06 sicherheit recht nn Professor Dr. Dieter Steinmann Fachhochschule Trier 1 Public Key Infrastructure PKI Fachhochschule Trier Vortragsreihe: 1

06 sicherheit recht nn G Professor Dr. Dieter Steinmann Fachhochschule Trier 2 Dr. Dieter Steinmann Professor an der Fachhochschule Trier, Fachbereich Wirtschaft, Betriebswirtschaft III Schwerpunkte + Enterprise Resource Planning Systeme, SAP R/3 + Entwicklung von Geschäftsprozessen + Professionelle Nutzung des Internets in Unternehmen WWW

06 sicherheit recht nn G Professor Dr. Dieter Steinmann Fachhochschule Trier 3 Internet (Quelle:

06 sicherheit recht nn G Professor Dr. Dieter Steinmann Fachhochschule Trier 4 Internet Schutzbedürfnisse Transaktion Zugriff, Manipulation Identität Serverdaten Zugriff, Manipulation Schutz von/vor Persönlichkeit Absender und Inhalte Software

06 sicherheit recht nn G Professor Dr. Dieter Steinmann Fachhochschule Trier 5 Schutz der Persönlichkeit Privacy Privacy statement Privacy Organisationen + TRUSTe, + Electronic Frontier Foundation,

06 sicherheit recht nn G Professor Dr. Dieter Steinmann Fachhochschule Trier 6 Sicherheit in E-Commerce Kaufabwicklung Kreditprüfung und Zahlung KundeAnbieter Zahlungsinstitut Interne Systeme

06 sicherheit recht nn G Professor Dr. Dieter Steinmann Fachhochschule Trier 7 Authentifizierung Smartcard PIN/TAN Biometrische Verfahren Trust Center (Registrierung und Verzeichnisdienst)

06 sicherheit recht nn G Professor Dr. Dieter Steinmann Fachhochschule Trier 8 Public Key Infrastructure - Trust Service/Center # Identifizieren der Person, der Institution # Erzeugen der Schlüssel (Diskette oder Smartcard) # Verzeichnisdienst # Veröffentlichung der öffentlichen Schlüssel # Verzeichnis der gesperrten Schlüssel # Prüfen der Schlüssel

06 sicherheit recht nn G Professor Dr. Dieter Steinmann Fachhochschule Trier 9 PIN/TAN-Verfahren # Vergabe einer PIN, eines Passwortes # Erzeugen einer Liste mit Transaktionsnummern, Zuordnung zu Benutzern, Versand der Transaktions- nummern auf sicherem Weg # Anmelden am System # Eingabe einer TAN für jede Transaktion

06 sicherheit recht nn GITan Wie TAN aber Indizierte TANs und Abfrage einer speziellen TAN zu einer speziellen Transaktion Professor Dr. Dieter Steinmann Fachhochschule Trier 10

06 sicherheit recht nn G Professor Dr. Dieter Steinmann Fachhochschule Trier 11 Sicherheit und Standards Zahlungsabwicklung SET, Secure Electronic Transactions, Kreditkartenoperationen, Visa, Mastercard, PIN/TAN HBCI, Home Banking Computer Interface, entwickelt im ZKI (Zentralen Kreditausschuß), ersetzt PIN/TAN, Smart Cards Elektronische Unterschrift Physikalische Personenerkennungsverfahren (Iris, Fingerabdruck,...)

06 sicherheit recht nn G Professor Dr. Dieter Steinmann Fachhochschule Trier 12 Grundprinzip Sicherheitsvereinbarungen Internet-Front-EndInternet-Server LOG IN Verschlüsselung vereinbaren AuthentifizierungServer-ZugriffLOGIN AuthentifizierungBerechtigungen Protokolle Virenschutz „Abhören der Kommunikation“

06 sicherheit recht nn G Professor Dr. Dieter Steinmann Fachhochschule Trier 13 Symmetrische Verschlüsselung (symmetrisch) Verschlüsselung und Entschlüsselung mit dem gleichen Schlüssel (DES) Problem: # Schlüsselaustausch # Alle Beteiligten können mit dem gleichen Schlüssel ver- und entschlüsseln

06 sicherheit recht nn G Professor Dr. Dieter Steinmann Fachhochschule Trier 14 Asymmetrisches RSA-Verfahren RSA - Rivest, Shamir und Adleman Public keyPrivate key Verschlüsselung mit dem fremden public key, Entschlüsselung nur noch mit dem fremden private key möglich Entschlüsselung nur mit dem private key möglich

06 sicherheit recht nn G Professor Dr. Dieter Steinmann Fachhochschule Trier 15 Signatur (Texte, Software,...) RSA - Rivest, Shamir und Adleman Public keyPrivate key Prüfen der Echtheit und des Absenders einer Nachricht mit dem öffentlichen Schlüssel (Hash Code) Signieren einer Nachricht nur mit dem private key möglich (Hash Code)

06 sicherheit recht nn G Professor Dr. Dieter Steinmann Fachhochschule Trier 16 Public Key Infrastructure (Asymmetrisch) RSA, Rivest, Shamir und Adleman Digitale Zertifikate X.509 Verschlüsselung mit dem public key Entschlüsselung mit dem private key Signatur prüfen mit dem Public key Signatur erzeugen mit dem private key

06 sicherheit recht nn G Professor Dr. Dieter Steinmann Fachhochschule Trier 17 Trust Center Komponenten # Registrierung # Verzeichnisdienst (Deutsche Telekom AG)

06 sicherheit recht nn G Professor Dr. Dieter Steinmann Fachhochschule Trier 18 Abrufbare Verzeichnisse, Zertifikatsprüfung public key directory – pkd + anonymus public key directory (apkd) + certificate revocation list – cl + Prüfung eines einzelnen Zertifikates + ttp-messageformat + ttp-viewer kostenlos downloadbar

06 sicherheit recht nn G Professor Dr. Dieter Steinmann Fachhochschule Trier 19 Public Key Crypto Standards

06 sicherheit recht nn G Professor Dr. Dieter Steinmann Fachhochschule Trier 20 Serversicherheit Übersicht Anmelden am Server, Sitzung eröffnen Austauschen von Verschlüsselungsinformationen Nutzen der Serverdienste, Transaktionen Abmelden

06 sicherheit recht nn G Professor Dr. Dieter Steinmann Fachhochschule Trier 21 Serversicherheit download Public key des servers Public key des servers [Verschlüsselung] Private key des Servers [Enschlüsselung] http: port 80 https: port 443

06 sicherheit recht nn G Professor Dr. Dieter Steinmann Fachhochschule Trier 22 -Sicherheit Erstellen der Verschlüsseln Anmelden am Server Übertragen auf den Server Smtp-ServerPOP-Server Anmelden am Server Abholen vom Server EntschlüsselnLesen smtp

06 sicherheit recht nn G Professor Dr. Dieter Steinmann Fachhochschule Trier 23 Verschlüsselungsstandards Pretty good privacy, pgp, MIME, SMIME

06 sicherheit recht nn G Professor Dr. Dieter Steinmann Fachhochschule Trier 24 Sicherheit der Komponenten im Internet Sicherheitskonzept des Betriebssystems und des Netzwerkbetriebssystems Sicherheitskonzept des Frontends Sicherheit des Mail-Systems Sicherheitskonzept der Übertragungsstrecke Sicherheit des Servers Sicherheit des Verschlüsselungskonzepts