteder-ca (sertifiseringsautoritet) har identifisert sertifikat-eieren på en korrekt måte, hvis du stoler på autentisiteten til CA ens offentlige nøkkel, og hvis du kan validere sertifikatet kryptografisk med CA ens offentlige nøkkel. d. Nei, en digital signatur er ikke det samme som et digitalt sertifikat. En digital signatur generelt er en kryptografisk kontrollsum på en datapost. Et offentlignøkkelsertifikat er en bestemt type datapost som inneholder en offentlig nøkkel, identiteten til nøkkelens eieren og andre tilleggsdata, og til slutt den digitale signaturen som genereres og legges til av CA en. Spørsmål 5 a. Beskriv tillitsmodellen for PKI en som brukes av nettlesere. b. Nevn fordeler og ulemper ved denne modellen. a. Tillitsmodellen i nettleseres PKI er basert på et relativt stort antall ( 100) forhåndsinstallerte rotsertifikater som brukes som tillitsanker for validering av mottatte sertifikater. Hvert rotsertifikat definerer en isolert hierarkisk PKI. Brukeren har implisitt tillit til leverandøren bak nettleseren som leverte de installerte rotsertifikatene, og dermed indirekte de rundt 100 rot-ca ene og deres rotsertifikater. Nettleseren validerer automatisk mottatte serversertifikater som kryptografisk kan lenkes tilbake til et forhåndsinstallert rotsertifikat. b. Relevante elementer er: Fordeler: brukervennlighet, automatisert validering av server-sertifikater og programvare-sertifikater Ulemper: - I nettleseren har rootsertifikater en relativt svak beskyttet mot angrep - Når det presenteres en pop-up om at et sertifikat ikke kan valideres, har brukere en tendens til å alltid godkjenne sertifikatet uansett, så formålet med å spørre brukeren om godkjenningen er tvilsom. - Enhver kompromittert CA kan true hele infrastrukturen (svakeste ledd).
5 Spørsmål 6 Tilgang til lagrede rotsertifikater i nettleseren din(e) er via nettlesermenyene. Se gjennom rotsertifikater som er installert i webleseren for å se deres utløpsdatoer. a. Hvor mange rotsertifikater er installert? Variere for eksempel mellom Firefox og Chrome? b. Hvilke sertifikater har kort levetid? c. Kan du finne sertifikater med utløpsdato i overkant av ti år fra nå? d. Kan du finne sertifikater som allerede har utløpt? Hva skjer når du inspiserer dem? Detaljene er ikke viktig og variere mellom ulike installasjoner. Vanligvis er sertifikater utstedt med levetid fra ett til ti år. CA-sertifikater er vanligvis selv-sertifisert og har levetid på 10 til 50 år. Du kan sannsynligvis finne CA-sertifikater som allerede har utløpt. Både IE og Firefox gir noen form for advarsel når du åpner en utløpt sertifikat. Spørsmål 7 Hva er forskjellen mellom et standard serversertifikat og EV-serversertifikat? Standard serversertifikater kan kjøpes anonymt, mens et EV-serversertifikat krever sjekking av visse aspekter av den juridiske kjøperen av sertifikaktet. EV-sertifikater er dyrere enn standardsertifikater. Spørsmål 8 a. Hvorfor er det nødvendig med revokering / tilbakekallelse av sertifikater? b. Hvilke problem er løste med «must-staple protokollen»? a. Sertifikatrevokering er nødvendig for eksempel hvis eieren av et sertifikat har mistanke om at den private nøkkelen er kompromittert. b. Den tidligere brukte OCSP-protokollen (online certificate status protocol) fører til brudd på brukerens personopplysningsvern. Den nye «must-staple protokollen» lar brukerne surfe uten at det medfører brudd på personopplysningsvern. Spørsmål 9 a. Hvilket problem er løst med CA-autorisering og sertifikat-transparens? b. Hvor lagres CA ens autoriseringspolicy? c. Hva må domene-eieren gjøre for å være viss på at på at sertifiseringspolicyen følges? d. Hva må domene-eieren gjøre hvis det oppdages at sertifiseringspolicyen er brutt? a. CA-autorisering forhindrer at kompromitterte CA er utsteder falske sertifikater. b. CA autoriseringspolicyen er lagret i DNS-recorden for domenet. c. Eieren av domenet må sjekke CT-loggen (Certificate Transparency) for å se om den inneholder noen falske sertifikater. d. Hvis CT-loggen inneholder et falskt sertifikat for domenet, må det falske sertifikatet revokeres.
Forelesning 3: Nøkkelhåndtering og PKI
Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2019 Workshop-oppgaver med løsningsforslag Forelesning 3: Nøkkelhåndtering og PKI Oppgave 1 a. Hvorfor er god håndtering av kryptografiske nøkler
DetaljerForelesning 2: Kryptografi
Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2018 Workshop-spørsmål med svarforslag Forelesning 2: Kryptografi Spørsmål 1 a. For hvilke informasjonstilstander (lagring, overføring, behandling)
DetaljerVEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN
VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN 1.1 Sikkerhetskravene bygger på at det til enhver tid skal være et 1 til 1-forhold mellom det som er registrert i Virksomhetens
DetaljerForelesning 2: Kryptografi
Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2019 Workshop-oppgaver med løsningsforslag Forelesning 2: Kryptografi Oppgave 1 a. For hvilke informasjonstilstander (lagring, overføring, behandling)
DetaljerNasjonal sikkerhetsmyndighet
Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 14 (U-14) Oppdatert: 2016-09-30 Transport Layer Security (TLS) Sikring av kommunikasjon med TLS Beskrivelse av grunnleggende tiltak for sikring
DetaljerABONNENTAVTALENS HOVEDDEL (DEL 1 AV 4)
ABONNENTAVTALE BUYPASS VIRKSOMHETSSERTIFIKATER ABONNENTAVTALENS HOVEDDEL (DEL 1 AV 4) 1 INNLEDNING Dette dokumentet (Del 1) utgjør sammen med Registreringsskjema (Del 2), Bestillingsskjema for Virksomhetssertifikater
DetaljerAvtalevilkår for bestilling og bruk av Commfides Virksomhetssertifikat
Avtalevilkår for bestilling og bruk av Commfides Virksomhetssertifikat 1. Kort beskrivelse av sertifikatstjenesten Commfides Virksomhetssertifikat er en elektronisk offentlig godkjent legitimasjon av en
DetaljerABONNENTAVTALENS HOVEDDEL (DEL 1 AV 4)
ABONNENTAVTALE BUYPASS SSL-SERTIFIKATER (CLASS 3) ABONNENTAVTALENS HOVEDDEL (DEL 1 AV 4) 1 INNLEDNING Dette dokumentet (Del 1) utgjør sammen med Registreringsskjema (Del 2), Bestillingsskjema for SSLsertifikater
DetaljerVedlegg D: Behandling i Standardiseringsrådet, DNSSEC
Vedlegg D: Behandling i Standardiseringsrådet, DNSSEC Innhold: Saksframlegg til Standardiseringsrådets møte 20180925-D Oppsummering av høringssvar - DNSSEC Oppdatert forslag til anbefaling - DNSSEC Side
DetaljerLarge Scale Single Sign-on Scheme by Digital Certificates On-the-fly
Large Scale Single Sign-on Scheme by Digital Certificates On-the-fly Martin Eian 1 & Stig F. Mjølsnes Institutt for Telematikk 20 oktober 2006 2 Oversikt Terminologi Bakgrunn Problemformulering og tilnærming
Detaljerblir enda viktigere en før fordi tjenestene bllir meget tilgjengelige på Internett
" %$ # " >9 : B D 1. Åpne og lukkede nettverk - Internett og sikkerhet 2. Krav til sikre tjenester på Internett 3. Kryptografi 4. Kommunikasjonssikkerhet og meldingssikkerhet 5. Elektronisk legitimasjon
DetaljerABONNENTAVTALENS HOVEDDEL (DEL 1 AV 4)
ABONNENTAVTALE BUYPASS VIRKSOMHETSSERTIFIKATER ABONNENTAVTALENS HOVEDDEL (DEL 1 AV 4) 1 INNLEDNING Dette dokumentet (Del 1) utgjør sammen med Registreringsskjema (Del 2), Bestillingsskjema for Virksomhetssertifikater
DetaljerProsjektrapport HTTPS for offentlige webtjenester
Rapport Sist oppdatert: 2016-05-12 Prosjektrapport HTTPS for offentlige webtjenester 1 Innledning Cybersikkerhetsavdelingen i (NSM) har utarbeidet anbefaling om bruk av Hypertext Transfer Protocol Secure
Detaljer6105 Windows Server og datanett
6105 Windows Server og datanett Oppgave a: Installere Active Directory Certificate Services Bruk av kryptering i Windows forutsetter at brukerne får utstedt digitale sertifikater med krypteringsnøkler.
Detaljer2.13 Sikkerhet ved anskaffelse
2.13 Sikkerhet ved anskaffelse Gjennomføringsansvar: Alle som gjennomfører IT-anskaffelser i Midt-Telemarkkommunene kan bruke denne prosedyren som rettesnor. Hensikten med denne planen er: Danne grunnlag
DetaljerSymmetrisk En hemmelig nøkkel ( passord ) som brukes både ved kryptering og dekryptering.
1 Hva? Hva er informasjonssikkerhet? Information security encompasses the study of the concepts, techniques, technical measures, and administrative measures used to protect information assets from deliberate
DetaljerTeori om sikkerhetsteknologier
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Tomas Holt 22.8.2007 Lærestoffet er utviklet for faget LN479D/LV473D Nettverksikkerhet Innhold 1 1 1.1 Introduksjon til faget............................
DetaljerForelesning 4: Kommunikasjonssikkerhet
Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2018 Workshop-spørsmål med svarforslag Forelesning 4: Kommunikasjonssikkerhet Spørsmål 1: Sikkerhetsprotokoller a) Hva er en sikkerhetsprotokoll,
DetaljerArkivmessige forhold og elektroniske skjemaer Gjennomgang for Oslo kommune v/ Byarkivet 29.10.09
Arkivmessige forhold og elektroniske skjemaer Gjennomgang for Oslo kommune v/ Byarkivet 29.10.09 Martin.bould@ergogroup.no Telefon 99024972 Martin Bould,ErgoGroup 1 Anbefaling Bruk elektroniske skjemaer
DetaljerDin bruksanvisning NOKIA 6630 http://no.yourpdfguides.com/dref/822861
Du kan lese anbefalingene i bruksanvisningen, de tekniske guide eller installasjonen guide for. Du vil finne svar på alle dine spørsmål på i bruksanvisningen (informasjon, spesifikasjoner, sikkerhet råd,
DetaljerSikrere E-post en selvfølgelighet
Sikrere E-post en selvfølgelighet Sikkerhetssymposiet - Bergen Ernst Unsgaard Sikkerhetssymposiet 2018 Bergen, 18.10.201 E-POST SOM ANGREPSVEKTOR 91 % av den norske befolkning bruker e-post (SSB, 2017)
DetaljerVeiledning i kryptering med Open PGP
Veiledning i kryptering med Open PGP GNU Privacy Guard for Windows (Gpg4win) er en gratis programvare for kryptering av tekst, filer og eposter ved hjelp av standarden OpenPGP for Windows-operativsystem.
DetaljerVedlegg A: Behandling i Standardiseringsrådet, HTTPS
Vedlegg A: Behandling i Standardiseringsrådet, HTTPS Innhold: Saksframlegg til Standardiseringsrådets møte 20180925-A Oppsummering av høringssvar - HTTPS Oppdatert forslag til anbefaling - HTTPS Side 1
DetaljerInformasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt
Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.
DetaljerTeknologien: Fra digitale signaturer til offentlig-nøkkel infrastruktur
Teknologien: Fra digitale signaturer til offentlig-nøkkel infrastruktur Jon Ølnes (NR) Jon.Olnes@nr.no Seminar om elektronisk kommunikasjon med digitale signaturer Statskonsult, 4/4 2000 Innhold Hva kan
DetaljerPKI og ikke-fornekting
Kryptografi MSc in Information Security PKI og ikke-fornekting Mats Byfuglien, mats@byfuglien.net Norwegian Information Security Laboratory NISlab Department of Computer Science and Media Technology Gjøvik
DetaljerFOR 2004-06-25 nr 988: Forskrift om elektronisk kommunikasjon med og i forvaltnin...
Page 1 of 7 HJEM RESSURSER TJENESTER HJELP LENKER OM LOVDATA KONTAKT OSS SØK FOR 2004-06-25 nr 988: Forskrift om elektronisk kommunikasjon med og i forvaltningen (eforvaltningsforskriften) Skriv ut DATO:
DetaljerStandardisering av krypto i offentlig sektor
Direktoratet for forvaltning og IKT (Difi) Standardisering av krypto i offentlig sektor Vedlegg - Kryptografi og bruksområder Versjon 1.0 2011-07-22 Innhold 1 Teoretisk grunnlag 3 1.1 Kryptografi 3 1.2
DetaljerFIRE EFFEKTIVE TILTAK MOT DATAANGREP
FIRE EFFEKTIVE TILTAK MOT DATAANGREP Olav Ligaarden Nasjonal sikkerhetsmyndighet Offentlig seminar SINTEF, Oslo 2016-01-22 SLIDE 1 Innhold Motivasjon Fire effektive, enkle og viktige tiltak Tre andre enkle
Detaljer1. Krypteringsteknikker
Krypteringsteknikker Olav Skundberg Opphavsrett: Forfatter og Stiftelsen TISIP Lærestoffet er utviklet for faget 1. Krypteringsteknikker 1.1. Fire formål med sikker kommunikasjon Aller først, pålitelig
DetaljerPersonvernerklæring for Webstep AS
Personvernerklæring for Webstep AS Terminologi «Personopplysninger» Betyr enhver opplysning om en identifisert eller identifiserbar fysisk person. Personopplysninger er typisk navn, adresse, telefonnummer,
DetaljerKryptografi og nettverkssikkerhet
Kryptografi og nettverkssikkerhet Kapittel : Blokkchiffere og DES (the Data Encryption Standard) Moderne symmetrisk kryptografi Skal se på moderne blokkchiffere, en av de mest brukte kryptoalgoritmene.
DetaljerGrunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder
HØRINGSNOTAT Høring av forslag til nye eller reviderte forvaltningsstandarder Dato for utsendelse 23.01.17 Behandles i Standardiseringsrådet 22.03.17 Frist for høringssvar 27.02.17 Implementeres i referansekatalogen
DetaljerEksamen i TMA4155 Kryptografi Intro Høst 2003 Løsningsskisse
2004-10-25 Eksamen i TMA4155 Kryptografi Intro Høst 2003 Løsningsskisse 1 Et blokkchiffer med blokklengde l og nøkkellengde s består av to funksjoner Ẽ (krypteringsfunksjonen) og D (dekrypteringsfunksjonen)
DetaljerBasis interoperabilitetstest - ebxml
Basis interoperabilitetstest - ebxml Testversjon: 1.0 2 Basis interoperabilitetstest - ebxml Innholdsfortegnelse 1. Revisjonshistorikk... 3 2. Basis interoperabilitetstest - ebxml... 4 Hvordan gjennomføre
DetaljerPersonvernforordningen
Tingenes Internett, hvilken info kan samles inn og hvordan skal disse dataene sikres? 30. November 16 Personvernforordningen Nye EU persronvernregler som tar sikte på å gi borgerne tilbake kontroll over
DetaljerKryptografi og nettverkssikkerhet
Kryptografi og nettverkssikkerhet Kapittel : Blokkchiffere og DES (the Data Encryption Standard) Moderne symmetrisk kryptografi Skal se på moderne blokkchiffere, en av de mest brukte kryptoalgoritmene.
DetaljerHva betyr «Just-in-time» privileger for driftspersonalet?
Hva betyr «Just-in-time» privileger for driftspersonalet? Sivilingeniør Imran Mushtaq har vært involvert i prosjekter med meget høy grad av teknisk kompleksitet som krever lang erfaring og dyp kompetanse
DetaljerVeiledning i informasjonssikkerhet
Veiledning i informasjonssikkerhet ved bruk av e-post Versjon 0.4 19. oktober 1999 KITH Rapport X/99 ISBN 000-00-000-00 KITH-rapport Tittel Veiledning i informasjonssikkerhet ved bruk av e-post Forfatter(e)
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerInnføring i blokkjedeteknologi. Slobodan Petrović, NTNU Gjøvik 14/
Innføring i blokkjedeteknologi Slobodan Petrović, NTNU Gjøvik 14/09-2018 Innhold Innledning Grunnkomponenter av en blokkjede (blockchain) Kryptografiske hash funksjoner (spredefunksjon, avtrykkfunksjon)
DetaljerPolitiattester: mottak og registrering ved UiO
Politiattester: mottak og registrering ved UiO Politiattester Ca. 1 500 politiattester per år på UiO UiO tar fortsatt i mot på papir hvis studenten har fått attest på papir. 3 Høsten 2018: Digipost Student:
DetaljerVår referanse: A03 - G:17/173 Revisjon: 01 NASJONAL SIKKERHETSMYNDIGHET. Sikker informasjon i tiden etter en kvantedatamaskin KVANTERESISTENT KRYPTO
Vår referanse: A03 - G:17/173 Revisjon: 01 NASJONAL SIKKERHETSMYNDIGHET Sikker informasjon i tiden etter en kvantedatamaskin KVANTERESISTENT KRYPTO INNHOLD 1. Introduksjon................................................................4
DetaljerTI GRUNNLEGGENDE TILTAK FOR SIKRING AV EGNE NETTVERK MED ET SPESIELT FOKUS PÅ MACSEC
TI GRUNNLEGGENDE TILTAK FOR SIKRING AV EGNE NETTVERK MED ET SPESIELT FOKUS PÅ MACSEC Aleksander Rasmussen Nasjonal Sikkerhetsmyndinghet Sikkerhetskonferansen 2017 Oslo Kongressenter 28 29.03.2017 SLIDE
Detaljereforum: drøfting av Seid leveranse 2
eforum: drøfting av Seid leveranse 2 16. februar 2006 John Bothner Teknisk Avdeling john.bothner@nsm.stat.no www.nsm.stat.no Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 1 Agenda Kort om NSM Om Seid
DetaljerElektroniske spor. Innsynsrett, anonymitet. Personvernutfordringer. Innsynsrett. Informasjonsplikt og innsynsrett
Elektroniske spor Innsynsrett, anonymitet Kirsten Ribu Kilde: Identity Management Systems (IMS): Identification and Comparison Study Independent Centre for Privacy Protection and Studio Notarile Genghini
DetaljerTittel: Metode og enhet for randomisering av en hemmelig nøkkel for beskyttelse mot angrep fra supplerende kanaler
V2199NO00 EP 2 99 26 B1 Tittel: Metode og enhet for randomisering av en hemmelig nøkkel for beskyttelse mot angrep fra supplerende kanaler 1 1 2 3 Beskrivelse [0001] Oppfinnelsen omfatter en metode og
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerFFI RAPPORT INFRASTRUKTUR FOR TILLITSHÅNDTERING I WINDOWS. WINDVIK Ronny, HALLINGSTAD Geir, VETLAND Stein Erik FFI/RAPPORT-2002/01014
FFI RAPPORT INFRASTRUKTUR FOR TILLITSHÅNDTERING I WINDOWS WINDVIK Ronny, HALLINGSTAD Geir, VETLAND Stein Erik FFI/RAPPORT-2002/01014 FFIE/780/113 Godkjent Kjeller 13 March 2002 Torleiv Maseng Forskningssjef
DetaljerArkivarens rolle i en sikkerhetsorganisasjon. Torill Tørlen Barne-, likestillings- og inkluderingsdepartementet
Arkivarens rolle i en sikkerhetsorganisasjon Torill Tørlen Barne-, likestillings- og inkluderingsdepartementet Bakgrunn for innlegget 22. juli-kommisjonen peker på at holdninger og kultur mht. sikkerhets-
DetaljerSteg 1: Regneoperasjoner på en klokke
Diffie-Hellman nøkkelutveksling Skrevet av: Martin Strand Kurs: Python Tema: Tekstbasert, Kryptografi Fag: Matematikk, Programmering Klassetrinn: 8.-10. klasse, Videregående skole Introduksjon Du har tidligere
DetaljerNTNU Retningslinje for tilgangskontroll
Retningslinje for tilgangskontroll Type dokument Retningslinje Forvaltes av Leder av IT-avdelingen Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018 Gjelder til 20.08.2020
DetaljerUtredning av behov for HTTPS i offentlig sektor. Tillit, tilgjengelighet, brukervennlighet og effektivisering
Utredning av behov for HTTPS i offentlig sektor Tillit, tilgjengelighet, brukervennlighet og effektivisering Innhold Utredning av behov for HTTPS i offentlig sektor... 1 Tillit, tilgjengelighet, brukervennlighet
DetaljerArkivarens rolle i en sikkerhetsorganisasjon. Torill Tørlen Barne-, likestillings- og inkluderingsdepartementet
Arkivarens rolle i en sikkerhetsorganisasjon Torill Tørlen Barne-, likestillings- og inkluderingsdepartementet Bakgrunn for innlegget 22. juli-kommisjonen peker på at holdninger og kultur mht. sikkerhets-
DetaljerABONNENTAVTALENS HOVEDDEL (DEL 1 AV 4)
ABONNENTAVTALE BUYPASS VIRKSOMHETSSERTIFIKATER ABONNENTAVTALENS HOVEDDEL (DEL 1 AV 4) 1 INNLEDNING Dette dokumentet (Del 1) utgjør sammen med Registreringsskjema (Del 2), Bestillingsskjema for Virksomhetssertifikater
DetaljerVemma Europes personvernerklæring
Vemma Europes personvernerklæring Vemma Europe forstår at du er opptatt av hvordan informasjon om deg blir behandlet og fordelt, og vi setter pris på at du stoler på at vi gjør det forsiktig og fornuftig.
DetaljerFor bruk med Xerox ConnectKey Technology-aktiverte multifunksjonsprintere (MFP-er)
Xerox App Gallery Hurtigveiledning 702P03997 For bruk med Xerox ConnectKey Technology-aktiverte multifunksjonsprintere (MFP-er) Bruk Xerox App Gallery for å finne apper med nye funksjoner og muligheter
DetaljerInformasjon Prøveeksamen IN1020 høsten 2017
Informasjon Prøveeksamen IN1020 høsten 2017 Dette er en prøveeksamen i emnet IN1020. Den er laget både for å demonstrere hvordan den ekte eksamen vil arte seg, og for å vise hva slags spørsmål man kan
DetaljerECC i akademia vs. industrien
Conax AS 2007 RSA ECC Utbredelse Kampen mellom ECC og RSA har pågått lenge. I akademia går ECC av som vinner, mens i industrien er det fortsatt RSA som gjelder. RSA RSA ECC Utbredelse I 1977 publiserte
DetaljerMEDISINSK UTSTYR OG DIGITALE SÅRBARHETER
MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER Bergen, september 2017 ved HelseCERT HELSECERT ER HELSE- OG OMSORGSSEKTORENS NASJONALE SENTER FOR INFORMASJONSSIKKERHET HELSECERTS OPPGAVE ER Å ØKE SEKTORENS EVNE
DetaljerNasjonal sikkerhetsmyndighet
Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 2 (U-02) Oppdatert: 2014-02-03 E-post Kryptering av e-postoverføring Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom
Detaljereidas sikker digitalisering av Europa
eidas sikker digitalisering av Europa eidas Mads Henriksveen, Fagansvarlig CA/eID 1 Norsk selskap eid av EVRY og Norsk Tipping Digital 2017 Fakta om Buypass Et løsningshus for elektronisk identitet, signatur
DetaljerDNS og DNSSEC. Magni Onsøien
DNS og DNSSEC Magni Onsøien Om meg Cand. scient. i informatikk fra NTNU Har jobbet med IT-drift i 20 år Deltidsjobb i studietida Jobbet som konsulent fra 2000 til 2004, så sprakk bobla - men vi var stolte
DetaljerVedlegg C: Behandling i Standardiseringsrådet, DMARC
Vedlegg C: Behandling i Standardiseringsrådet, DMARC Innhold: Saksframlegg til Standardiseringsrådets møte 20180925-C Oppsummering av høringssvar - DMARC Oppdatert forslag til anbefaling - DMARC Side 1
DetaljerSIKKERHETSBULLETIN XRX FRA XEROX
SIKKERHETSBULLETIN XRX07-001 FRA XEROX Det er svakheter i ESS/nettverkskontrolleren som, hvis de blir utnyttet, kan føre ekstern utførelse av vilkårlig programvare, forfalskning av digitale sertifikater
DetaljerBEDRE KRYPTERING AV WEB-TRAFIKK OG E-POST (TLS)
BEDRE KRYPTERING AV WEB-TRAFIKK OG E-POST (TLS) Olav Ligaarden Nasjonal sikkerhetsmyndighet Sikkerhetskonferansen 2015 Oslo Kongressenter 17 18.03.2015 SLIDE 1 INNHOLD Kryptering av web-trafikk Kryptering
DetaljerDeres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON
Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle
DetaljerBrukerveiledning for identifisering med BankID
Brukerveiledning for identifisering med BankID Innledning Denne brukerveiledningen tar kun for seg identifisering med BankID med sikkerhetskort. Brukerveiledningen vi ikke inneholde beskrivelse av alle
DetaljerDIGITALT LÅSSYSTEM. UTEN BATTERIER. UTEN BEKYMRINGER.
DIGITALT LÅSSYSTEM. UTEN BATTERIER. UTEN BEKYMRINGER. iloq oppfyller følgende sertifiseringer: Enkel administrasjon av autorisasjoner til sylindere og nøkler. Enkelt å installere og enkelt å vedlikeholde.
DetaljerVeileder for bruk av tynne klienter
Veileder for bruk av tynne klienter Dette dokumentet er en veileder for bruk av terminaltjener/klient (tynne klienter) for å skille samtidige brukerrettigheter i åpne og sikre soner. April 2005 Postadresse:
DetaljerVedlegg 1 HAN Personvern et tillegg til utredningen «AMS + HAN om å gjøre sanntid måledata tilgjengelig for forbruker»
Vedlegg 1 HAN Personvern et tillegg til utredningen «AMS + HAN om å gjøre sanntid måledata tilgjengelig for forbruker» LILLEAKER 10.OKTOBER 2017 NORSK ELEKTROTEKNISK KOMITE LARS IHLER Oppsummering og konklusjon
DetaljerBUYPASS CA BEST PKI PRACTICE
RETNINGSLINJER BUYPASS CA BEST PKI PRACTICE Retningslinjer for bruk av Buypass sertifikater og sertifikattjenester ÅPEN Versjon: 1.0 Versjonsdato: 03.11.2012 Buypass AS Nydalsveien 30A, PO Box 4364 Nydalen
DetaljerSikkerhetsportalen det nye verktøyet for det offentlige sin bruk av eid og sikker kommunikasjon på internett SDF 2006-03-14
Sikkerhetsportalen det nye verktøyet for det offentlige sin bruk av eid og sikker kommunikasjon på internett SDF 2006-03-14 Sverre Bauck SP verktøy med felles PKI-tjenester for offentlig sektor Autentisering
DetaljerMålet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».
Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.
DetaljerDu må vurdere om klassifiseringen skal oppdateres når du endrer innholdet i et dokument.
Klassifisering av dokumenter og e-poster i Office 365 I Office 365 skal du selv klassifisere alle dokumenter og e-poster med riktig klassifiseringskategori i henhold til UDIs retningslinjer for klassifisering
DetaljerSOLICARD ARX. Adgangssystemet som gir deg ubegrenset frihet. An ASSA ABLOY Group company
SOLICARD ARX Adgangssystemet som gir deg ubegrenset frihet An ASSA ABLOY Group company SOLICARD ARX arkitektur SOLICARD ARX LCU oppkoblet via Internet Eksisterende nettverk SOLICARD ARX AC SOLICARD ARX
DetaljerCW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?
CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden? 26.04.2018 Hva er en smart verden? «Politikk er kunsten å hindre folk i å blande seg opp i det som angår dem» Paul Valéry
DetaljerTruverdige mobile trådlause ad hoc-nett ein illusjon?
Truverdige mobile trådlause ad hoc-nett ein illusjon? Eli Winjum seniorforskar FFI Seminar 21. september 2006 Abelia Innovasjons Fagnettverk for Informasjonssikkerhet Skal snakka om Kva gjer eit kommunikasjonsnett
DetaljerNTNU Retningslinje for fysisk sikring av IKTinfrastruktur
Retningslinje for fysisk sikring av IKTinfrastruktur Type dokument Retningslinje Forvaltes av Økonomi- og eiendomsdirektør Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018
DetaljerSTOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013
STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013 4 Nasjonal sikkerhetsmåned 6 tema Generell informasjonssikkerhet Beskytte
Detaljer2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG
2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG 1 SAMMENDRAG INNLEDNING: GLOBAL THREAT INTELLIGENCE REPORT 2015 De siste årene har sikkerhetsbransjen med rette fokusert mye på Advanced Persistent Threats
DetaljerGod IT-skikk. - Informasjonssikkerhet i Norsvin -
God IT-skikk - Informasjonssikkerhet i Norsvin - 1 God IT-skikk i Norsvin Norsvin er en bedrift hvor Informasjonsteknologi (IT) benyttes i stor grad. Utstyr som behandler bedriftens informasjon skal være
DetaljerIntroduksjon til informasjonssikkerhet. Edwin Nilsson. 8. oktober 2014
Introduksjon til informasjonssikkerhet Edwin Nilsson 8. oktober 2014 Hva er sikkerhet Sikkerhet og trygghet Ordet sikkerhet kan ha to forskjellige betydninger. Dersom en ser det fra et engelsk perspektiv
DetaljerInternkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet
Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon Workshop Måling av informasjonssikkerhet 30.10.2017 Internkontroll i praksis - informasjonssikkerhet Instrukser og rutiner
DetaljerGDPR - hva betyr det for din bedrift?
GDPR - hva betyr det for din bedrift? Hva er GDPR? 25. mai 2018 trer den nye europeiske personvernforordningen, The General Data Protection Regulation(GDPR), i kraft. Forordningen vil implementeres i alle
DetaljerHelhetlig og sentralisert tilgangskontroll
Helhetlig og sentralisert tilgangskontroll Den norske Dataforening 25. oktober 2011 Robert Knudsen, Sikkerhetsarkitekt Arbeids- og velferdsdirektoratet NAV NÅ-situasjon Hent Saksbehandling Brukere Tilgangskontroll
DetaljerAvviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Avviksbehandling Støttedokument Faktaark nr 8 Versjon: 5.1 Dato: 11.12.2018 Formål Formålet med avviksbehandling er å: Håndtere sikkerhetsbrudd
DetaljerDatabehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle
Databehandleravtale Denne avtalen ("Databehandleravtalen") inngås som et tillegg til avtale om lisens og bruk av Styreplan og andre produkter og tjenester fra Systemfabrikken AS ("Tjenesteavtalen"), og
DetaljerHVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?
HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? Bente Hoff Seksjonssjef Strategisk IKT-sikkerhet NSM SLIDE 1 Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og
DetaljerFORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM
FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM Nasjonal sikkerhetsmåned 2014 Stavanger, 2. oktober 2014 Fagdirektør Roar Thon Nasjonal sikkerhetsmyndighet 1 SLIDE 2 VIDEOKLIPP FRA NRK.NO «Det er en utfordring
DetaljerKompetansemål fra Kunnskapsløftet
Datasikkerhet 2ISFA Kompetansemål fra Kunnskapsløftet yte service gjennom brukerstøtte og kommunikasjon med brukere yte service gjennom driftsstøtte og kommunikasjon med leverandører og fagpersonell på
DetaljerGRUNNLEGGENDE TILTAK FOR SIKRING AV E-POST
NASJONAL SIKKERHETSMYNDIGHET Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom e-posttjenere. GRUNNLEGGENDE TILTAK FOR SIKRING AV E-POST INNHOLD 1. Beskrivelse...................................................................4
Detaljer1.2. Vi lagrer ikke personopplysninger på våre servere med mindre det kreves for den pågående driften av denne Tjenesten.
Personvernerklæring Dato for siste endring: 14. januar 2017 1. Sammendrag. 1.1. STRATACT driver nettstedet http://stratact.org (kort sagt, Tjenesten). STRATACT er et østerriksk selskap som arbeider under
DetaljerVedlegg 1 HAN Personvern et tillegg til utredningen «AMS + HAN om å gjøre sanntids måledata tilgjengelig for forbruker»
Vedlegg 1 HAN Personvern et tillegg til utredningen «AMS + HAN om å gjøre sanntids måledata tilgjengelig for forbruker» LILLEAKER 15.FEBRUAR 2018 NORSK ELEKTROTEKNISK KOMITE Oppsummering og konklusjon
DetaljerAgenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.
Agenda Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede 3 Hva er Cybersikkerhet? Cybersikkerhet er beskyttelse av fysiske enheter eller informasjonsaktiva
DetaljerNasjonal sikkerhetsmyndighet
Nasjonal sikkerhetsmyndighet IT-veiledning for ugraderte systemer nr. 16 (U-16). Oppdatert: 2016-10-13 Universal 2nd Factor (U2F) Brukerautentisering mot nettsteder Hvordan oppnå tilfredsstillende autentisering
DetaljerVedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)
Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold
DetaljerInnføring av domeneregistreringer med elektroniske egenerklæringer
1 (11) Innføring av domeneregistreringer med elektroniske egenerklæringer Dette dokumentet beskriver en løsning for registrering av domenenavn med elektroniske egenerklæringer. 2 (11) Historikk Dato Revisjon
DetaljerHVEM ER JEG OG HVOR «BOR» JEG?
DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller
Detaljer