Gå direkt till innehållet på sidan
 söndagen den 1 augusti 2010
Curalia » Säkerhet
Curalia AB

Säkerhet

Erfarenheten visar att genomlysning ger säkrare produkter.

Vi levererar i första hand skräddarsydda säkerhetslösningar där vi använder olika öppna säkerhetsprodukter. Förutom de säkerhetsbibliotek som ingår i både Java och Linux utvecklas både standard och produkter inom OpenCA:

  • GnuPG för kryptering
  • OpenSSL
  • OpenSSH
  • OpenLDAP för katalogtjänster

På samma sätt drivs ett omfattande samarbete kring gemensam inloggning och samverkan inom Liberty Alliance med den delvis öppna programvaran SourceID för liberty protocol v1.1.

Axcrypt

Axcrypt är en krypteringsprogramvara för filer i Windowsmiljö. Kryptering, dekryptering m.m. sker med några musklick och mottagaren behöver inte ha Axcrypt installerad.

GnuPG

Gnu Privacy Guard, GnuPG, är en implementation av de kända metoderna för kryptering och signering med publika nycklar i PGP (Pretty Good Privacy).

GnuPG hanterar privata och publika nycklar och kan kryptera godtyckliga filer även om PGP traditionellt används för kryptering och ursprungsmärkning av e-post.

Signering med öppna nycklar (Public Key Cryptography) bygger på krypteringsalgoritmer vars inversfunktion är extremt tidsödande att räkna fram. Detta baseras dock på dagens processorprestanda måste därför revideras löpande.

En vanlig Public Key-algoritm idag är RSA-kryptering där man använder krypteringsalgoritmer baserade på en nyckel framtagen genom multiplikation av två primtal, vilket är mycket tidskrävande att faktorisera. En RSA krypteringsnyckel med god säkerhet för faktorisering är idag 2048 bitar, dvs. 256 byte, lång. GnuPG implementerar ett flertal olika krypteringsalgoritmer.

OpenSSL

OpenSSL är en öppen källkodsimplementation av säker socket-hantering (Secure Sockets Layer, SSL) vilket är industristandarden för krypterad TCP/IP-överföring med hjälp av certifikat.

I OpenSSL ingår verktyg för framtagning och administration av servercertifikat, samt programbibliotek för att använda SSL-säkrad TCP/IP-kommunikation.

Certifikat för äkthetsgaranti av servrar köps normalt via en auktoriserad certifikatutfärdare (Certificate Authority, CA). Välkända CA med gott renommé är t.ex. RSA, VeriSign och Thawte.

Ett klientprogram som ansluter till en server på en TCP/IP-socket via SSL bedömer serverns äkthet via en pålitlighetsalgoritm där ett antal s.k. rotcertifikat från välkända certifikatutfärdare antas vara pålitliga. Om servercertifikatet är utfärdat via ett rotcertifikat som är inkodat i klientkoden (t.ex. VeriSign) antas servern vara pålitlig, kommunikationen tillåts och kan börja krypteras utan åtgärd från användaren.

Servercertifikat som är utfärdade av en okänd certifikatutfärdare (t.ex. självsignerade testcertifikat) eller certifikat som inte är kompletta eller har gått ut leder till en varningsdialog och åtgärd från användaren krävs för att kommunikationen skall påbörjas.

OpenSSH, Putty

SSH, Secure Shell, är en industristandard för terminalanslutningar över en avlyssningssäker krypterad förbindelse. SSH-klienter kan användas för att upprätta en säker "TCP-tunnel", genom vilken en godtycklig okrypterad TCP/IP-port kan skickas vidare för att erhålla säker och krypterad kommunikation. Det är ett enkelt och billigt sätt att t.ex. kryptera trafiken till en befintlig mailserver (SMTP-server).

Den äldre SSH1-specifikationen har visat sig innehålla många säkerhetsbrister och idag används uteslutande SSH2-protokollet. Man kan även ansluta till X11-servrar på ett Linux/UNIX-system via SSH och på så sätt erhålla en krypterad grafisk terminalinloggning. SSH2-klient och -servrar ingår som standard i Linux-distributionerna.

För Windows-system finns det enkla terminalprogrammet PuTTY som implementerar terminalkommunikation via SSH2 (såväl som "rå" seriekommunikation, Telnet och rlogin).

Brandvägg

Netfilter/iptables Iptables är en utökning av Linux-kärnan som ger fullvärdig brandväggsfunktionalitet i IP-stacken i ett Linux- system.

Iptables har stöd för filtrering av komplicerade protokoll som kräver tillståndsberoende analyser för att tillåta anslutningar (stateful packet inspection, SPI) och har ett öppet API för att lägga till nya moduler för protokoll som inte ingår i standarddistributionen.

I och med att iptables är integrerad i Linux-kärnan och filtrerar IP-paket på den lägsta nivån lider produkten inte av samma säkerhetsbrister som en s.k. personlig brandvägg (Personal Firewall). En personlig brandvägg är en högnivåprocess i systemet vars funktionalitet kan kringås av virus som lyckas döda processen.

OpenCA logotypAxcrypt logotypGNUPG logotypOpenSSL logotypOpenSSH logotypPutty logotypNetfilter logotypOpenLDAP logotyp
  Curalia  Kontakta oss  |  info@curalia.se  |  +46 (0)8-410 064 40  |  Hudiksvallsgatan 4, 113 30 Stockholm