1 Einführung in die symmetrische und asymmetrische Verschlüsselung Andreas Grupp © by A. Grupp, 2007-2009. Dieses Werk ist unter.

Slides:



Advertisements
Ähnliche Präsentationen
Inxmail GmbH Vertrieb und Pflege des Marketing Tools.
Advertisements

Beispiel zum RSA-Algorithmus
Sicherheit in Netzwerken
Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.
Asymmetrische Kryptographie
SS 2007 FG Datenbanken – Interaktive Systeme, Fachbereich 17 Praktische Informatik Prof. Dr. Lutz Wegner Elektronische Signatur Waldemar Wiegel Sommer.
PKI (Public Key Infrastruktur)
Secure Socket Layer SSL For a secure E-Business Thomas Muskalla
Sicherheit und Personalisierung Internet Portal der Universität München.
Verteidigung von Michael Brinke Zum Thema Certificate Chain Validation.
Grundlagen der Kryptologie
Z1 Backbone of Trust Server- und XML-basierte Lösung zentrales Zertifikatsmangement der Königsweg zur anwenderfreundlichen eBusiness-Infrastruktur.
Hashverfahren und digitale Signaturen
© by S.Strudthoff 2005 SET Sichere Kreditkartenzahlung im Internet.
Public-Key-Infrastruktur
Sicherheit im Internet am
Seite Common Gateway Interface. Konzepte. Übersicht 1Einleitung 2Was ist CGI? 3Wozu wird CGI verwendet? 4Geschichtlicher Überblick 5Grundvoraussetzungen.
Elektronische Signatur
SSL - Verfahren Secure Socket Layer.
Prof. Dr. Strack | Netzwerklabor | SoSe 2009 Hacking & Security live Projektwoche 2009 Netzwerklabor OpenPGP Dipl.-Inf. (FH) Hendrik Werner Dipl.-Inf.
Handhabung OpenPGP am Beispiel Thunderbird / Plug-In Enigmail.
KRYPTOGRAFIE.
Sicherheit beim Internet-Banking
SecureSocketLayer „Sicherheit in Datennetzen“
präsentiert von Ulli, Nina& Kerstin
Philipp Jeschke | Mai 2007 OpenVPN / Zertifikate.
SET – Secure Electronic Transaction
RWTH – DFN Zertifizierungsdienst Antrag, Einrichtung und Verwendung mit Firefox und Thunderbird.
Verschlüsselungsverfahren
1 (C)2006, Hermann Knoll, HTW Chur, FHO teKRY407 Geheimhaltung, Authentikation, Anonymität Protokolle: Übersicht Referat Santos: Hash-Funktionen.
Verschlüsselung Von Daniel Dohr.
Registrar-Seminar Registrarprotokoll PGP – digitale Signaturen Nameserver EPP Mark Hofstetter Januar 2007.
VPN – Virtual Private Network
FTP File Transfer Protocol. Geschichte Das File Transfer Protocol (engl. für „Dateiübertragungsverfahren“, kurz FTP) ist ein im RFC 959 von 1985 spezifiziertes.
Pretty Good Privacy Public Encryption for the Masses
Webserver Apache & Xampp Referenten: Elena, Luziano und Sükran
Asymmetrische Kryptographie
Hypertext Transfer Protocol Secure (HTTPS) Seit August 1994 Entwickelt von Netscape Dient zur Verschlüsselung und zur Authentifizierung der Kommunikation.
Hypertext Transfer Protocol Secure (HTTPS) Wird in der Adressenleiste angezeigt.
E-Government technische Länder-Arbeitsgruppe 1. Treffen am
verschlüsselung Praxisanleitung verschlüsselung mit GnuPG, Mozilla Thunderbird & Enigmail.
Einführung in asymentrische Verschlüsselung am Bespiel OpenPGP/GnuPG.
LugBE Linux User Group Bern PKI – Was soll das? Einleitung Symmetrisch vs. asymmetrisch Trusted Third Party Hierarchisches Modell Web of Trust Links LugBE.
Praktische Anwendung von CAcert. Was macht CAcert? CAcert stellt Zertifikate aus.
Systems Architecture Comparison SSL/TLS, TLS for multiple virtual hosts Dominik Oepen, Dennis Reinert
„PGP für alle“ Leitfaden Grundlagen der Sicherheit Andreas Friedrich / Benny Neugebauer Johannes Petrick / Patrick Rutter Brandenburg, 12. Januar 2010.
Kryptografie und Datensicherheit RSA. Kryptografie und Datensicherheit RSA - Public-Key-Verschlüsselung 1. Asymmetrisches Verschlüsselungsverfahren 2.
Sichere mit OpenPGP und S/MIME Eine Kurzeinführung von Django
LINUX II Unit Remote Zugriff via SSH.
SSL-Zertifikate und S/MIME Sicher surfen und verschlüsseln Philipp Gühring
Kryptographie ● Motivation ● Theoretisches ● Symmetrische Verschlüsselung: RC4 ● Asymmetrische Verschlüsselung: RSA.
“Nobody knows …” On the internet, nobody knows you're a dog.
Praktische Anwendung von CAcert
OAuth 2.0 Ralf Hoffmann 03 / 2017
Verschlüsselung nach dem RSA-Verfahren
CAcert Was ist das?.
Secure Hash Algorithm Cetin Cigdem,
Workshop: -Verschlüsselung
RSA public key encryption
Manuel Blechschmidt & Volker Grabsch CdE Sommerakademie 2006 Kirchheim
Public Key Infrastructure
VPN (Virtual private Network)
Aufgabenteil (mit Hilfsmittel)
Digitale Signaturen & Digitale Zertifikate
Vortrag zum Oberseminar Datenmanagement
Verschlüsselung.
Digitale Schlüssel und Zertifikate auf dem Weg in die Praxis
International Telecommunication Union (ITU) International Telecommunication Regulations “ITR“ Übersetzt: Vollzugsordnung für internationale Fernmeldedienste.
ITU Radio Regulations (International Telecommunication Union)
 Präsentation transkript:

1 Einführung in die symmetrische und asymmetrische Verschlüsselung Andreas Grupp © by A. Grupp, Dieses Werk ist unter der Creative Commons Lizenz "Namensnennung - Keine kommerzielle Nutzung - Weitergabe unter gleichen Bedingungen" in der Version 3.0 Deutschland lizenziert (BY-NC-SA).BY-NC-SA Enigmail

2 Symmetrische Verschlüsselung (Single-Key-Encryption) SenderKanal Empfänger Verschlüsseltes Dokument über unsicheren Kanal Schlüssel über sicheren Kanal !!! z.B. Advanced Encryption Standard (AES, bzw. Rijndael-Algorithmus)

3 Als Analogie für asymmetrische Schlüsselerzeugung: Ausflug in die Biologie ■ Neue genetische Eigenschaften bei "Kindern" ■ Genetische Verwandtschaft zwischen "Eltern" und "Kindern" vorhanden und nachweisbar ■ "Eltern" u. "Geschwister" können aber mittels der "Kind-Gene" nicht rekonstruiert werden! ■ Bei gleichen "Eltern" unterschiedliche "Kinder"

4 Schlüsselerzeugung für die asymmetrische Verschlüsselung Zwei zufällig generierte und sehr große Primzahlen dienen als "Eltern" für eine mathem. Operation Zwei zufällig generierte und sehr große Primzahlen dienen als "Eltern" für eine mathem. Operation Mathem. Algorith. Ergebnis: Zwei digitale Schlüssel (Verschlüsselungs- und Entschlüsselungsexponent sowie ein gemeinsames Modul). Diese sind mit den "Kindern" aus der biologischen Analogie vergleichbar sind und dienen als Schlüssel für die asymmetrische Verschlüsselung.

5 Asymmetrische Verschlüsselung (Public-Key-Cryptogr.) ■ Es werden immer Schlüsselpaare generiert und verwendet. ■ Die Kenntnis eines Schlüssels reicht nachträglich zur Berechnung des anderen Schlüssels nicht aus! ■ Ein Schlüssel wird als "Secret-", der andere als "Public-Key" getauft. ■ Anschließend wird der "Secret-Key" nie aus der Hand gegeben! ■ Der “Public-Key” wird veröffentlicht und damit jedermann zugänglich gemacht! Es wird jede Möglichkeit zur Veröffentlichung genutzt! Public-Key Secret-Key

6 Möglichkeiten der asymmetrischen Verschlüsselung Variante 1: Public-KeySecret-Key Variante 2: Public-KeySecret-Key

7 1. praktische Anwendung: Privacy Public-Key SenderKanal Empfänger Secret-Key (hat ein eigenes Schlüsselpaar) Allg. Veröffentlichung! Sender hat Empfänger-Key an seinem Public-Key-Ring Verschlüsseltes Dokument Wer kann dieses Dokument überhaupt noch entschlüsseln?

8 2. praktische Anwendung: Authentifizierung Public-Key SenderKanal Empfänger Secret- Key (hat ein eigenes Schlüsselpaar) Allg. Veröffentlichung! Empfänger hat Sender-Key an seinem Public-Key-Ring Verschlüsseltes Dokument Welchen Sinn hat das? Dieses Dokument kann jeder entschlüsseln?

9 3. prakt. Anwend.: Authen. mit Message-Fingerprint Allg. Veröffentlichung! Empfänger hat Sender-Key an seinem Public-Key-Ring Crypto-Hash- Funktion (z.B. SHA1) SHA1: Secure Hash Algorithmus Verschlüsselter "Fingerabdruck" des Dokuments zusammen mit Klartext-Dokument SenderKanal Empfänger Identisch

10 Reale Anwendung ■ Gängig ist □ digitale Unterschrift über verschlüsselten Fingerprint, □ Verschlüsselung des Dokuments □ und die Kombination der beiden Verfahren ■ Bei Verschlüsselung des Dokuments wird □ symmetrische Verschlüsselung angewandt (da dies auch bei große Datenmengen schnell ist), □ dafür ein zufälliger Schlüssel verwendet □ und dieser asymmetrisch verschlüsselt angehängt.

11 Man-in-the-middle-Angriff Public-Key Secret-Key So war das eigentlich vorgesehen!

12 Man-in-the-middle-Angriff Public-Key Und so läuft es im Angriffsfall!

13 Vertrauensbildende Maßnahmen: "Ring of trust" 1.) Key-Inhaber konsultiert Freund 2.) Freund prüft Klartextdaten und signiert Key mit seinem eigenen Secret-Key. Ein Zertifikat entsteht! 3.) Zertifikat wird dem Keyinhaber übergeben

14 Vertrauensbildende Maßnahmen: "Ring of trust" 1.) Key-Inhaber sammelt Zertifikate 2.) Kommunikationspartner besorgt sich Public-Key ist aber unsicher ob hier nicht ein Man-in-the-middle am Werk ist!!! 3.) Besorgt sich Public-Keys der Gegenzeichner und prüft Zertifikate "Ring of Trust"

15 GnuPG & Co.: Enigmail – Thunderbird-Add-On

16 GnuPG & Co.: KGpg – KDE-GUI zu GnuPG

17 Certification Authority, die bessere Variante ■ Beim "Ring of Trust" verbleibt Unsicherheit ob die Gegenzeichner denn echt sind!??? ■ Lösung: Digitales Notariat – eine "Certification Authority" wird als Zertifikatsersteller benutzt. ■ Sinnvolle Voraussetzung: CA-Public-Key muss in Applikationen schon vorinstalliert sein!!! CA-Keys Vorlage des Public-Keys bei der CA Prüfung und Zertifikats- austellung durch CA Aushändigung des Zertifikats an Key- Inhaber

18 Beispiel: CA-Zertifikate im Firefox-Browser

19 Certification Authorities – Zertifizierungsstellen ■ In fast allen Ländern über Signaturgesetze geregelt ■ CA's zertifizieren sich u.a. auch gegenseitig – sogenannte Cross-Zertifizierung ■ Zum Betrieb auch hierarchische Aufteilung in eigentliche CA (Primary/Root) und Registration Authorities (RA) ■ Organisationen können eigene Zertifizierungshierarchien einrichten - Public-Key-Infrastruktur: □ Zertifizierungsstellen werden geschaffen und Hierarchien werden festgelegt □ Policies regeln dann auf welche Zertifikate in welchem Maß vertraut werden kann □ Revocation-Listen erklären Zertifikate für ungültig □ …

20 Zertifikats-Standardisierung mit X.509 ■ Teil der ITU-T X.500 Serie "The Directory" X.509 – Public-key and attribute certificate frameworks ■ Öffnet standardisierten Anwendungen die Tür □ Secure Socket Layer (SSL) □ Transport Layer Security (TLS) □ S/MIME (quasi Nachfolgerf v. PGP, GnuPG bei Mail) □ … ■ Regelt z.B. welche Klartextdaten in einem Zertifikat zusammen mit dem Public-Key enthalten sein müssen! ■ Weitere Regelungen zu PKI's und Key-Revocation ■ Für den Internet-Bereich mit RFC5280 spezifiziert

21 Genereller Ablauf für Umgang mit X.509v3-Zertifikate ■ Wichtiges Tool ist meist die Shell-basierende openssl- Programm-Suite – ■ Root- bzw. CA-Zertifikat an Spitze der PKI ■ Für einzelnes Zertifikat: □ Schlüsselpaar erzeugen □ Certification-Request erzeugen □ Zertifizierung mit CA-Keys durchführen ■ GUI-Frontends z.B. □ TinyCA2 ( Perl und GTK2 basierend – unter BSD/Linux/Unix problemloshttp://tinyca.sm-zone.net/ □ XCA ( plattformunabh. aber nur als Windows-Binary direkt verfügbarhttp://xca.sourceforge.net/

22 Version: 3 (0x2) Serial Number: ed:e2:54:61:5d:8d:aa:88:dd:57:21:2d:d5:85:ec:30 Signature Algorithm: sha1WithRSAEncryption Issuer: C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=PositiveSSL CA Validity Not Before: Feb 11 00:00: GMT Not After : May 11 23:59: GMT Subject: OU=Domain Control Validated, OU=PositiveSSL, CN=lehrerfortbildung-bw.de Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:c4:27:f2:dd:6c:e2:cc:9c:2d:f3:5a:8e:33:e1:... 42:74:5e:61:21:f3:ca:2a:49 Exponent: (0x10001) X509v3 extensions: X509v3 Authority Key Identifier: keyid:B8:CA:11:E9:06:31:79:DB:C3:94:C6:E8:19:2A:BC... X509v3 Subject Key Identifier: F3:1E:FD:FB:3F:9E:88:FF:A0:43:BC:24:7B:0C:52:38:DB:CC:25:64 X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Basic Constraints: critical CA:FALSE X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication Netscape Cert Type: SSL Client, SSL Server X509v3 Certificate Policies: Policy: CPS: X509v3 CRL Distribution Points: URI: URI: Authority Information Access: CA Issuers - URI: CA Issuers - URI: Zertifikatsaussteller Zertifizierter "Gegenstand": - Distinguished Name des Inhabers (z.B. für HTTPS wichtig Canonical Name CN - Servername!) - und der gekoppelte Public-Key Gültigkeitsdaten Beispiel-Textausgabe zu einem TLS-/SSL-Zertifikat (gekürzte Ausgabe): openssl x509 -in lehrerfortbildung-bw_de.crt -text -noout Zertifikatserweiterungen nach X.509 Version 3: Regeln z.B. den erlaubten Verwendungszweck der Zertifikats

23 SSL- bzw. TLS-Verbindungsaufbau Quelle: Wikipedia (graf. modifiziert)

24 Beschäftigung mit folgenden Themen vorgeschlagen: ■ Apache-Webserver installieren und auch als SSL-Server in Betrieb nehmen. Dazu: □ via hosts-Datei auf die localhost-IP abbilden □ Selbst signiertes CA-Zertifikat erzeugen □ SSL-Server-Key, Signing-Request und Zertifikats-Ausstellung für Ihren Host durchführen □ Server- und CA-Zertifikat in Apache integrieren □ Mit Browser kontaktieren und Betrieb testen □ CA-Zertifikat zum Download via http bereitstellen und in Browser integrieren □ Wieder mit Browser kontaktieren und Betrieb testen

25 Beschäftigung mit folgenden Themen vorgeschlagen: ■ Nur in abgrenztem Testnetz – nicht im allgemeinen Schulungsnetz (beachten Sie die strafrechtlichen Konsequenzen): Mit einschlägigen Tools der Hacking- bzw. Penetration-Testing-Szene einen Man-in-the-middle-Angriff auf die Kommunikation zw. Browser und SSL-Server durchführen. ■ Digitale Signaturen bei sowie verschlüsselte s und Dateien mit Thunderbird, GnuPG, enigMail testen. ■ S/MIME basierende Signatur und Verschlüsselung bei - Kommunikation mit Thunderbird testen.

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2025 SlidePlayer.org Inc. All rights reserved.