Embed Size (px)
Citation preview
11.06.2002 Gruppe 8 - NWSA 1
NetzwerksicherheitKryptographie
Martin Heel
11.06.2002 Gruppe 8 - NWSA 2
• Gegen wen wollen wir uns schützen?
• Gegen was wollen wir uns schützen?
• Welche Objekte sollen insbesondere geschützt werden?
• Wie erreichen wir diese Ziele?
Grundfragen zur Datensicherheit
11.06.2002 Gruppe 8 - NWSA 3
Welche Objekte müssen im Besonderen geschützt
werden?
• Dateien mit persönlichen oder geschäftlichen Informationen (Aspekte der sicheren Speicherung)
• E-Mails mit Dateianhängen (Aspekte des sicheren Transports)
• Betriebsfähigkeit unserer Arbeits- und Kommunikationsmittel (Aspekt der Sabotage, Denial-of-Service)
Datensicherheit 1
11.06.2002 Gruppe 8 - NWSA 4
„Jede Kette ist so schwach wie ihr schwächstes Glied“
• Verrat (beabsichtigt oder unbeabsichtigt)
• Social Engineering (Ausnutzen von Vertrauen)
• Physischer oder Software-Einbruch
Datensicherheit 2
11.06.2002 Gruppe 8 - NWSA 5
Datensicherheit ist die Verhinderung von:
• Datenverlust• Datendiebstahl• Datenverfälschung
Datensicherheit 3
Vorbeugende Maßnahmen müssen die Vollständigkeit
und die Korrektheit der Daten gewährleisten.
11.06.2002 Gruppe 8 - NWSA 6
Zurechenbarkeit
Datenauthentizität Nicht-Abstreitbarkeit Zugriffskontrolle
Vertraulichkeit Datenintegrität Authentifikation Verfügbarkeit
Höhere D
iensteB
asisdiensteInformationstechnische
Sicherheitsdienste
11.06.2002 Gruppe 8 - NWSA 7
• Vertraulichkeit
• Datenintegrität
• Authentifikation
• Verfügbarkeit
Basisdienste
11.06.2002 Gruppe 8 - NWSA 8
Der Basisdienst Vertraulichkeit ist darauf bedacht,
den Zugriff von unberechtigten Dritten auf Daten
zu verhindern.
Dies kann durch Verschlüsselung von Daten
und durch Abschottung von Teilnetzen geschehen.
Basisdienst 1
11.06.2002 Gruppe 8 - NWSA 9
A B
Internet
Kann ich sicher sein, dass niemand außer B die Information
„HALLO“ erhält?
„HALLO“
Basisdienst 1
11.06.2002 Gruppe 8 - NWSA 10
Kryptografie:
Verschlüsselung von Information unter Einbeziehung
eines Schlüssels.
Einfache Geheimschrift:
Jedem Zeichen eines Zeichenvorrats wird ein anderes
Zeichen desselben Zeichenvorrats zugeordnet.
Weiterentwicklung durch komplexe mathematische
Methoden.
Vertraulichkeitsverfahren 1
11.06.2002 Gruppe 8 - NWSA 11
Weiterentwicklung der einfachen Geheimschrift in
symmetrische und asymmetrische Kryptografie.
Symmetrisches Verschlüsselungsverfahren:
Die Ver- und Entschlüsselung erfolgt mit demselben
geheimen Schlüssel.
Problem: beide Parteien müssen paarweise einen
geheimen Schlüssel vereinbaren und zudem sicher
übertragen.
Vertraulichkeitsverfahren 2
11.06.2002 Gruppe 8 - NWSA 12
Asymmetrisches Verschlüsselungsverfahren:
Hierbei kommen Schlüsselpaare zum Einsatz:• Privater Schlüssel:
Die Verwendung des privaten Schlüssels gewährleistet eigene Authentizität.
• Öffentlicher Schlüssel:Das Dokument kann nur mit dem passenden privaten Schlüssel entschlüsselt werden.
Vertraulichkeitsverfahren 3
Eine Meldung in einem Schlüssel kann nur vom jeweils
anderen Schlüssel entschlüsselt werden.
11.06.2002 Gruppe 8 - NWSA 13
Datenintegrität soll garantieren, dass Daten im „Originalzustand“ vorliegen.
Die Manipulation von Daten auf dem Übertragungsweg soll ausgeschlossen bzw. zuverlässig erkannt werden.
Basisdienst 2
11.06.2002 Gruppe 8 - NWSA 14
A B
Internet
„HALLO“
Sagte A wirklich „HALLO“ ?
Basisdienst 2
11.06.2002 Gruppe 8 - NWSA 15
Hash-Funktionen:
• Für jede Zeichenfolge wird ein eindeutiger Hash-Wert errechnet.
• Aus beliebig vielen Daten wird ein kurzer (128 oder 160 Bit) und eindeutiger Wert generiert.
• Keine Rückschlüsse auf ursprüngliche Daten.• Meist sichere Hash-Funktionen: „digitaler
Fingerabdruck“• z.B. Secure Hash Algorithm (160 Bit)
Integritätsverfahren
11.06.2002 Gruppe 8 - NWSA 16
Die Verfügbarkeit liefert die Garantie des dauernden „Zur-Verfügung-Habens“ von bestimmten Diensten.
Die Verfügbarkeit im Netzwerk ist unter anderem durch Denial-of-Service Angriffe bedroht, die die Kommunikations- und Rechner-Ressourcen aufbrauchen. Die Möglichkeit solcher Angriffe muss schon im Entwurf von zukünftigen Protokollen berücksichtigt werden.
Basisdienst 2
11.06.2002 Gruppe 8 - NWSA 17
A B
Internet
C
Schadet mir das Verhalten von C ?
1.000.000 mal „HALLO“
Basisdienst 3
11.06.2002 Gruppe 8 - NWSA 18
Der Basisdienst Authentifikation soll die
nachweisliche Identifikation des
Kommunikationspartners garantieren.
Problem: Die Authentifikation erfolgt meist am
Anfang eines Datentransfers, der Angreifer
kann sich aber während der Übertragung
„einklinken“!
Basisdienst 4
11.06.2002 Gruppe 8 - NWSA 19
SENDER
ANGREIFER
Start Übertragung Ende
Authentifikation
„Einklinken“
Basisdienst 4
11.06.2002 Gruppe 8 - NWSA 20
Es gibt drei verschiedene Vorgehensweisen:• Kenntnis eines Geheimnisses
z.B. Kennwort• Besitz eines bestimmten Gegenstandes oder
Dokumentsz.B. Chipkarten bei Banken
• Körperliche Merkmalenicht veränderliche und schwer nachzubildende körperliche Merkmalez.B. biometrische Authentifikationsverfahren wie Fingerabdruck- oder Netzhautscan
Authentifikationsverfahren
11.06.2002 Gruppe 8 - NWSA 21
• Datenauthentizität
• Nicht-Abstreitbarkeit
• Zugriffskontrolle
• Zurechenbarkeit
Höhere Dienste
11.06.2002 Gruppe 8 - NWSA 22
Datenauthentizität:• Nachweisliche Identifikation von Information• Beweis der Integrität und Beweis der Herkunft• (z.B. durch digitale Signaturen)
Täuschungsversuche, die dem
Kommunikationspartner eine falsche Identität
vorspiegeln, müssen unterbunden werden.
Datenauthentizität
11.06.2002 Gruppe 8 - NWSA 23
Nicht-Abstreitbarkeit: eindeutige Belegbarkeit des
Empfangs bzw. des Erhalts einer Meldung.
Einige Arten der Nicht-Abstreitbarkeit:• Nicht-Abstreitbarkeit des Senders
(Schutz des Empfängers)• Nicht-Abstreitbarkeit des Empfangs
(Schutz des Absenders)• Nicht-Abstreitbarkeit der Übermittlung
(Schutz gegen Fehler im Übertragungssystem)
Nicht-Abstreitbarkeit
11.06.2002 Gruppe 8 - NWSA 24
Die Zugriffskontrolle erteilt die Autorisierung von
Zugriffen aufgrund der Legitimation des jeweiligen
Benutzers.
Leserechte, Schreibrechte oder Rechte der Löschung
oder Beobachtung eines Datenobjekts können
unterschieden werden, und aufgrund von vorher
festgelegten Kriterien zugeteilt werden.
Zugriffskontrolle
11.06.2002 Gruppe 8 - NWSA 25
Die Zurechenbarkeit basiert auf einem Protokoll, das den Benutzer inklusive der in Anspruch genommenen Systemressourcen aufzeichnet.
Voraussetzung ist eine funktionsfähige Zugriffskontrolle sowie Nicht-Abstreitbarkeit.
Zurechenbarkeit
11.06.2002 Gruppe 8 - NWSA 26
Netzwerksicherheitaktive & passive Angriffe
Michael Layr
11.06.2002 Gruppe 8 - NWSA 27
Bereiche der Netzwerksicherheit
Systemsicherheit
• Physische Sicherheit• Softwaretechnische Sicherheit
Kommunikationssicherheit
• Sicherheit der Daten während der Übertragung
11.06.2002 Gruppe 8 - NWSA 28
Arten von Angriffen
Passive Angriffe
• Eavesdropping
• Kryptoanalyse
• Brute-Force-Angriff
• Statische Verkehrsanalyse
11.06.2002 Gruppe 8 - NWSA 29
Passive Angriffe
Eavesdropping
• Verbindungen werden belauscht und die dabei übertragenen Daten aufgezeichnet.
• Hiervon sind sowohl kabelgebundene als auch drahtlose Kommunikationswege betroffen.
• Glasfaserkabel erschweren das Abhören; möglich ist es aber auch hier
11.06.2002 Gruppe 8 - NWSA 30
Passive Angriffe
Kryptoanalyse
• Schwächen des Verschlüsselungsverfahrens• Gegenmaßnahme:
Test des Algorithmus durch Kryptographieexperten
Brute-Force-Angriff
• Alle möglichen Schlüssel werden nacheinander ausprobiert.
11.06.2002 Gruppe 8 - NWSA 31
Passive Angriffe
Statische Verkehrsanalyse
• Bereits das Zustandekommen des Kommunikationsvorganges stellt eine vertrauliche Information dar.
• Rückschlüsse auf Inhalt aus Art, Menge und Häufigkeit der Datenübertragung
11.06.2002 Gruppe 8 - NWSA 32
Arten von Angriffen
Aktive Angriffe
• Manipulation/Zerstörung der Hardware
• Denial-of-Service (DoS)
• Distributed Denial-of-Service (DDoS)
• Replay Attack
• Erraten von Kennwörtern
• Social-Engineering
11.06.2002 Gruppe 8 - NWSA 33
Aktive Angriffe
Zerstörung von Hardwarekomponenten
• Durchtrennen von Kabeln
Denial-of-Service
• Angreifer überlastet durch etliche gültige oder ungültige Anfragen den Server und bringt das Softwaresystem zum Absturz.
11.06.2002 Gruppe 8 - NWSA 34
Aktive Angriffe
DDoS
11.06.2002 Gruppe 8 - NWSA 35
Aktive Angriffe
Replay Attack
• Nachricht wird wiederholt versendet.
• Angreifer verändert die Nachricht auf dem Weg zum Empfänger Inhalt wird verfälscht.
• Angreifer kommuniziert im Namen des Absenders und kann somit großen Schaden anrichten.
11.06.2002 Gruppe 8 - NWSA 36
Aktive Angriffe
Hacker/Cracker
• Hacker: versuchen auf vorhandene Sicherheitsprobleme aufmerksam zu machen.
• Cracker: versuchen unberechtigt Informationen zu entwenden oder zu zerstören.
11.06.2002 Gruppe 8 - NWSA 37
Aktive Angriffe
Möglichkeiten wie Hacker/Cracker Zugang zu
Rechnersystemen erlangen:
• Erraten von Kennwörtern
- Manuelles
- Automatisches
• Social-Engineering
- Verbale Interaktion
11.06.2002 Gruppe 8 - NWSA 38
Malware
Computerviren
• Definition: Programme, die vom Fachmann als„malicious software“
bezeichnet werden.
• Arten: - Virus- Wurm- Trojanisches Pferd- Logische Bombe- Hoax
11.06.2002 Gruppe 8 - NWSA 39
Malware
Viren
• Boot-Sektor-Viren
werden aktiv, wenn von Diskette oder Festplatte
gestartet wird
• Dateiviren
befallen ausführbare Dateien
• Makroviren
legen Informationen in Makros ab und sind besonders
gefährlich, da sie leicht zu programmieren sind
11.06.2002 Gruppe 8 - NWSA 40
Malware
Wurm
kann sich selbst fortpflanzen
• mögliche Sicherheitslücken
– Buffer Overflow Bug im finger-Daemon– DEBUG-Loch im sendmail– Brute Force-Angriff auf schlechte Paßwörter
11.06.2002 Gruppe 8 - NWSA 41
Malware
Trojanisches Pferd
• Äußerlich harmloses, attraktiv erscheinendes Programm, das beim Starten Unheil anrichtet.
• Benutzer muss aktiv eingreifen um Trojaner zu starten.
11.06.2002 Gruppe 8 - NWSA 42
Malware
Logische Bombe
• Dem Trojaner sehr ähnlich
• Werden in umfangreichen Software-Paketen versteckt und treten erst nach langer Zeit durch Zusammenspiel bestimmter Begleitumstände auf.
11.06.2002 Gruppe 8 - NWSA 43
Malware
Hoax
falsche Meldung über MALWARE
• Kein Virus im eigentlichen Sinn.
• Das Beseitigen kann genauso viel Arbeit kosten wie bei echter MALWARE.
• Wird als E-Mail in der Art eines Kettenbriefes verschickt.
11.06.2002 Gruppe 8 - NWSA 44
NetzwerksicherheitFirewalls, Monitoring, Virtual Private Networks
Mario Wiletial
11.06.2002 Gruppe 8 - NWSA 45 “„ Alle
acht Sekunden
wird ein
Unternehmensnetz gehackt ...
23.04.2002 newsticker | www.checkpoint.de
11.06.2002 Gruppe 8 - NWSA 46
Ökonomische Aspekte
Es entstehen Kosten für:
• Einrichten der Hard- und Software
• Wartung
• Schulung der Netzwerkadministratoren
11.06.2002 Gruppe 8 - NWSA 47
Ökonomische Aspekte
• Finanzieller Schaden durch verfälschte Daten
• Industriespionage
• Systemausfälle durch eingeschleuste Viren
• Kosten der Bekämpfung einer Attacke
• Juristische Konsequenzen
• Vertrauensverlust des Kunden
11.06.2002 Gruppe 8 - NWSA 48
Kosten - Nutzen
Finanzieller und organisatorischer Aufwand
vs.
Möglicher Schaden
11.06.2002 Gruppe 8 - NWSA 49
Arten der Netzwerksicherung
• Firewalls
• Intrusion Detection (IDS) / Monitoring
• Virtual Private Networks (VPN)
11.06.2002 Gruppe 8 - NWSA 50
Firewalls
• Packet Filtering (Paketfilter)
• Proxy-based (Applikationsgateway)
• Stateful Inspection
• Personal Firewalls
11.06.2002 Gruppe 8 - NWSA 51
Paketfilter
Vorteile
• Gute Performance
• Einfach konfigurierbar
Nachteile
• Missbrauch von Protokollen
nicht erkennbar
• Ausnutzung von
Schwachstellen möglich
• Nur bei wenig komplexen
Problemstellungen
anwendbar
11.06.2002 Gruppe 8 - NWSA 52
Firewalls
• Packet Filtering (Paketfilter)
• Proxy Based (Applikationsgateway)
• Stateful Inspection
• Personal Firewalls
11.06.2002 Gruppe 8 - NWSA 53
Applikationsgateway
Vorteile
• Gesamtes Netz bleibt
verborgen
• Gute Protokollfunktion
Nachteile
• Langsamer als der
Paketfilter
• Wartungsintensiv
• Fehlfunktion führt zu Ausfall
11.06.2002 Gruppe 8 - NWSA 54
Firewalls
• Packet Filtering (Paketfilter)
• Proxy Based (Applikationsgateway)
• Stateful Inspection
• Personal Firewalls
11.06.2002 Gruppe 8 - NWSA 55
Stateful Inspection
Nachteile:
• Hoher Arbeitsaufwand für
das IT-Personal
• Keine
Benutzerauthentisierung
Vorteile:
• Komplexe
Problemstellungen lösbar
• Flexibel
• Schnell
11.06.2002 Gruppe 8 - NWSA 56
Firewalls
• Packet Filtering (Paketfilter)
• Proxy Based (Applikationsgateway)
• Stateful Inspection
• Personal Firewalls
11.06.2002 Gruppe 8 - NWSA 57
Personal Firewalls
• Für Rechner mit direktem Internetzugang
• Erhöhte Sicherheit vor Trojanern
• Für mittlere/große Unternehmen nicht geeignet
11.06.2002 Gruppe 8 - NWSA 58
Screenshot: Filterregeln
11.06.2002 Gruppe 8 - NWSA 59
Aufbau: Firewall-System
11.06.2002 Gruppe 8 - NWSA 60
Aufbau: Firewall-System
Bei hohen Anforderungen:
Einrichtung einer sog. demilitarisierten Zone (DMZ), wobei
der Zugriff für eine eingeschränkte Gruppe möglich und
sinnvoll ist.
11.06.2002 Gruppe 8 - NWSA 61
Intrusion Detection (Monitoring)
• Schutz vor Attacken „berechtigter“ Personen
• Suche nach bekannten „Angriffsmustern“
• Dynamische Änderung der Firewall-Regeln
11.06.2002 Gruppe 8 - NWSA 62
Intrusion Detection – Arten
• NIDS – Network Intrusion Detection System
• HIDS – Host-based Intrusion Detection System
11.06.2002 Gruppe 8 - NWSA 63
NIDS – Eines für alles...
Vorteile
• Ein System für das ganze
Netz
• Beweise schwer zu
vernichten
• Betriebssystemunabhängig
Nachteile
• Ausfall bei hohem
Datentransfer
• Neue Verschlüsselungen
für das NIDS „unbekannt“
• Arbeitsintensive Tätigkeit
für das IT-Personal
11.06.2002 Gruppe 8 - NWSA 64
HIDS – Die Alternative
Wird auf jedem Rechner installiert
Noch mehr Aufwand für das IT-Personal
Ist dafür imstande viel tiefer zu analysieren
11.06.2002 Gruppe 8 - NWSA 65
Virtual Private Networks (VPN)
• Internet wird als Trägermedium eingesetzt
• Billiger als Standleitungen
• Daten werden kryptographisch verschlüsselt („tunneling“)
11.06.2002 Gruppe 8 - NWSA 66
VPN – Arten
• LAN-2-LAN
Koppelung zweier Unternehmensstandorte
• Client-2-LAN
Einwählen eines Telearbeiters ins Intranet
11.06.2002 Gruppe 8 - NWSA 67
VPN – Aufbau
Internet
"Tunnel"
"Tunnel"
11.06.2002 Gruppe 8 - NWSA 68
NetzwerksicherheitSSL/TLS, WEP
Leila Saleh
11.06.2002 Gruppe 8 - NWSA 69
Secure Socket Layer (SSL)
• SSL-Protokoll ursprünglich von der Firma Netscape entwickelt
• Zweck: vertrauliche Daten sicher über öffentliche Netze übertragen
• Einsatz von symmetrischen und asymmetrischen Kryptographie-Verfahren
• Bestandteil von gängigen Web-Browsern
11.06.2002 Gruppe 8 - NWSA 70
SSL (2)
Das SSL-Protokoll beinhaltet 2 Sub-Protokolle:
• das SSL Handshake Protokoll
• das SSL Record Protokoll
11.06.2002 Gruppe 8 - NWSA 71
SSL (3)
• Die zwei SSL Protokolle liegen funktional zwischen dem Aufgabenbereich von TCP/IP und den Anwendungen.
• Für die angrenzenden Schichten sind diese beiden Schichten transparent.
• optisches Merkmal: - URL: https://www.netbanking.at
-
11.06.2002 Gruppe 8 - NWSA 72
SSL Handshake Protokoll
Das Handshake Protokoll ist verantwortlich für:
• Aushandeln der Verbindungsmodalitäten
• Austausch von Zertifikaten (Public-Key Austausch)
• Schlüsselaustausch
• Überprüfung der Verbindung
11.06.2002 Gruppe 8 - NWSA 73
SSL Record Protokoll
• Zuständig für das Ver- und Entschlüsseln von Daten
• Die Daten werden in einzelne Datenpakete unterteilt und komprimiert
• Jeder Block erhält eine Nummer und es wird mittels Hashverfahren eine Prüfsumme gebildet.
• Die Daten werden mit einem symmetrischen Verschlüsselungsverfahren verschlüsselt.
11.06.2002 Gruppe 8 - NWSA 74
Transport Layer Security (TLS)
• Weiterentwicklung des SSL Protokolls 3.0 von der IETF (Internet Engineering Task Force)
• TLS 1.0 hat nur geringe Unterschiede zu SSL 3.0
• TLS Programme können durch „back down“ Modus auch SSL 3.0 verwenden (Abwärtskompatibel)
11.06.2002 Gruppe 8 - NWSA 75
Vorteile von SSL/TLS
• Es wird keine zusätzliche Software benötigt (im Browser eingebaut, keine Benutzerinteraktion nötig)
• Bei der Verbindung gibt es keine signifikanten Performanceeinbußen.
11.06.2002 Gruppe 8 - NWSA 76
Nachteile von SSL/TLS
• Eine Firewall kann den Verkehr nicht beobachten, da die versendeten Daten verschlüsselt sind.
• Die Funktion von SSL kann „missbraucht“ werden, um Viren verschlüsselt zu versenden.
(gilt für jede Verschlüsselung)
11.06.2002 Gruppe 8 - NWSA 77
Kreditkartenbasierte Zahlungsabwicklung
• Anwendungsform: Kreditkartendaten werden verschlüsselt zum Händler übertragen
• Problem:
Ein völlig unbekannter Händler erhält die Kreditkartennummer, ohne dass der Kunde die Möglichkeit hat, die Seriosität des Händlers zu überprüfen.
• SET-Standard bietet eine mögliche Lösung an
11.06.2002 Gruppe 8 - NWSA 78
Secure Electronic Transaction (SET)
• Das SET Protokoll wurde von den beiden
Kreditkartenfirmen MasterCard und Visa unter Mitwirkung von Netscape, RSA, IBM, Microsoft und anderen Firmen entwickelt
• Ziel: Anonyme Zahlung bei Internetgeschäften
• Damit das SET Protokoll zum Einsatz kommen kann, müssen Händler und Kunde eine SET fähige Software installiert haben.
11.06.2002 Gruppe 8 - NWSA 79
Three Domain Model (3D SET)
• Issuer Domain:
Kunden eindeutig identifizieren (neue Lösung Server-Wallet)
• Acquirer Domain:
angeschlossene Händler eindeutig identifizieren und diese möglichst an SET anzubinden
• Interoperability/Interchange Domain:
bezeichnet den Bereich zwischen den Beteiligten Institutionen
11.06.2002 Gruppe 8 - NWSA 80
Funktionsweise von SET
11.06.2002 Gruppe 8 - NWSA 81
Funktionsweise von SET (2)
• Händler:
- Zahlungsinformation nur verschlüsselt (nicht lesbar)
- Bestellinformation kann er entschlüsseln
• Bank:
- Zahlungsinformation kann die Bank entschlüsseln
- Bestellinformation nur verschlüsselt
11.06.2002 Gruppe 8 - NWSA 82
Duale Signatur
11.06.2002 Gruppe 8 - NWSA 83
Vorteile von SET
• Hohes Sicherheitsniveau durch Verwendung starker Kryptographie
• Weltweite Verbreitung und Akzeptanz der Kreditkarten
• Vorhandene Infrastruktur: die Verwendung eines neuen Zahlungssystems würde weitere Kosten verursachen
• SET-Anwendungen sind an keine besondere Rechnerarchitektur oder Betriebssystem gebunden (Plattformunabhängig)
11.06.2002 Gruppe 8 - NWSA 84
Nachteile von SET
• Komplexität des Protokolls
• Zusätzliche Software notwendig
• Unter Umständen mangelnde Performance („Prüfung bei Banken“)
11.06.2002 Gruppe 8 - NWSA 85
3D Secure
• Nachfolge von SET wurde von VISA entwickelt
• 3D Secure benötigt auf Kundenseite keine zusätzliche Software
• Die Bestätigung der Transaktion wird über einen Server vom Kartenherausgeber gesteuert
• Der Händler muss sein Shop-System für 3D Secure anpassen und ein Merchant Plugin installieren
11.06.2002 Gruppe 8 - NWSA 86
Verified by Visa
• Ist ein Authentifizierungsprogramm, das Visa seit Oktober 2001 in den USA einsetzt
• Verified by Visa basiert auf der 3D Secure Technologie und authentifiziert Karteninhaber sowie Online Händler.
• Bei Online Transaktionen weist sich der Kartenbesitzer durch Eingabe seines personalisierten Passworts aus.
PlugIn
11.06.2002 Gruppe 8 - NWSA 87
SPA/UCAF
• SPA = Secure Payment Application UCAF = Universal Cardholder Authentication Field
• Auf Händlerseite so gut wie keine Anpassung, im Bezahlformular muss lediglich eine Anzahl von Feldern mit UCAF Werten belegt werden, die bei der Transaktion durchgereicht werden
• Karteninhaber muss ein Wallet in Form eines Plugins in seinem Browser installieren, das die sichere Authentifizierung der Transaktion (SPA) übernimmt.
11.06.2002 Gruppe 8 - NWSA 88
IPv6
• Ist eine Alternative zu aktuellen IPv4
• Sicherheitsmechanismen für die Authentisierung und Verschlüsselung werden in IPv6 auf IP Ebene spezifiziert.
• Für die Verschlüsselungsfunktion gibt es zwei verschiedene Varianten
11.06.2002 Gruppe 8 - NWSA 89
1. Variante
Authentication Header (AH):
• Verschlüsselung der Nutzdaten, die in einem IP
Paket übertragen werden und der im Transit
konstanten IP-Steuerdaten
(mit Hilfe von digitaler Signatur)
• gewährleistet Integrität und Authentizität
11.06.2002 Gruppe 8 - NWSA 90
2. Variante
Encapsulating Security Payload (ESP):
• Verschlüsselung der Nutzdaten von IP-Paketen
• Vertraulichkeit, Integrität und Authentizität der Daten
ist innerhalb der IP-Pakete gesichert
• Protokollköpfe der IP-Pakete werden hierbei
jedoch nicht verschlüsselt
11.06.2002 Gruppe 8 - NWSA 91
Wireless Equivalent Privacy (WEP)
• WEP Protokoll ist Bestandteil von IEEE 802.11 Standard
• Primäre Funktion von WEP ist, die Funkverbindung vor dem Abhören zu schützen
• Sekundäre Funktion ist, ein unbefugtes benutzen des Funknetzwerks zu verhindern
11.06.2002 Gruppe 8 - NWSA 92
Probleme von WEP
• Es sind mehrere Arten von Angriffen gegen das WEP Protokoll bekannt
• Ursache ist, dass ein drahtloses Netz im Gegensatz zu einem kabelgebundenen Netz einfacher belauscht werden kann.
11.06.2002 Gruppe 8 - NWSA 93
Angriffe auf das WEP Protokoll
• Passive Angriffe zur Entschlüsselung des Netzwerk-verkehrs, die auf statistischen Analysen beruhen
• Aktive Angriffe zum Wiedereinspielen von Nachrichten, ausgehend von nicht autorisierten Rechnern
• Aktive Angriffe zur Entschlüsselung des Netzwerkverkehrs, basierend auf einer Täuschung des Zugangspunkts
• „Dictionary-building“ – Angriffe
11.06.2002 Gruppe 8 - NWSA 94
Mögliche Lösungen
Verschlüsselung der übertragenen Daten z.B. durch:
• Verwendung des TLS Protokolls
• Verwendung von VPN Techniken
• andere Verfahren
11.06.2002 Gruppe 8 - NWSA 95
Zusammenfassung
Um Authentizität, Integrität und Vertraulichkeit von
Daten zu gewährleisten, können unterschiedlich
sichere Verschlüsselungsverfahren
eingesetzt werden.
Die Entscheidung zu Gunsten eines Verfahrens erfolgt
in Relation zur Vertraulichkeitsstufe der zu
übertragenden Daten.
