Vßclav MatyßÜ ml.

Na abiturientskΘm veΦφrku zaΦne znßm² kolotoΦ v²m∞n adres a sepisovßnφ seznamu. B²val² spolu₧ßk, kter² pracuje u policie, p°φtomnΘ "uklidnφ" ujiÜt∞nφm, ₧e seznam adres "vytßhne" z poΦφtaΦe a rozeÜle. Je to v po°ßdku?

V pßtek vpodveΦer si z bankomatu vyberete penφze na vφkend. Po obdr₧enφ m∞sφΦnφho v²pisu vÜak zjistφte, ₧e v pßtek i v sobotu byl z ·Φtu odepsßn stejn² obnos. Dotazem u banky nepochodφte, ale znßm², pracujφcφ v bance, vßm zjistφ, ₧e prßv∞ po v²b∞ru pen∞z nastal v²padek bankomatu, kter² po obnov∞ Φinnosti znovu zaslal zprßvu o transakci. Takov²ch p°φpad∙ je pr² do m∞sφce n∞kolik desφtek, ale banka je p°iznat nem∙₧e (ztratila by d∙v∞ru klient∙) a znßm² vßm rad∞ji onu sumu dß ze svΘho, ne₧ by sv∞dΦil ve vßÜ prosp∞ch (ztratil by mφsto). D∙v∞ra za d∙v∞ru?

Cht∞l-li n∞kdo d°φve znßt stav vaÜeho konta nebo zdravotnφ stav, musel se n∞jak dostat k lidem pracujφcφm v mφstnφ poboΦce banky nebo zdravotnφm st°edisku. Dnes staΦφ znßt kohokoliv s oprßvn∞nφm k p°φstupu k informaΦnφmu systΘmu banky nebo zdravotnφ pojiÜ¥ovny. V Britßnii tak dnes specializovanΘ "firmy" zprost°edkujφ informaci o stavu ·Φtu za asi 100 liber, o zdravotnφm stavu pak za 150-200. Bude u nßs situace jinß?

Koupφte si nov² softwarov² balφk od renomovanΘ sv∞tovΘ firmy. P°i instalaci dojde k v²padku proudu a po novΘm rozb∞hnutφ poΦφtaΦe software nejen ₧e nefunguje, ale navφc nelze ani dokonΦit instalaci ani provΘst nßvrat do p∙vodnφho stavu. Zamlouvß se Vßm nov² software?

Jeden z bankomat∙, nasazen²ch v Britßnii, reagoval na urΦitou testovacφ sekvenci zadanou na klßvesnici bankomatu tak, ₧e vydal n∞kolik desetilibrov²ch bankovek. Tato Φßst programu byla pou₧φvßna pro testovßnφ mechanismu pro v²dej bankovek, ale nebyla p°i uvedenφ do provozu odstran∞na, navφc byla sekvence vytiÜt∞na v operaΦnφm manußlu. Nßprava byla sjednßna potΘ, co po t°ech letech doÜlo k zßhadn²m "ztrßtßm" bankovek danΘ hodnoty.

Kde je problΘm?

Je celß °ada dalÜφch p°φklad∙, kterΘ hovo°φ o tom, ₧e zavedenφm prost°edk∙ informaΦnφch technologiφ (IT) nemusφ v₧dy dojφt ke zlepÜenφ ·rovn∞ ochrany informacφ a jin²ch hodnot Φasto tomu b²vß prßv∞ opaΦn∞. Prvnφ problΘmy znajφ "pam∞tnφci" z dob, kdy se v²platy zaΦaly poΦφtat na poΦφtaΦi v²platy byly spoΦφtßny daleko rychleji a za menÜφho ·silφ, ale p°φpadnΘ opravy a nedostatky se takΘ najednou °eÜily mnohem dΘle. ╚asto to byla °eÜenφ typu "my to nem∙₧eme opravit, dßme ti chyb∞jφcφ penφze p°φÜtφ m∞sφc v odm∞nßch". Je tomu dnes jinak? JakΘ dalÜφ problΘmy lze oΦekßvat? KterΘ z nich se dotknou "jen" firem a vlßdnφch organizacφ a kterΘ mohou bolet nßs jako soukromΘ osoby? K jak²m nedopat°enφm p°i nasazenφ prost°edk∙ IT doÜlo a dochßzφ, Φeho se lze vyvarovat a jak?

Co je DES a jak pracuje? K Φemu je digitßlnφ podpis a jak se d∞lß havarijnφ plßn? Co je PGP a k Φemu jej lze pou₧φt? Lze zajistit bezpeΦnΘ obchodovßnφ na Internetu a jak? Jak fungujφ firewally, jak jsou bezpeΦnΘ ΦipovΘ karty? ProΦ se m∙₧e vymstφt neopatrnΘ sd∞lovßnφ rodnΘho Φφsla a proΦ si n∞kte°φ pracovnφci policie myslφ, ₧e rodnΘ Φφslo, n∞kolik poslednφch adres pobytu apod. nejsou osobnφmi ·daji? M∙₧e se v budoucnu stßt, ₧e se budete bßt sv∞°it n∞kterΘ ·daje o zdravotnφch problΘmech svΘmu lΘka°i?

Serißl o bezpeΦnosti a informaΦnφm soukromφ

Prost°ednictvφm serißlu "BezpeΦnost pro vÜechny, soukromφ pro ka₧dΘho" se pokusφme zodpov∞d∞t co nejvφce otßzek, a takΘ ujasnit pojmy a techniky, kterΘ jsou Φasto zmi≥ovßny povrchn∞ a bez nßle₧itΘho vysv∞tlenφ a uvedenφ souvislostφ. Se serißlem se budete setkßvat na tΘto stran∞ ka₧d² t²den po dobu vφce ne₧ jednoho roku. Ke spoluprßci jsme sestavili t²m odbornφk∙, kte°φ se pracφ v oblasti bezpeΦnosti a prßvnφch aspekt∙ v∞nujφ u₧ delÜφ dobu. NaÜim primßrnφm cφlem nebude popis vÜech detail∙ n∞kter²ch algoritm∙ nebo p°edstavovßnφ v²hod a funkcφ produkt∙, na jejich₧ v²voji jsme se n∞kdy podφleli. P°edevÜφm se budeme sna₧it o jasnΘ vysv∞tlenφ principu pou₧φvan²ch postup∙, mo₧nostφ vyu₧itφ dostupn²ch °eÜenφ a vztah∙ mezi pou₧φvan²mi technikami a ·Φelem jejich pou₧itφ.

Budeme se sna₧it serißl koncipovat tak, aby Φtenß°, nßhodn∞ zabloudivÜφ k dφlu 31, nemusel zp∞tn∞ prochßzet vÜechny p°edchßzejφcφ dφly. D∙slednΘ sledovßnφ serißlu se vÜak urΦit∞ vyplatφ pro pochopenφ vÜech podrobnostφ a souvislostφ. V ka₧dΘm p°φpad∞ budou vÜechny dφly dostupnΘ na WWW strßnkßch Computerworldu na adrese http://www.idg.cz/computerworld/bvsk/index.html.

Rßdi bychom vßs takΘ vyzvali k zasφlßnφ p°ipomφnek a podn∞t∙ bu∩ na adresu matyas@fi.muni.cz nebo na adresy autor∙ jednotliv²ch dφl∙ serißlu.

V prvnφch deseti dφlech se budeme v∞novat globßlnφmu pohledu na problΘmy bezpeΦnosti, vysv∞tlφme, jak se liÜφ nap°. vojensk² a obchodnφ pohled na ochranu informacφ. D∙le₧it² je i postup nßvrhu ochrann²ch opat°enφ v praxi se Φasto setkßvßme s °eÜenφm naprosto nesprßvnΘho problΘmu na ·kor problΘm∙ zcela zßsadnφch, ale mßlo z°ejm²ch. TakΘ si ukß₧eme pot°ebu aplikace ochrann²ch opat°enφ v oblastech, jako je bankovnictvφ a zdravotnictvφ, politickΘ a legislativnφ nßvaznosti ve sv∞t∞ a u nßs, stejn∞ jako problΘmy spojenΘ s ochranou informaΦnφho soukromφ.

V dalÜφch dφlech se podφvßme podrobn∞ji na jednotlivΘ funkce prosazujφcφ bezpeΦnost, problΘmy souvisejφcφ s virovou problematikou, zßlohovßnφm dat a klasifikace informacφ. TakΘ si jednoduchou formou vysv∞tlφme zßkladnφ pojmy a postupy z oblasti kryptologie a jejich jednoduch²ch aplikacφch.

Zßsadnφ pozornost budeme v∞novat ochran∞ dat v sφtφch, zvlßÜt∞ s p°ihlΘdnutφm k Internetu a elektronickΘmu obchodovßnφ seznßmφme vßs nap°φklad s pojmy jako PGP, SSL, SET, EDI, atd. Prßv∞ s rozvojem Internetu a s p°φchodem komerce na Internet se objevuje v²raznß pot°eba chrßnit p°enßÜenΘ informace na ·rovni, kterß dostateΦn∞ uspokojφ nejen klienty a partnery firem, ale i vrcholovΘ vedenφ. Nßsledovat bude podrobn∞jÜφ exkurze k princip∙m kryptografie i k zßkladnφm kryptografick²m algoritm∙m, jako je DES, IDEA a asymetrickΘ algoritmy.

V zßv∞ru se pak zam∞°φme na n∞kterΘ aplikace, jako jsou ΦipovΘ karty, GSM a dalÜφ zajφmavß tΘmata. Samoz°ejm∞, ₧e vßs takΘ budeme informovat o zßsadnφch novinkßch, kterΘ p°ijdou na sv∞tlo sv∞ta v pr∙b∞hu serißlu.

BezpeΦnost a informaΦnφ soukromφ

BezpeΦnost (angl. Security) je vlastnost prvku (nap°. IS), kter² je na urΦitΘ ·rovni chrßn∞n proti ztrßtßm nebo takΘ stav ochrany (na urΦitΘ ·rovni) proti ztrßtßm. V bezpeΦnosti IT zahrnuje ochranu Φinnostφ zpracovßnφ, ·schovy, distribuce a prezentace informacφ. Pojmem bezpeΦnost budeme nadßle rozum∞t jen bezpeΦnost jako "Security", pokud nebude stanoveno jinak.

Stejn² Φesk² termφn bezpeΦnost oznaΦuje toti₧ i anglickΘ "Safety", co₧ je spφÜe p°edpoklad, ₧e p°i specifikovan²ch podmφnkßch nedojde ke stavu ohro₧enφ lidskΘho ₧ivota, zdravφ, hodnot a prost°edφ.

Soukromφ (angl. privacy) je v obecnΘm pojetφ charakteristikou ₧ivota jedince a jeho prßva a mo₧nosti kontroly informacφ o sob∞ a o svΘ Φinnosti, spolu s ochranou proti ne₧ßdoucφmu ruÜenφ. InformaΦnφ soukromφ se vztahuje p°edevÜφm na zmφn∞nou mo₧nost kontroly informacφ osobnφch dat a jin²ch relevantnφch citliv²ch informacφ. Tento termφn se vß₧e na jinß prßva jedince, a tak je p°esnß definice obtφ₧nß. Proto se takΘ termφn informaΦnφ soukromφ pou₧φvß spφÜe pro neformßlnφ motivaci k zajiÜt∞nφ ochrany osobnφch informacφ, pravidel pro jejich kontrolu a poskytovßnφ jin²m subjekt∙m atd. P°φklady relevantnφch bezpeΦnostnφch funkcφ mohou b²t anonymita, pseudonymita, nespojitelnost a nepozorovatelnost.

Ochrana informaΦnφho soukromφ nebo jen osobnφch dat m∙₧e b²t d∙vodem pro zajiÜt∞nφ bezpeΦnosti, stejn∞ jako t°eba ochrana firemnφch dat nebo informacφ vojenskΘ rozv∞dky. V ₧ßdnΘm p°φpad∞ nelze pojmy bezpeΦnost a informaΦnφ soukromφ voln∞ zam∞≥ovat, ale ani odd∞lovat.

Vysv∞tlenφ t∞chto dvou pojm∙ jsem si na zßv∞r nemohl odpustit. Ale slibuji, ₧e vßm popis pojm∙ a postup∙ pro p°φÜt∞ zpest°φm nebo¥ jest Ükola hrou...