Workshop Sicherheit mit PKI und PGP. © by md service 10. Juni 200101.06.2015 Themenübersicht  Grundlagen:  Kryptographie – was ist das?  Begriffliches.

Präsentation zum Thema: "Workshop Sicherheit mit PKI und PGP. © by md service 10. Juni 200101.06.2015 Themenübersicht  Grundlagen:  Kryptographie – was ist das?  Begriffliches."—  Präsentation transkript:

1 Workshop Sicherheit mit PKI und PGP

2 © by md service 10. Juni 200101.06.2015 Themenübersicht  Grundlagen:  Kryptographie – was ist das?  Begriffliches  Überblick über die Verschlüsselungsverfahren  Warum braucht man Kryptographie ?  Anwendungsmöglichkeiten von PGP  Funktionsweise und Bestandteile von PGP  Risiken beim Einsatz von PGP  Public-Key-Infrastrukturen:  Definition und Zweck der PKI  PKI-Architektur  „PGPcertsrv“ als Beispiel für eine PKI  „IIS“ als Beispiel für eine PKI (CA)  Praktische Anwendung:  Emailverschlüsselung mit PGP und Outlook 2000  VPN mit PGPnet  SSL mit IE und IIS  Weitere Informationen:  Praxis:

3 © by md service 10. Juni 200101.06.2015 Warum braucht man „Sicherheit“?

4 © by md service 10. Juni 200101.06.2015 1.1 Kryptographie: Was ist das ?...ist die Wissenschaft der Veränderung von Klartext in verschlüsselten Text und wieder zurück mittels mathe- matischer Verfahren Es werden dabei unterschiedlich starke Kryptographische Verfahren unterschieden:  abhängig von dem Algorithmus (DES, RSA, DH)  abhängig von der Schlüsselstärke (40 bit, 128 bit, 4096 bit)

5 © by md service 10. Juni 200101.06.2015 1.2 Begriffliches  OSI-Referenzmodell  Modell der Netzwerkschichten  7 Schichten (von oben) Verarbeitung (FTP, TELNET, SMTP, DNS) Darstellung Sitzung Transport (TCP, UDP) Vermittlung (IP) Sicherung (Frame Relay, Ethernet, TokenRing) Bitübertragung (Glasfaser, Twisted Pair, BNC)

6 © by md service 10. Juni 200101.06.2015 1.2 Begriffliches  SMTP-Protokoll  TCP-IP-Protokoll zur Emailübertragung  Klartextprotokoll  Port 25

7 © by md service 10. Juni 200101.06.2015 Begriffliches SMTP

8 © by md service 10. Juni 200101.06.2015 1.2 Begriffliches  SMTP-Protokoll  TCP-IP-Protokoll zur Emailübertragung  Klartextprotokoll  Port 25  Schlüssel  Dient der Sicherung von Daten gegen unauthorisierten Zugriff  Digitale Unterschrift  Dient der elektronischen Authentifizierung einer Person mittels public key  Passphrase  Passwort oder beliebiger Text, der in einen zufälligen Schlüssel umgewandelt, Zugang zu Daten erlaubt

9 © by md service 10. Juni 200101.06.2015 1.3 Überblick über die Verschlüsselungsverfahren  Verschlüsseln von Daten und Inhalten  S/MIME  PEM  Public Key  Verschlüsseln von Verbindungen  PPTP  IPSec  PublicKey (VPN / SSL)  Authentifikation von Benutzern  PublicKey (SSL)

10 © by md service 10. Juni 200101.06.2015 1.3 Überblick über die Verschlüsselungsverfahren: Konventionelle Kryptographie... Für Verschlüsselung und Entschlüsselung wird derselbe Schlüssel verwendet. Dies nennt man symmetrische Verschlüsselung. Vorteil:Nachteil:  nur ein Schlüssel nötig  einfache Anwendung  schnelles Verfahren  Schlüssel muss auch dem Empfänger bekannt sein  Schlüssel wird ebenfalls übertragen  aufwendige Schlüsselverteilung

11 © by md service 10. Juni 200101.06.2015 1.3 Überblick über die Verschlüsselungsverfahren: Kryptographie mit öffentlichen Schlüsseln... Für Verschlüsselung wird ein öffentlicher Schlüssel und für Entschlüsselung wird der private Schlüssel verwendet. Dies nennt man asymmetrische Verschlüsselung. Vorteil:Nachteil:  sichere Übertragung der Nachrichten  Schlüssel bleibt geheim und wird nicht übertragen  Schlüsselpaar nötig  grosse Datenmengen  relativ langsam  PKI nötig

12 © by md service 10. Juni 200101.06.2015 1.3 Überblick über die Verschlüsselungsverfahren: Digitale Signatur Der Hashwert einer Datei wird mit dem privaten Schlüssel Verschlüsselt und kann mit dem öffentlichen Schlüssel Wieder entschlüsselt werden. Auf diese Weise kann die Gültigkeit des öffentlichen Schlüssels geprüft werden und es wird bestätigt, dass die Daten auch wirklich vom Absender stammen

13 © by md service 10. Juni 200101.06.2015 ATTACK 1.4 Warum braucht man „Kryptographie“?

14 © by md service 10. Juni 200101.06.2015 ATTACK 1.4 Warum braucht man „Kryptographie“?  Kopieren von Daten  Fälschen von Daten  Vortäuschen / Fälschen einer Identität  Abhören von Verbindungen  gezielter Einbruch in Systeme  Kopieren von Daten  Fälschen von Daten  Vortäuschen / Fälschen einer Identität  Abhören von Verbindungen  gezielter Einbruch in Systeme

15 © by md service 10. Juni 200101.06.2015 1.5 Anwendungsmöglichkeiten von PGP ...wurde von Phil Zimmermann entwickelt  nutzt bekannte Algorithmen zur Schlüsselerzeugung und kombiniert konventionelle und public-key Verschlüsselung und basiert auf einem RFC (!)  ist ein frei verfügbares (Freeware) Softwarepaket zur  Datenverschlüsselung (Daten, Email, Datenträger)  Verbindungsverschlüsselung (VPN)  Benutzerauthentifikation (digitale Zertifikate)

16 © by md service 10. Juni 200101.06.2015 1.6 Funktionsweise und Bestandteile von PGP  PGPNet zur Verschlüsselung von Netzwerkverbindungen (VPN)  PGPKeys zur Erzeugung und Verwaltung von Schlüsselpaaren und Distribution von public-keys (Kernapplikation)  PGPDisk zur Verschlüsselung und Entschlüsselung von Datenträgern  PGPTools zur einfachen Anwendung der PGP-Bestandteile per Mausclick  PGPTray zur Shell-Integration

17 © by md service 10. Juni 200101.06.2015  PGP lässt sich nahtlos in viele bekannte Emailprogramme integrieren (Outlook, Lotus Notes, Eudora)  Es existiert Software von Drittanbietern für Email- verschlüsselung ohne Benutzereingriff (mail essentials) 1.6 Funktionsweise und Bestandteile von PGP

18 © by md service 10. Juni 200101.06.2015 1.6 Funktionsweise und Bestandteile von PGP

19 © by md service 10. Juni 200101.06.2015 1.7 Risiken beim Einsatz von PGP

20 © by md service 10. Juni 200101.06.2015 1.7 Risiken beim Einsatz von PGP Ist Verschlüsselungssoftware LEGAL? „Das Briefgeheimnis sowie das Post- und Fernmeldegehimnis sind unverletzlich“ GG ART.10, Absatz 1  KeyEscrow Verfahren  Schlüsselbegrenzung  KeyRecovery Verfahren  Verbot von Verschlüsselung USA:„Kryptographie = Waffe. Export verbotem“ FRANKREICH:„Starke Kryprographie genehmigungs- pflichtig >40bit“ DEUTSCHLAND:„keine Beschränkungen“ UK:„Bestrebungen für KeyRecovery –Verplichtung zur Key-Herausgabe an Justiz“ CHINA:„Nutzung genehmigungspflichtig“ SÜD-KOREA:„Export ist kontrolliert für Hardware- Verschlüsselung, Nutzung soll kontrolliert werden“ WWW: http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm

21 © by md service 10. Juni 200101.06.2015 1.7 Risiken beim Einsatz von PGP „Es existiert kein absolut sicheres System - PGP kann auf verschiedene Weisen umgangen werden“  komprommitierte Passphrase  falscher öffentlicher Schlüssel  Kryptologischer Angriff  Einbruch in die Privatsphäre  nicht gelöschte Dateien  Viren und trojanische Pferde  Sabotage der Software  Sabotage beteiligter Systeme

22 © by md service 10. Juni 200101.06.2015 1.7 Risiken beim Einsatz von PGP „Es existiert kein absolut sicheres System - PGP kann auf verschiedene Weisen umgangen werden“  komprommitierte Passphrase  falscher öffentlicher Schlüssel  Kryptologischer Angriff  Einbruch in die Privatsphäre  nicht gelöschte Dateien  Viren und trojanische Pferde  Sabotage der Software  Sabotage beteiligter Systeme Es ist unbedingt notwendig, die Gültigkeit eines öffentlichen Schlüssels zu prüfen !!

23 © by md service 10. Juni 200101.06.2015 Themenübersicht  Grundlagen:  Kryptographie – was ist das?  Begriffliches  Überblick über die Verschlüsselungsverfahren  Warum braucht man Kryptographie ?  Anwendungsmöglichkeiten  Funktionsweise und Bestandteile von PGP  Risiken beim Einsatz von PGP  Public-Key-Infrastrukturen:  Definition und Zweck der PKI  PKI-Architektur  „ PGPcertsrv“ als Beispiel für eine PKI  „IIS“ als Beispiel für eine CA  Praktische Anwendung:  Emailverschlüsselung mit PGP und Outlook 2000  VPN mit PGPnet  SSL mit IE und IIS  Weitere Informationen:  Praxis:

24 © by md service 10. Juni 200101.06.2015 2.1 Definition, Zweck und Anwendungsmöglichkeiten der PKI  Definition und Zweck: Public Key Infrastructure (PKI) ist ein Modell für die sichere Kommunikation unter Verwendung von Verschlüsselung mit Public Keys und digitalen Zertifikaten. Eine PKI enthält die Datenbank für die Zertifikate und entsprechende Administrationsfunktionen zur Abwicklung. Sie wird auch als CA („certification Authority“) bezeichnet und ist mir der Passausgabe einer Regierung vergleichbar. Eine CA ist das Herz der PKI und dient dazu, die Schlüssel und Signaturen zu beglaubigen. Ausgabe Zurücknahme Speicherung digitaler Signaturen Beglaubigung Verteilung

25 © by md service 10. Juni 200101.06.2015  Anwendungsmöglichkeiten:  E-commerce  Online-Finanzdienste  E-Mail und Messaging  „Business-to-Business“ (B2B)  „Business-to-Consumer“ (B2C)  Ähnlich wichtig:  Webbbrowser,  Webserver  Anwendungen, bei denen mit Protokollen wie S/MIME, SSL und IPSEC gesicherte Transaktionen über das Internet oder in VPNs durchgeführt werden. 2.1 Definition, Zweck und Anwendungsmöglichkeiten der PKI

26 © by md service 10. Juni 200101.06.2015 2.2 PKI-Architektur user User = CA user IPRA PCA CA

27 © by md service 10. Juni 200101.06.2015 2.2 PKI-Architektur IPRA PCA CA user User = CA user

28 © by md service 10. Juni 200101.06.2015 2.3 „ PGPcertsrv“ als Beispiel für eine PKI  PGPcertsrv = „Keyserver für PGP“  Freie Software (Freeware) für Windows-OS  Wird als Binary distributiert  Merkmale:  Keyserver für PGP  HTTP-Interface  LDAP-Interface  Datenbank für Key-Aufbewahrung  Syncronisationsmöglichkeit mit anderen Keyservern

29 © by md service 10. Juni 200101.06.2015 2.3 „ PGPcertsrv “ als Beispiel für eine PKI  Dokumentation  Manual als PDF  Hardwareanforderungen  Abhängig von der Anzahl der zu verwaltenden Keys und der Menge eingehender Requests  Minimalinstallation: Datenbankserver auf Port 389 (standard)  Administration  Wartung ist kaum nötig: Manuelle Pflege der Datenbank (löschen von Keys) Überwachung der Replikation Backup und Restore

30 © by md service 10. Juni 200101.06.2015 2.3 „ PGPcertsrv “ als Beispiel für eine PKI :  Installation:  Download des Archivs von http://www.pgp.com  Entpacken des Archivs  Installation  Starten der Konsole und: Erzeugen der Datenbank Starten des Keyservers Aktivieren der Replikation Der Keyserver läuft als Dienst unter NT4!

31 © by md service 10. Juni 200101.06.2015 2.3 „ PGPcertsrv “ als Beispiel für eine PKI LDAP Replication Port 389 Port 5000 WWW Port 80

32 © by md service 10. Juni 200101.06.2015 2.4 „IIS“ als Beispiel für eine PKI (CA)  „Internet Information Server“ (IIS) ist Bestandteil des Option Pack für NT 4.0 Server / Workstation  Webserver  FTP Server  SMTP Server  News Server  Mit dem „Certificate Server“ ist eine eigene Zertifizierungsinstanz Bestandteil des Option Pack  Die CA dient der Erstellung und Verwaltung digitaler Zertifikate für Websites bei Verwendung der SSL- Verschlüsselung  Installation aller Komponenten mittels grafischem Setup

33 © by md service 10. Juni 200101.06.2015 2.4 „IIS“ als Beispiel für eine CA  Mit der MMC werden der IIS und die CA verwaltet  Bei der Installation wird das Root-Zertifikat erzeugt  Anschliessend können beliebige Zertifikate für einzelne Instanzen des Webservers erzeugt werden (Bindung an IP-Adressen und Port-nummern)  Das Zertifikat der Root-CA steht zum Download auf den Client zur Verfügung

34 © by md service 10. Juni 200101.06.2015 Themenübersicht  Grundlagen:  Kryptographie – was ist das?  Begriffliches  Überblick über die Verschlüsselungsverfahren  Warum braucht man Kryptographie ?  Anwendungsmöglichkeiten  Funktionsweise und Bestandteile von PGP  Risiken beim Einsatz von PGP  Public-Key-Infrastrukturen:  Definition und Zweck der PKI  PKI-Architektur  „PGPcertsrv“ als Beispiel für eine PKI  „IIS“ als Beispiel für eine CA  Praktische Anwendung:  Emailverschlüsselung mit PGP und Outlook 2000  VPN mit PGPnet  SSL mit IE und IIS  Weitere Informationen:  Praxis

35 © by md service 10. Juni 200101.06.2015 3. Praktische Anwendung:

36 © by md service 10. Juni 200101.06.2015 3. Praktische Anwendung: 3.1 Emailverschlüsselung mit PGP und MS Outlook 2000

37 © by md service 10. Juni 200101.06.2015 3.1 Emailverschlüsselung am Beispiel PGP und Outlook 2000  Voraussetzungen:  Outlook Express oder Outlook bzw. anderes unterstütztes Programm * 1  (Internet-) zugang zu einer PKI * 2  PGP mit den Komponenten Key Management PGP Plugin für Outlook * 1 Es kann auch manuell verschlüsselter Text als Attachment versendet werden * 2 Keys können auch manuell distributiert werden

38 © by md service 10. Juni 200101.06.2015  Email versenden:  Email schreiben  Empfängeradresse auswählen  Option zum Verschlüsseln wählen 3.1 Emailverschlüsselung am Beispiel PGP und Outlook

39 © by md service 10. Juni 200101.06.2015 1. Email versenden (Fortsetzung):  Auf „senden“ clicken  Den Schlüssel des Empfängers ggf. von der PKI herunterladen, auswählen und verifizieren 3.1 Emailverschlüsselung am Beispiel PGP und Outlook

40 © by md service 10. Juni 200101.06.2015 1. Email versenden (Fortsetzung):  Den Key ggf. importieren  Und die Passphrase für den eigenen „private key“ eingeben 3.1 Emailverschlüsselung am Beispiel PGP und Outlook

41 © by md service 10. Juni 200101.06.2015 2. Email empfangen:  Email öffnen  Passphrase für den eigenen Private Key eingeben 3.1 Emailverschlüsselung am Beispiel PGP und Outlook

42 © by md service 10. Juni 200101.06.2015 2. Email empfangen:  Email lesen 3.1 Emailverschlüsselung am Beispiel PGP und Outlook

43 © by md service 10. Juni 200101.06.2015 3. Praktische Anwendung: 3.2 VPN mit PGPnet

44 © by md service 10. Juni 200101.06.2015 3.2 VPN mit PGPnet  Voraussetzungen:  Netzwerkkarte oder DFÜ-Netzwerk * 1  (Internet-) zugang zu einer PKI * 2  PGP mit den Komponenten Key Management PGPnet VPN/FW * 1 Es kann wahlweise NIC oder DFÜ oder beides gemeinsam genutz werden * 2 Keys können auch manuell distributiert werden

45 © by md service 10. Juni 200101.06.2015 3.2 VPN mit PGPnet Vorbereitung:  Option wählen (DFÜ / NIC)  VPN-Option aktivieren

46 © by md service 10. Juni 200101.06.2015 3.2 VPN mit PGPnet Vorbereitung (Fortsetzung):  Mit dem Wizard einen neuen Host eintragen  Optionen konfigurieren  Key ggf. herunterladen und auswählen

47 © by md service 10. Juni 200101.06.2015 3.2 VPN mit PGPnet Vorbereitung (Fortsetzung):  Key ggf. herunterladen und auswählen  Key signieren und trusten  Mit dem Host verbinden

48 © by md service 10. Juni 200101.06.2015 3. Praktische Anwendung: 3.3 SSL mit IE und IIS

49 © by md service 10. Juni 200101.06.2015 3.3 SSL mit IE und IIS

50 © by md service 10. Juni 200101.06.2015 3.3 SSL mit IE und IIS

51 © by md service 10. Juni 200101.06.2015 3.3 SSL mit IE und IIS

52 © by md service 10. Juni 200101.06.2015 3.3 SSL mit IE und IIS

53 © by md service 10. Juni 200101.06.2015 3.3 SSL mit IE und IIS

54 © by md service 10. Juni 200101.06.2015 3.3 SSL mit IE und IIS

55 © by md service 10. Juni 200101.06.2015 3.3 SSL mit IE und IIS

56 © by md service 10. Juni 200101.06.2015 4. Weitere Informationen  Im Internet: www.pgpi.orgwww.openssl.org www.pgp.comwww.openkeyserver.org www.nai.comwww.linux.org  In Fachliteratur:  „Cryptography for the Internet“ Philip R. Zimmerman. Scientific American,Oktober 1998.  „Privacy on the Line“ Whitfield Diffie und Susan Eva Landau. MIT Press; ISBN: 0262041677.  „The Codebreakers“ David Kahn. Scribner; ISBN: 0684831309.  „Network Security: Private Communication in a Public World“ Charlie Kaufman, Radia Perlman und Mike Spencer. Prentice Hall; ISBN:0-13-061466-1.  In der Online-Dokumentation von PGP: IntroToCrypto

57 © by md service 10. Juni 200101.06.2015 5. Praxis...  Vorschläge für praktische Übungen  Installation eines weiteren Clients mit PGP  Benutzung von PGP: Schlüssel erstellen Upload / Download von Schlüsseln Prüfung von Schlüssels Zurückziehen von Schlüsseln (CRL) Fehlersuche  Verschlüsselte Email senden und empfangen  VPN zwischen zwei Clients installieren  SSL Zugriff auf einen Webserver durchführen

58 © by md service 10. Juni 200101.06.2015 Themenübersicht  Grundlagen:  Kryptographie – was ist das?  Begriffliches  Überblick über die Verschlüsselungsverfahren  Warum braucht man Kryptographie ?  Anwendungsmöglichkeiten  Funktionsweise und Bestandteile von PGP  Risiken beim Einsatz von PGP  Public-Key-Infrastrukturen:  Definition und Zweck der PKI  PKI-Architektur  „PGPcertsrv“ als Beispiel für eine PKI  „IIS“ als Beispiel für eine CA  Praktische Anwendung:  Emailverschlüsselung mit PGP und Outlook 2000  VPN mit PGPnet  SSL mit IE und IIS  Weitere Informationen:  Praxis: