Õppeaine "Andmeturve ja krüptoloogia"
 

• Üldteave
• Protsessuaalne teave
• Loengute sisu ja materjalid
• Iseseisev töö ja hindamine
• Kirjandus
• Kontakt

 

Üldteave

• Aine pealkiri: Andmeturve ja krüptoloogia (Data Security and Cryptology)
• Aine lugemispaik: IT Kolledz, 2010. aasta sügissemester
• Aine eesmärk: anda süsteemne ülevaade kaasagsest andmeturbest ja krüptoloogiast nii teoreetilise kui ka praktilise poole pealt mahus, mis on vajalik ühele infotehnikaga tegelkevale praktikule selle valdkonna piisavaks tundmiseks.

Protsessuaalne teave

• Loengute toimumisaeg: 2010. aasta sügissemestril kord nädalas, teisipäeviti kella 12.00-13.30, ruumis 316
• Harjutuste ja laborite toimumisaeg: alates oktoobrist, teisipäeviti kella 14.00-15.30
• Ainepunkte: 3,0
• Ainekood: I301
• Lõpeb: hindelise arvestusega, kujutab endast valikvastustega testi (80 küsimust)
• Aine maht: 16 paaristundi loenguid (sh eksam), 8 paaristundi praktikume, 4 paaristundi harjutusi + 64 tundi iseseisvat tööd
• Õppematerjalide jaotamine: aine veebilehe kaudu MS PowerPoint 2000 vormingus failidena
• Loenguväline suhtlus õppejõu ja tudengite vahel: Interneti teel käesoleva veebilehe ning meili vahendusel

Loengute sisu ja materjalid

1. Sissejuhatus, infoturbe olemus. Infoturve, selle mõiste, olemus ja tähtsus kaasaja infosüsteemides ning maailmas. Käideldavus, terviklus ja konfidentsiaalsus, nende olemus erinevates infosüsteemides ja infovarade kaitsel. Turbe majanduslik külg. Turvaprobleemi lahendamine praktikas. Toimumisaeg 31. august. Loengumaterjalid PPT vormingus.
2. Turvaeesmärkide saavutamise üldpõhimõtted. Turvaohud ja nende liigitamine. Üldised jooned, kuidas tagatakse paber- ja digiteabe käideldavus, terviklus ja konfidentsiaalsus. Turvaohtude liigitus: stiihilised ohud ja ründed. Meetodid, mida kasutatakse ohtude leidmisel ja hindamisel. Ohtude sagedus.
3. Infosüsteemide nõrkused ja rakendatavad turvameetmed. Nõrkuste liigitus. Nõrkuste koosmõju ohtudega, turvarisk. Turvameetmed, nende klassifitseerimine ja liigid. Komplekttoimega meetmed. Näited.   
4. Riskihaldus ja riskihaldusmetoodikad. Riskihaldus turvaülesande praktilise lahendamise tööriistana. Selle neli alternatiivi - riskianalüüs, etalonturbe metoodika, segametoodika ja mitteformaalne metoodika; nende võrdlus. Kvalitatiivne ja kvantitatiivne riskianalüüs, näited. Etalonturbe metoodika näide BSI ja ISKE najal.   
5. Krüptograafia esiajalugu. Krüpteerimise olemus ja põhimõisted. Krüptograafia ajalugu, traditsioonilised võtted. Krüptograafia sünd ja areng kuni arvutite ilmumiseni, tuntuimad traditsioonilised võtted. Krüptoloogia rolli muutumine 20. sajandi teisel poolel.     
6. Krüptoloogia olemus. Kaasaja krüptograafia ülevaade. Krüptograafia põhimõisted, olemus ja eesmärgid. Peamised algoritmide liigid, nende kasutamine. Krüptoanalüüsi olemus ja omadused. Teoreetiline ja praktiline turvalisus. Praktilise turve saavutamise teed.     
7. Sümmeetrilised krüptoalgoritmid. AES. Sümmeetriliste krüptoalgoritmide olemus, tööresiimid, kasutatavus ja turvalisus. Algoritm AES, tema saamislugu, üldandmed ja tehniline kirjeldus. AES turvalisus ja kasutusresiimid..      
8. Alternatiivseid sümmeetrilisi krüptoalgoritme AESile.  IDEA, Skipjack, Blowfish, RC4. Nende omadused, turvalisus, kasutatavus. DES ajaloolise tagasivaatena.        
9. Asümmeetilised krüptoalgoritmid, RSA. Olemus, omadused, matemaatiline tagapõhi ja peamised terminid. Näide. Praktiline kasutatavus ja näpunäiteid, realisatsioonid.     
10. Krüptoräsid. Krüptoprotokollid, TLS. Krüptoräside olemus, omadused ja nõuded neile. Kasutatavaimad algoritmid,  nende teoreetiline ja praktiline turvalisus. Sõnumi autentimiskood kui võtmega räsifunktsioon, nende kombineritavus. Krüptoprotokollid. Protokoll TLS (SSL),  lühikirjeldus ja kasutatavus.       
11. Digiallkiri ja selle kasutamine. Digiallkirja hädavajalikkus digidokumendihalduses. Digitaalallkiri kui avaliku võtmega krüptograafia rakendus. Privaat- ja avaliku võtme käsitlemise tavad. Sertifitseerimine, sertifikaat. Ajatempel ja kehtivuskinnitus, nende teenuste osutajad. Sertifitseerimise infrastruktuur ja PKI.  Digiallkiri Eestis.        
12. Digiallkiri ja digiasjaajamine praktikas. Digiarhiveerimine. Digiallkirja eripärad praktikas ja võrdlus omakäelise allkirjaga.  Digiasjaajamine ja digiarhiveerimine. Digiarhiveerimise peamised alusprobleemid. Paber- ja digidokumendi vahekorrast.  
13. Andmebaaside turve. Võrguturve.  Andmebaaside turve teoorias ja praktikas. Krüptoaheldamise tähtsus ja vajalikkus ning praktiline kasutatavus. Riistvaralise turvamooduli roll. Võrguturbe vajalikkus. Tulemüür, virtuaalne privaatvõrk, krüptomüür. Turvaline kaugtööklient.  
14.  Organisatsiooni turve ja turbehaldus. Organisatsiooni turbe ülesehituspõhimõtted. Turbehalduse funktsioonid ja tegevused, turvapoliitika olemus. Infoturbe foorum ja selle roll. Riskihaldusmetoodika valimine. Infoturbeplaan, turvameetmete teostamine ja järeltegevused. Seonduvad standardid maailmas ja Eestis.  
15. Turbe õiguslik reguleerimine. Isikuandmete kaitse.  Avaliku teabe seadus avaliku sektori andmekogude reguleerijana. ISKE ja X-tee projektid. Isikuandmed, isikuandmete kaitse seadus. Isikuandmete kaitse versus ISKE.
16. Turbe sotsiaalseid elemente. Turbe mõju infosüsteemidele ja sealtkaudu ühiskonnale. Küberründed, kübersõda, küberkaitse. Infosõda ja kübersõda, erinevate subjektide osakaal ja roll nende valguses. Küberkaitse vs infoturve, küberkaitse peamised probleemid ja nende võimalik lahendamine.

2009. aastal IT Kolledzis loetud kursuse materjalid on saadaval  aadressil http://www.itcollege.ee/~valdo/turve/2009/  (sel aastal on materjale mitmeti muudetud ja täiustatud).

 

Iseseisev töö ja hindamine

Iseseisev töö: referatiivne töö ühel etteantud teemal; (tähtaeg 14. õppenädala algus ehk 29. november kell 0:00:01). Referaadi esitatus ja arvestatus on eeldus testile pääsemiseks Lisaks peavad testile pääsemiseks tehtud olema laborites antud kodutööd.

Teadmiste kontrolli vormid: hindeline arvestus on kirjalik, kujutades endast valiktesti olulisemate andmeturbe ja krüptoloogia faktide kohta, mida tuleb täita ilma abimaterjalideta.

Aine arvestuse hinde määrab põhifaktide tundmist kontrolliv valiktest (80 küsimust), testile saamise eelduseks on tehtud jooksev töö (laboritööd) + referaat. Test toimub abimaterjalideta.

 

 

Kirjandus

Põhiõpikut aines ei ole, loengute käigus tekivad MS PowerPoindi vormingus slaidiprogrammid, mis katavad aine. Juba loetud loengute materjalid on kättesaadavad käesolevalt lehelt..

Suur hulk ingliskeelseid raamatud ja mõned eestikeelsed teoses katavad loengukursuse erinevaid osi, kuid neid kõiki tuleks vaadata täiendava, toetava kirjandusena:

•            V. Hanson. Infosüsteemide turve. 1. osa: turvarisk. Tallinn, AS Cybernetica, 1997, 125 lk

•            V. Hanson, A. Buldas, H. Lipmaa Infosüsteemide turve. 2. osa: turbe tehnoloogia. Tallinn, AS Cybernetika, 1998, 372 lk

•            V. Praust. Digitaalallkiri — tee paberivabasse maailma. Tallinn, ILO, 2001, 179 lk

•            A. Kirna. Arvutikaitse ABC. Paar, 2008, 100 lk

•            H. Mägi, L. Vitsut. Infosõda: visioonid ja tegelikkus. Tallinn, EE, 2008

•            T. Beltier, J. Beltier, J. Blackley. Information Security Fundamentals. Auerbach, 2004

•            A. Manezes, P. Oorschot, S. Vanstone. Handbook Of Applied Cryptography. CRC Press, 2001

•            J. Katz, Y. Lindell. Introduction to modern cryptography. CRC Press, 2007

Kontakt

Valdo Praust - arvuti- ja andmeturbespetsialist, tehnikamagister
tel 514 3262
e-post: mois@mois.ee