Java Security Workshops

Forma: Wykład i Warsztat

Prowadzący : Tomek Wysocki

Cel: Zdobycie wiedzy i umiejętności dotyczącej kryptografii i sposobu jej użycia w Javie.

Poniżej materiał jaki będzie poruszany na warsztacie. Materiału jest dużo także zapewne nie wszystkie tematy będą poruszone.

Zakres wiedzy:

• Szyfry symetryczne, tryby łączenia i padding w algorytmach blokowych
• Algorytmy weryfikacji integralności, powiązanie z algorytmami hashowania i szyframi symetrycznymi i asymetrycznymi
• Pojęcia poufności, integralności, dostępności i niezaprzeczalności
• Pojęcia certyfikatu, łańcucha certyfikatów, infrastruktury klucza publicznego
• Pojęcie security End-To-End, ataki MTIM i mechanizmy wymiany klucza kryptograficznego (DH, RSAWRAP)
• Wybór i komponowanie algorytmów kryptograficznych, najpopularniejsze i najlepsze algorytmy, dobór siły szyfrowania
• Klucz kryptograficzny, hierarchie kluczy, mechanizmy zarządzania kluczami ich generacji za pomocą dywersyfikacji, pojęcie kluczy masterowych, zabezpieczających strefowych, zasady rotacji kluczy i ich używania, mechanizmy kompromitacji klucza
• Różnice między kryptografią symetryczną i asymetryczną
• Typowe wektory ataku i sposoby przeciwdziałania, typowe błędy programistów
• JSON Web Encryption and Signature, JWT, dostępne algorytmy i mechanizmy
• Wprowadzenie do blockchain’a, zastosowanych algorytmów kryptograficznych przy wykonywaniu transakcji i kopaniu z użyciem funkcji hashujących
• Wprowadzenie do chmurowych mechanizmów zarządzania kluczami

Zakres umięjętności

• Wykorzystanie frameworki security dostępnego w Javie w zakresie szyfrów, podpisów, weryfikacji, hashowania, generacji liczb losowych i innych standardowych algorytmów kryptograficznych
• Wykorzystanie narzędzia KeystoreExplorer do obsługi plikowych magazynów kluczy
• Wykorzystanie innych security providerów wpiętych w framework na przykładzie BouncyCastle
• Wykorzystanie biblioteki JOSE4J do zbudowania bezpiecznej usługi wymieniającej dane ze światem zewnętrznym
• Zbudowanie wallet’a przechowującego klucze do blockchain’a i wykorzystującego te klucze do podpisywania transakcji.
• Umiejętność wykorzystania chmurowych mechanizmów zarządzania kluczami na przykładzie AWS KMS’a do szyfrowania danych w bazie danych