Upload
lythuy
View
223
Download
6
Embed Size (px)
Citation preview
11
PublicKeyInfrastructures
Prof.Dr.HannesFederrathSicherheitinverteiltenSystemen(SVS)http://svs.informatik.uni-hamburg.de
2
SignierteNachrichtundZertifikat
-----BEGIN SIGNED MESSAGE-----
Hiermit bestelle ich folgende Waren:
10 Eier Euro 2,001 Flasche Milch Euro 1,501 Kasten Bier Euro 15,00-------------------------------Gesamtbetrag Euro 18,50
Die Zahlung erfolgt bei Lieferung.
Hannes Federrath
-----BEGIN SIGNATURE-----iQAAwUBOi9VLoBzbJXQK0fCYo1rMKCKrdhAn2Rsamogkkm+Off90L0W5RxUubfVuUFSXuv=
-----END SIGNED MESSAGE-----
-----BEGIN CERTIFICATE-----
Name: Hannes Federrath
Public key:h833hd38dddajscbicme098k236egfkw74h544584hdbscldmrtpofjrkt0jedagaszw12geb3u4b=
Valid from: 19.11.2014Valid until: 18.11.2017
Issuer: Einwohnermeldeamt Dresden
-----BEGIN SIGNATURE OF ISSUER-----23j423vdsaz345kj435ekj4z2983734ijo23i72kj867wdbez2o074j5lkdmcd1237t3rgbdvbwdj=
-----END CERTIFICATE-----
3
DigitalesSignatursystem
xx,sig(x)
Zufallszahl
Text
SchlüsselzumSignieren,geheimgehalten
Sig
Schlüssel-generie-rung
Test«ok»oder«falsch»,
sig(x)
geheimerBereichöffentlicherBereich t
TextmitSignatur
TextmitSignaturundTest-ergebnis
s
VertrauensbereichdesSignierers,SchlüsselgenerierunginSignierkomponentefüroptimalenSchutzvons
SchlüsselzumTestenderSignatur,öffentlichbekannt
Angriffsbereich
Schutzziel:Zurechenbarkeit
4
Sicherheit
§ anderenelektronischenDatenbeigefügtoderlogischmitihnenverknüpftsindunddiezurAuthentifizierungdienen
§ ausschließlichdemSignaturschlüssel-Inhaberzugeordnetsind
§ dieIdentifizierungdesSignaturschlüssel-Inhabersermöglichen
§ mitMittelnerzeugtwerden,diederSignaturschlüssel-InhaberunterseineralleinigenKontrollehaltenkann
§ mitdenDaten,aufdiesiesichbeziehen,soverknüpftsind,dasseinenachträglicheVeränderungderDatenerkanntwerdenkann
§ dieAnforderungenaneinefortgeschritteneSignaturerfüllen
§ aufeinemzumZeitpunktihrerErzeugunggültigenqualifiziertenZertifikatberuhen
§ miteinersicherenSignaturerstellungseinheiterzeugtwerden
DreiArtenvonSignaturennachSigG
§ Signaturgesetz(SigG)vom16.Mai2001:schafftrechtlicheRahmenbedingungenfürdenBeweiswertdigitalerSignaturen
QualifizierteSignaturDateninelektronischerForm,dieFortgeschritteneSignatur
DateninelektronischerForm,die
ElektronischeSignaturDateninelektronischerForm,die
5
§ anderenelektronischenDatenbeigefügtoderlogischmitihnenverknüpftsindunddiezurAuthentifizierungdienen
§ ausschließlichdemSignaturschlüssel-Inhaberzugeordnetsind
§ dieIdentifizierungdesSignaturschlüssel-Inhabersermöglichen
§ mitMittelnerzeugtwerden,diederSignaturschlüssel-InhaberunterseineralleinigenKontrollehaltenkann
§ mitdenDaten,aufdiesiesichbeziehen,soverknüpftsind,dasseinenachträglicheVeränderungderDatenerkanntwerdenkann
§ dieAnforderungenaneinefortgeschritteneSignaturerfüllen
§ aufeinemzumZeitpunktihrerErzeugunggültigenqualifiziertenZertifikatberuhen
§ miteinersicherenSignaturerstellungseinheiterzeugtwerden
QualifizierteSignaturDateninelektronischerForm,dieFortgeschritteneSignatur
DateninelektronischerForm,die
ElektronischeSignaturDateninelektronischerForm,die
QualifizierteSignatur
ZertifikatausstellungnachIdentitätsüberprüfung
sichereSignaturerstellungseinheit
-----BEGIN PGP SIGNED MESSAGE-----Hash: SHA1
Das ist der Text.
-----BEGIN PGP SIGNATURE-----Version: PGP 8.0.2
iQA/AwUBP6wDdOFAIGFJ7x2EEQK9VgCg2Q4eQAztVIHP0HNFQ10eaXte96sAnR2p53T/SdevjXIuX6WOF5IXA44S=K3TO-----END PGP SIGNATURE-----
FortgeschritteneSignaturBeispiel:PGP-signierteE-Mail
ElektronischeSignaturBeispiel:E-Mailmit"Signatur"
From: Hannes FederrathSubject: Beispiel
Das ist der Text.--Hannes FederrathFB InformatikUni Hamburg
DreiArtenvonSignaturennachSigG
§ Signaturgesetz(SigG)vom16.Mai2001:schafftrechtlicheRahmenbedingungenfürdenBeweiswertdigitalerSignaturen
Sicherheit
6
ZweckderSchlüsselzertifizierung
§ BetrifftöffentlichenTestschlüsselfürdiedigitaleSignatur
§ Zertifikat:– bestätigtdieZusammengehörigkeitvonTestschlüsselund
Benutzeridentität bzw.TestschlüsselundPseudonym.– EnthältselbstdieSignaturdesZertifizierers
§ OhneZertifikate:– AngreiferkanneinSchlüsselpaargenerierenundeinfachbehaupten,
dassdieserSchlüsseljmd.gehört.– TestschlüsselsindwertlosohneZertifikat(zumindestineineroffenen
Welt)
7
TeilnehmerB
Maskerade-Angriff1/2
Maskerade-Angriff
cAlice
cMask
TeilnehmerinA
Bert besitztjetztnichtauthentischenSchlüsselvonAlice.
Alice <[email protected]>-----BEGIN PGP PUBLIC KEY BLOCK-----OTUAoLncfli6Yit0Kqgp/N9h37uopJHbiQCVAwxBBPLRdmalP22ij0dARxbJLO7u7XOrnyV3b4m0l4ydps/ruj9yaY62BwQNMEoGjAnZGA5t3MMGDF7ZLp1dmFYYVYPL4xRfOJ+MF5ifb8RXaDAl+lP8CwMBAgAKCRDhQCBhSe8dhOYYAJsEEURK2o+VsAu64hbO2wuFQlwwq1yb+JAD8DBRA0OPtk7V9cne-----END PGP PUBLIC KEY BLOCK-----
Alice hatSchlüsselpaargeneriertundwillihnveröffentlichen.Alice <[email protected]>-----BEGIN PGP PUBLIC KEY BLOCK-----mQGiBDQyJk0RBADVPjcdvwmyOtqsZBt6z4/5M9MYDBi+dYNnyiSQEBXQcH/RGe2i30LRvRk4asX++JSTylku8LMOlYorgW+lbmsVNXeQSdmbSAUfd3d9bI/+fGwQcz6W8lIw2zyQkfDaF7xPI7oVZUY1I7cqEfTvic003bgLsUZytg1nEfxqifxgukKj01O66wVmqlnXcbi2XUebkaL0ViFDNkla2aw590ZW59gf5I0eUBevSmydIaliH9Pm-----END PGP PUBLIC KEY BLOCK-----
Angreifer• hältcAlice zurück(blockiertVerteilung)• generiertselbsteinSchlüsselpaarcMask,dMask unterfalschemNamen
• schicktcMask anBert
8
Maskerade-Angriff2/2
OhnedieGewissheitüberdieEchtheiteinesöffentlichenSchlüsselsfunktioniertkeinesichereasymmetrischeKryptographie. Deshalb:Schlüsselzertifizierung
Alice erhältdieNachrichtN.NistverschlüsseltmitihremöffentlichenSchlüssel.
cMask(N)
Bert willAliceeineNachrichtNschicken.
cAlice(N)
Angreifer:• Weiterleitungverhindern• entschlüsselnvoncMask(N)mitdMask
• verschlüsselnvonNmitcAlice
9
Zertifizierungsmodelle
§ ZurVerschlüsselungundSignierungwirdasymmetrischeKryptographieverwendet– ZweiSchlüssel:PrivateundPublicKey– ZweiAnsätzezurZuordnungdesPublicKeyszueinerPerson
• PGP,GnuPG:«Webof Trust»• SSL,S/MIME:HierarchischeZertifizierung
Nutzer
Nutzer
Zertifizierungs-stellen
Vertreter:PGP,GnuPG Vertreter:SSL,S/MIME
HierarchischeZertifizierungWebof Trust
10
Nutzer
Zertifizierungs-stellen
Zertifizierungsmodelle§ Webof Trust
Vorteile:– einfache,flexibleNutzung– vielepotentielleZertifikatskettenNachteile:– keineodernurschwererreichbare
BeweisführungimStreitfall– findeneinesvertrauenswürdigen
Pfadesaufwendiger§ HierarchischeZertifizierung
Vorteile:– klareStrukturenund
Zurechenbarkeiten(wichtigimStreitfall)
Nachteile:– OverheaddurchOrganisationsstruktur
Nutzer
11
§ Webof TrustVorteile:– einfache,flexibleNutzung– vielepotentielleZertifikatskettenNachteile:– keineodernurschwererreichbare
BeweisführungimStreitfall– findeneinesvertrauenswürdigen
Pfadesaufwendiger§ HierarchischeZertifizierung
Vorteile:– klareStrukturenund
Zurechenbarkeiten(wichtigimStreitfall)
Nachteile:– OverheaddurchOrganisationsstruktur– anfälliggegenFehlverhalten– CrossCertification reduziert
FehlermöglichkeitenNutzer
Zertifizierungs-stellen
Zertifizierungsmodelle
Nutzer
12
Zusammenfassung:Zertifizierungsmodelle
Reduzieren derFehleranfäligkeitdurch CrossCertification
HaftungdesZertifizierers
VermaschterGraph
Baum(minimalzusammenhängenderGraph)
Ja
Nein—
1717
X.509-Zertifikate
18
ITUX.509Zertifikate
…werdeninsb.angewendetbeiSSLundS/MIME.
§ S/MIME(SecureMultipurposeInternetMailExtensions)– ursprünglichvonRSADataSecurityInc.– S/MIMEv3imJuli1999alsIETF-Standardverabschiedet– InternetStandardsRFCs2632-2634(undweitere)– indiemeistenE-Mail-Clientsintegriert
§ SSL(SecureSocketsLayer)– auch:TLS(TransportLayerSecurity)– VerschlüsselungvonTCP-Verbindungen– ursprünglichvonNetscapefürBrowserentwickelt– heuteinjedesmoderneBetriebssystemintegriert
SchutzderVertraulichkeitundIntegrität
19
ITUX.509Zertifikate
§ FestlegungeinesstandardisiertenFormatsfürZertifikate
X.509VersionSeriennummerSig-Algorithmus
GültigkeitNamedesAusstellersNamedesBenutzersÖffentlicherSchlüssel
Aussteller-IDBenutzer-ID
DigitaleSignatur
v1
Erweiterungv2
OptionaleErweiterungen Erweiterungv3
Hierarchischaufgebauter«distinguished name»,z.B.:cn =HannesFederrath,ou =Informatik,o=UniHamburg,c=DE
20
ITUX.509Zertifikate
§ ErweiterungeninX.509v3– ArtdesSchlüssels,Anwendungsbereich– AlternativeNamenfürInhaberundAussteller– Einschränkungenbzgl.crosscertification– Informationenbzgl.Sperrlisten(URL)– privateausstellerspezifischeErweiterungen
§ Zertifizierungsprozess– AntragbeiderRegistrationAuthority(RA)– IdentitätsprüfungdurchdieRA– ZertifizierungdurchdieCertificateAuthority(CA)– AusgabedesZertifikatsandenAntragsteller
§ WiderrufderZertifikate– CertificateRevocationLists(CRLs)– OnlineCertificateStatusProtocol(OCSP)
22
OptionenfürdieZertifikatserstellung
§ OpenCA– http://www.openca.org– Beschreibung:
«OpenSourceout-of-the-boxCertification Authorityimplementing themost used protocols with full-strength cryptography world-wide.»
– BenutztOpenLDAP,OpenSSL,Apache,mod_ssl,PerlundlässtsichperBrowserbedienen/konfigurieren
– AntragstellungperWeb-BrowserbeiderRA,nachZertifizierungdurchdieCADownloaddesZertifikats
– Kosten:• Potentiellniedrig
– Administrationsaufwand:• Potentiellmittel• allerdingshoherEinrichtungsaufwand
24
OptionenfürdieZertifikatserstellung
§ FlexiTrust– http://www.flexsecure.de (jetztKobil)– UmfassendeLösungzurErstellungeinerPKI/einesTrustcenters– EntwicklungderTechnischen
UniversitätDarmstadt– NachdemSignaturgesetz
zertifiziert– Plattformunabhängige
Java-Anwendung
– Kosten:• Sehrhoch
– Administrationsaufwand:• Potentiellniedrig
26
BezugvonX.509-ZertifikatenvoneinemkommerziellenAnbieter
§ VerschiedeneZertifikatsklassen– Class0:Demo-Zertifikat– Class1:ExistenzderE-Mail-Adressewirdgeprüft– Class2:SchriftlicherAuftrag– Class3:Antragstellermusssichpersönlichidentifizieren– Class4:«Onlinebusiness transactions between companies»– Class5:«for privateorganizations or governmental security»
§ Vorteile:– WurzelzertifikatistindenmeistenClientsschonenthalten– keineeigeneCAnötig– keinAdministrationsaufwand
§ Kosten:0-130EURproJahrundZertifikat
27
SSL-Handshake
Client Serverserver.com
ServerHello
Certificate
ClientKeyExchange
CertificateVerify
ChangeCipherSpec
Finished
ChangeCipherSpec
Finished
Certificate
ServerKeyExchange
CertificateRequest
ServerHelloDone
ClientHello
Application Data
Server-Zertifikatprüfen• CommonNameistgleich
DomainName• Gültigkeit• SignaturdesIssuers
Zertifikatsketteprüfen• CA-Attribut (siehespäter)• Gültigkeit• SignaturdesIssuers
abhiersymmetrischverschlüsselt
abhiersymmetrischverschlüsselt
28
SSL-Handshake(vereinfacht)
Client ruftaufhttps://server.com/
Serverserver.com
ServerHello
Certificate
ClientKeyExchange
CertificateVerify
ChangeCipherSpec
Finished
ChangeCipherSpec
Finished
Certificate
ServerKeyExchange
CertificateRequest
ServerHelloDone
ClientHello
Application Data
Server-Zertifikatprüfen• CommonNameistgleich
DomainName• Gültigkeit• SignaturdesIssuers
Zertifikatsketteprüfen• CA-Attribut (siehespäter)• Gültigkeit• SignaturdesIssuers
ClientteiltdemServerdensymmetrischenSchlüsselmit(verschlüsseltmitPublicKeydesServers)
abhiersymmetrischverschlüsselt
abhiersymmetrischverschlüsselt
KeyExchange
29
BenutzeransichteinesZertifikats(Firefox)
31
NormalesSSL-Serverzertifikat
32
ExtendedValidationCertificate
33
Zertifikatsvalidierung:RootCAvs.IntermediateCA
§ Fall1:RootCAstelltdirekteinServer-Zertifikataus
§ Fall2:RootCAzertifiziertIntermediateCA,diesestelltServer-Zertifikataus
Root-CAZertifikat
ServerZertifikat
imBrowserhinterlegt
Root-CAZertifikat
ServerZertifikat
imBrowserhinterlegt
IntermediateCA
vomServermitgeliefert
vonRootCAsigniert
vonRootCAsigniert
34
RekursiveZertifikatsvalidierung
§ RekursivesVerfahren:– RootCAzertifiziertIntermediateCA,IntermediateCAzertifiziert
IntermediateCA,u.s.w,IntermediateCAstellteinServer-Zertifikataus
Root-CAZertifikat
ServerZertifikat
IntermediateCA
AlleIntermediateCAZertifikatewerdenvomServermitgeliefert.
vonRootCAsigniert
IntermediateCA
35
Einschränkungenbzgl.CrossCertification
Wiewirdverhindert,dassvomInhaberdesServer-ZertifikatseinweiteresgültigesServer-Zertifikaterzeugtwird?
Root-CAZertifikat
ServerZertifikat
IntermediateCA
AlleIntermediateCAZertifikatewerdenvomServermitgeliefert.
IntermediateCA
ServerZertifikat
X509v3 extensions:X509v3 Basic Constraints:
CA:FALSEX509v3 Key Usage:
Digital Signature, Non Repudiation,Key Encipherment, Data Encipherment
X509v3 Extended Key Usage: TLS Web Server Authentication
Server-ZertifikatistnichtalsCA-Zertifikatzugelassen,d.h.
CA-Attributnichtgesetztungültig
36
Man-in-the-Middle-AngriffeaufSSL:sslstrip
§ Ziel:– AngreifermöchteKommunikationmitlesenund/oderverändern
§ AngreiferverhindertUmleitungzuHTTPSClient Angreifer Server
HTTPS
HTTPSHTTP
HTTP
AngreiferverhindertUmleitungzuHTTPS
Serverliefertnormalerweise:
Nutzergebenwww.bank.de ein—ohnehttps://
> GET / HTTP/1.1> Host: www.bank.de
< HTTP/1.1 301 Moved Permanently< Location: https://www.bank.de/Strict-Transport-Security: max-age=<sek>
HTTPStrict TransportSecurity (HSTS):HTTP-HeaderliefertbeiErstkontaktVerfallsdatumfürhttps-Zwang
37
Man-in-the-Middle-AngriffeaufSSL:sslstrip
§ ErsetzenallerUmleitungenundLinkszuHTTPS§ VerbindungzumServerperHTTPS,zumClientperHTTP§ Servermerktnicht,dassClientkeinHTTPSverwendet
Client Angreifer Server
HTTPS
HTTPSHTTP
HTTP
<html> [...]<body> [...]<a href="http://www.shop.de/login">Zum sicheren Login-Formular</a>[...]</body></html>
<html> [...]<body> [...]<a href="https://www.shop.de/login">Zum sicheren Login-Formular</a>[...]</body></html>
wirdvomAngreiferersetztdurch
38
Man-in-the-Middle-AngriffeaufSSL:burp proxy,mitmproxy
§ Ziel:AngreifermöchteKommunikationmitlesenund/oderverändern§ Angreiferstellt«Onthe fly»gültigeZertifikateaus
Client Angreifer Server
HTTPS
HTTPSHTTP/S
HTTP/S
«Onthe fly»vomAngreiferausgestellteZertifikateNutzerhabenetwaFirmen-CA-Zertifikatimportiert
Public-Key-Pins: pin-sha256="cUPcTAZWK..."; max-age=<sek>
HTTPPublicKeyPinning (HPKP):HTTP-HeaderliefertHashdeskorrektenöffentlichenSchlüssels
39
FehlendeoderfehlerhafteZertifikatsvalidierunginClients
40
NachwelchenKriterienkommendieRoot-ZertifikateinAnwendungenwieFirefoxoderdieBetriebssysteme?
§ Audit-Standards– Überprüfungder
Steuerungs- undKontrollprozessevon(Root)-CAs
§ WebTrust-StandardderCanadian Instititute of Chartered Accountants§ ETSITS102042– Policy for requirements for certification authorities –
Issuing public key certificates§ ETSITS101456– Policy for requirements for certification authorities –
Issuing qualified certificates§ ISO21128– Publickey infrastructure for financial services – Practicesand
policy frameworkQuelle:Hicken 2017
PlattformAnzahlZertifikate
AppleiOS, OSX 150
MicrosoftWindows10 230
MozillaNetworkSecurityServices 130
4141
BiometrischerReisepass
EinBeispielfürdeninternationalenAufbaueinerPKI
42
RFIDzurdrahtlosenKommunikation
ElektronischerReisepass
43
Lesegerät
Wh.:BiometrischeDateninReisepässen
§ BasicAccessControlundActiveAuthentication
Machine Readable Zone(MRZ):
123456789P<<JJMMDDP<JJMMDDP<<<<<<P
P<D<<NAME<<VORNAMEN<<<<<<<<<<<<<<<
Passnummer Geburtsdatum GültigkeitsdatumjeweilsmitPrüfziffer versehen
optischesLesenderMRZ
Foto,Fingerabdruck
LeserbildetSchlüsselK(56Bit)ausMRZ:K=h(PassID,GebD,GültD),aktiviertelektr.FeldundwartetEmpfangvonRand1ab
wähltZufallszahlRand2,SchlüsselhälftekReaderund bildetResponse(3-DES)aufRand1:K(Rand1,Rand2,kReader)undsendet
Responseentschlüsseln,Rand2prüfen
ElektrischesFeldProximity coupling <=10cm
Rand1
K(Rand1,Rand2,kReader)
K(Rand1,Rand2,kChip)
RF-ChipkenntK(56Bit)
Aktivierungdurchelektr.Feldabwarten,ZufallszahlRand1wählenundsenden
Responseentschlüsseln,Rand1prüfen,kReader zwischenspeichern,SchlüsselhälftekChipwählen,Response(3-DES)aufRand2bilden:K(Rand1,Rand2,kChip)undsenden
AlleweitereKommunikationwirdmit(kReader,kChip)verschlüsselt(3-DESmitCBC)
nach:Dr.DennisKügler:RisikoReisepass?SchutzderbiometrischenDatenimRF-Chip.ct 5(2005)88
44
SicherheitsfunktioneninelektronischenReisepässen
§ BasicAccessControl– AuslesenderbiometrischenDatenbenötigtoptischeDatender
maschinenlesbarenZone– SchutzdesdigitalenFotos
§ ActiveAuthentication– Soll1:1-KopienauthentischerDatenaufgefälschtenPässen
(Chips)verhindern– AuthentikationeinesOriginalchipsmittelsChallenge-Response
§ SymmetrischverschlüsselteKommunikation– zwischenPassundLesegerät
§ PassiveAuthentication– DigitaleSignaturdergespeichertenBiometriedaten– AufbauderPKI:-->(nächsteFolie)
TechnischeSpezifikation:http://www.icao.int/mrtd/
45
SicherheitsfunktioneninelektronischenReisepässen
§ AufbauderPKIbeiPassiveAuthenticationderBiometriedaten– eineCountrySigningCertifcationAuthority(CSCA)proLand– zertifiziertTestschlüsselmehrererDocumentSigner(DS)– keineübergeordneteweltweiteCA– alleLesegeräteenthaltendieZertifikatederCSCAsdeseigenenLandes
undallerfremdenLänder– Beispiel:
Quelle:DennisKügler,IngoNaumann:SicherheitsmechanismenfürkontaktloseChipsimdeutschenReisepass.DuD 3(2007)
CSCA
DS DS …
CSCA
DS DS …
CSCA
DS DS …
…CSCA-D CSCA-USCSCA-SA
DS1
46
SicherheitsfunktioneninelektronischenReisepässen
§ AufbauderPKIbeiPassiveAuthenticationderBiometriedaten– Beispiel:(ausländisches)Lesegerätprüftdt.Passdaten
AblaufderZertifikatsprüfung:• erhältvomPass:sigDS1(data),certDS1
• prüft:sigDS1 mitTestschlüssel(incertDS1 enthalten)
• prüft:certDS1mitTestschlüssel(incertCSCA-D)
CSCA-D
CSCA-US
CSCA-SA
…
Vorausgegangen:• BasicAccessControl• Active Authentication
LesegerätbeiGrenzkontrolle:• kenntalleCSCAsandererLänder
sigDS1(data),certDS1
dt.Pass
D
Lesegerät
CSCA-D
DS1 …
47
SicherheitsfunktioneninelektronischenReisepässen
§ AnstellevonBasicAccessControl ab2007:ExtendedAccessControl– SchutzderFingerabdrücke– BeschränktdenZugriffaufautorisierteLesegeräte– Authentikation desLesersüberPublicKeyZertifikat:
• EineCountryVerifying Certification Authority(CVCA)proLandzertifiziertdiejenigen
• Document Verifyer (DV)(fremderLänder),die(Fingerabdruck)-Datenauslesendürfen.
– ChipsaufPässenenthaltennationalesCVCA-Zertifikat– Beispiel:
TechnischeSpezifikationdu
rchBSI:
http://w
ww.bsi.de/fachthem/epass/EAC
TR03110_v101.pdf
DV …
CVCA-D
DV DV
Dt.zertifiziertPublicKeysnationalerundinternationalerDVs(nurvonsolchenLändern,dieFingerabdruckdatenlesendürfen);DVzertifiziertPublicKeysvon(landeseigenen)Inspection Systems(IS)
IS IS IS IS IS
DV1
IS1
48
DeutscherPassenthältCVCA-D
CVCA-D Challenger
ResponsesigIS1(r),certIS1,certDV1
IS1
amerikan.Lesegerät
AblaufderZertifikatsprüfung:• PasserhältvomLesegerät:sigIS1(r),certIS1,certDV1 alsResponseaufChallenger(Zufallszahl)
• Passprüft:sigIS1 mitTestschlüssel(incertIS1 enthalten)• Passprüft:certIS1 mitTestschlüssel(incertDV1 enthalten)• Passprüft:certDV1mitTestschlüssel(incertCVCA-Denthalten)
SicherheitsfunktioneninelektronischenReisepässen
§ AuthentikationdesLesersüberPublicKeyZertifikat§ Beispiel:dt.Passprüftamerikan.Leser
D
……
CVCA-D
DV1
IS1
4949
ZurNotwendigkeitsichererSignaturerstellungseinheiten
50
Chipkartes
Signier-komponente
Kommu-nikation
Anw.2 Anw.n
UnsichererRechner
UnsicheresBetriebssystem
...Signier-anwen-dung
PIN
AblaufaufStandard-PCmitChipkarte
§ SichereGerätesindeineVoraussetzungfürsichereSignaturen• AnzeigedesDokumentsaufdemext.Monitor• SendendesDokuments(bzw.dessenHash-Wert)zur
Chipkarte• AktivierungdesSigniervorgangsaufderKartedurchPIN-
Eingabe• RückgabederSignaturandieAnwendung
UNSICHER
51
Chipkartes
Signier-komponente
Kommu-nikation
Anw.2 Anw.n
UnsichererRechner
UnsicheresBetriebssystem
...Signier-anwen-dung
Standard-PCmitChipkarte
BösartigeAnwendungkönntez.B.PINabfangenoderTextnachAnschauenundvorSendenanSignierkomponenteheimlichersetzen
PIN
UNSICHER
52
Anw.2
Chipkartes
Kommu-nikation
Anw.n
UnsichererRechner
UnsicheresBetriebssystem
...Signier-anwen-dung
SichereSignierkomponentemitStandard-PC
PIN
Signier-komponente
PIN
SICHER
53
Anw.2
Chipkartes
Anw.n
UnsichererRechner
UnsicheresBetriebssystem
...Signier-anwen-dung
PIN
Signier-komponente
PIN
SichereSignierkomponente
§ Display§ Tastatur§ PhysischerSchutz:
Manipulationserkennung§ Entwurfoffengelegt(keine
verstecktenTrojanischenPferde)
=
54
Chipkartenleser:Sicherheitsklassen§ Klasse1
– KeineSicherheitsfunktionen– realisierennurKommunikationzwischenPCundLeser
§ Klasse2– PIN-EingabekannnichtvomPCmitgeloggtwerden
• Variante1:PC-TastaturistdirektmitLeserverbunden,VerbindungzuPCwirdwährendPIN-Eingabe(physisch)unterbrochen
• Variante2:EigeneTastaturimLeser§ Klasse3
– eigeneTastaturundeigeneAnzeige– PCistnichtanderKommunikationzwischenKarte,Tastatur
undAnzeigebeteiligt§ Klasse4
– eigenerSignaturschlüssel– kannspäterermitteltwerden,inwelchemLesegerätdie
Signaturgeleistetwurde
55
Anw.2
Chipkartes
Signier-komponente
Kommunikation
Anw.n
SichererRechner
SicheresBetriebssystem
...Signier-anwen-dung
PIN
PhysischsichereGeräteundsichereBetriebssysteme
SICHER,wenn§ PhysischsichereGeräte§ sichereBetriebssysteme§ TrustedPlatformModule
TPM
5656
DetailaspektezuPKI
Zeitstempeldienste undSelbstzertifizierungGültigkeitsmodellefürZertifikateundSignaturen
57
ZeitstempeldiensteundDigitaleSignatur§ FrühergeleisteteSignaturenkönnenauchnachKompromittierung des
Signierschlüssels nochgetestetwerden.§ Frage:Wieverhindert man,dassrückwirkendgültigeSignaturen erzeugt
werdenkönnen?(NachKompromittierung desSignierschlüssels)
§ NachrichtxerhälteinenZeitstempel(festmitderNachrichtverbunden):– TeilnehmerS(Signierer)
1. bildetHash-Wert (Fingerabdruck)derNachricht:h(x)2. fordertZeitstempel vonZeitstempeldienstTSan:sigTS(time,h(x))3. signiertNachrichtundZeitstempel:sigS(x,sigTS(time,h(x)))
– SolangederZeitstempeldienstkeineinderVergangenheit(oderZukunft)liegendeZeitsigniert,kanneinebestimmteNachrichtnichtnachträglichsigniertwerden
– ZeitstempelmusseinenFingerabdruckderNachrichtenthalten,damitnichteinfachfrühereZeitstempelderFormsigTS(time)wiederverwendetwerdenkönnen.
58
SelbstzertifizierungöffentlicherVerschlüsselungsschlüssel
UnterderVoraussetzung,dasseinefunktionierendeInfrastrukturfürDigitaleSignaturenexistiert,wirdkeinezusätzlichefürVerschlüsselungbenötigt.VorhandeneInfrastrukturkannzurSicherungderAuthentizitätderöff.Verschlüsselungsschlüsselverwendetwerden.
CA
TeilnehmerB
TeilnehmerinAbesitzt(sA,tA)besitzt(cA,dA)
cA(N)
cA,sigA(A,cA),sigCA(A,tA)
1. AlässttA,denSchlüsselzumTestenseinerSignatur,nachIdentitätsprüfungeintragenunderhälteinSchlüsselzertifikatsigCA(A,tA)zurück.
3. Bbesorgtsichggf.sigCA(A,tA),prüft
(SignaturvonCA) undfragt,obtA nochgültig
ist.
2. AschicktSelbstzertifikatvoncA
4. BschicktverschlüsselteNachricht
59
SelbstzertifizierungöffentlicherVerschlüsselungsschlüssel
§ Trusted ThirdParties werdengebraucht,wennetwasbewiesenwerdensollundnurdort.– DigitaleSignatur:Beweisbarkeiterforderlich– FremdzertifizierungdesTestschlüsselsdurchZertifizierungsstellen
§ BeiasymmetrischerVerschlüsselunggenügtes,sicherzusein,dassderöffentlicheVerschlüsselungsschlüsselauthentischist.– EchtheitvonVerschlüsselungsschlüsselnkannübervorhandene
InfrastrukturfürDigitaleSignaturgesichertwerden– Selbstzertifizierungdesöff.Verschlüsselungsschlüssels,jedochkeine
Fremdzertifizierung
TeilnehmerB
TeilnehmerinAbesitzt(sA,tA)besitzt(cA,dA)
cA(N)BschicktverschlüsselteNachricht
cA,sigA(A,cA),sigCA(A,tA)
AschicktSelbstzertifikatvoncA
60
GültigkeitsmodellefürZertifikateundSignaturen
§ Schalenmodell– EineSignaturuntereinemDokumentoderZertifikatistdanngültig,
wennzumZeitpunktihrerErstellungallezugrundeliegendenZertifikategültigwaren.
§ Kettenmodell– EineSignaturuntereinemDokumentoderZertifikatistdanngültig,
wennzumZeitpunktihrerErstellungdaszugehörigeSchlüsselzertifikatgültigwar.
GültigkeitWurzelzertifikat
GültigkeitCA-Zertifikat
GültigkeitCA-Zertifikat
GültigkeitAnwenderzertifikat
...
Gültigkeitlt.Schalenmodell
Gültigkeitlt.Kettenmodell
t
61
Schalenmodell
§ BeiAblaufoderWiderrufeinesZertifikats– abgeleiteteZertifikatewerdenungültig– Beachte:SignaturenbleibenauchnachAblaufderZertifikategültig,
wennZertifikatezumSignierzeitpunktgültigwaren§ EinfachepraktischeUmsetzung
– BeiÜberprüfungistfüralleZertifikatederselbeZeitpunktmaßgeblich.– int.Standard,basiertaufX.509undRFC3280(PKIX-AG)
GültigkeitWurzelzertifikat
GültigkeitCA-Zertifikat
GültigkeitCA-Zertifikat
GültigkeitAnwenderzertifikat
...
Gültigkeitlt.Schalenmodell
Gültigkeitlt.Kettenmodell
t
62
Kettenmodell
§ BeiAblaufoderWiderrufeinesZertifikats– abgeleiteteZertifikatetrotzdembleibengültig– rekursiveAnwendungaufallezugrundeliegendenZertifikate
§ BasiertaufeinerForderungdes§ 19(5)SigG– GültigkeiteinesZertifikatssollvonderEinstellungdesBetriebsderCA
unberührtbleiben– Folge:NutzungdesZertifikatsweiterhinmöglich
GültigkeitWurzelzertifikat
GültigkeitCA-Zertifikat
GültigkeitCA-Zertifikat
GültigkeitAnwenderzertifikat
...
Gültigkeitlt.Schalenmodell
Gültigkeitlt.Kettenmodell
t
63
GültigkeitsmodellefürZertifikateundSignaturen
§ Praxis– ÜbereinstimmendeGültigkeitvonSchalenmodellundKettenmodellbei
folgenderSituation
GültigkeitWurzelzertifikat
GültigkeitCA-Zertifikat
GültigkeitCA-Zertifikat
GültigkeitAnwenderzertifikat
...
tGültigkeit
64
Zusammenfassung
§ SchlüsselgenerierungdurchTeilnehmergeräte– ErhöhtSicherheit– ErlaubtvielfältigePseudonyme,dadurchwenigerProfile
§ VertrauenswürdigeZertifizierungsinfrastruktur– BeglaubigungderöffentlichenTestschlüssel– KeineHinterlegungvonSchlüsseln– Kreuzzertifizierung
§ VertrauenswürdigeKommunikationmitSignier- undAnzeigekomponente– SichereKartenlesermitDisplayundTastaturoder– SichereBetriebssysteme