Workshop Sicherheit mit PKI und PGP
© by md service 10. Juni Themenübersicht Grundlagen: Kryptographie – was ist das? Begriffliches Überblick über die Verschlüsselungsverfahren Warum braucht man Kryptographie ? Anwendungsmöglichkeiten von PGP Funktionsweise und Bestandteile von PGP Risiken beim Einsatz von PGP Public-Key-Infrastrukturen: Definition und Zweck der PKI PKI-Architektur „PGPcertsrv“ als Beispiel für eine PKI „IIS“ als Beispiel für eine PKI (CA) Praktische Anwendung: verschlüsselung mit PGP und Outlook 2000 VPN mit PGPnet SSL mit IE und IIS Weitere Informationen: Praxis:
© by md service 10. Juni Warum braucht man „Sicherheit“?
© by md service 10. Juni Kryptographie: Was ist das ?...ist die Wissenschaft der Veränderung von Klartext in verschlüsselten Text und wieder zurück mittels mathe- matischer Verfahren Es werden dabei unterschiedlich starke Kryptographische Verfahren unterschieden: abhängig von dem Algorithmus (DES, RSA, DH) abhängig von der Schlüsselstärke (40 bit, 128 bit, 4096 bit)
© by md service 10. Juni Begriffliches OSI-Referenzmodell Modell der Netzwerkschichten 7 Schichten (von oben) Verarbeitung (FTP, TELNET, SMTP, DNS) Darstellung Sitzung Transport (TCP, UDP) Vermittlung (IP) Sicherung (Frame Relay, Ethernet, TokenRing) Bitübertragung (Glasfaser, Twisted Pair, BNC)
© by md service 10. Juni Begriffliches SMTP-Protokoll TCP-IP-Protokoll zur übertragung Klartextprotokoll Port 25
© by md service 10. Juni Begriffliches SMTP
© by md service 10. Juni Begriffliches SMTP-Protokoll TCP-IP-Protokoll zur übertragung Klartextprotokoll Port 25 Schlüssel Dient der Sicherung von Daten gegen unauthorisierten Zugriff Digitale Unterschrift Dient der elektronischen Authentifizierung einer Person mittels public key Passphrase Passwort oder beliebiger Text, der in einen zufälligen Schlüssel umgewandelt, Zugang zu Daten erlaubt
© by md service 10. Juni Überblick über die Verschlüsselungsverfahren Verschlüsseln von Daten und Inhalten S/MIME PEM Public Key Verschlüsseln von Verbindungen PPTP IPSec PublicKey (VPN / SSL) Authentifikation von Benutzern PublicKey (SSL)
© by md service 10. Juni Überblick über die Verschlüsselungsverfahren: Konventionelle Kryptographie... Für Verschlüsselung und Entschlüsselung wird derselbe Schlüssel verwendet. Dies nennt man symmetrische Verschlüsselung. Vorteil:Nachteil: nur ein Schlüssel nötig einfache Anwendung schnelles Verfahren Schlüssel muss auch dem Empfänger bekannt sein Schlüssel wird ebenfalls übertragen aufwendige Schlüsselverteilung
© by md service 10. Juni Überblick über die Verschlüsselungsverfahren: Kryptographie mit öffentlichen Schlüsseln... Für Verschlüsselung wird ein öffentlicher Schlüssel und für Entschlüsselung wird der private Schlüssel verwendet. Dies nennt man asymmetrische Verschlüsselung. Vorteil:Nachteil: sichere Übertragung der Nachrichten Schlüssel bleibt geheim und wird nicht übertragen Schlüsselpaar nötig grosse Datenmengen relativ langsam PKI nötig
© by md service 10. Juni Überblick über die Verschlüsselungsverfahren: Digitale Signatur Der Hashwert einer Datei wird mit dem privaten Schlüssel Verschlüsselt und kann mit dem öffentlichen Schlüssel Wieder entschlüsselt werden. Auf diese Weise kann die Gültigkeit des öffentlichen Schlüssels geprüft werden und es wird bestätigt, dass die Daten auch wirklich vom Absender stammen
© by md service 10. Juni ATTACK 1.4 Warum braucht man „Kryptographie“?
© by md service 10. Juni ATTACK 1.4 Warum braucht man „Kryptographie“? Kopieren von Daten Fälschen von Daten Vortäuschen / Fälschen einer Identität Abhören von Verbindungen gezielter Einbruch in Systeme Kopieren von Daten Fälschen von Daten Vortäuschen / Fälschen einer Identität Abhören von Verbindungen gezielter Einbruch in Systeme
© by md service 10. Juni Anwendungsmöglichkeiten von PGP ...wurde von Phil Zimmermann entwickelt nutzt bekannte Algorithmen zur Schlüsselerzeugung und kombiniert konventionelle und public-key Verschlüsselung und basiert auf einem RFC (!) ist ein frei verfügbares (Freeware) Softwarepaket zur Datenverschlüsselung (Daten, , Datenträger) Verbindungsverschlüsselung (VPN) Benutzerauthentifikation (digitale Zertifikate)
© by md service 10. Juni Funktionsweise und Bestandteile von PGP PGPNet zur Verschlüsselung von Netzwerkverbindungen (VPN) PGPKeys zur Erzeugung und Verwaltung von Schlüsselpaaren und Distribution von public-keys (Kernapplikation) PGPDisk zur Verschlüsselung und Entschlüsselung von Datenträgern PGPTools zur einfachen Anwendung der PGP-Bestandteile per Mausclick PGPTray zur Shell-Integration
© by md service 10. Juni PGP lässt sich nahtlos in viele bekannte programme integrieren (Outlook, Lotus Notes, Eudora) Es existiert Software von Drittanbietern für - verschlüsselung ohne Benutzereingriff (mail essentials) 1.6 Funktionsweise und Bestandteile von PGP
© by md service 10. Juni Funktionsweise und Bestandteile von PGP
© by md service 10. Juni Risiken beim Einsatz von PGP
© by md service 10. Juni Risiken beim Einsatz von PGP Ist Verschlüsselungssoftware LEGAL? „Das Briefgeheimnis sowie das Post- und Fernmeldegehimnis sind unverletzlich“ GG ART.10, Absatz 1 KeyEscrow Verfahren Schlüsselbegrenzung KeyRecovery Verfahren Verbot von Verschlüsselung USA:„Kryptographie = Waffe. Export verbotem“ FRANKREICH:„Starke Kryprographie genehmigungs- pflichtig >40bit“ DEUTSCHLAND:„keine Beschränkungen“ UK:„Bestrebungen für KeyRecovery –Verplichtung zur Key-Herausgabe an Justiz“ CHINA:„Nutzung genehmigungspflichtig“ SÜD-KOREA:„Export ist kontrolliert für Hardware- Verschlüsselung, Nutzung soll kontrolliert werden“ WWW:
© by md service 10. Juni Risiken beim Einsatz von PGP „Es existiert kein absolut sicheres System - PGP kann auf verschiedene Weisen umgangen werden“ komprommitierte Passphrase falscher öffentlicher Schlüssel Kryptologischer Angriff Einbruch in die Privatsphäre nicht gelöschte Dateien Viren und trojanische Pferde Sabotage der Software Sabotage beteiligter Systeme
© by md service 10. Juni Risiken beim Einsatz von PGP „Es existiert kein absolut sicheres System - PGP kann auf verschiedene Weisen umgangen werden“ komprommitierte Passphrase falscher öffentlicher Schlüssel Kryptologischer Angriff Einbruch in die Privatsphäre nicht gelöschte Dateien Viren und trojanische Pferde Sabotage der Software Sabotage beteiligter Systeme Es ist unbedingt notwendig, die Gültigkeit eines öffentlichen Schlüssels zu prüfen !!
© by md service 10. Juni Themenübersicht Grundlagen: Kryptographie – was ist das? Begriffliches Überblick über die Verschlüsselungsverfahren Warum braucht man Kryptographie ? Anwendungsmöglichkeiten Funktionsweise und Bestandteile von PGP Risiken beim Einsatz von PGP Public-Key-Infrastrukturen: Definition und Zweck der PKI PKI-Architektur „ PGPcertsrv“ als Beispiel für eine PKI „IIS“ als Beispiel für eine CA Praktische Anwendung: verschlüsselung mit PGP und Outlook 2000 VPN mit PGPnet SSL mit IE und IIS Weitere Informationen: Praxis:
© by md service 10. Juni Definition, Zweck und Anwendungsmöglichkeiten der PKI Definition und Zweck: Public Key Infrastructure (PKI) ist ein Modell für die sichere Kommunikation unter Verwendung von Verschlüsselung mit Public Keys und digitalen Zertifikaten. Eine PKI enthält die Datenbank für die Zertifikate und entsprechende Administrationsfunktionen zur Abwicklung. Sie wird auch als CA („certification Authority“) bezeichnet und ist mir der Passausgabe einer Regierung vergleichbar. Eine CA ist das Herz der PKI und dient dazu, die Schlüssel und Signaturen zu beglaubigen. Ausgabe Zurücknahme Speicherung digitaler Signaturen Beglaubigung Verteilung
© by md service 10. Juni Anwendungsmöglichkeiten: E-commerce Online-Finanzdienste und Messaging „Business-to-Business“ (B2B) „Business-to-Consumer“ (B2C) Ähnlich wichtig: Webbbrowser, Webserver Anwendungen, bei denen mit Protokollen wie S/MIME, SSL und IPSEC gesicherte Transaktionen über das Internet oder in VPNs durchgeführt werden. 2.1 Definition, Zweck und Anwendungsmöglichkeiten der PKI
© by md service 10. Juni PKI-Architektur user User = CA user IPRA PCA CA
© by md service 10. Juni PKI-Architektur IPRA PCA CA user User = CA user
© by md service 10. Juni „ PGPcertsrv“ als Beispiel für eine PKI PGPcertsrv = „Keyserver für PGP“ Freie Software (Freeware) für Windows-OS Wird als Binary distributiert Merkmale: Keyserver für PGP HTTP-Interface LDAP-Interface Datenbank für Key-Aufbewahrung Syncronisationsmöglichkeit mit anderen Keyservern
© by md service 10. Juni „ PGPcertsrv “ als Beispiel für eine PKI Dokumentation Manual als PDF Hardwareanforderungen Abhängig von der Anzahl der zu verwaltenden Keys und der Menge eingehender Requests Minimalinstallation: Datenbankserver auf Port 389 (standard) Administration Wartung ist kaum nötig: Manuelle Pflege der Datenbank (löschen von Keys) Überwachung der Replikation Backup und Restore
© by md service 10. Juni „ PGPcertsrv “ als Beispiel für eine PKI : Installation: Download des Archivs von Entpacken des Archivs Installation Starten der Konsole und: Erzeugen der Datenbank Starten des Keyservers Aktivieren der Replikation Der Keyserver läuft als Dienst unter NT4!
© by md service 10. Juni „ PGPcertsrv “ als Beispiel für eine PKI LDAP Replication Port 389 Port 5000 WWW Port 80
© by md service 10. Juni „IIS“ als Beispiel für eine PKI (CA) „Internet Information Server“ (IIS) ist Bestandteil des Option Pack für NT 4.0 Server / Workstation Webserver FTP Server SMTP Server News Server Mit dem „Certificate Server“ ist eine eigene Zertifizierungsinstanz Bestandteil des Option Pack Die CA dient der Erstellung und Verwaltung digitaler Zertifikate für Websites bei Verwendung der SSL- Verschlüsselung Installation aller Komponenten mittels grafischem Setup
© by md service 10. Juni „IIS“ als Beispiel für eine CA Mit der MMC werden der IIS und die CA verwaltet Bei der Installation wird das Root-Zertifikat erzeugt Anschliessend können beliebige Zertifikate für einzelne Instanzen des Webservers erzeugt werden (Bindung an IP-Adressen und Port-nummern) Das Zertifikat der Root-CA steht zum Download auf den Client zur Verfügung
© by md service 10. Juni Themenübersicht Grundlagen: Kryptographie – was ist das? Begriffliches Überblick über die Verschlüsselungsverfahren Warum braucht man Kryptographie ? Anwendungsmöglichkeiten Funktionsweise und Bestandteile von PGP Risiken beim Einsatz von PGP Public-Key-Infrastrukturen: Definition und Zweck der PKI PKI-Architektur „PGPcertsrv“ als Beispiel für eine PKI „IIS“ als Beispiel für eine CA Praktische Anwendung: verschlüsselung mit PGP und Outlook 2000 VPN mit PGPnet SSL mit IE und IIS Weitere Informationen: Praxis
© by md service 10. Juni Praktische Anwendung:
© by md service 10. Juni Praktische Anwendung: 3.1 verschlüsselung mit PGP und MS Outlook 2000
© by md service 10. Juni verschlüsselung am Beispiel PGP und Outlook 2000 Voraussetzungen: Outlook Express oder Outlook bzw. anderes unterstütztes Programm * 1 (Internet-) zugang zu einer PKI * 2 PGP mit den Komponenten Key Management PGP Plugin für Outlook * 1 Es kann auch manuell verschlüsselter Text als Attachment versendet werden * 2 Keys können auch manuell distributiert werden
© by md service 10. Juni versenden: schreiben Empfängeradresse auswählen Option zum Verschlüsseln wählen 3.1 verschlüsselung am Beispiel PGP und Outlook
© by md service 10. Juni versenden (Fortsetzung): Auf „senden“ clicken Den Schlüssel des Empfängers ggf. von der PKI herunterladen, auswählen und verifizieren 3.1 verschlüsselung am Beispiel PGP und Outlook
© by md service 10. Juni versenden (Fortsetzung): Den Key ggf. importieren Und die Passphrase für den eigenen „private key“ eingeben 3.1 verschlüsselung am Beispiel PGP und Outlook
© by md service 10. Juni empfangen: öffnen Passphrase für den eigenen Private Key eingeben 3.1 verschlüsselung am Beispiel PGP und Outlook
© by md service 10. Juni empfangen: lesen 3.1 verschlüsselung am Beispiel PGP und Outlook
© by md service 10. Juni Praktische Anwendung: 3.2 VPN mit PGPnet
© by md service 10. Juni VPN mit PGPnet Voraussetzungen: Netzwerkkarte oder DFÜ-Netzwerk * 1 (Internet-) zugang zu einer PKI * 2 PGP mit den Komponenten Key Management PGPnet VPN/FW * 1 Es kann wahlweise NIC oder DFÜ oder beides gemeinsam genutz werden * 2 Keys können auch manuell distributiert werden
© by md service 10. Juni VPN mit PGPnet Vorbereitung: Option wählen (DFÜ / NIC) VPN-Option aktivieren
© by md service 10. Juni VPN mit PGPnet Vorbereitung (Fortsetzung): Mit dem Wizard einen neuen Host eintragen Optionen konfigurieren Key ggf. herunterladen und auswählen
© by md service 10. Juni VPN mit PGPnet Vorbereitung (Fortsetzung): Key ggf. herunterladen und auswählen Key signieren und trusten Mit dem Host verbinden
© by md service 10. Juni Praktische Anwendung: 3.3 SSL mit IE und IIS
© by md service 10. Juni SSL mit IE und IIS
© by md service 10. Juni SSL mit IE und IIS
© by md service 10. Juni SSL mit IE und IIS
© by md service 10. Juni SSL mit IE und IIS
© by md service 10. Juni SSL mit IE und IIS
© by md service 10. Juni SSL mit IE und IIS
© by md service 10. Juni SSL mit IE und IIS
© by md service 10. Juni Weitere Informationen Im Internet: In Fachliteratur: „Cryptography for the Internet“ Philip R. Zimmerman. Scientific American,Oktober „Privacy on the Line“ Whitfield Diffie und Susan Eva Landau. MIT Press; ISBN: „The Codebreakers“ David Kahn. Scribner; ISBN: „Network Security: Private Communication in a Public World“ Charlie Kaufman, Radia Perlman und Mike Spencer. Prentice Hall; ISBN: In der Online-Dokumentation von PGP: IntroToCrypto
© by md service 10. Juni Praxis... Vorschläge für praktische Übungen Installation eines weiteren Clients mit PGP Benutzung von PGP: Schlüssel erstellen Upload / Download von Schlüsseln Prüfung von Schlüssels Zurückziehen von Schlüsseln (CRL) Fehlersuche Verschlüsselte senden und empfangen VPN zwischen zwei Clients installieren SSL Zugriff auf einen Webserver durchführen
© by md service 10. Juni Themenübersicht Grundlagen: Kryptographie – was ist das? Begriffliches Überblick über die Verschlüsselungsverfahren Warum braucht man Kryptographie ? Anwendungsmöglichkeiten Funktionsweise und Bestandteile von PGP Risiken beim Einsatz von PGP Public-Key-Infrastrukturen: Definition und Zweck der PKI PKI-Architektur „PGPcertsrv“ als Beispiel für eine PKI „IIS“ als Beispiel für eine CA Praktische Anwendung: verschlüsselung mit PGP und Outlook 2000 VPN mit PGPnet SSL mit IE und IIS Weitere Informationen: Praxis: