Upload
lammert-hellmuth
View
114
Download
5
Embed Size (px)
Citation preview
04.12.2009 Public-Key-Infrastruktur 1
Public-Key-InfrastrukturPublic-Key-Infrastruktur
FG Praktische Informatik
Seminar Internet-Technologie
Uni Kassel
Dmitrij Funkner
04.12.2009 Public-Key-Infrastruktur 2
Public-Key-InfrastrukturPublic-Key-Infrastruktur
Gliederung
Sicherheitsaspekte der asymmetrischen Kryptographie
Asymmetrische Kryptographie (Rückblick)
Problematik der Public Key Verschlüsselung
Man-in-the-Middle Attack
Lösungsansatz: digitale Signaturen und Zertifikate
Public-Key-Infrastruktur
Eigenschaften einer PKI
Bestandteile einer PKI
Vertrauensmodelle
04.12.2009 Public-Key-Infrastruktur 3
Asymmetrische KryptographieAsymmetrische Kryptographie
Ablauf
Schlüsselpaar (private und public key)
Veröffentlichung des public key
Verschlüsselung anhand des public key (des Em-pfängers)
Entschlüsselung mit dem (vom Besitzer geheim gehaltenen) private key
04.12.2009 Public-Key-Infrastruktur 4
Problematik der Public Key Problematik der Public Key VerschlüsselungVerschlüsselung
Veröffentlichung des public key
Wurde der Schlüssel über eine unsichere Leitung veröffentlicht?
Liegt der public key auf einem „sicheren“ Daten-träger, Server...?
Wie kann man sicherstellen, dass es sich tatsächlich um den echten public key handelt?
04.12.2009 Public-Key-Infrastruktur 5
Problematik der Public Key Problematik der Public Key VerschlüsselungVerschlüsselung
Fazit
elektronisch übermittelte Daten durchlaufen viele Stationen auf dem Weg zum Empfänger
bei jeder durchlaufenen Station können die Daten verfälscht, manipuliert, abgehört etc. werden
Demzufolge:
Austausch der Schlüssel ist eine Schwachstelle
04.12.2009 Public-Key-Infrastruktur 6
Problematik der Public Key Problematik der Public Key VerschlüsselungVerschlüsselung
wenn man es schafft, einen Schlüssel unterzujubeln, hat man ein relativ sicheres Verfahren ausgehebelt
bei Kommunikationspartnern bleibt dieser „Eingriff“ meist unbemerkt
Daten nur zu verschlüsseln reicht für sichere Kom-munikation nicht aus
es muss eine Möglichkeit bestehen, die Zugehörigkeit (Identität) des public key zu prüfen
04.12.2009 Public-Key-Infrastruktur 7
Man-in-the-Middle AttackMan-in-the-Middle Attack
Ausnutzen der Schwachstelle mittels MITM Attack:
ein Angreifer steht entweder physisch oder logisch zwischen den Kommunikationspartnern
gibt sich gegenüber X als Y und bei Y als X aus
ist in der Lage, den Datenverkehr zu belauschen, manipulieren oder die Daten erst gar nicht an den Empfänger zu übermitteln
04.12.2009 Public-Key-Infrastruktur 8
Man-in-the-Middle AttackMan-in-the-Middle Attack
Nanny-in-the-Middle Attack (real life MITM Attack)
eine Frau gibt eine Anzeige mit einem Nanny Gesuch auf
sobald sich eine potentielle Nanny meldet, wird sie aufgefordert ihre Referenzen mitzuteilen
die Frau gibt wiederum eine Anzeige auf, jedoch bewirbt sie sich diesmal mit den guten Referenzen der Nanny
die Referenzen sind echt, jedoch für eine andere Person (Bezug zum Schlüsseltausch)
sie raubt die Familie aus, bei der sie eingestellt wurdeDie ganze Story: http://www.sfgate.com/cgi-bin/article.cgi?file=/chronicle/archive/2004/03/18/BAG6S5MUEO1.DTL
04.12.2009 Public-Key-Infrastruktur 9
Man-in-the-Middle AttackMan-in-the-Middle Attack
Beispiel im Bezug auf Rechnernetze (allgemein)
04.12.2009 Public-Key-Infrastruktur 10
Man-in-the-Middle AttackMan-in-the-Middle Attack
Beispiel im Bezug auf Rechnernetze (asymmetrische Kryptographie)
04.12.2009 Public-Key-Infrastruktur 11
LösungsansatzLösungsansatz
Zusätzlich zur Verschlüsselung der Daten ein Verfahren nutzen, das die Herkunft des public key eindeutig zuordnen lässt
→ digitale Signaturen in Verbindung mit digitalen Zerti-fikaten
04.12.2009 Public-Key-Infrastruktur 12
Digitale SignaturenDigitale Signaturen
Digitale Signatur
basiert auf Public-Key-Kryptographie ist eine Zahl, die berechnet wird und einer
Nachricht zugeordnet kann als eine handschriftliche Unterschrift ge-
sehen werden (im digitalen Sinne)
04.12.2009 Public-Key-Infrastruktur 13
Digitale SignaturenDigitale Signaturen
Quelle: http://ddi.cs.uni-potsdam.de/Lehre/e-commerce/elBez2-5/page08.html
04.12.2009 Public-Key-Infrastruktur 14
Digitale ZertifikateDigitale Zertifikate
Digitales Zertifikat digital signierte, elektronische Daten, die sich
zum Nachweis der Echtheit von Objekten verwenden lassen
hat eine begrenzte Gültigkeitsdauer bindet einen öffentlichen Schlüssel an eine
Identität sorgt für die Vertraulichkeit, Authentizität und
Integrität
04.12.2009 Public-Key-Infrastruktur 15
Digitale ZertifikateDigitale Zertifikate
Ein Zertifikat enthält die folgenden Daten:
Angaben zur Person (Aussteller) dessen öffentlichen Schlüssel Fingerprints Gültigkeitsdauer Name der Zertifizierungsstelle Trägt die digitale Signatur der
Zertifizierungsstelle …
04.12.2009 Public-Key-Infrastruktur 16
Digitale ZertifikateDigitale Zertifikate
Quelle: http://ddi.cs.uni-potsdam.de/Lehre/e-commerce/elBez2-5/page10.html
04.12.2009 Public-Key-Infrastruktur 17
Digitale ZertifikateDigitale Zertifikate
Zertifikatskette
wird auch als Zertifikationspfad bezeichnet eine Reihe von Zertifikaten, die sich gegenseitig
signieren Eigentümer des Stammzertifikats ist eine Zertifi-
zierungsstelle
04.12.2009 Public-Key-Infrastruktur 18
Public-Key-InfrastrukturPublic-Key-Infrastruktur
Eigenschaften einer PKI
Public-Key-Infrastruktur ist ein asymmetri-sches Kryptosystem
ein System, das digitale Zertifikate ausstellt, verteilt und sie auf ihre Gültigkeit prüft und evtl. widerruft
04.12.2009 Public-Key-Infrastruktur 19
Public-Key-InfrastrukturPublic-Key-Infrastruktur
Bestandteile einer PKI
Certificate Authority (CA) Registration Authority (RA) Certificate Revocation List (CRL) Verzeichnisdienst Validation Authority (VA)
04.12.2009 Public-Key-Infrastruktur 20
Bestandteile einer PKIBestandteile einer PKI
Certificate Authority (CA)
erstellt Zertifikate signiert Zertifikate bestätigt Zertifikate gegenüber Dritten
Registration Authority (RA)
nimmt die Zertifikatsanträge an prüft sie auf ihre Daten bei Genehmigung wird es von CA signiert
04.12.2009 Public-Key-Infrastruktur 21
Bestandteile einer PKIBestandteile einer PKI
Certificate Revocation List (CRL)
eine Sperrliste für Zertifikate
dient zum Ausschluß der Zertifikate die vor-zeitig abgelaufen sind
kann verschiedene Gründe haben:
Mitarbeiter verlässt die Firma etc.
04.12.2009 Public-Key-Infrastruktur 22
Bestandteile einer PKIBestandteile einer PKI
Verzeichnisdienst
stellt ein durchsuchbares Verzeichnis mit Zer-tifikaten und der CLR
Validation Authority (VA)
überprüft Zertifikate in Echtzeit
04.12.2009 Public-Key-Infrastruktur 23
VertrauensmodelleVertrauensmodelle
Direct Trust
Der Benutzer vertraut darauf, dass das Zertifi-kat echt ist, weil er weiß wo es her stammt
Hierarchical Trust
Graphisch als Baum darstellbar
Stammzertifizierungsstelle ist Wurzel des Bau-mes
04.12.2009 Public-Key-Infrastruktur 24
VertrauensmodelleVertrauensmodelle
Web of Trust
Quelle: http://de.wikipedia.org/wiki/Datei:Web_Of_Trust.png
04.12.2009 Public-Key-Infrastruktur 25
LiteraturverzeichnisLiteraturverzeichnis
Literatur Buchmann, Johannes, Einführung in die Kryptographie, 4. erw. Aufl.,
Berlin/Heidelberg 2008.
Meinel, Christoph /Harald Sack, Digitale Kommunikation. Vernetzen, Multimedia, Sicherheit, Berlin/Heidelberg 2009.
Wölfl, Thomas, Formale Modellierung von Authentifizierungs- und Autorisierungsinfrastrukturen. Authentizität von deskriptiven Attributen und Privilegien auf der Basis digitaler Zertifikate, Regensburg 2006.
04.12.2009 Public-Key-Infrastruktur 26
Literaturverzeichnis
Internetverweise http://www-rn.informatik.uni-bremen.de/lehre/itsec/itsec05-6a.pdf
http://www.dorisdiedrich.de/sicherheit.pdf
http://de.wikipedia.org/wiki/Public-Key-Infrastruktur
http://de.wikipedia.org/wiki/Digitales_Zertifikat
http://de.wikipedia.org/wiki/Digitale_Signatur
http://www.sicherheitskultur.at/man_in_the-middle.htm
http://freeworld.thc.org/papers/ffp.html
http://www.uni-regensburg.de/e/r/Systembetreuer/Netzwerksicherheit/
CA/01752_de.phtml