11

PublicKeyInfrastructures

Prof.Dr.HannesFederrathSicherheitinverteiltenSystemen(SVS)http://svs.informatik.uni-hamburg.de

2

SignierteNachrichtundZertifikat

-----BEGIN SIGNED MESSAGE-----

Hiermit bestelle ich folgende Waren:

10 Eier Euro 2,001 Flasche Milch Euro 1,501 Kasten Bier Euro 15,00-------------------------------Gesamtbetrag Euro 18,50

Die Zahlung erfolgt bei Lieferung.

Hannes Federrath

-----BEGIN SIGNATURE-----iQAAwUBOi9VLoBzbJXQK0fCYo1rMKCKrdhAn2Rsamogkkm+Off90L0W5RxUubfVuUFSXuv=

-----END SIGNED MESSAGE-----

-----BEGIN CERTIFICATE-----

Name: Hannes Federrath

Public key:h833hd38dddajscbicme098k236egfkw74h544584hdbscldmrtpofjrkt0jedagaszw12geb3u4b=

Valid from: 19.11.2014Valid until: 18.11.2017

Issuer: Einwohnermeldeamt Dresden

-----BEGIN SIGNATURE OF ISSUER-----23j423vdsaz345kj435ekj4z2983734ijo23i72kj867wdbez2o074j5lkdmcd1237t3rgbdvbwdj=

-----END CERTIFICATE-----

3

DigitalesSignatursystem

xx,sig(x)

Zufallszahl

Text

SchlüsselzumSignieren,geheimgehalten

Sig

Schlüssel-generie-rung

Test«ok»oder«falsch»,

sig(x)

geheimerBereichöffentlicherBereich t

TextmitSignatur

TextmitSignaturundTest-ergebnis

s

VertrauensbereichdesSignierers,SchlüsselgenerierunginSignierkomponentefüroptimalenSchutzvons

SchlüsselzumTestenderSignatur,öffentlichbekannt

Angriffsbereich

Schutzziel:Zurechenbarkeit

4

Sicherheit

§ anderenelektronischenDatenbeigefügtoderlogischmitihnenverknüpftsindunddiezurAuthentifizierungdienen

§ ausschließlichdemSignaturschlüssel-Inhaberzugeordnetsind

§ dieIdentifizierungdesSignaturschlüssel-Inhabersermöglichen

§ mitMittelnerzeugtwerden,diederSignaturschlüssel-InhaberunterseineralleinigenKontrollehaltenkann

§ mitdenDaten,aufdiesiesichbeziehen,soverknüpftsind,dasseinenachträglicheVeränderungderDatenerkanntwerdenkann

§ dieAnforderungenaneinefortgeschritteneSignaturerfüllen

§ aufeinemzumZeitpunktihrerErzeugunggültigenqualifiziertenZertifikatberuhen

§ miteinersicherenSignaturerstellungseinheiterzeugtwerden

DreiArtenvonSignaturennachSigG

§ Signaturgesetz(SigG)vom16.Mai2001:schafftrechtlicheRahmenbedingungenfürdenBeweiswertdigitalerSignaturen

QualifizierteSignaturDateninelektronischerForm,dieFortgeschritteneSignatur

DateninelektronischerForm,die

ElektronischeSignaturDateninelektronischerForm,die

5

§ anderenelektronischenDatenbeigefügtoderlogischmitihnenverknüpftsindunddiezurAuthentifizierungdienen

§ ausschließlichdemSignaturschlüssel-Inhaberzugeordnetsind

§ dieIdentifizierungdesSignaturschlüssel-Inhabersermöglichen

§ mitMittelnerzeugtwerden,diederSignaturschlüssel-InhaberunterseineralleinigenKontrollehaltenkann

§ mitdenDaten,aufdiesiesichbeziehen,soverknüpftsind,dasseinenachträglicheVeränderungderDatenerkanntwerdenkann

§ dieAnforderungenaneinefortgeschritteneSignaturerfüllen

§ aufeinemzumZeitpunktihrerErzeugunggültigenqualifiziertenZertifikatberuhen

§ miteinersicherenSignaturerstellungseinheiterzeugtwerden

QualifizierteSignaturDateninelektronischerForm,dieFortgeschritteneSignatur

DateninelektronischerForm,die

ElektronischeSignaturDateninelektronischerForm,die

QualifizierteSignatur

ZertifikatausstellungnachIdentitätsüberprüfung

sichereSignaturerstellungseinheit

-----BEGIN PGP SIGNED MESSAGE-----Hash: SHA1

Das ist der Text.

-----BEGIN PGP SIGNATURE-----Version: PGP 8.0.2

iQA/AwUBP6wDdOFAIGFJ7x2EEQK9VgCg2Q4eQAztVIHP0HNFQ10eaXte96sAnR2p53T/SdevjXIuX6WOF5IXA44S=K3TO-----END PGP SIGNATURE-----

FortgeschritteneSignaturBeispiel:PGP-signierteE-Mail

ElektronischeSignaturBeispiel:E-Mailmit"Signatur"

From: Hannes FederrathSubject: Beispiel

Das ist der Text.--Hannes FederrathFB InformatikUni Hamburg

DreiArtenvonSignaturennachSigG

§ Signaturgesetz(SigG)vom16.Mai2001:schafftrechtlicheRahmenbedingungenfürdenBeweiswertdigitalerSignaturen

Sicherheit

6

ZweckderSchlüsselzertifizierung

§ BetrifftöffentlichenTestschlüsselfürdiedigitaleSignatur

§ Zertifikat:– bestätigtdieZusammengehörigkeitvonTestschlüsselund

Benutzeridentität bzw.TestschlüsselundPseudonym.– EnthältselbstdieSignaturdesZertifizierers

§ OhneZertifikate:– AngreiferkanneinSchlüsselpaargenerierenundeinfachbehaupten,

dassdieserSchlüsseljmd.gehört.– TestschlüsselsindwertlosohneZertifikat(zumindestineineroffenen

Welt)

7

TeilnehmerB

Maskerade-Angriff1/2

Maskerade-Angriff

cAlice

cMask

TeilnehmerinA

Bert besitztjetztnichtauthentischenSchlüsselvonAlice.

Alice <alice@abc.de>-----BEGIN PGP PUBLIC KEY BLOCK-----OTUAoLncfli6Yit0Kqgp/N9h37uopJHbiQCVAwxBBPLRdmalP22ij0dARxbJLO7u7XOrnyV3b4m0l4ydps/ruj9yaY62BwQNMEoGjAnZGA5t3MMGDF7ZLp1dmFYYVYPL4xRfOJ+MF5ifb8RXaDAl+lP8CwMBAgAKCRDhQCBhSe8dhOYYAJsEEURK2o+VsAu64hbO2wuFQlwwq1yb+JAD8DBRA0OPtk7V9cne-----END PGP PUBLIC KEY BLOCK-----

Alice hatSchlüsselpaargeneriertundwillihnveröffentlichen.Alice <alice@abc.de>-----BEGIN PGP PUBLIC KEY BLOCK-----mQGiBDQyJk0RBADVPjcdvwmyOtqsZBt6z4/5M9MYDBi+dYNnyiSQEBXQcH/RGe2i30LRvRk4asX++JSTylku8LMOlYorgW+lbmsVNXeQSdmbSAUfd3d9bI/+fGwQcz6W8lIw2zyQkfDaF7xPI7oVZUY1I7cqEfTvic003bgLsUZytg1nEfxqifxgukKj01O66wVmqlnXcbi2XUebkaL0ViFDNkla2aw590ZW59gf5I0eUBevSmydIaliH9Pm-----END PGP PUBLIC KEY BLOCK-----

Angreifer• hältcAlice zurück(blockiertVerteilung)• generiertselbsteinSchlüsselpaarcMask,dMask unterfalschemNamen

• schicktcMask anBert

8

Maskerade-Angriff2/2

OhnedieGewissheitüberdieEchtheiteinesöffentlichenSchlüsselsfunktioniertkeinesichereasymmetrischeKryptographie. Deshalb:Schlüsselzertifizierung

Alice erhältdieNachrichtN.NistverschlüsseltmitihremöffentlichenSchlüssel.

cMask(N)

Bert willAliceeineNachrichtNschicken.

cAlice(N)

Angreifer:• Weiterleitungverhindern• entschlüsselnvoncMask(N)mitdMask

• verschlüsselnvonNmitcAlice

9

Zertifizierungsmodelle

§ ZurVerschlüsselungundSignierungwirdasymmetrischeKryptographieverwendet– ZweiSchlüssel:PrivateundPublicKey– ZweiAnsätzezurZuordnungdesPublicKeyszueinerPerson

• PGP,GnuPG:«Webof Trust»• SSL,S/MIME:HierarchischeZertifizierung

Nutzer

Nutzer

Zertifizierungs-stellen

Vertreter:PGP,GnuPG Vertreter:SSL,S/MIME

HierarchischeZertifizierungWebof Trust

10

Nutzer

Zertifizierungs-stellen

Zertifizierungsmodelle§ Webof Trust

Vorteile:– einfache,flexibleNutzung– vielepotentielleZertifikatskettenNachteile:– keineodernurschwererreichbare

BeweisführungimStreitfall– findeneinesvertrauenswürdigen

Pfadesaufwendiger§ HierarchischeZertifizierung

Vorteile:– klareStrukturenund

Zurechenbarkeiten(wichtigimStreitfall)

Nachteile:– OverheaddurchOrganisationsstruktur

Nutzer

11

§ Webof TrustVorteile:– einfache,flexibleNutzung– vielepotentielleZertifikatskettenNachteile:– keineodernurschwererreichbare

BeweisführungimStreitfall– findeneinesvertrauenswürdigen

Pfadesaufwendiger§ HierarchischeZertifizierung

Vorteile:– klareStrukturenund

Zurechenbarkeiten(wichtigimStreitfall)

Nachteile:– OverheaddurchOrganisationsstruktur– anfälliggegenFehlverhalten– CrossCertification reduziert

FehlermöglichkeitenNutzer

Zertifizierungs-stellen

Zertifizierungsmodelle

Nutzer

12

Zusammenfassung:Zertifizierungsmodelle

Reduzieren derFehleranfäligkeitdurch CrossCertification

HaftungdesZertifizierers

VermaschterGraph

Baum(minimalzusammenhängenderGraph)

Ja

Nein—

1717

X.509-Zertifikate

18

ITUX.509Zertifikate

…werdeninsb.angewendetbeiSSLundS/MIME.

§ S/MIME(SecureMultipurposeInternetMailExtensions)– ursprünglichvonRSADataSecurityInc.– S/MIMEv3imJuli1999alsIETF-Standardverabschiedet– InternetStandardsRFCs2632-2634(undweitere)– indiemeistenE-Mail-Clientsintegriert

§ SSL(SecureSocketsLayer)– auch:TLS(TransportLayerSecurity)– VerschlüsselungvonTCP-Verbindungen– ursprünglichvonNetscapefürBrowserentwickelt– heuteinjedesmoderneBetriebssystemintegriert

SchutzderVertraulichkeitundIntegrität

19

ITUX.509Zertifikate

§ FestlegungeinesstandardisiertenFormatsfürZertifikate

X.509VersionSeriennummerSig-Algorithmus

GültigkeitNamedesAusstellersNamedesBenutzersÖffentlicherSchlüssel

Aussteller-IDBenutzer-ID

DigitaleSignatur

v1

Erweiterungv2

OptionaleErweiterungen Erweiterungv3

Hierarchischaufgebauter«distinguished name»,z.B.:cn =HannesFederrath,ou =Informatik,o=UniHamburg,c=DE

20

ITUX.509Zertifikate

§ ErweiterungeninX.509v3– ArtdesSchlüssels,Anwendungsbereich– AlternativeNamenfürInhaberundAussteller– Einschränkungenbzgl.crosscertification– Informationenbzgl.Sperrlisten(URL)– privateausstellerspezifischeErweiterungen

§ Zertifizierungsprozess– AntragbeiderRegistrationAuthority(RA)– IdentitätsprüfungdurchdieRA– ZertifizierungdurchdieCertificateAuthority(CA)– AusgabedesZertifikatsandenAntragsteller

§ WiderrufderZertifikate– CertificateRevocationLists(CRLs)– OnlineCertificateStatusProtocol(OCSP)

22

OptionenfürdieZertifikatserstellung

§ OpenCA– http://www.openca.org– Beschreibung:

«OpenSourceout-of-the-boxCertification Authorityimplementing themost used protocols with full-strength cryptography world-wide.»

– BenutztOpenLDAP,OpenSSL,Apache,mod_ssl,PerlundlässtsichperBrowserbedienen/konfigurieren

– AntragstellungperWeb-BrowserbeiderRA,nachZertifizierungdurchdieCADownloaddesZertifikats

– Kosten:• Potentiellniedrig

– Administrationsaufwand:• Potentiellmittel• allerdingshoherEinrichtungsaufwand

24

OptionenfürdieZertifikatserstellung

§ FlexiTrust– http://www.flexsecure.de (jetztKobil)– UmfassendeLösungzurErstellungeinerPKI/einesTrustcenters– EntwicklungderTechnischen

UniversitätDarmstadt– NachdemSignaturgesetz

zertifiziert– Plattformunabhängige

Java-Anwendung

– Kosten:• Sehrhoch

– Administrationsaufwand:• Potentiellniedrig

26

BezugvonX.509-ZertifikatenvoneinemkommerziellenAnbieter

§ VerschiedeneZertifikatsklassen– Class0:Demo-Zertifikat– Class1:ExistenzderE-Mail-Adressewirdgeprüft– Class2:SchriftlicherAuftrag– Class3:Antragstellermusssichpersönlichidentifizieren– Class4:«Onlinebusiness transactions between companies»– Class5:«for privateorganizations or governmental security»

§ Vorteile:– WurzelzertifikatistindenmeistenClientsschonenthalten– keineeigeneCAnötig– keinAdministrationsaufwand

§ Kosten:0-130EURproJahrundZertifikat

27

SSL-Handshake

Client Serverserver.com

ServerHello

Certificate

ClientKeyExchange

CertificateVerify

ChangeCipherSpec

Finished

ChangeCipherSpec

Finished

Certificate

ServerKeyExchange

CertificateRequest

ServerHelloDone

ClientHello

Application Data

Server-Zertifikatprüfen• CommonNameistgleich

DomainName• Gültigkeit• SignaturdesIssuers

Zertifikatsketteprüfen• CA-Attribut (siehespäter)• Gültigkeit• SignaturdesIssuers

abhiersymmetrischverschlüsselt

abhiersymmetrischverschlüsselt

28

SSL-Handshake(vereinfacht)

Client ruftaufhttps://server.com/

Serverserver.com

ServerHello

Certificate

ClientKeyExchange

CertificateVerify

ChangeCipherSpec

Finished

ChangeCipherSpec

Finished

Certificate

ServerKeyExchange

CertificateRequest

ServerHelloDone

ClientHello

Application Data

Server-Zertifikatprüfen• CommonNameistgleich

DomainName• Gültigkeit• SignaturdesIssuers

Zertifikatsketteprüfen• CA-Attribut (siehespäter)• Gültigkeit• SignaturdesIssuers

ClientteiltdemServerdensymmetrischenSchlüsselmit(verschlüsseltmitPublicKeydesServers)

abhiersymmetrischverschlüsselt

abhiersymmetrischverschlüsselt

KeyExchange

29

BenutzeransichteinesZertifikats(Firefox)

31

NormalesSSL-Serverzertifikat

32

ExtendedValidationCertificate

33

Zertifikatsvalidierung:RootCAvs.IntermediateCA

§ Fall1:RootCAstelltdirekteinServer-Zertifikataus

§ Fall2:RootCAzertifiziertIntermediateCA,diesestelltServer-Zertifikataus

Root-CAZertifikat

ServerZertifikat

imBrowserhinterlegt

Root-CAZertifikat

ServerZertifikat

imBrowserhinterlegt

IntermediateCA

vomServermitgeliefert

vonRootCAsigniert

vonRootCAsigniert

34

RekursiveZertifikatsvalidierung

§ RekursivesVerfahren:– RootCAzertifiziertIntermediateCA,IntermediateCAzertifiziert

IntermediateCA,u.s.w,IntermediateCAstellteinServer-Zertifikataus

Root-CAZertifikat

ServerZertifikat

IntermediateCA

AlleIntermediateCAZertifikatewerdenvomServermitgeliefert.

vonRootCAsigniert

IntermediateCA

35

Einschränkungenbzgl.CrossCertification

Wiewirdverhindert,dassvomInhaberdesServer-ZertifikatseinweiteresgültigesServer-Zertifikaterzeugtwird?

Root-CAZertifikat

ServerZertifikat

IntermediateCA

AlleIntermediateCAZertifikatewerdenvomServermitgeliefert.

IntermediateCA

ServerZertifikat

X509v3 extensions:X509v3 Basic Constraints:

CA:FALSEX509v3 Key Usage:

Digital Signature, Non Repudiation,Key Encipherment, Data Encipherment

X509v3 Extended Key Usage: TLS Web Server Authentication

Server-ZertifikatistnichtalsCA-Zertifikatzugelassen,d.h.

CA-Attributnichtgesetztungültig

36

Man-in-the-Middle-AngriffeaufSSL:sslstrip

§ Ziel:– AngreifermöchteKommunikationmitlesenund/oderverändern

§ AngreiferverhindertUmleitungzuHTTPSClient Angreifer Server

HTTPS

HTTPSHTTP

HTTP

AngreiferverhindertUmleitungzuHTTPS

Serverliefertnormalerweise:

Nutzergebenwww.bank.de ein—ohnehttps://

> GET / HTTP/1.1> Host: www.bank.de

< HTTP/1.1 301 Moved Permanently< Location: https://www.bank.de/Strict-Transport-Security: max-age=<sek>

HTTPStrict TransportSecurity (HSTS):HTTP-HeaderliefertbeiErstkontaktVerfallsdatumfürhttps-Zwang

37

Man-in-the-Middle-AngriffeaufSSL:sslstrip

§ ErsetzenallerUmleitungenundLinkszuHTTPS§ VerbindungzumServerperHTTPS,zumClientperHTTP§ Servermerktnicht,dassClientkeinHTTPSverwendet

Client Angreifer Server

HTTPS

HTTPSHTTP

HTTP

<html> [...]<body> [...]<a href="http://www.shop.de/login">Zum sicheren Login-Formular</a>[...]</body></html>

<html> [...]<body> [...]<a href="https://www.shop.de/login">Zum sicheren Login-Formular</a>[...]</body></html>

wirdvomAngreiferersetztdurch

38

Man-in-the-Middle-AngriffeaufSSL:burp proxy,mitmproxy

§ Ziel:AngreifermöchteKommunikationmitlesenund/oderverändern§ Angreiferstellt«Onthe fly»gültigeZertifikateaus

Client Angreifer Server

HTTPS

HTTPSHTTP/S

HTTP/S

«Onthe fly»vomAngreiferausgestellteZertifikateNutzerhabenetwaFirmen-CA-Zertifikatimportiert

Public-Key-Pins: pin-sha256="cUPcTAZWK..."; max-age=<sek>

HTTPPublicKeyPinning (HPKP):HTTP-HeaderliefertHashdeskorrektenöffentlichenSchlüssels

39

FehlendeoderfehlerhafteZertifikatsvalidierunginClients

40

NachwelchenKriterienkommendieRoot-ZertifikateinAnwendungenwieFirefoxoderdieBetriebssysteme?

§ Audit-Standards– Überprüfungder

Steuerungs- undKontrollprozessevon(Root)-CAs

§ WebTrust-StandardderCanadian Instititute of Chartered Accountants§ ETSITS102042– Policy for requirements for certification authorities –

Issuing public key certificates§ ETSITS101456– Policy for requirements for certification authorities –

Issuing qualified certificates§ ISO21128– Publickey infrastructure for financial services – Practicesand

policy frameworkQuelle:Hicken 2017

PlattformAnzahlZertifikate

AppleiOS, OSX 150

MicrosoftWindows10 230

MozillaNetworkSecurityServices 130

4141

BiometrischerReisepass

EinBeispielfürdeninternationalenAufbaueinerPKI

42

RFIDzurdrahtlosenKommunikation

ElektronischerReisepass

43

Lesegerät

Wh.:BiometrischeDateninReisepässen

§ BasicAccessControlundActiveAuthentication

Machine Readable Zone(MRZ):

123456789P<<JJMMDDP<JJMMDDP<<<<<<P

P<D<<NAME<<VORNAMEN<<<<<<<<<<<<<<<

Passnummer Geburtsdatum GültigkeitsdatumjeweilsmitPrüfziffer versehen

optischesLesenderMRZ

Foto,Fingerabdruck

LeserbildetSchlüsselK(56Bit)ausMRZ:K=h(PassID,GebD,GültD),aktiviertelektr.FeldundwartetEmpfangvonRand1ab

wähltZufallszahlRand2,SchlüsselhälftekReaderund bildetResponse(3-DES)aufRand1:K(Rand1,Rand2,kReader)undsendet

Responseentschlüsseln,Rand2prüfen

ElektrischesFeldProximity coupling <=10cm

Rand1

K(Rand1,Rand2,kReader)

K(Rand1,Rand2,kChip)

RF-ChipkenntK(56Bit)

Aktivierungdurchelektr.Feldabwarten,ZufallszahlRand1wählenundsenden

Responseentschlüsseln,Rand1prüfen,kReader zwischenspeichern,SchlüsselhälftekChipwählen,Response(3-DES)aufRand2bilden:K(Rand1,Rand2,kChip)undsenden

AlleweitereKommunikationwirdmit(kReader,kChip)verschlüsselt(3-DESmitCBC)

nach:Dr.DennisKügler:RisikoReisepass?SchutzderbiometrischenDatenimRF-Chip.ct 5(2005)88

44

SicherheitsfunktioneninelektronischenReisepässen

§ BasicAccessControl– AuslesenderbiometrischenDatenbenötigtoptischeDatender

maschinenlesbarenZone– SchutzdesdigitalenFotos

§ ActiveAuthentication– Soll1:1-KopienauthentischerDatenaufgefälschtenPässen

(Chips)verhindern– AuthentikationeinesOriginalchipsmittelsChallenge-Response

§ SymmetrischverschlüsselteKommunikation– zwischenPassundLesegerät

§ PassiveAuthentication– DigitaleSignaturdergespeichertenBiometriedaten– AufbauderPKI:-->(nächsteFolie)

TechnischeSpezifikation:http://www.icao.int/mrtd/

45

SicherheitsfunktioneninelektronischenReisepässen

§ AufbauderPKIbeiPassiveAuthenticationderBiometriedaten– eineCountrySigningCertifcationAuthority(CSCA)proLand– zertifiziertTestschlüsselmehrererDocumentSigner(DS)– keineübergeordneteweltweiteCA– alleLesegeräteenthaltendieZertifikatederCSCAsdeseigenenLandes

undallerfremdenLänder– Beispiel:

Quelle:DennisKügler,IngoNaumann:SicherheitsmechanismenfürkontaktloseChipsimdeutschenReisepass.DuD 3(2007)

CSCA

DS DS …

CSCA

DS DS …

CSCA

DS DS …

…CSCA-D CSCA-USCSCA-SA

DS1

46

SicherheitsfunktioneninelektronischenReisepässen

§ AufbauderPKIbeiPassiveAuthenticationderBiometriedaten– Beispiel:(ausländisches)Lesegerätprüftdt.Passdaten

AblaufderZertifikatsprüfung:• erhältvomPass:sigDS1(data),certDS1

• prüft:sigDS1 mitTestschlüssel(incertDS1 enthalten)

• prüft:certDS1mitTestschlüssel(incertCSCA-D)

CSCA-D

CSCA-US

CSCA-SA

…

Vorausgegangen:• BasicAccessControl• Active Authentication

LesegerätbeiGrenzkontrolle:• kenntalleCSCAsandererLänder

sigDS1(data),certDS1

dt.Pass

D

Lesegerät

CSCA-D

DS1 …

47

SicherheitsfunktioneninelektronischenReisepässen

§ AnstellevonBasicAccessControl ab2007:ExtendedAccessControl– SchutzderFingerabdrücke– BeschränktdenZugriffaufautorisierteLesegeräte– Authentikation desLesersüberPublicKeyZertifikat:

• EineCountryVerifying Certification Authority(CVCA)proLandzertifiziertdiejenigen

• Document Verifyer (DV)(fremderLänder),die(Fingerabdruck)-Datenauslesendürfen.

– ChipsaufPässenenthaltennationalesCVCA-Zertifikat– Beispiel:

TechnischeSpezifikationdu

rchBSI:

http://w

ww.bsi.de/fachthem/epass/EAC

TR03110_v101.pdf

DV …

CVCA-D

DV DV

Dt.zertifiziertPublicKeysnationalerundinternationalerDVs(nurvonsolchenLändern,dieFingerabdruckdatenlesendürfen);DVzertifiziertPublicKeysvon(landeseigenen)Inspection Systems(IS)

IS IS IS IS IS

DV1

IS1

48

DeutscherPassenthältCVCA-D

CVCA-D Challenger

ResponsesigIS1(r),certIS1,certDV1

IS1

amerikan.Lesegerät

AblaufderZertifikatsprüfung:• PasserhältvomLesegerät:sigIS1(r),certIS1,certDV1 alsResponseaufChallenger(Zufallszahl)

• Passprüft:sigIS1 mitTestschlüssel(incertIS1 enthalten)• Passprüft:certIS1 mitTestschlüssel(incertDV1 enthalten)• Passprüft:certDV1mitTestschlüssel(incertCVCA-Denthalten)

SicherheitsfunktioneninelektronischenReisepässen

§ AuthentikationdesLesersüberPublicKeyZertifikat§ Beispiel:dt.Passprüftamerikan.Leser

D

……

CVCA-D

DV1

IS1

4949

ZurNotwendigkeitsichererSignaturerstellungseinheiten

50

Chipkartes

Signier-komponente

Kommu-nikation

Anw.2 Anw.n

UnsichererRechner

UnsicheresBetriebssystem

...Signier-anwen-dung

PIN

AblaufaufStandard-PCmitChipkarte

§ SichereGerätesindeineVoraussetzungfürsichereSignaturen• AnzeigedesDokumentsaufdemext.Monitor• SendendesDokuments(bzw.dessenHash-Wert)zur

Chipkarte• AktivierungdesSigniervorgangsaufderKartedurchPIN-

Eingabe• RückgabederSignaturandieAnwendung

UNSICHER

51

Chipkartes

Signier-komponente

Kommu-nikation

Anw.2 Anw.n

UnsichererRechner

UnsicheresBetriebssystem

...Signier-anwen-dung

Standard-PCmitChipkarte

BösartigeAnwendungkönntez.B.PINabfangenoderTextnachAnschauenundvorSendenanSignierkomponenteheimlichersetzen

PIN

UNSICHER

52

Anw.2

Chipkartes

Kommu-nikation

Anw.n

UnsichererRechner

UnsicheresBetriebssystem

...Signier-anwen-dung

SichereSignierkomponentemitStandard-PC

PIN

Signier-komponente

PIN

SICHER

53

Anw.2

Chipkartes

Anw.n

UnsichererRechner

UnsicheresBetriebssystem

...Signier-anwen-dung

PIN

Signier-komponente

PIN

SichereSignierkomponente

§ Display§ Tastatur§ PhysischerSchutz:

Manipulationserkennung§ Entwurfoffengelegt(keine

verstecktenTrojanischenPferde)

=

54

Chipkartenleser:Sicherheitsklassen§ Klasse1

– KeineSicherheitsfunktionen– realisierennurKommunikationzwischenPCundLeser

§ Klasse2– PIN-EingabekannnichtvomPCmitgeloggtwerden

• Variante1:PC-TastaturistdirektmitLeserverbunden,VerbindungzuPCwirdwährendPIN-Eingabe(physisch)unterbrochen

• Variante2:EigeneTastaturimLeser§ Klasse3

– eigeneTastaturundeigeneAnzeige– PCistnichtanderKommunikationzwischenKarte,Tastatur

undAnzeigebeteiligt§ Klasse4

– eigenerSignaturschlüssel– kannspäterermitteltwerden,inwelchemLesegerätdie

Signaturgeleistetwurde

55

Anw.2

Chipkartes

Signier-komponente

Kommunikation

Anw.n

SichererRechner

SicheresBetriebssystem

...Signier-anwen-dung

PIN

PhysischsichereGeräteundsichereBetriebssysteme

SICHER,wenn§ PhysischsichereGeräte§ sichereBetriebssysteme§ TrustedPlatformModule

TPM

5656

DetailaspektezuPKI

Zeitstempeldienste undSelbstzertifizierungGültigkeitsmodellefürZertifikateundSignaturen

57

ZeitstempeldiensteundDigitaleSignatur§ FrühergeleisteteSignaturenkönnenauchnachKompromittierung des

Signierschlüssels nochgetestetwerden.§ Frage:Wieverhindert man,dassrückwirkendgültigeSignaturen erzeugt

werdenkönnen?(NachKompromittierung desSignierschlüssels)

§ NachrichtxerhälteinenZeitstempel(festmitderNachrichtverbunden):– TeilnehmerS(Signierer)

1. bildetHash-Wert (Fingerabdruck)derNachricht:h(x)2. fordertZeitstempel vonZeitstempeldienstTSan:sigTS(time,h(x))3. signiertNachrichtundZeitstempel:sigS(x,sigTS(time,h(x)))

– SolangederZeitstempeldienstkeineinderVergangenheit(oderZukunft)liegendeZeitsigniert,kanneinebestimmteNachrichtnichtnachträglichsigniertwerden

– ZeitstempelmusseinenFingerabdruckderNachrichtenthalten,damitnichteinfachfrühereZeitstempelderFormsigTS(time)wiederverwendetwerdenkönnen.

58

SelbstzertifizierungöffentlicherVerschlüsselungsschlüssel

UnterderVoraussetzung,dasseinefunktionierendeInfrastrukturfürDigitaleSignaturenexistiert,wirdkeinezusätzlichefürVerschlüsselungbenötigt.VorhandeneInfrastrukturkannzurSicherungderAuthentizitätderöff.Verschlüsselungsschlüsselverwendetwerden.

CA

TeilnehmerB

TeilnehmerinAbesitzt(sA,tA)besitzt(cA,dA)

cA(N)

cA,sigA(A,cA),sigCA(A,tA)

1. AlässttA,denSchlüsselzumTestenseinerSignatur,nachIdentitätsprüfungeintragenunderhälteinSchlüsselzertifikatsigCA(A,tA)zurück.

3. Bbesorgtsichggf.sigCA(A,tA),prüft

(SignaturvonCA) undfragt,obtA nochgültig

ist.

2. AschicktSelbstzertifikatvoncA

4. BschicktverschlüsselteNachricht

59

SelbstzertifizierungöffentlicherVerschlüsselungsschlüssel

§ Trusted ThirdParties werdengebraucht,wennetwasbewiesenwerdensollundnurdort.– DigitaleSignatur:Beweisbarkeiterforderlich– FremdzertifizierungdesTestschlüsselsdurchZertifizierungsstellen

§ BeiasymmetrischerVerschlüsselunggenügtes,sicherzusein,dassderöffentlicheVerschlüsselungsschlüsselauthentischist.– EchtheitvonVerschlüsselungsschlüsselnkannübervorhandene

InfrastrukturfürDigitaleSignaturgesichertwerden– Selbstzertifizierungdesöff.Verschlüsselungsschlüssels,jedochkeine

Fremdzertifizierung

TeilnehmerB

TeilnehmerinAbesitzt(sA,tA)besitzt(cA,dA)

cA(N)BschicktverschlüsselteNachricht

cA,sigA(A,cA),sigCA(A,tA)

AschicktSelbstzertifikatvoncA

60

GültigkeitsmodellefürZertifikateundSignaturen

§ Schalenmodell– EineSignaturuntereinemDokumentoderZertifikatistdanngültig,

wennzumZeitpunktihrerErstellungallezugrundeliegendenZertifikategültigwaren.

§ Kettenmodell– EineSignaturuntereinemDokumentoderZertifikatistdanngültig,

wennzumZeitpunktihrerErstellungdaszugehörigeSchlüsselzertifikatgültigwar.

GültigkeitWurzelzertifikat

GültigkeitCA-Zertifikat

GültigkeitCA-Zertifikat

GültigkeitAnwenderzertifikat

...

Gültigkeitlt.Schalenmodell

Gültigkeitlt.Kettenmodell

t

61

Schalenmodell

§ BeiAblaufoderWiderrufeinesZertifikats– abgeleiteteZertifikatewerdenungültig– Beachte:SignaturenbleibenauchnachAblaufderZertifikategültig,

wennZertifikatezumSignierzeitpunktgültigwaren§ EinfachepraktischeUmsetzung

– BeiÜberprüfungistfüralleZertifikatederselbeZeitpunktmaßgeblich.– int.Standard,basiertaufX.509undRFC3280(PKIX-AG)

GültigkeitWurzelzertifikat

GültigkeitCA-Zertifikat

GültigkeitCA-Zertifikat

GültigkeitAnwenderzertifikat

...

Gültigkeitlt.Schalenmodell

Gültigkeitlt.Kettenmodell

t

62

Kettenmodell

§ BeiAblaufoderWiderrufeinesZertifikats– abgeleiteteZertifikatetrotzdembleibengültig– rekursiveAnwendungaufallezugrundeliegendenZertifikate

§ BasiertaufeinerForderungdes§ 19(5)SigG– GültigkeiteinesZertifikatssollvonderEinstellungdesBetriebsderCA

unberührtbleiben– Folge:NutzungdesZertifikatsweiterhinmöglich

GültigkeitWurzelzertifikat

GültigkeitCA-Zertifikat

GültigkeitCA-Zertifikat

GültigkeitAnwenderzertifikat

...

Gültigkeitlt.Schalenmodell

Gültigkeitlt.Kettenmodell

t

63

GültigkeitsmodellefürZertifikateundSignaturen

§ Praxis– ÜbereinstimmendeGültigkeitvonSchalenmodellundKettenmodellbei

folgenderSituation

GültigkeitWurzelzertifikat

GültigkeitCA-Zertifikat

GültigkeitCA-Zertifikat

GültigkeitAnwenderzertifikat

...

tGültigkeit

64

Zusammenfassung

§ SchlüsselgenerierungdurchTeilnehmergeräte– ErhöhtSicherheit– ErlaubtvielfältigePseudonyme,dadurchwenigerProfile

§ VertrauenswürdigeZertifizierungsinfrastruktur– BeglaubigungderöffentlichenTestschlüssel– KeineHinterlegungvonSchlüsseln– Kreuzzertifizierung

§ VertrauenswürdigeKommunikationmitSignier- undAnzeigekomponente– SichereKartenlesermitDisplayundTastaturoder– SichereBetriebssysteme