Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
Veröffentlicht von:Detlef Norbert Mann Geändert vor über 9 Jahren
1
Workshop Sicherheit mit PKI und PGP
2
© by md service 10. Juni 200101.06.2015 Themenübersicht Grundlagen: Kryptographie – was ist das? Begriffliches Überblick über die Verschlüsselungsverfahren Warum braucht man Kryptographie ? Anwendungsmöglichkeiten von PGP Funktionsweise und Bestandteile von PGP Risiken beim Einsatz von PGP Public-Key-Infrastrukturen: Definition und Zweck der PKI PKI-Architektur „PGPcertsrv“ als Beispiel für eine PKI „IIS“ als Beispiel für eine PKI (CA) Praktische Anwendung: Emailverschlüsselung mit PGP und Outlook 2000 VPN mit PGPnet SSL mit IE und IIS Weitere Informationen: Praxis:
3
© by md service 10. Juni 200101.06.2015 Warum braucht man „Sicherheit“?
4
© by md service 10. Juni 200101.06.2015 1.1 Kryptographie: Was ist das ?...ist die Wissenschaft der Veränderung von Klartext in verschlüsselten Text und wieder zurück mittels mathe- matischer Verfahren Es werden dabei unterschiedlich starke Kryptographische Verfahren unterschieden: abhängig von dem Algorithmus (DES, RSA, DH) abhängig von der Schlüsselstärke (40 bit, 128 bit, 4096 bit)
5
© by md service 10. Juni 200101.06.2015 1.2 Begriffliches OSI-Referenzmodell Modell der Netzwerkschichten 7 Schichten (von oben) Verarbeitung (FTP, TELNET, SMTP, DNS) Darstellung Sitzung Transport (TCP, UDP) Vermittlung (IP) Sicherung (Frame Relay, Ethernet, TokenRing) Bitübertragung (Glasfaser, Twisted Pair, BNC)
6
© by md service 10. Juni 200101.06.2015 1.2 Begriffliches SMTP-Protokoll TCP-IP-Protokoll zur Emailübertragung Klartextprotokoll Port 25
7
© by md service 10. Juni 200101.06.2015 Begriffliches SMTP
8
© by md service 10. Juni 200101.06.2015 1.2 Begriffliches SMTP-Protokoll TCP-IP-Protokoll zur Emailübertragung Klartextprotokoll Port 25 Schlüssel Dient der Sicherung von Daten gegen unauthorisierten Zugriff Digitale Unterschrift Dient der elektronischen Authentifizierung einer Person mittels public key Passphrase Passwort oder beliebiger Text, der in einen zufälligen Schlüssel umgewandelt, Zugang zu Daten erlaubt
9
© by md service 10. Juni 200101.06.2015 1.3 Überblick über die Verschlüsselungsverfahren Verschlüsseln von Daten und Inhalten S/MIME PEM Public Key Verschlüsseln von Verbindungen PPTP IPSec PublicKey (VPN / SSL) Authentifikation von Benutzern PublicKey (SSL)
10
© by md service 10. Juni 200101.06.2015 1.3 Überblick über die Verschlüsselungsverfahren: Konventionelle Kryptographie... Für Verschlüsselung und Entschlüsselung wird derselbe Schlüssel verwendet. Dies nennt man symmetrische Verschlüsselung. Vorteil:Nachteil: nur ein Schlüssel nötig einfache Anwendung schnelles Verfahren Schlüssel muss auch dem Empfänger bekannt sein Schlüssel wird ebenfalls übertragen aufwendige Schlüsselverteilung
11
© by md service 10. Juni 200101.06.2015 1.3 Überblick über die Verschlüsselungsverfahren: Kryptographie mit öffentlichen Schlüsseln... Für Verschlüsselung wird ein öffentlicher Schlüssel und für Entschlüsselung wird der private Schlüssel verwendet. Dies nennt man asymmetrische Verschlüsselung. Vorteil:Nachteil: sichere Übertragung der Nachrichten Schlüssel bleibt geheim und wird nicht übertragen Schlüsselpaar nötig grosse Datenmengen relativ langsam PKI nötig
12
© by md service 10. Juni 200101.06.2015 1.3 Überblick über die Verschlüsselungsverfahren: Digitale Signatur Der Hashwert einer Datei wird mit dem privaten Schlüssel Verschlüsselt und kann mit dem öffentlichen Schlüssel Wieder entschlüsselt werden. Auf diese Weise kann die Gültigkeit des öffentlichen Schlüssels geprüft werden und es wird bestätigt, dass die Daten auch wirklich vom Absender stammen
13
© by md service 10. Juni 200101.06.2015 ATTACK 1.4 Warum braucht man „Kryptographie“?
14
© by md service 10. Juni 200101.06.2015 ATTACK 1.4 Warum braucht man „Kryptographie“? Kopieren von Daten Fälschen von Daten Vortäuschen / Fälschen einer Identität Abhören von Verbindungen gezielter Einbruch in Systeme Kopieren von Daten Fälschen von Daten Vortäuschen / Fälschen einer Identität Abhören von Verbindungen gezielter Einbruch in Systeme
15
© by md service 10. Juni 200101.06.2015 1.5 Anwendungsmöglichkeiten von PGP ...wurde von Phil Zimmermann entwickelt nutzt bekannte Algorithmen zur Schlüsselerzeugung und kombiniert konventionelle und public-key Verschlüsselung und basiert auf einem RFC (!) ist ein frei verfügbares (Freeware) Softwarepaket zur Datenverschlüsselung (Daten, Email, Datenträger) Verbindungsverschlüsselung (VPN) Benutzerauthentifikation (digitale Zertifikate)
16
© by md service 10. Juni 200101.06.2015 1.6 Funktionsweise und Bestandteile von PGP PGPNet zur Verschlüsselung von Netzwerkverbindungen (VPN) PGPKeys zur Erzeugung und Verwaltung von Schlüsselpaaren und Distribution von public-keys (Kernapplikation) PGPDisk zur Verschlüsselung und Entschlüsselung von Datenträgern PGPTools zur einfachen Anwendung der PGP-Bestandteile per Mausclick PGPTray zur Shell-Integration
17
© by md service 10. Juni 200101.06.2015 PGP lässt sich nahtlos in viele bekannte Emailprogramme integrieren (Outlook, Lotus Notes, Eudora) Es existiert Software von Drittanbietern für Email- verschlüsselung ohne Benutzereingriff (mail essentials) 1.6 Funktionsweise und Bestandteile von PGP
18
© by md service 10. Juni 200101.06.2015 1.6 Funktionsweise und Bestandteile von PGP
19
© by md service 10. Juni 200101.06.2015 1.7 Risiken beim Einsatz von PGP
20
© by md service 10. Juni 200101.06.2015 1.7 Risiken beim Einsatz von PGP Ist Verschlüsselungssoftware LEGAL? „Das Briefgeheimnis sowie das Post- und Fernmeldegehimnis sind unverletzlich“ GG ART.10, Absatz 1 KeyEscrow Verfahren Schlüsselbegrenzung KeyRecovery Verfahren Verbot von Verschlüsselung USA:„Kryptographie = Waffe. Export verbotem“ FRANKREICH:„Starke Kryprographie genehmigungs- pflichtig >40bit“ DEUTSCHLAND:„keine Beschränkungen“ UK:„Bestrebungen für KeyRecovery –Verplichtung zur Key-Herausgabe an Justiz“ CHINA:„Nutzung genehmigungspflichtig“ SÜD-KOREA:„Export ist kontrolliert für Hardware- Verschlüsselung, Nutzung soll kontrolliert werden“ WWW: http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm
21
© by md service 10. Juni 200101.06.2015 1.7 Risiken beim Einsatz von PGP „Es existiert kein absolut sicheres System - PGP kann auf verschiedene Weisen umgangen werden“ komprommitierte Passphrase falscher öffentlicher Schlüssel Kryptologischer Angriff Einbruch in die Privatsphäre nicht gelöschte Dateien Viren und trojanische Pferde Sabotage der Software Sabotage beteiligter Systeme
22
© by md service 10. Juni 200101.06.2015 1.7 Risiken beim Einsatz von PGP „Es existiert kein absolut sicheres System - PGP kann auf verschiedene Weisen umgangen werden“ komprommitierte Passphrase falscher öffentlicher Schlüssel Kryptologischer Angriff Einbruch in die Privatsphäre nicht gelöschte Dateien Viren und trojanische Pferde Sabotage der Software Sabotage beteiligter Systeme Es ist unbedingt notwendig, die Gültigkeit eines öffentlichen Schlüssels zu prüfen !!
23
© by md service 10. Juni 200101.06.2015 Themenübersicht Grundlagen: Kryptographie – was ist das? Begriffliches Überblick über die Verschlüsselungsverfahren Warum braucht man Kryptographie ? Anwendungsmöglichkeiten Funktionsweise und Bestandteile von PGP Risiken beim Einsatz von PGP Public-Key-Infrastrukturen: Definition und Zweck der PKI PKI-Architektur „ PGPcertsrv“ als Beispiel für eine PKI „IIS“ als Beispiel für eine CA Praktische Anwendung: Emailverschlüsselung mit PGP und Outlook 2000 VPN mit PGPnet SSL mit IE und IIS Weitere Informationen: Praxis:
24
© by md service 10. Juni 200101.06.2015 2.1 Definition, Zweck und Anwendungsmöglichkeiten der PKI Definition und Zweck: Public Key Infrastructure (PKI) ist ein Modell für die sichere Kommunikation unter Verwendung von Verschlüsselung mit Public Keys und digitalen Zertifikaten. Eine PKI enthält die Datenbank für die Zertifikate und entsprechende Administrationsfunktionen zur Abwicklung. Sie wird auch als CA („certification Authority“) bezeichnet und ist mir der Passausgabe einer Regierung vergleichbar. Eine CA ist das Herz der PKI und dient dazu, die Schlüssel und Signaturen zu beglaubigen. Ausgabe Zurücknahme Speicherung digitaler Signaturen Beglaubigung Verteilung
25
© by md service 10. Juni 200101.06.2015 Anwendungsmöglichkeiten: E-commerce Online-Finanzdienste E-Mail und Messaging „Business-to-Business“ (B2B) „Business-to-Consumer“ (B2C) Ähnlich wichtig: Webbbrowser, Webserver Anwendungen, bei denen mit Protokollen wie S/MIME, SSL und IPSEC gesicherte Transaktionen über das Internet oder in VPNs durchgeführt werden. 2.1 Definition, Zweck und Anwendungsmöglichkeiten der PKI
26
© by md service 10. Juni 200101.06.2015 2.2 PKI-Architektur user User = CA user IPRA PCA CA
27
© by md service 10. Juni 200101.06.2015 2.2 PKI-Architektur IPRA PCA CA user User = CA user
28
© by md service 10. Juni 200101.06.2015 2.3 „ PGPcertsrv“ als Beispiel für eine PKI PGPcertsrv = „Keyserver für PGP“ Freie Software (Freeware) für Windows-OS Wird als Binary distributiert Merkmale: Keyserver für PGP HTTP-Interface LDAP-Interface Datenbank für Key-Aufbewahrung Syncronisationsmöglichkeit mit anderen Keyservern
29
© by md service 10. Juni 200101.06.2015 2.3 „ PGPcertsrv “ als Beispiel für eine PKI Dokumentation Manual als PDF Hardwareanforderungen Abhängig von der Anzahl der zu verwaltenden Keys und der Menge eingehender Requests Minimalinstallation: Datenbankserver auf Port 389 (standard) Administration Wartung ist kaum nötig: Manuelle Pflege der Datenbank (löschen von Keys) Überwachung der Replikation Backup und Restore
30
© by md service 10. Juni 200101.06.2015 2.3 „ PGPcertsrv “ als Beispiel für eine PKI : Installation: Download des Archivs von http://www.pgp.com Entpacken des Archivs Installation Starten der Konsole und: Erzeugen der Datenbank Starten des Keyservers Aktivieren der Replikation Der Keyserver läuft als Dienst unter NT4!
31
© by md service 10. Juni 200101.06.2015 2.3 „ PGPcertsrv “ als Beispiel für eine PKI LDAP Replication Port 389 Port 5000 WWW Port 80
32
© by md service 10. Juni 200101.06.2015 2.4 „IIS“ als Beispiel für eine PKI (CA) „Internet Information Server“ (IIS) ist Bestandteil des Option Pack für NT 4.0 Server / Workstation Webserver FTP Server SMTP Server News Server Mit dem „Certificate Server“ ist eine eigene Zertifizierungsinstanz Bestandteil des Option Pack Die CA dient der Erstellung und Verwaltung digitaler Zertifikate für Websites bei Verwendung der SSL- Verschlüsselung Installation aller Komponenten mittels grafischem Setup
33
© by md service 10. Juni 200101.06.2015 2.4 „IIS“ als Beispiel für eine CA Mit der MMC werden der IIS und die CA verwaltet Bei der Installation wird das Root-Zertifikat erzeugt Anschliessend können beliebige Zertifikate für einzelne Instanzen des Webservers erzeugt werden (Bindung an IP-Adressen und Port-nummern) Das Zertifikat der Root-CA steht zum Download auf den Client zur Verfügung
34
© by md service 10. Juni 200101.06.2015 Themenübersicht Grundlagen: Kryptographie – was ist das? Begriffliches Überblick über die Verschlüsselungsverfahren Warum braucht man Kryptographie ? Anwendungsmöglichkeiten Funktionsweise und Bestandteile von PGP Risiken beim Einsatz von PGP Public-Key-Infrastrukturen: Definition und Zweck der PKI PKI-Architektur „PGPcertsrv“ als Beispiel für eine PKI „IIS“ als Beispiel für eine CA Praktische Anwendung: Emailverschlüsselung mit PGP und Outlook 2000 VPN mit PGPnet SSL mit IE und IIS Weitere Informationen: Praxis
35
© by md service 10. Juni 200101.06.2015 3. Praktische Anwendung:
36
© by md service 10. Juni 200101.06.2015 3. Praktische Anwendung: 3.1 Emailverschlüsselung mit PGP und MS Outlook 2000
37
© by md service 10. Juni 200101.06.2015 3.1 Emailverschlüsselung am Beispiel PGP und Outlook 2000 Voraussetzungen: Outlook Express oder Outlook bzw. anderes unterstütztes Programm * 1 (Internet-) zugang zu einer PKI * 2 PGP mit den Komponenten Key Management PGP Plugin für Outlook * 1 Es kann auch manuell verschlüsselter Text als Attachment versendet werden * 2 Keys können auch manuell distributiert werden
38
© by md service 10. Juni 200101.06.2015 Email versenden: Email schreiben Empfängeradresse auswählen Option zum Verschlüsseln wählen 3.1 Emailverschlüsselung am Beispiel PGP und Outlook
39
© by md service 10. Juni 200101.06.2015 1. Email versenden (Fortsetzung): Auf „senden“ clicken Den Schlüssel des Empfängers ggf. von der PKI herunterladen, auswählen und verifizieren 3.1 Emailverschlüsselung am Beispiel PGP und Outlook
40
© by md service 10. Juni 200101.06.2015 1. Email versenden (Fortsetzung): Den Key ggf. importieren Und die Passphrase für den eigenen „private key“ eingeben 3.1 Emailverschlüsselung am Beispiel PGP und Outlook
41
© by md service 10. Juni 200101.06.2015 2. Email empfangen: Email öffnen Passphrase für den eigenen Private Key eingeben 3.1 Emailverschlüsselung am Beispiel PGP und Outlook
42
© by md service 10. Juni 200101.06.2015 2. Email empfangen: Email lesen 3.1 Emailverschlüsselung am Beispiel PGP und Outlook
43
© by md service 10. Juni 200101.06.2015 3. Praktische Anwendung: 3.2 VPN mit PGPnet
44
© by md service 10. Juni 200101.06.2015 3.2 VPN mit PGPnet Voraussetzungen: Netzwerkkarte oder DFÜ-Netzwerk * 1 (Internet-) zugang zu einer PKI * 2 PGP mit den Komponenten Key Management PGPnet VPN/FW * 1 Es kann wahlweise NIC oder DFÜ oder beides gemeinsam genutz werden * 2 Keys können auch manuell distributiert werden
45
© by md service 10. Juni 200101.06.2015 3.2 VPN mit PGPnet Vorbereitung: Option wählen (DFÜ / NIC) VPN-Option aktivieren
46
© by md service 10. Juni 200101.06.2015 3.2 VPN mit PGPnet Vorbereitung (Fortsetzung): Mit dem Wizard einen neuen Host eintragen Optionen konfigurieren Key ggf. herunterladen und auswählen
47
© by md service 10. Juni 200101.06.2015 3.2 VPN mit PGPnet Vorbereitung (Fortsetzung): Key ggf. herunterladen und auswählen Key signieren und trusten Mit dem Host verbinden
48
© by md service 10. Juni 200101.06.2015 3. Praktische Anwendung: 3.3 SSL mit IE und IIS
49
© by md service 10. Juni 200101.06.2015 3.3 SSL mit IE und IIS
50
© by md service 10. Juni 200101.06.2015 3.3 SSL mit IE und IIS
51
© by md service 10. Juni 200101.06.2015 3.3 SSL mit IE und IIS
52
© by md service 10. Juni 200101.06.2015 3.3 SSL mit IE und IIS
53
© by md service 10. Juni 200101.06.2015 3.3 SSL mit IE und IIS
54
© by md service 10. Juni 200101.06.2015 3.3 SSL mit IE und IIS
55
© by md service 10. Juni 200101.06.2015 3.3 SSL mit IE und IIS
56
© by md service 10. Juni 200101.06.2015 4. Weitere Informationen Im Internet: www.pgpi.orgwww.openssl.org www.pgp.comwww.openkeyserver.org www.nai.comwww.linux.org In Fachliteratur: „Cryptography for the Internet“ Philip R. Zimmerman. Scientific American,Oktober 1998. „Privacy on the Line“ Whitfield Diffie und Susan Eva Landau. MIT Press; ISBN: 0262041677. „The Codebreakers“ David Kahn. Scribner; ISBN: 0684831309. „Network Security: Private Communication in a Public World“ Charlie Kaufman, Radia Perlman und Mike Spencer. Prentice Hall; ISBN:0-13-061466-1. In der Online-Dokumentation von PGP: IntroToCrypto
57
© by md service 10. Juni 200101.06.2015 5. Praxis... Vorschläge für praktische Übungen Installation eines weiteren Clients mit PGP Benutzung von PGP: Schlüssel erstellen Upload / Download von Schlüsseln Prüfung von Schlüssels Zurückziehen von Schlüsseln (CRL) Fehlersuche Verschlüsselte Email senden und empfangen VPN zwischen zwei Clients installieren SSL Zugriff auf einen Webserver durchführen
58
© by md service 10. Juni 200101.06.2015 Themenübersicht Grundlagen: Kryptographie – was ist das? Begriffliches Überblick über die Verschlüsselungsverfahren Warum braucht man Kryptographie ? Anwendungsmöglichkeiten Funktionsweise und Bestandteile von PGP Risiken beim Einsatz von PGP Public-Key-Infrastrukturen: Definition und Zweck der PKI PKI-Architektur „PGPcertsrv“ als Beispiel für eine PKI „IIS“ als Beispiel für eine CA Praktische Anwendung: Emailverschlüsselung mit PGP und Outlook 2000 VPN mit PGPnet SSL mit IE und IIS Weitere Informationen: Praxis:
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.