Public-Key-Infrastruktur FG Praktische Informatik Seminar Internet-Technologie Uni Kassel Dmitrij Funkner 04.12.2009 Public-Key-Infrastruktur

Public-Key-Infrastruktur Gliederung Sicherheitsaspekte der asymmetrischen Kryptographie Asymmetrische Kryptographie (Rückblick) Problematik der Public Key Verschlüsselung Man-in-the-Middle Attack Lösungsansatz: digitale Signaturen und Zertifikate Public-Key-Infrastruktur Eigenschaften einer PKI Bestandteile einer PKI Vertrauensmodelle 04.12.2009 Public-Key-Infrastruktur

Asymmetrische Kryptographie Ablauf Schlüsselpaar (private und public key) Veröffentlichung des public key Verschlüsselung anhand des public key (des Em- pfängers) Entschlüsselung mit dem (vom Besitzer geheim gehaltenen) private key 04.12.2009 Public-Key-Infrastruktur

Problematik der Public Key Verschlüsselung Veröffentlichung des public key Wurde der Schlüssel über eine unsichere Leitung veröffentlicht? Liegt der public key auf einem „sicheren“ Daten- träger, Server...? Wie kann man sicherstellen, dass es sich tatsächlich um den echten public key handelt? 04.12.2009 Public-Key-Infrastruktur

Problematik der Public Key Verschlüsselung Fazit elektronisch übermittelte Daten durchlaufen viele Stationen auf dem Weg zum Empfänger bei jeder durchlaufenen Station können die Daten verfälscht, manipuliert, abgehört etc. werden Demzufolge: Austausch der Schlüssel ist eine Schwachstelle 04.12.2009 Public-Key-Infrastruktur

Problematik der Public Key Verschlüsselung wenn man es schafft, einen Schlüssel unterzujubeln, hat man ein relativ sicheres Verfahren ausgehebelt bei Kommunikationspartnern bleibt dieser „Eingriff“ meist unbemerkt Daten nur zu verschlüsseln reicht für sichere Kom- munikation nicht aus es muss eine Möglichkeit bestehen, die Zugehörigkeit (Identität) des public key zu prüfen 04.12.2009 Public-Key-Infrastruktur

Man-in-the-Middle Attack Ausnutzen der Schwachstelle mittels MITM Attack: ein Angreifer steht entweder physisch oder logisch zwischen den Kommunikationspartnern gibt sich gegenüber X als Y und bei Y als X aus ist in der Lage, den Datenverkehr zu belauschen, manipulieren oder die Daten erst gar nicht an den Empfänger zu übermitteln 04.12.2009 Public-Key-Infrastruktur

Man-in-the-Middle Attack Nanny-in-the-Middle Attack (real life MITM Attack) eine Frau gibt eine Anzeige mit einem Nanny Gesuch auf sobald sich eine potentielle Nanny meldet, wird sie aufgefordert ihre Referenzen mitzuteilen die Frau gibt wiederum eine Anzeige auf, jedoch bewirbt sie sich diesmal mit den guten Referenzen der Nanny die Referenzen sind echt, jedoch für eine andere Person (Bezug zum Schlüsseltausch) sie raubt die Familie aus, bei der sie eingestellt wurde Die ganze Story: http://www.sfgate.com/cgi-bin/article.cgi?file=/chronicle/archive/2004/03/18/BAG6S5MUEO1.DTL 04.12.2009 Public-Key-Infrastruktur

Man-in-the-Middle Attack Beispiel im Bezug auf Rechnernetze (allgemein) 04.12.2009 Public-Key-Infrastruktur

Man-in-the-Middle Attack Beispiel im Bezug auf Rechnernetze (asymmetrische Kryptographie) 04.12.2009 Public-Key-Infrastruktur

Public-Key-Infrastruktur Lösungsansatz Zusätzlich zur Verschlüsselung der Daten ein Verfahren nutzen, das die Herkunft des public key eindeutig zuordnen lässt → digitale Signaturen in Verbindung mit digitalen Zerti- fikaten 04.12.2009 Public-Key-Infrastruktur

Public-Key-Infrastruktur Digitale Signaturen Digitale Signatur basiert auf Public-Key-Kryptographie ist eine Zahl, die berechnet wird und einer Nachricht zugeordnet kann als eine handschriftliche Unterschrift ge- sehen werden (im digitalen Sinne) 04.12.2009 Public-Key-Infrastruktur

Public-Key-Infrastruktur Digitale Signaturen Quelle: http://ddi.cs.uni-potsdam.de/Lehre/e-commerce/elBez2-5/page08.html 04.12.2009 Public-Key-Infrastruktur

Public-Key-Infrastruktur Digitale Zertifikate Digitales Zertifikat digital signierte, elektronische Daten, die sich zum Nachweis der Echtheit von Objekten verwenden lassen hat eine begrenzte Gültigkeitsdauer bindet einen öffentlichen Schlüssel an eine Identität sorgt für die Vertraulichkeit, Authentizität und Integrität 04.12.2009 Public-Key-Infrastruktur

Public-Key-Infrastruktur Digitale Zertifikate Ein Zertifikat enthält die folgenden Daten: Angaben zur Person (Aussteller) dessen öffentlichen Schlüssel Fingerprints Gültigkeitsdauer Name der Zertifizierungsstelle Trägt die digitale Signatur der Zertifizierungsstelle … 04.12.2009 Public-Key-Infrastruktur

Public-Key-Infrastruktur Digitale Zertifikate Quelle: http://ddi.cs.uni-potsdam.de/Lehre/e-commerce/elBez2-5/page10.html 04.12.2009 Public-Key-Infrastruktur

Public-Key-Infrastruktur Digitale Zertifikate Zertifikatskette wird auch als Zertifikationspfad bezeichnet eine Reihe von Zertifikaten, die sich gegenseitig signieren Eigentümer des Stammzertifikats ist eine Zertifi- zierungsstelle 04.12.2009 Public-Key-Infrastruktur

Public-Key-Infrastruktur Eigenschaften einer PKI Public-Key-Infrastruktur ist ein asymmetri- sches Kryptosystem ein System, das digitale Zertifikate ausstellt, verteilt und sie auf ihre Gültigkeit prüft und evtl. widerruft 04.12.2009 Public-Key-Infrastruktur

Public-Key-Infrastruktur Bestandteile einer PKI Certificate Authority (CA) Registration Authority (RA) Certificate Revocation List (CRL) Verzeichnisdienst Validation Authority (VA) 04.12.2009 Public-Key-Infrastruktur

Bestandteile einer PKI Certificate Authority (CA) erstellt Zertifikate signiert Zertifikate bestätigt Zertifikate gegenüber Dritten Registration Authority (RA) nimmt die Zertifikatsanträge an prüft sie auf ihre Daten bei Genehmigung wird es von CA signiert 04.12.2009 Public-Key-Infrastruktur

Bestandteile einer PKI Certificate Revocation List (CRL) eine Sperrliste für Zertifikate dient zum Ausschluß der Zertifikate die vor- zeitig abgelaufen sind kann verschiedene Gründe haben: Mitarbeiter verlässt die Firma etc. 04.12.2009 Public-Key-Infrastruktur

Bestandteile einer PKI Verzeichnisdienst stellt ein durchsuchbares Verzeichnis mit Zer- tifikaten und der CLR Validation Authority (VA) überprüft Zertifikate in Echtzeit 04.12.2009 Public-Key-Infrastruktur

Public-Key-Infrastruktur Vertrauensmodelle Direct Trust Der Benutzer vertraut darauf, dass das Zertifi- kat echt ist, weil er weiß wo es her stammt Hierarchical Trust Graphisch als Baum darstellbar Stammzertifizierungsstelle ist Wurzel des Bau- mes 04.12.2009 Public-Key-Infrastruktur

Public-Key-Infrastruktur Vertrauensmodelle Web of Trust Quelle: http://de.wikipedia.org/wiki/Datei:Web_Of_Trust.png 04.12.2009 Public-Key-Infrastruktur

Literaturverzeichnis Buchmann, Johannes, Einführung in die Kryptographie, 4. erw. Aufl., Berlin/Heidelberg 2008. Meinel, Christoph /Harald Sack, Digitale Kommunikation. Vernetzen, Multimedia, Sicherheit, Berlin/Heidelberg 2009. Wölfl, Thomas, Formale Modellierung von Authentifizierungs- und Autorisierungsinfrastrukturen. Authentizität von deskriptiven Attributen und Privilegien auf der Basis digitaler Zertifikate, Regensburg 2006. 04.12.2009 Public-Key-Infrastruktur

Literaturverzeichnis Internetverweise http://www-rn.informatik.uni-bremen.de/lehre/itsec/itsec05-6a.pdf http://www.dorisdiedrich.de/sicherheit.pdf http://de.wikipedia.org/wiki/Public-Key-Infrastruktur http://de.wikipedia.org/wiki/Digitales_Zertifikat http://de.wikipedia.org/wiki/Digitale_Signatur http://www.sicherheitskultur.at/man_in_the-middle.htm http://freeworld.thc.org/papers/ffp.html http://www.uni-regensburg.de/e/r/Systembetreuer/Netzwerksicherheit/ CA/01752_de.phtml 04.12.2009 Public-Key-Infrastruktur