Public-key Infrastructure. Computer Center, CS, NCTU 2 Public-key Infrastructure  A set of hardware, software, people, policies, and procedures.  To.

Slides:

Advertisements

Similar presentations

桃園縣政府貼心規劃【 1999 縣民諮詢服務熱線】，提供桃園縣民更優質、便捷的服務。有不清楚的縣政問題，歡迎您隨時拿起電話撥打 1999 ，我們將協助您提供諮詢服務，讓您享受便捷的生活。 1999 將是您的好幫手，天天在您左右！

Advertisements

:Word Morphing ★★☆☆☆ 題組： Problem Set Archive with Online Judge 題號： 10508:word morphing 解題者：楊家豪解題日期： 2006 年 5 月 21 日題意：第一行給你兩個正整數, 第一個代表下面會出現幾個字串,

Homework 5a: Installing Webservers Apache (or Lighttpd) MySQL PHP CGI and Dynamic Pages.

1 Q10276: Hanoi Tower Troubles Again! 星級 : ★★★ 題組： Online-judge.uva.es PROBLEM SET Volume CII 題號： Q10276: Hanoi Tower Troubles Again! 解題者：薛祖淵解題日期： 2006.

3Com Switch 4500 切VLAN教學.

Reference, primitive, call by XXX 必也正名乎誌謝 : 部份文字取於前輩 TAHO 的文章.

A Capability-based Privacy- preserving Scheme for Pervasive Computing Environments Dyvyan M. Konidala Dang N. Duc Dongman Lee Kwangjo Kim Proceedings of.

What is static?. Static? 靜態 ? class Test { static int staticX; int instanceX; public Test(int var1, int var2) { this.staticX = var1; this.instanceX =

有線等效加密（ Wired Equivalent Privacy ）. 又稱無線加密協議 WEP （ Wireless Encryption Protocol ） WEP 是 1999 年 9 月通過的 IEEE 標準的一部分，使用 RC4 （ Rives Cipher ）串流加密技術達到機密性，並.

1 Secure Context-sensitive Authorization 2005 Author ： Kazuhiro Minami, David Kotz Presented by Shih Yu Chen.

:New Land ★★★★☆ 題組： Problem Set Archive with Online Judge 題號： 11871: New Land 解題者：施博修解題日期： 2011 年 6 月 8 日題意：國王有一個懶兒子，為了勞動兒子，他想了一個辦法，令他在某天早上開始走路，直到太陽下山前，靠.

: OPENING DOORS ? 題組： Problem Set Archive with Online Judge 題號： 10606: OPENING DOORS 解題者：侯沛彣解題日期： 2006 年 6 月 11 日題意： - 某間學校有 N 個學生，每個學生都有自己的衣物櫃.

1.1 電腦的特性電腦能夠快速處理資料：電腦可在一秒內處理數百萬個基本運算，這是人腦所不能做到的。原本人腦一天的工作量，交給電腦可能僅需幾分鐘的時間就處理完畢。電腦能夠快速處理資料：電腦可在一秒內處理數百萬個基本運算，這是人腦所不能做到的。原本人腦一天的工作量，交給電腦可能僅需幾分鐘的時間就處理完畢。

1 Secure Positioning of Mobile Terminals with Simplex Radio Communication From ： arXiv.org / Computer Science /Cryptography and Security(2006.8) Author.

各種線上電子資源的特異功能 STICnet 的 SDI 專題訂閱服務 2003/4/28 修改. 無論校內外皆可使用。連線至

金鑰管理及認證中心 (Key Management and Certification Authority)

奶酪專賣店系統組員: B 林家榕 B 莊舜婷.

Introduction to Java Programming Lecture 17 Abstract Classes & Interfaces.

第 5 章深入 Response 物件製作. 網頁的轉向與強制輸出 - 讓網頁轉彎的 Redirect 敘述運用 Response 物件的 Redirect 方法，將瀏覽器顯示的網頁，導向至其他網頁，語法如下： Response.Redirect 網頁路徑與名稱此網頁路徑與名稱  若是導向到同一台.

最新計算機概論第 5 章系統程式. 5-1 系統程式的類型作業系統 (OS) ：介於電腦硬體與應用軟體之間的程式，除了提供執行應用軟體的環境，還負責分配系統資源。

: Tight words ★★★☆☆ 題組： Problem Set Archive with Online Judge 題號： : Tight Words 解題者：鐘緯駿、林一帆解題日期： 2006 年 03 月 14 日題意：給定數字 k 與 n (0 ≦ k.

Ubiquitous News(Unews) 的設計與實作指導教授：黃毅然教授學生：葉雅琳系別：資訊工程學系.

: Fast and Easy Data Compressor ★★☆☆☆ 題組： Problem Set Archive with Online Judge 題號： 10043: Fast and Easy Data Compressor 解題者：葉貫中解題日期： 2007 年 3.

McGraw-Hill/Irwin © 2003 The McGraw-Hill Companies, Inc.,All Rights Reserved. 參資料蒐集的方法.

: Little Red Riding Hood ★★★☆☆ 題組： Contest Volumes Archive with Online Judge 題號： 11067: Little Red Riding Hood 解題者：陳明凱解題日期： 2008 年 3 月 14 日題意：

: Ahoy, Pirates! ★★★★☆ 題組： Contest Archive with Online Judge 題號： 11402: Ahoy, Pirates! 解題者：李重儀解題日期： 2008 年 8 月 26 日題意：有一個海盜島有 N 個海盜，他們的編號 (id)

: Multisets and Sequences ★★★★☆ 題組： Problem Set Archive with Online Judge 題號： 11023: Multisets and Sequences 解題者：葉貫中解題日期： 2007 年 4 月 24 日題意：在這個題目中，我們要定義.

: Placing Lampposts ★★★☆☆ 題組： Problem Set Archive with Online Judge 題號： 10859: Placing Lampposts 解題者：陳志瑜解題日期： 2011 年 5 月 10 日題意：美化為 Dhaka City.

公開金鑰基礎建設 Public Key Infrastructure (PKI) 資管 4B B 陳冠伯.

:Nuts for nuts..Nuts for nuts.. ★★★★☆ 題組： Problem Set Archive with Online Judge 題號： 10944:Nuts for nuts.. 解題者：楊家豪解題日期： 2006 年 2 月題意：給定兩個正整數 x,y.

校外使用圖書館購置之資料庫龍華大學圖書館. 讀者遠端認證 (RPA) 設定說明  透過圖書館架設完成的 RPA (Remote Patron Authentication) 讀者遠端認證代理主機系統，讀者於校外或院外可直接連線使用本館所提供的資料庫。  若非使用本館電子資料，請勿設定此代理.

從此處輸入帳號密碼登入到管理頁面. 點選進到檔案管理點選「上傳檔案」上傳資料點選瀏覽選擇電腦裡的檔案可選擇公開或不公開為平台上的資料夾此處為檔案分類，可顯示在展示頁面上，若要參加 MY EG 競賽，做品一律上傳到 “ 98 MY EG Contest ” 點選此處確定上傳檔案.

手機模擬機車事故黑盒子指導教授 : 姚修慎教授李易璋鍾明哲黃靖宇.

6-2 認識元件庫與內建元件庫 Flash 的元件庫分兩種, 一種是每個動畫專屬的元件庫 (Library) ；另一種則是內建元件庫 (Common Libraries), 兩者皆可透過『視窗』功能表來開啟, 以下即為您說明。

1 Introduction to Java Programming Lecture 2: Basics of Java Programming Spring 2008.

公用品.  該物品的數量不會因一人的消費而受到影響，它可以同時地被多人享用。角色分配  兩位同學當我的助手，負責：  其餘各人是投資者，每人擁有 $100 ，可以投資在兩種資產上。  記錄  計算  協助同學討論.

Management Abstracts Retrieval System; MARS 檢索操作.

1 A provably secure secret handshake with dynamic controlled matching Alessandro Sorniotti, Refik Molva Computers and Security, Volume 29, Issue 5, July.

函式 Function Part.2 東海大學物理系‧資訊教育施奇廷. 遞迴（ Recursion ）函式可以「呼叫自己」，這種動作稱為「遞迴」此程式的執行結果相當於陷入無窮迴圈，無法停止（只能按 Ctrl-C ）這給我們一個暗示：函式的遞迴呼叫可以達到部分迴圈的效果.

2010 MCML introduction 製作日期： 2010/9/10 製作人 : 胡名霞.

-Antidifferentiation- Chapter 6 朝陽科技大學資訊管理系李麗華教授.

845: Gas Station Numbers ★★★ 題組： Problem Set Archive with Online Judge 題號： 845: Gas Station Numbers. 解題者：張維珊解題日期： 2006 年 2 月題意：將輸入的數字，經過重新排列組合或旋轉數字，得到比原先的數字大，

Linguistics phonetic symbols. 先下載 IPA 字型檔案，執行安裝。由於這個程式的字型目錄設定錯誤，所以等重新開機時就會發現字型消失。所以必須根據以下步驟來讓 Windows 加入 IPA 字型。

© The McGraw-Hill Companies, Inc., 2006© The McGraw-Hill Companies, Inc., 2007 Chapter 4 IP 定址：分級式定址.

Chapter 10 m-way 搜尋樹與B-Tree

: Function Overloading ★★★☆☆ 題組： Problem Set Archive with Online Judge 題號： 11032:Function Overloading 解題者：許智祺解題日期： 2007 年 5 月 8 日題意：判對輸入之數字是否為.

網路介紹及其運用講師陳炯勳. 5-2 IP 協定 ( 一 ) IP 協定運作 (1) – 網路成員：主機 (Host) 與路由器 (Router) – 路由表 – 電報傳輸運作.

概念性產品企劃書呂學儒李政翰.

1 Introduction to Java Programming Lecture 2: Basics of Java Programming Spring 2009.

Restaurant Order &Register System 成員張昱瑄 B 蔡季螢 B 張琬婷 B 潘寶蓉 B

第 6 章迴圈結構 6-1 計數迴圈 6-1 計數迴圈 6-2 條件迴圈 6-2 條件迴圈 6-3 巢狀迴圈 6-3 巢狀迴圈 6-4 While/End While 迴圈 6-4 While/End While 迴圈 6-5 跳出迴圈 6-5 跳出迴圈 6-6 VB.NET 的錯誤處理 6-6 VB.NET.

Teacher : Ing-Jer Huang TA : Chien-Hung Chen 2015/6/30 Course Embedded Systems : Principles and Implementations Weekly Preview Question CH7.1~CH /12/26.

McGraw-Hill/Irwin © 2003 The McGraw-Hill Companies, Inc.,All Rights Reserved. 參資料蒐集的方法.

數字系統與資料表示法教師：陳炯勳數系轉換ｒ進制數字稱為 base ｒ或 radix ｒ有ｒ個計數符號，計數順序逢ｒ歸零（進位）Ａ n Ａ n － 1 ‥‥Ａ 2 Ａ 1 Ａ 0 ﹒Ａ -1 Ａ -2 ‥‥Ａ -m 其中Ａ n 及Ａ.

: Finding Paths in Grid ★★★★☆ 題組： Contest Archive with Online Judge 題號： 11486: Finding Paths in Grid 解題者：李重儀解題日期： 2008 年 10 月 14 日題意：給一個 7 個 column.

:Problem E.Stone Game ★★★☆☆ 題組： Problem Set Archive with Online Judge 題號： 10165: Problem E.Stone Game 解題者：李濟宇解題日期： 2006 年 3 月 26 日題意： Jack 與 Jim.

著作權所有 © 旗標出版股份有限公司第 14 章製作信封、標籤. 本章提要製作單一信封製作單一郵寄標籤.

幼兒行為觀察與記錄第八章事件取樣法.

: How many 0's? ★★★☆☆ 題組： Problem Set Archive with Online Judge 題號： 11038: How many 0’s? 解題者：楊鵬宇解題日期： 2007 年 5 月 15 日題意：寫下題目給的 m 與 n(m

1 資料表示法 Chien-Chang Chen Hsuan-Chuang University.

Public-key Infrastructure. Computer Center, CS, NCTU 2 Public-key Infrastructure  A set of hardware, software, people, policies, and procedures.  To.

1 Secure and Serverless RFID Authentication and Search Protocols Authors: Chiu C. Tan, Bo Sheng, and Qun Li Sources: IEEE Transaction on Wireless Communication,

Trusted Video Management Lenel Onguard on Crystal.

Public-key Infrastructure. Computer Center, CS, NCTU 2 Cryptosystems  Cryptosystems Symmetric Asymmetric (public-key)  RSA Public key: n=3233, e=17.

Cryptography-Security Ch17-1 Chapter 17 – Web Security 17.1 Web Security Considerations 17.2 Secure Sockets Layer and Transport Layer Security.

Internet Technology Laboratory Department of Computer and Communication Kun Shan University  官方網站：

Public-key Infrastructure

Public-key Infrastructure

Public-key Infrastructure

Public-key Infrastructure

Presentation transcript:

Public-key Infrastructure

Computer Center, CS, NCTU 2 Public-key Infrastructure  A set of hardware, software, people, policies, and procedures.  To create, manage, distribute, use, store, and revoke digital certificates.  Encryption, authentication, signature  Bootstrapping secure communication protocols.

Computer Center, CS, NCTU 3 CA: Certificate Authority (1)  信任不是無中生有

Computer Center, CS, NCTU 4 CA: Certificate Authority (2)  Certificate 憑證的原文是 Certificate ，是附上所有人 (owner) 的資料（公司名稱、伺服器名稱、個人真實姓名、連絡、通訊地址等資料），後面加上數位簽名的 Public Key 。憑證上會附有幾個數位簽名，代表這些簽名的人，確認過這個 Public Key 的所有人，和憑證上所載的資料相符，沒有假造。在 X.509 中，最下層每一個合格的憑證 (Certificate) 上，會有一個認證中心 (CA) 的簽名，表示這個認證中心 (CA) 檢查過，確認憑證上的所有者資料無誤。當程式碰到沒見過的憑證時，只要檢查憑證上認證中心 (CA) 的簽名無誤，即代表這個認證中心 (CA) 查核過這個憑證 (Certificate) ，憑證上的資料無誤。

Computer Center, CS, NCTU 5 CA: Certificate Authority (3)  Certificate Authority CA 是 Certificate Authority 的縮寫，在微軟繁體中文 WINDOWS 上翻譯成憑證授權。認證中心是 X.509 的一環。認證中心也是一種憑證，上面附有認證中心本身的資料，但不是用來加解密，而是用來簽發憑證，證明憑證所有人和憑證上所載的資料無誤。每一個合格的認證中心 (CA) 上，會有一個管轄它的最高層認證中心 (Root CA) 的簽名，表示最高層認證中心授權給它，可以簽發別人的憑證。當程式碰到沒見過的憑證，憑證上簽名的認證中心 (CA) 也沒見過時，只要檢查認證中心上附的最高層認證中心 (Root CA) 的簽名無誤，即代表這個最高層認證中心 (Root CA) ，認為這個認證中心 (CA) 的憑證簽發過程很仔細，檢查資料很詳實，所以授權給它，准許它可以簽發憑證 (Certificate) 。所以這個認證中心 (CA) 簽發的憑證 (Certificate) ，憑證上的資料也沒有問題。 Reference:

Computer Center, CS, NCTU 6 What is a CA ? (1)  Certificate Authority ( 認證中心 )  Trusted server which signs certificates  One private key and relative public key  Tree structure of X.509 Root CA

Computer Center, CS, NCTU 7 What is a CA ? (2)  Root CA ( 最高層認證中心 ) Micro$oft 翻譯成「根目錄授權憑證」通常 Root CA 不會直接用來簽發憑證，而是授權給一些中間的認證中心，讓這些中間的認證中心來簽發憑證 Root CA 自己幫自己簽名  沒有再上層可以為他簽名認可最高層認證中心  經由 secure channel 安裝 Root CA 的憑證 Root CA 只能由一些著名可靠的公司來擔任  無法再向上查驗，所以不可隨便加進系統信任的 Root CA

Computer Center, CS, NCTU 8 What is a CA ? (3)  Tree structure of CA 每個合格的 CA ，都會有一個管轄它的最高層 CA 的簽名，表示 Root CA 授權給它，可以簽發別人的憑證當程式碰到沒見過的憑證，憑證上簽名的 CA 也沒見過時，只要檢查 Root CA 的簽名無誤，就接受這個憑證  Cost of certificate HiTrust : NT $30,000 / per year / per host Myself : NT $0

Computer Center, CS, NCTU 9 Certificate (1)  電子憑證 / 公開金鑰憑證 / 網路身份證  A certificate is issued by a CA X  A certificate of a user A consists: The name of the issuer CA X His/her public key A pub The signature Sig(X priv, A, A pub ) by the CA X The expiration date Applications  Encryption / Signature

Computer Center, CS, NCTU 10 Certificate (2) Alice: (1)Generate A pub, A priv CA X: (3) Generate Sig( X priv, Alice, A pub, T ) (2) Alice, A pub, ID proof (4) Sig(X priv, Alice, A pub, T) Cert A,X =[Alice, A pub, Sig(X priv, Alice, A pub, T) ] Note Note: CA does not know A priv

Computer Center, CS, NCTU 11 Certificate (3)  Guarantee of CA and certificate Guarantee the public key is of someone Someone is not guaranteed to be safe  Security of transmitting DATA Transmit session key first  Public-key cryptosystem Transmit DATA by session key  Symmetric-key cryptosystem

OpenSSL

Computer Center, CS, NCTU 13 OpenSSL   In system /usr/src/crypto/openssl  In ports security/openssl

Computer Center, CS, NCTU 14 ports/Mk/bsd.openssl.mk # WITH_OPENSSL_BASE=yes - Use the version in the base system. # WITH_OPENSSL_PORT=yes - Use the port, even if base is up to date # WITH_OPENSSL_BETA=yes - Use a snapshot of recent openssl # WITH_OPENSSL_STABLE=yes - Use an older openssl version …… # if no preference was set, check for an installed base version # but give an installed port preference over it..if !defined(WITH_OPENSSL_BASE) && \ !defined(WITH_OPENSSL_BETA) && \ !defined(WITH_OPENSSL_PORT) && \ !defined(WITH_OPENSSL_STABLE) && \ !exists(${DESTDIR}/${LOCALBASE}/lib/libcrypto.so) && \ exists(${DESTDIR}/usr/include/openssl/opensslv.h) WITH_OPENSSL_BASE=yes.endif

Example: Apache SSL settings

Computer Center, CS, NCTU 16 Example: Apache SSL settings – Flow  Flow Generate random seed Generate RootCA  Generate private key of RootCA  Fill the Request of Certificate.  Sign the certificate itself. Generate certificate of Web Server  Generate private key of Web Server  Fill the Request of certificate  Sign the certificate using RootCA Modify apache configuration  restart apache

Computer Center, CS, NCTU 17 Example: Apache SSL settings – Generate random seed  openssl rand -out rnd-file num % openssl rand -out /etc/ssl/RootCA/private/.rnd 1024  chmod go-rwx rnd-file % chmod go-rwx /etc/ssl/RootCA/private/.rnd

Computer Center, CS, NCTU 18 Example: Apache SSL settings – Generate private key of RootCA  openssl genrsa -des3 -rand rnd-file -out rootca-key-file num % openssl genrsa -des3 -rand /etc/ssl/RootCA/private/.rnd \ -out /etc/ssl/RootCA/private/rootca.key.pem 2048 Note: phrase are asked (something like password)  chmod go-rwx rootca-key-file % chmod go-rwx /etc/ssl/RootCA/private/rootca.key.pem

Computer Center, CS, NCTU 19 Example: Apache SSL settings – Fill the Request of Certificate  openssl req -new -key rootca-key-file -out rootca-req-file % openssl req -new -key /etc/ssl/RootCA/private/rootca.key.pem \ -out /etc/ssl/RootCA/private/rootca.req.pem  chmod go-rwx rootca-req-file % chmod go-rwx /etc/ssl/RootCA/private/rootca.req.pem Enter pass phrase for rootca-key-file: Country Name (2 letter code) [AU]:TW State or Province Name (full name) [Some-State]:Taiwan Locality Name (eg, city) []:HsinChu Organization Name (eg, company) [Internet Widgits Pty Ltd]:NCTU Organizational Unit Name (eg, section) []:CS Common Name (eg, YOUR name) []:nasa.cs.nctu.edu.tw Address A challenge password []: ( 不需要密碼，直接 Enter) An optional company name []: ( 直接 Enter)

Computer Center, CS, NCTU 20 Example: Apache SSL settings – Sign the certificate itself  openssl x509 -req -days num -sha1 -extfile path_of_openssl.cnf -extensions v3_ca -signkey rootca-key-file -in rootca-req-file -out rootca-crt-file % openssl x509 -req -days sha1 -extfile /etc/ssl/openssl.cnf -extensions v3_ca -signkey /etc/ssl/RootCA/private/rootca.key.pem -in /etc/ssl/RootCA/private/rootca.req.pem -out /etc/ssl/RootCA/private/rootca.crt.pem  rm -f rootca-req-file %rm -f /etc/ssl/RootCA/private/rootca.req.pem  chmod go-rwx rootca-crt-file %chmod go-rwx /etc/ssl/RootCA/private/rootca.crt.pem

Computer Center, CS, NCTU 21 Example: Apache SSL settings – Generate private key of Web Server  openssl genrsa -out host-key-file num %openssl genrsa -out /etc/ssl/nasa/private/nasa.key.pem 2048  chmod go-rwx host-key-file %chmod go-rwx /etc/ssl/nasa/private/nasa.key.pem

Computer Center, CS, NCTU 22 Example: Apache SSL settings – Fill the Request of Certificate  openssl req -new -key host-key-file -out host-req-file % openssl req -new -key /etc/ssl/nasa/private/nasa.key.pem -out /etc/ssl/nasa/private/nasa.req.pem  chmod go-rwx host-req-file % chmod go-rwx /etc/ssl/nasa/private/nasa.req.pem

Computer Center, CS, NCTU 23 Example: Apache SSL settings – Sign the certificate using RootCA  Tramsmit host-req-file to Root CA, and do following steps in RootCA openssl x509 -req -days num -sha1 -extfile path_of_openssl.cnf -extensions v3_ca -CA rootca-crt-file -CAkey rootca-key-file -CAserial rootca-srl-file -CAcreateserial -in host-req-file -out host-crt-file % openssl x509 -req -days 365 -sha1 -extfile /etc/ssl/openssl.cnf -extensions v3_ca -CA /etc/ssl/RootCA/private/rootca.crt.pem -CAkey /etc/ssl/RootCA/private/rootca.key.pem -CAserial /etc/ssl/RootCA/private/rootca.srl -CAcreateserial -in /etc/ssl/nasa/private/nasa.req.pem -out /etc/ssl/nasa/private/nasa.crt.pem rm -f host-req-file ( in both RootCA and Web Server) % rm -f /etc/ssl/nasa/private/nasa.req.pem Transmit host-crt-file back to Web Server

Computer Center, CS, NCTU 24 Example: Apache SSL settings – Certificate Authority (8) Include etc/apache22/extra/httpd-ssl.conf ## ## SSL Virtual Host Context ## # General setup for the virtual host DocumentRoot /home/wwwadm/data Options Indexes FollowSymLinks AllowOverride All Order allow,deny Allow from all ServerName nasa.cs.nctu.edu.tw:443 ServerAdmin ErrorLog /var/log/httpd/nasa.cs-error.log CustomLog /var/log/httpd/nasa.cs-access.log common SSLEngine on SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:!SSLv2:+EXP:+eNULL SSLCertificateFile /etc/ssl/nasa/nasa.crt.pem SSLCertificateKeyFile /etc/ssl/nasa/private/nasa.key.pem

Appendix: PGP

Computer Center, CS, NCTU 26 PGP  Pretty Good Privacy  Public key system Encryption Signature  security/gnupg  Will talk more in Network Administration  Ref: