“Nobody knows …” On the internet, nobody knows you're a dog.
??? “Schlag”worte S/MIME 3DES AES X.509 MD5 SHA1 Alice Authentifizierung Diffie-Hellman-Schlüsselaustausch S/MIME 3DES ??? Zertifikat Vertrauen Security AES Sicherheit Zertifizierungsstelle Fingerprint Signatur X.509 SSL öffentlicher Schlüssel Mallory privater Schlüssel POP3S & SMTPS MD5 symmetrisch SHA1 TLS HTTPS Login Passphrase VPN Bob Verschlüsselung Man-in-the-middle-Angriff asymmetrisch
Habt ihr schon ein CAcert-Konto Nein? Kein Problem! Vor Ort Habt ihr schon ein CAcert-Konto Nein? Kein Problem! Identität bestätigen lassen und später online anmelden Ja? Auch kein Problem ;-) Identität bestätigen lassen Seid ihr selber Assurer? Wir freuen uns über jeden, der helfen möchte, die Gemeinschaft zu vergrößern.
Sicherheitsprobleme im Web Warum misstrauen viele Menschen dem Web? Warum findet das “Postkarten-Prinzip” im Internet immer noch Verwendung? Wie können wir sicherstellen, dass der Absender wirklich die Person ist, die sie vorgibt zu sein? Woher wissen wir, dass der Inhalt nicht manipuliert wurde? Wie können wir auf die Identität einer Person vertrauen, die er vorgibt zu sein? Sind bezahlbare Verfahren vorhanden?
Sicherheitsanforderungen Sicherheit und Privatsphäre Der Inhalt kann nur vom Empfänger entschlüsselt werden. Authentifizierung Vertrauen in die Identität des Absenders Integrität Der Inhalt muss unverändert beim Empfänger ankommen. Manipulationen müssen erkannt werden. Nachweisbarkeit Sicherstellung des Senders und des Empfängers
CAcert – Pro und Contra Pro Gebührenfreie Zertifikate für die Gemeinschaft Unbeschränkte Anzahl an Zertifikaten Assurance – Identitätsüberprüfung – und das CAcert-Konto behalten ein Leben lang ihre Gültigkeit CA – Zertifizierungsstelle – aus, von und für die Gemeinschaft Contra Eine zentrale CA der vertraut werden muss Die Installation der Wurzelzertifikate in die Software kostet ein wenig Zeit
Wer mit wem? B, C und D (Assurers) haben in einem persönlichen Treffen die Identität von E überprüft (Assurance) und dies der CAcert mitgeteilt A vertraut dem CAcert-System und kann sich sicher sein, dass E die Person ist, die sie zu sein vorgibt
Anwendungen Serverzertifikate Webserver mit https:// (SSL) absichern Mailserver SSH VPN Clientzertifikate S/MIME: Signieren + Verschlüsseln von E-Mails Anmeldung bei Webseiten Software + Dokumente signieren Zertifikat im Ausweis zur Zugangsberechtigung
Zusammenspiel mit Client-Software Browser Firefox Chromium Safari … E-Mail-Programme Thunderbird Evolution Outlook … OpenOffice.org OpenVPN
Bestandteile eines Zertifikats Seriennummer Subject Signaturalgorithmus Herausgeber Gültigkeitszeitraum Verwendungs-möglichkeiten Öffentlicher Schlüsselanteil Algorithmus des Fingerabdruckes Fingerabdruck
Einsatzmöglichkeiten Zertifikatstypen Die Signaturen dienen lediglich zur Identitätsfeststellung. Schlüsselsignierung OpenPGP PGP Signierung von Quellcodes Code Bitte beachten Sie hierzu die Detailregelungen der CPS sowie die geltenden Gesetze Ihre Landes. Signierung von Dokumenten Advanced Signing Das Zertifikat dient lediglich der Authentifizierung. Details siehe CPS. Authentifizierung an webbasierten Signaturanwendungen TLS Verbesserung der Client Sicherheit Authentifizierung am Client “Digitale Signaturen” innerhalb von S/MIME sind keine händischen Unterschriften, vielmehr gestatten Sie die Verschlüsselung der Nachrichteninhalte. E-Mail-Verschlüsselung S/MIME Client Mailserver, Instant-Messaging Authentifizierung auf embedded servern Embedded Ermöglicht die Verschlüsselung Webserver- Verschlüsselung Server Anmerkungen Beschreibung Protokoll Allgemein Einsatzmöglichkeiten Typ