Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Bist du‘s wirklich ? Authentizität im Web

Das Problem Vieles ist nicht sicher im Internet wie im „wirklichen“ Leben… Im Internet ist es wesentlich schlimmer man kann sein Gegenüber nicht sehen. Außerdem wird jede Täuschungsmöglichkeit zum Massenphänomen. Beunruhigende Fragen: Stammt eine E-Mail vom angegebenen Absender? Bin ich mit der richtigen Website verbunden? Soll ich einfach meine Kreditkartendaten eingeben? …

Ziele dieses Vortrags Einen allgemein verständlichen Einblick in einen wichtigen Problembereich geben „Lust machen“ auf das Modul IT-Sicherheit im Studiengang Web- und Medieninformatik Wegen des zweiten Punktes muss an der einen oder anderen Stelle der wissenschaftliche Hintergrund wenigstens angedeutet werden.

Wie kann man seine Identität beweisen? auf der Straße und sonstwo: durch einen Ausweis (mit Lichtbild) in der digitalen Welt: durch Wissen (Kenntnis eines Geheimnisses) durch Besitz (Chipkarte, eToken…) durch eine biometrische Eigenschaft (z. B. Gesichtserkennung)

Authentifikation durch Wissen Passwortverfahren („klassisch“) Challenge-Response-Verfahren weitere…

 Authentifikation im Internet / Web Problemstellung: Man muss den Besitz eines Geheimnisses überprüfen können, ohne dass der Prüfende dieses Geheimnis kennt ! Dies klingt zunächst unglaublich. Es ist aber möglich: mit Hilfe asymmetrischer Kryptographie.  Kryptographie – die „Wissenschaft von den Geheimnissen“

Public-Key-Kryptographie * – Teil 1 Das Grundprinzip: Jeder hat zwei Schlüssel, die zueinander passen: einen öffentlichen und einen privaten (geheimen). (Die Schlüssel sind Bitfolgen, die in Computersystemen oder auf Chipkarten gespeichert sind.) Man verschlüsselt mit dem öffentlichen Schlüssel des beabsichtigten Empfängers. * siehe auch Modul „Angewandte Mathematik“

Public-Key-Kryptographie – Teil 2 Ein öffentlicher Schlüssel

Public-Key-Kryptographie – Teil 3 Man unterschreibt / authentifiziert sich mit dem eigenen privaten Schlüssel. Eine mögliche Variante: A erzeugt eine Zufallszahl, verschlüsselt diese mit dem öffentlichen Schlüssel von B, und schickt das Resultat an B. Wenn B mit der Zufallszahl antwortet, gilt B als authentifiziert, weil B im Besitz des dazu passenden privaten Schlüssels zu sein scheint.

Public-Key-Kryptographie – Teil 4 Damit dies Sinn ergibt, ist sicher zu stellen, dass die öffentlichen Schlüssel authentisch sind. Dazu gibt es Zertifikate. Ein Zertifikat ist im Wesentlichen ein von einer vertrauenswürdigen Instanz unterschriebener öffentlicher Schlüssel.

Zertifikate Zusammenfassung: Die Authentifizierung erfolgt mit Hilfe eines Zertifikats. (Der Prüfende muss den öffentlichen Schlüssel der vertrauenswürdigen Instanz kennen.) Die Anbindung an die reale Identität erfolgt bei der Ausstellung des Zertifikats. Mehr dazu im Modul IT-Sicherheit.

Wer ist eine „vertrauenswürdige Instanz“? im Kontext der Digitalen Signatur: Zertifizierungsstellen, letztlich: der Bundesinnenminister im Web: spezialisierte und weltweit operierende Firmen wie Verisign (damit dies funktioniert, sind die öffentlichen Schlüssel dieser Firmen in den Browsern schon „eingebaut“)

Ein typisches Ereignis

Die Auflösung 

Bankingportal der Sparkasse Wuppertal – „Seiteninformation“ unter Firefox

Zugehöriges Zertifikat - Allgemeinansicht

Zugehöriges Zertifikat - Detailansicht

Manchmal will man das Gegenteil – Anonymität im Web Kann man im Web anonym bleiben? Antwort: Ja, aber man muss dafür aktiv werden. Seriöse Gründe können sein: Durchführung einer Wahl Äußerung einer „unbequemen“ Meinung Einholung eines unverbindlichen Angebots Nutzung von Beratungsangeboten

Anonymitätstest bei www.jondos.de – Teil 1

Anonymitätstest bei www.jondos.de – Teil 2

Anonymitätsdienste Anonymizer Der anonymisierende Server „kennt“ den Benutzer. Tor Durch Beobachtung von Internetverkehr ist die Aufhebung der Anonymität theoretisch möglich. JAP Anon Proxy / Jondos Komplette Anonymität durch Mix-Kaskaden.