David B., David S., Danny, Timo Kryptografie David B., David S., Danny, Timo HOME VOR ZÜRÜCK GY WV 05 e

Inhaltsverzeichnis : VOR HOME ZÜRÜCK 1. Deckblatt 3. Warum Kryptografie ? 4. Einsatzgebiete 5. Asymmetrisches Verfahren 6. Symmetrisches Verfahren 7. Authentifizieren 8. Generelle Ansätze Kryptologischer Verfahren 8.1 ROT13 („Buchstabenverdreher“) 9. Mailkryptografie 9.1 PGP 9.1.1 Verschlüsselung bei PGP 9.1.2 Vorteile, Einsatzmöglichkeiten, Wissenswertes 9.2 SSL 10.Kryptopgrafie im Bankensektor 10.1 PIN/TAN Verfahren 10.2 HBCI 10.3 „Man in the middle attack“ 10.4 Phising 11.Algorithmus – RSA, „Diffie-Hellmann“ Verfahren 12.Hacking 12.1 Brute Force 12.2 Social Engineering 13. Das 100% Sichere Verfahren? Inhaltsverzeichnis : HOME VOR ZÜRÜCK

3. Warum Kryptografie ? Vier Hauptziele: Wissenschaft d. Verschlüsselung von Informationen bzw. Daten Grundidee: Inhalt v. Nachrichten für Dritte unzugänglich zu machen. Vertraulichkeit Datenintegrität Authentifizierung Verbindlichkeit Vier Hauptziele: Nicht alle Verfahren erreichen alle oben genannten Ziele Kryptographie besteht aus einer Komplexen Geschichte Erst im 20. JHD. kam der Kryptografie Bedeutung zu HOME VOR ZÜRÜCK

4. Einsatzgebiete Klassische Einsatzgebiete (Militär, Geheimdienste [FBI]) Absicherung Elektronischer Geldgeschäfte, Wertpapiere Zugangskontrolle zu Rechnernetzen (z.B. Authentifizierung) Zugangskontrolle für Chipkarten (Smartcard) Datenaustausch (z.B. bei Banken) Mailverkehr („Briefgeheimnis“) Weiteres Einsatzgebiet für die Zukunft könnte die Verschlüsselung bei Voice-over-IP darstellen!! HOME VOR ZÜRÜCK

5. Asymmetrisches Verfahren (public key encryption) Empfänger: Erzeugt 2 Schlüssel -> (public key, private key) Verschlüsselung nur mit Kombination möglich HOME VOR ZÜRÜCK

6. Symmetrisches Verfahren Sender und Empfänger haben gemeinsamen Geheimnis: Den Schlüssel Damit sind die schwächen klar: Austausch ist angreifbar und unsicher Zu viele Schlüssel erforderlich Bei unmengen Usern Lösung unpraktikabel HOME VOR ZÜRÜCK

7. Authentifizieren Wege: Man hat „etwas“ (Schlüssel, Karte) = Bezeichnet den Vorgang, die Identität einer Person oder eines Programms anhand von bestimmten Merkmalen zu überprüfen Identitätsprüfungen: 1 Teilnehmer authentisiert 1 Teilnehmer authentifiziert Wege: Man hat „etwas“ (Schlüssel, Karte) Man weiß „etwas“ (Passwort, Codes) Man ist „etwas“ (Biometrie – Iris Scan) (Rechtes Auge) Man ist an einem Ort (Bestimmter Rechner) Man kann etwas (Unterschreiben – EC Karte an der Tankstelle Von einer 2-Faktor Authentifizierung spricht man wenn zwei dieser 5 Möglichkeiten kombiniert werden. HOME VOR ZÜRÜCK

8. Generelle Ansätze Kryptologischer Verfahren HOME VOR ZÜRÜCK

8.1 ROT13 (Caesar-Cipher by 13 Chars) Eine im „Usenet“ sehr weit verbreitete „Verschlüsselungsmethode“ Informatiker: Keine wahrhafte Methode Denn: Lediglich Buchstabenverschiebung um 13. Pos. im Alphabet Zusätzlich: ROT-5 – Ziffernverschiebung um 5. Pos. Bsp.: ROT13 ohne ROT5: Ich habe Geburtstag. Ich werden 32. Vpu unor Trohefgnt. Vpu jreqr 32. ROT13 mit ROT5: Vpu unor Trohegfgnt. Vpu jreqr 87. <ironie>Bei besonders anspruchsvollen Sicherheitskriterien empfiehlt sich der Einsatz des Triple-ROT13-Algorithmus (3ROT13), sowie des Triple-ROT5-Algorithmus (3ROT5).</ironie> HOME VOR ZÜRÜCK

9. Mailkryptografie HOME VOR ZÜRÜCK

9.1.1 Verschlüsselung bei PGP HOME VOR ZÜRÜCK

9.1.2 Vorteile, Einsatzmöglichkeiten, Wissenswertes Kostenlos für Private User Sourcecode frei erhältlich -> Keine Hintertüren möglich Einsatzmöglichkeiten: Verschlüsseln von Nachrichten Verschlüsseln von Dateien und ganzen Festplatten Digitale Unterschriften Kein eigenständiges Verfahren – Benutzt andere Verfahren z.B.: ZIP, Symmetrisch, Asymmetrisch… Hybrides Verfahren - > Vorteile HOME VOR ZÜRÜCK

9.2 SSL (Secure Sockets Layer) Verschlüsselungsprotokoll für den Datenaustauch im Web Zwei Schichten: Record Protocol Handshake Protocol SSL wird heute meistens mit HTTPS eingesetzt. Fast alle Browser u. Server setzen SSL ein. HOME VOR ZÜRÜCK

10. Kryptografie im Bankensektor

10.1 PIN/TAN Verfahren Ist ein Authentifizierungsverfahren Die zu identifizierende Person hat einen PIN und eine liste von TANs Diese kommen auf getrennten wegen zum Client. Vorgehensweise: PIN wird 1. Mal pro Session abgefragt Zusätzlich TAN aus Liste eingeben und Streichen. Veraltet Unumständlich HOME VOR ZÜRÜCK

10.2 HBCI "Homebanking Computer Interface" Offener Standard Einsatzbereich: Electronic Banking, Kundenselbstbedienung Wurde von versch. Bankengruppen in Deutschland entwickelt. Technische Merkmale: Flexibel Leichte Implementierung HOME VOR ZÜRÜCK

10.3 „Man in the Middle attack“ Bei der „Man in the Middle Attack“ steht der Angreifer zwischen zwei miteinander kommunizierenden Rechnern. Von hier aus kann er alle Daten abfangen und verändert Bsp.: Kunde gibt PIN/TAN ein und verbindet zur Bank Wenn sich jmd. einhackt kann er gültige TAN abfangen Hacker ändert Daten und ändert die Überweisung z.B. Geld auf sein Bankkonto (vorzugsweise auf den Bahamas) HOME VOR ZÜRÜCK

10.4 Phising „Nachgemachte Seiten“ Dabei geht es darum dem Opfer wertvolle Informationen zu stehlen. Zum Beispiel Kontoinformationen von Ebay und damit auch sensible Kreditkarteninformationen. Geschickte Tarnung: Social Engineering Beispiel „Link-Trick“ durch Java „Nachgemachte Seiten“ HOME VOR ZÜRÜCK

11. Algorithmus RSA/Diffie/Hellmann Praktisches Problem beim Schlüsselaustausch Die „Trapdoor Funktion“ Bsp.: Telefonbuch RSA: Moderne Kryptografie nur noch Mathematisch Zeichen in Zahlen umwandeln RSA beruht auf Satz Eulers -> ms(p-1) (q-1) + 1 mod n = m Abgeleiteter Algorithmus: VerschlüsselnZeichenwerte mod n = Geheimzeichenwert EntschlüsselnGeheimzeichenwertd mod n = Zeichenwert HOME VOR ZÜRÜCK

12. Hacking HOME VOR ZÜRÜCK

12.1 Brute Force Warum Brute Force ? Lösungsmethode In der Informatik: Methode der „Rohen Gewalt“ Lösungsmethode Beruht auf das ausprobieren aller möglichen Varianten Warum Brute Force ? Für viele Probleme gibt es in der Informatik keine effizienten Algorithmen HOME VOR ZÜRÜCK

Beispiel 12.2 Social Engineering Beschreibt das Erlangen vertraulicher Informationen durch Annäherung mittels persönlicher Kontakte. Beispiel HOME VOR ZÜRÜCK

13. Das 100% Sichere Verfahren? Leider gibt es ein solches Verfahren nicht und kann es auch nicht geben. Kryptografische Möglichkeit Somit: Wertlosigkeit des Wissens Satz ? Kryptografie ist die Abschätzung ob die Dauer/der Aufwand um an irgendein wissen zu kommen im Verhältnis zum wert des Wissens steht. HOME VOR ZÜRÜCK

Danke für eure Aufmerksamkeit! HOME ZÜRÜCK