Hryghr: Hryghr átnevezte a(z) Szoftverfejlesztés .NET plattformon - Jegyzet 12. fejezet lapot a következő névre: Szoftverfejlesztés .NET platformon - Jegyzet 12. fejezet: pontos név

2013-05-19T21:25:57Z

Hryghr átnevezte a(z) Szoftverfejlesztés .NET plattformon - Jegyzet 12. fejezet lapot a következő névre: Szoftverfejlesztés .NET platformon - Jegyzet 12. fejezet: pontos név

← Régebbi változat	A lap 2013. május 19., 23:25-kori változata
(Nincs különbség)

David14: David14 átnevezte a(z) User and Data Security lapot a következő névre: Szoftverfejlesztés .NET plattformon - Jegyzet 12. fejezet

2013-02-05T22:06:36Z

David14 átnevezte a(z) User and Data Security lapot a következő névre: Szoftverfejlesztés .NET plattformon - Jegyzet 12. fejezet

← Régebbi változat	A lap 2013. február 6., 00:06-kori változata
(Nincs különbség)

Unknown user: Új oldal, tartalma: „{{GlobalTemplate|Valaszthato|MCP70-536DataSecurity}} 70-536 .NET Framework 2.0 Application Development Foundation %TOC{depth="3"}%
=…”

2012-10-22T11:43:38Z

Új oldal, tartalma: „{{GlobalTemplate|Valaszthato|MCP70-536DataSecurity}} 70-536 .NET Framework 2.0 Application Development Foundation %TOC{depth="3"}% <div id="user_security"></div> =…”

Új lap

{{GlobalTemplate|Valaszthato|MCP70-536DataSecurity}}

70-536 .NET Framework 2.0 Application Development Foundation

%TOC{depth="3"}%

<div id="user_security"></div>
==User Security==

RBS = Role-Based Security <br>
ACL = Access Control List: pl. NTFS file rendszer jogok

=WindowsIdentity=: a Windows accountokat reprezentálja. Felhasználót nem tud authentikálni, csak a belépett felhasználóról ad információkat.
* =static WindowsIdentity GetCurrent()=: aktuális felhasználó lekérdezése
* =static WindowsIdentity GetAnonymous()=: anonymous felhasználó lekérdezése
* =static WindowsImpersonationContext Impersonate()=: felhasználót személyesít meg
* =IsAnonymous=: névtelen-e
* =IsAuthenticated=: be van-e jelentkezve
* =IsGuest=: vendég-e
* =IsSystem=: part of the operating system szerepkörbe tartozik
* =Name=: "domain\felhasználónév"
* =AuthenticationType=: hogyan authentikált (általában NTLM)
* =Token=: biztonsági token

=WindowsPrincipal=: a felhasználó milyen csoportokba tartozik bele. <pre>WindowsIdentity</pre>-k segítségével lehet a legkönnyebben megszerezni.
* =WindowsPrincipal currentPrincipal = new WindowsPrincipal(WindowsIdentity.GetCurrent());=
* =AppDomain.CurrentDomain.SetPrincipalPolicy(PrincipalPolicy.WindowsPrincipal);= <br>
=WindowsPrincipal currentPrincipal = (WindowsPrincipal)Thread.CurrentPrincipal;=
* =IsInRole()=: a felhasználó adott szerepben (pl. =(WindowsBuiltInRole.Administrator=,
=WindowsBuiltInRole.PowerUser= vagy =WindowsBuiltInRole.User=) van-e
* =PrincipalPermission[Attribute]=: joga van-e valakinek valamihez (imperatív / deklaratív)
** =Authenticated=: authentikálva van-e a felhasználó
** =Name=: felhasználó neve
** =Role=: felhasználó szerepe
** =Demand()=: jog imperatív ellenőrzése, ha nem sikerül, =Exception=

<div id="declarative_RBS"></div>
===Deklaratív RBS===

Fő hátránya, hogy csak metódusra használható, és a hívónak el kell kapnia az exceptiont, ami esemény esetén lehet a Windows is.

# =AppDomain.CurrentDomain.SetPrincipalPolicy()=: milyen policy-t használjunk az appdomain-ben
# =try-catch= blokkal elkapjuk a nem jogosult hívásokból adódó <pre>SecurityException</pre>-t
# =PrincipalPermission= attribútumokkal deklaráljuk a metódus a hívás feltételeit. Például: <br>
=[PrincipalPermission(SecurityAction.Demand, Role = @"BUILTIN\Administrators")]=

<div id="imperative_RBS"></div>
===Imperatív RBS===

Kisebb granularitással lehet szabályozni az egyes kódrészletekhez való hozzáférést.
# =AppDomain.CurrentDomain.SetPrincipalPolicy()=: milyen policy-t használjunk az appdomain-ben
# =try-catch= blokkal elkapjuk a nem jogosult hívásokból adódó <pre>SecurityException</pre>-t
# =PrincipalPermission= objektumban deklaráljuk a metódus a hívás feltételeit
** =PrincipalPermission(PermissionState)=
** =PrincipalPermission(name, role)=: a name =Environment.MachineName= + @"\felhasználónév" formájú
** =PrincipalPermission(name, role, authenticated)=
** nem fontos paraméterek: =null=
# =PrincipalPermission.Demand()=

<pre>
AppDomain.CurrentDomain.SetPrincipalPolicy(PrincipalPolicy.WindowsPrincipal);
string role = Environment.MachineName + @"\VS Developers";
try {
PrincipalPermission pp = new PrincipalPermission(null, role, true);
pp.Demand();
Console.WriteLine("Access allowed.");
// TODO: Main application
} catch(Security.SecurityException ex) {
Console.WriteLine("Access denied: " + ex.Message);
// TODO: Log error
}
</pre>

<div id="custom_users_roles"></div>
===Egyedi felhasználók és szerepek===

Identity implementálása
* =System.Security.IIdentity= interfész implementálásával
** kötelező property-k: =AuthenticationType=, =IsAuthenticated=, =Name=
** opcioniális property-k: cím, telefonszám, stb.
** kell egy konstruktor, ami az összes property értékét megkapja argumentumként
* =GenericIdentity : IIdentity= leszármaztatásával
* =WindowsIdentity=, =FormsIdentity=, =PassportIdentity=, stb. leszármaztatásával

Principal implementálása
* =IPrincipal= interfész implementálásával
** =konstruktor(IIdentity identity, string[] roles)=
** =IPrincipal Identity { get; }=
** =bool IsInRole(string role)=
** opcionálisan
*** =Roles=: visszaadja a szerepek listáját, amiben a felhasználó benne van
*** =IsInAllRoles=, =IsInAnyRole=
*** =IsHigherThanRole=, =IsLowerThanRole=: hierarchikus szereprendszer építhető ki velük
* =GenericPrincipal : IPrincipal= leszármaztatásával
* =WindowsPrincipal= leszármaztatásával

Principal beállítása: =Thread.CurrentPrincipal= = ...

===Távoli authentikáció===

<pre>Exception</pre>-ök távoli authentikációkor (pl. SSL)
* =AuthenticationException=: másfajta authentikáció kell, a stream nyitva marad
* =InvalidCredentialException=: a stream is lezáródik

<div id="ACL"></div>
===Access Control List===

ACL fajtái
* DACL = Discretionary Access Control List: user/group milyen erőforrásokhoz férhet hozzá
** ACE-kből (Access Control Entry-kből) áll
** öröklődik
** felhasználó akkor jogosult valamire, ha az egyik csoportja jogosult,
de egyikben sem tiltják explicit módon
* SACL = Security ACL.
Célja a logolás, aminek segítségével detektálhatók a hibás biztonsági beállítások és a behatolások.
** nem engedélyez vagy tilt
** ahol a DACL tilt, ott az SACL auditál
** Sikeres objektum (pl. file vagy mappa) hozzáférés esetén bekerül egy SuccessAudit bejegyzés az
Event Logba (ha be van kapcsolva a logolás)
** A Windows alapból nem auditál, ehhez be kell kapcsolni az Administrative Tools-on belül a
Local Security Policy ablakban.

ACL-ek kezelése felügyelt kódból
* =System.Security.AccessControl= névtér
* Minden erőforrás típusra (DirectorySecurity, FileSecurity, RegistrySecurity, stb.)
** =<type>Security=
** =<type>AccessRule=: DACL-t reprezentálja
** =<type>AuditRule=: SACL-t reprezentálja

<pre>
DirectorySecurity dirSec = new DirectorySecurity(@"dir", AccessControlSections.All)
AuthorizationRuleCollection arc = dirSec.GetAccessRules(true, true, typeof(NTAccount))
foreach (FileSystemAccessRule fsAccRule in arc)
Console.WriteLine("{0} {1} {2}",
fsAccRule.IdentityReference, fsAccRule.AuditFlags, fsAccRule.FileSystemRights);
</pre>

Ugyanez eljátszható RegistrySecurity-vel és GetAuditRules hívással is, semmi mást nem kell változtatni.

ACL változtatások véglegesítése:
=Directory.SetAccessControl(dir, accessRuleCollection);=

<div id="data_security"></div>
==Data Security==

=System.Security.Cryptography= névtér

<div id="symmetric_encryption"></div>
===Szimmetrikus titkosítás===

Azonos kulcs mindkét oldalon, előre meg kell osztani.

Algoritmusok
* DES: könnyen törhető a rövid, 56 bites kulcs miatt
* TripleDES: 112/156 bit kulcsméret
* RC2: DES-t váltja le, változtatható a kulcsméret
* RijndaelManaged (AES): 128 bites, és mivel nem hív natív kódot, partially trusted környezetben is használható. Ha a küldő és a fogadó is legalább Windows XP-t használ, ez a leggyorsabb.

=SymmetricAlgorithm=: a szimmetrikus kulcsú algoritmsok ősosztálya
* =BlockSize=, =FeedbackSize=, =IV= (initialization vector), =Key=, =KeySize= (bitekben),
=LegalBlockSize=, =LegalKeySizes=, =Mode= (pl. CBC), =Padding=
** megosztandó: =IV=, =Key= (=Salt=, =NumberOfIterations= nem kell)
* =CreateEncryptor()=, =CreateDecryptor()=, =GenerateIV()=, =GenerateKey()=, =VaildKeySize()=
* =Rfc2898DeriveBytes= osztállyal lehet kulcsot generálni jelszóból.
Kell: jelszó, salt, number of iterations

Titkosítás és visszafejtés lépései
# =Stream= objektum létrehozása
# =SymmetricAlgorithm= létrehozása
# =Key= és =IV= meghatározása
# =SymmetricAlgorithm.CreateEncryptor()= vagy =CreateDecryptor()=
visszad egy =ICryptoTransform= objektumot
# =CryptoStream= létrehozása, amibe beburkoljuk a valódi streamet (mint a tömörítésnél)
# <pre>Stream</pre>-ek lezárása

<pre>
using (FileStream inFile = new FileStream(inFileName, FileMode.Open, FileAccess.Read)) {
byte[] fileData = new byte[inFile.Length];
inFile.Read(fileData, 0, (int)inFile.Length);
}

SymmetricAlgorithm alg = new RijndaelManaged();
alg.GenerateKey();

using (FileStream outFile = new FileStream(outFileName, FileMode.OpenOrCreate, FileAccess.Write)) {
ICryptoTransform encryptor = alg.CreateEncryptor();
using (CryptoStream encryptStream = new CryptoStream(outFile, encryptor, CryptoStreamMode.Write))
encryptStream.Write(fileData, 0, fileData.Length);
}
</pre>

<div id="asymmetric_encryption"></div>
===Aszimmetrikus titkosítás===

Nincs közös titkos információ. Másik neve: nyilvános kulcsú titkosítás. Lassabb, mint a szimmetrikus kulcsú titkosítás.

=AsymmetricAlgorithm= ősosztály
* =KeyExchangeAlgorithm=
* =KeySize=
* =LegalKeySizes=
* =SignatureAlgorithm=

=RSACryptoServiceProvider : AsymmetricAlgorithm=
* Propertyk:
** =PersistKeyInCsp=: kulcs tárolódjon-e a CSP-ben
** =UseMachineKeyStore=: a kulcs a felhasználóhoz vagy a géphez legyen köthető
* Metódusok:
** =Encrypt()= / =Decrypt()=
** =ExportParameters(bool)=: kulcsok exportálása XML-be, =true=: a privát kulcsot is exportálja
** =ImportParameters()=: kulcsok importálása XML-ből
** =FromXmlString()=: kulcsok importálása XML-t tartalmazó stringből
* Kulcs részei
** =D=: privát kulcs
** =Exponent=, =Modulus=: publikus kulcs részei

<div id="hash"></div>
===Hash===

Nemkulcsolt hash algoritmusok
* absztrakt osztály (implementációs osztály)
* =MD5= (=MD5CryptoServiceProvider=): 128 bit
* =RIPEMD160= (=RIPEMD160Managed=): MD5 helyett, 160 bit
* =SHA1= (=SHA1CryptoServiceProvider=): 160 bit
* =SHA256= (=SHA256Managed=): 256 bit
* =SHA384= (=SHA384Managed=): 384 bit
* =SHA512= (=SHA512Managed=): 512 bit

Kulcsolt hash algoritmusok
* =HMACSHA1=: bármekkora kulcs, 20 byte-os hash
* =MACTripleDES=: 8/16/24 byte-os kulcs, 8 byte-os hash

Példa: kulcsolt =HMACSHA1= hash számítása <pre>args[0]</pre>-ból generált kulccsal

<pre>
byte[] saltValueBytes = Encoding.ASCII.GetBytes("This is my sa1t");
byte[] secretKey = new Rfc2898DeriveBytes(args[0], saltValueBytes).GetBytes(16);
HMACSHA1 myHash = new HMACSHA1(secretKey);
using (FileStream file = new FileStream(args[1], FileMode.Open, FileAccess.Read)) {
BinaryReader reader = new BinaryReader(file);
myHash.ComputeHash(reader.ReadBytes((int)file.Length));
}
Console.WriteLine(Convert.ToBase64String(myHash.Hash));
</pre>

Digitális aláírás =RSACryptoServiceProvider= vagy =DSACryptoServiceProvider= használatával
* =SignData()= / =VerifyData()=:
kiszámolja / ellenőrzi a file digitális aláírását
* =SignHash()= / =VerifyHash()=:
kiszámolja / ellenőrzi a file hash értékéből számolt digitális aláírását
* Azért van szükség külön ellenőrző metódusokra, mert az ellenőrzéskor elég a
küldő publikus kulcsát haszálni.

-- [[PallosPeter|Peti]] - 2007.06.27.

[[Category:Valaszthato]]

Szoftverfejlesztés .NET platformon - Jegyzet 12. fejezet - Laptörténet

Hryghr: Hryghr átnevezte a(z) Szoftverfejlesztés .NET plattformon - Jegyzet 12. fejezet lapot a következő névre: Szoftverfejlesztés .NET platformon - Jegyzet 12. fejezet: pontos név

David14: David14 átnevezte a(z) User and Data Security lapot a következő névre: Szoftverfejlesztés .NET plattformon - Jegyzet 12. fejezet

Unknown user: Új oldal, tartalma: „{{GlobalTemplate|Valaszthato|MCP70-536DataSecurity}} 70-536 .NET Framework 2.0 Application Development Foundation %TOC{depth="3"}% =…”

Unknown user: Új oldal, tartalma: „{{GlobalTemplate|Valaszthato|MCP70-536DataSecurity}} 70-536 .NET Framework 2.0 Application Development Foundation %TOC{depth="3"}%
=…”