Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

1 Einführung in die symmetrische und asymmetrische Verschlüsselung Andreas Grupp © by A. Grupp, 2007-2009. Dieses Werk ist unter.

Veröffentlicht von:Hansl Simen Geändert vor über 7 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "1 Einführung in die symmetrische und asymmetrische Verschlüsselung Andreas Grupp © by A. Grupp, 2007-2009. Dieses Werk ist unter."—  Präsentation transkript:

1 1 Einführung in die symmetrische und asymmetrische Verschlüsselung Andreas Grupp grupp@elektronikschule.de © by A. Grupp, 2007-2009. Dieses Werk ist unter der Creative Commons Lizenz "Namensnennung - Keine kommerzielle Nutzung - Weitergabe unter gleichen Bedingungen" in der Version 3.0 Deutschland lizenziert (BY-NC-SA).BY-NC-SA Enigmail

2 2 Symmetrische Verschlüsselung (Single-Key-Encryption) SenderKanal Empfänger Verschlüsseltes Dokument über unsicheren Kanal Schlüssel über sicheren Kanal !!! z.B. Advanced Encryption Standard (AES, bzw. Rijndael-Algorithmus)

3 3 Als Analogie für asymmetrische Schlüsselerzeugung: Ausflug in die Biologie ■ Neue genetische Eigenschaften bei "Kindern" ■ Genetische Verwandtschaft zwischen "Eltern" und "Kindern" vorhanden und nachweisbar ■ "Eltern" u. "Geschwister" können aber mittels der "Kind-Gene" nicht rekonstruiert werden! ■ Bei gleichen "Eltern" unterschiedliche "Kinder"

4 4 Schlüsselerzeugung für die asymmetrische Verschlüsselung Zwei zufällig generierte und sehr große Primzahlen dienen als "Eltern" für eine mathem. Operation. 570839 Zwei zufällig generierte und sehr große Primzahlen dienen als "Eltern" für eine mathem. Operation. 599959 Mathem. Algorith. Ergebnis: Zwei digitale Schlüssel (Verschlüsselungs- und Entschlüsselungsexponent sowie ein gemeinsames Modul). Diese sind mit den "Kindern" aus der biologischen Analogie vergleichbar sind und dienen als Schlüssel für die asymmetrische Verschlüsselung.

5 5 Asymmetrische Verschlüsselung (Public-Key-Cryptogr.) ■ Es werden immer Schlüsselpaare generiert und verwendet. ■ Die Kenntnis eines Schlüssels reicht nachträglich zur Berechnung des anderen Schlüssels nicht aus! ■ Ein Schlüssel wird als "Secret-", der andere als "Public-Key" getauft. ■ Anschließend wird der "Secret-Key" nie aus der Hand gegeben! ■ Der “Public-Key” wird veröffentlicht und damit jedermann zugänglich gemacht! Es wird jede Möglichkeit zur Veröffentlichung genutzt! Public-Key Secret-Key

6 6 Möglichkeiten der asymmetrischen Verschlüsselung Variante 1: Public-KeySecret-Key Variante 2: Public-KeySecret-Key

7 7 1. praktische Anwendung: Privacy Public-Key SenderKanal Empfänger Secret-Key (hat ein eigenes Schlüsselpaar) Allg. Veröffentlichung! Sender hat Empfänger-Key an seinem Public-Key-Ring Verschlüsseltes Dokument Wer kann dieses Dokument überhaupt noch entschlüsseln?

8 8 2. praktische Anwendung: Authentifizierung Public-Key SenderKanal Empfänger Secret- Key (hat ein eigenes Schlüsselpaar) Allg. Veröffentlichung! Empfänger hat Sender-Key an seinem Public-Key-Ring Verschlüsseltes Dokument Welchen Sinn hat das? Dieses Dokument kann jeder entschlüsseln?

9 9 3. prakt. Anwend.: Authen. mit Message-Fingerprint Allg. Veröffentlichung! Empfänger hat Sender-Key an seinem Public-Key-Ring Crypto-Hash- Funktion (z.B. SHA1) SHA1: Secure Hash Algorithmus Verschlüsselter "Fingerabdruck" des Dokuments zusammen mit Klartext-Dokument SenderKanal Empfänger Identisch

10 10 Reale Anwendung ■ Gängig ist □ digitale Unterschrift über verschlüsselten Fingerprint, □ Verschlüsselung des Dokuments □ und die Kombination der beiden Verfahren ■ Bei Verschlüsselung des Dokuments wird □ symmetrische Verschlüsselung angewandt (da dies auch bei große Datenmengen schnell ist), □ dafür ein zufälliger Schlüssel verwendet □ und dieser asymmetrisch verschlüsselt angehängt.

11 11 Man-in-the-middle-Angriff Public-Key Secret-Key So war das eigentlich vorgesehen!

12 12 Man-in-the-middle-Angriff Public-Key Und so läuft es im Angriffsfall!

13 13 Vertrauensbildende Maßnahmen: "Ring of trust" 1.) Key-Inhaber konsultiert Freund 2.) Freund prüft Klartextdaten und signiert Key mit seinem eigenen Secret-Key. Ein Zertifikat entsteht! 3.) Zertifikat wird dem Keyinhaber übergeben

14 14 Vertrauensbildende Maßnahmen: "Ring of trust" 1.) Key-Inhaber sammelt Zertifikate 2.) Kommunikationspartner besorgt sich Public-Key ist aber unsicher ob hier nicht ein Man-in-the-middle am Werk ist!!! 3.) Besorgt sich Public-Keys der Gegenzeichner und prüft Zertifikate "Ring of Trust"

15 15 GnuPG & Co.: Enigmail – Thunderbird-Add-On

16 16 GnuPG & Co.: KGpg – KDE-GUI zu GnuPG

17 17 Certification Authority, die bessere Variante ■ Beim "Ring of Trust" verbleibt Unsicherheit ob die Gegenzeichner denn echt sind!??? ■ Lösung: Digitales Notariat – eine "Certification Authority" wird als Zertifikatsersteller benutzt. ■ Sinnvolle Voraussetzung: CA-Public-Key muss in Applikationen schon vorinstalliert sein!!! CA-Keys Vorlage des Public-Keys bei der CA Prüfung und Zertifikats- austellung durch CA Aushändigung des Zertifikats an Key- Inhaber

18 18 Beispiel: CA-Zertifikate im Firefox-Browser

19 19 Certification Authorities – Zertifizierungsstellen ■ In fast allen Ländern über Signaturgesetze geregelt ■ CA's zertifizieren sich u.a. auch gegenseitig – sogenannte Cross-Zertifizierung ■ Zum Betrieb auch hierarchische Aufteilung in eigentliche CA (Primary/Root) und Registration Authorities (RA) ■ Organisationen können eigene Zertifizierungshierarchien einrichten - Public-Key-Infrastruktur: □ Zertifizierungsstellen werden geschaffen und Hierarchien werden festgelegt □ Policies regeln dann auf welche Zertifikate in welchem Maß vertraut werden kann □ Revocation-Listen erklären Zertifikate für ungültig □ …

20 20 Zertifikats-Standardisierung mit X.509 ■ Teil der ITU-T X.500 Serie "The Directory" X.509 – Public-key and attribute certificate frameworks ■ Öffnet standardisierten Anwendungen die Tür □ Secure Socket Layer (SSL) □ Transport Layer Security (TLS) □ S/MIME (quasi Nachfolgerf v. PGP, GnuPG bei Mail) □ … ■ Regelt z.B. welche Klartextdaten in einem Zertifikat zusammen mit dem Public-Key enthalten sein müssen! ■ Weitere Regelungen zu PKI's und Key-Revocation ■ Für den Internet-Bereich mit RFC5280 spezifiziert http://tools.ietf.org/html/rfc5280 http://tools.ietf.org/html/rfc5280

21 21 Genereller Ablauf für Umgang mit X.509v3-Zertifikate ■ Wichtiges Tool ist meist die Shell-basierende openssl- Programm-Suite – http://www.openssl.org/http://www.openssl.org/ ■ Root- bzw. CA-Zertifikat an Spitze der PKI ■ Für einzelnes Zertifikat: □ Schlüsselpaar erzeugen □ Certification-Request erzeugen □ Zertifizierung mit CA-Keys durchführen ■ GUI-Frontends z.B. □ TinyCA2 (http://tinyca.sm-zone.net/) Perl und GTK2 basierend – unter BSD/Linux/Unix problemloshttp://tinyca.sm-zone.net/ □ XCA (http://xca.sourceforge.net/), plattformunabh. aber nur als Windows-Binary direkt verfügbarhttp://xca.sourceforge.net/

22 22 Version: 3 (0x2) Serial Number: ed:e2:54:61:5d:8d:aa:88:dd:57:21:2d:d5:85:ec:30 Signature Algorithm: sha1WithRSAEncryption Issuer: C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=PositiveSSL CA Validity Not Before: Feb 11 00:00:00 2008 GMT Not After : May 11 23:59:59 2011 GMT Subject: OU=Domain Control Validated, OU=PositiveSSL, CN=lehrerfortbildung-bw.de Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:c4:27:f2:dd:6c:e2:cc:9c:2d:f3:5a:8e:33:e1:... 42:74:5e:61:21:f3:ca:2a:49 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Authority Key Identifier: keyid:B8:CA:11:E9:06:31:79:DB:C3:94:C6:E8:19:2A:BC... X509v3 Subject Key Identifier: F3:1E:FD:FB:3F:9E:88:FF:A0:43:BC:24:7B:0C:52:38:DB:CC:25:64 X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Basic Constraints: critical CA:FALSE X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication Netscape Cert Type: SSL Client, SSL Server X509v3 Certificate Policies: Policy: 1.3.6.1.4.1.6449.1.2.2.7 CPS: http://www.positivessl.com/CPS X509v3 CRL Distribution Points: URI:http://crl.comodoca.com/PositiveSSLCA.crl URI:http://crl.comodo.net/PositiveSSLCA.crl Authority Information Access: CA Issuers - URI:http://crt.comodoca.com/PositiveSSLCA.crt CA Issuers - URI:http://crt.comodo.net/PositiveSSLCA.crt Zertifikatsaussteller Zertifizierter "Gegenstand": - Distinguished Name des Inhabers (z.B. für HTTPS wichtig Canonical Name CN - Servername!) - und der gekoppelte Public-Key Gültigkeitsdaten Beispiel-Textausgabe zu einem TLS-/SSL-Zertifikat (gekürzte Ausgabe): openssl x509 -in lehrerfortbildung-bw_de.crt -text -noout Zertifikatserweiterungen nach X.509 Version 3: Regeln z.B. den erlaubten Verwendungszweck der Zertifikats

23 23 SSL- bzw. TLS-Verbindungsaufbau Quelle: Wikipedia (graf. modifiziert)

24 24 Beschäftigung mit folgenden Themen vorgeschlagen: ■ Apache-Webserver installieren und auch als SSL-Server in Betrieb nehmen. Dazu: □ www..de via hosts-Datei auf die localhost-IP 127.0.0.1 abbilden □ Selbst signiertes CA-Zertifikat erzeugen □ SSL-Server-Key, Signing-Request und Zertifikats-Ausstellung für Ihren Host durchführen □ Server- und CA-Zertifikat in Apache integrieren □ Mit Browser kontaktieren und Betrieb testen □ CA-Zertifikat zum Download via http bereitstellen und in Browser integrieren □ Wieder mit Browser kontaktieren und Betrieb testen

25 25 Beschäftigung mit folgenden Themen vorgeschlagen: ■ Nur in abgrenztem Testnetz – nicht im allgemeinen Schulungsnetz (beachten Sie die strafrechtlichen Konsequenzen): Mit einschlägigen Tools der Hacking- bzw. Penetration-Testing-Szene einen Man-in-the-middle-Angriff auf die Kommunikation zw. Browser und SSL-Server durchführen. ■ Digitale Signaturen bei E-Mail sowie verschlüsselte E-Mails und Dateien mit Thunderbird, GnuPG, enigMail testen. ■ S/MIME basierende Signatur und Verschlüsselung bei E-Mail- Kommunikation mit Thunderbird testen.

Herunterladen ppt "1 Einführung in die symmetrische und asymmetrische Verschlüsselung Andreas Grupp © by A. Grupp, 2007-2009. Dieses Werk ist unter."

Ähnliche Präsentationen

Inxmail GmbH Vertrieb und Pflege des Marketing Tools.

Inxmail GmbH Vertrieb und Pflege des Marketing Tools.
Beispiel zum RSA-Algorithmus

Beispiel zum RSA-Algorithmus
Sicherheit in Netzwerken

Sicherheit in Netzwerken
Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.

Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.
Asymmetrische Kryptographie

Asymmetrische Kryptographie
SS 2007 FG Datenbanken – Interaktive Systeme, Fachbereich 17 Praktische Informatik Prof. Dr. Lutz Wegner Elektronische Signatur Waldemar Wiegel Sommer.

SS 2007 FG Datenbanken – Interaktive Systeme, Fachbereich 17 Praktische Informatik Prof. Dr. Lutz Wegner Elektronische Signatur Waldemar Wiegel Sommer.
PKI (Public Key Infrastruktur)

PKI (Public Key Infrastruktur)
Secure Socket Layer SSL For a secure E-Business Thomas Muskalla

Secure Socket Layer SSL For a secure E-Business Thomas Muskalla
Sicherheit und Personalisierung Internet Portal der Universität München.

Sicherheit und Personalisierung Internet Portal der Universität München.
Verteidigung von Michael Brinke Zum Thema Certificate Chain Validation.

Verteidigung von Michael Brinke Zum Thema Certificate Chain Validation.
Grundlagen der Kryptologie

Grundlagen der Kryptologie
Z1 Backbone of Trust Server- und XML-basierte Lösung zentrales Zertifikatsmangement der Königsweg zur anwenderfreundlichen eBusiness-Infrastruktur.

Z1 Backbone of Trust Server- und XML-basierte Lösung zentrales Zertifikatsmangement der Königsweg zur anwenderfreundlichen eBusiness-Infrastruktur.
Hashverfahren und digitale Signaturen

Hashverfahren und digitale Signaturen
© by S.Strudthoff 2005 SET Sichere Kreditkartenzahlung im Internet.

© by S.Strudthoff 2005 SET Sichere Kreditkartenzahlung im Internet.
Public-Key-Infrastruktur

Public-Key-Infrastruktur
Sicherheit im Internet am

Sicherheit im Internet am
Seite 0 02.11.2005 Common Gateway Interface. Konzepte. Übersicht 1Einleitung 2Was ist CGI? 3Wozu wird CGI verwendet? 4Geschichtlicher Überblick 5Grundvoraussetzungen.

Seite Common Gateway Interface. Konzepte. Übersicht 1Einleitung 2Was ist CGI? 3Wozu wird CGI verwendet? 4Geschichtlicher Überblick 5Grundvoraussetzungen.
Elektronische Signatur

Elektronische Signatur
SSL - Verfahren Secure Socket Layer.

SSL - Verfahren Secure Socket Layer.
Prof. Dr. Strack | Netzwerklabor | SoSe 2009 Hacking & Security live Projektwoche 2009 Netzwerklabor OpenPGP Dipl.-Inf. (FH) Hendrik Werner Dipl.-Inf.

Prof. Dr. Strack | Netzwerklabor | SoSe 2009 Hacking & Security live Projektwoche 2009 Netzwerklabor OpenPGP Dipl.-Inf. (FH) Hendrik Werner Dipl.-Inf.

Ähnliche Präsentationen

Google-Anzeigen