Anwendung kryptographischer Verfahren für eine ... · B. Gersbeck-Schierholz| Digitale Zertifikate...

Regionales Rechenzentrum für Niedersachsen

Anwendung kryptographischer Verfahrenfür eine vertrauenswürdige Internet-

Kommunikationoder

„Wie unterschreibt ein Computer?“

Birgit Gersbeck-Schierholz, RRZN

B. Gersbeck-Schierholz| Digitale Zertifikate | Folie 2Regionales Rechenzentrum für NiedersachsenBirgit Gersbeck-Schierholz | Krypto/PKI | 2010 | Folie 2Regionales Rechenzentrum für Niedersachsen

Prolog: Die Unzulänglichkeiten der Internet-Kommunikation

Fälschen

Mitlesen Verändern

Abstreiten

Quelle der Grafiken: CryptMail User's Guide, Copyright © 1994 Utimaco Belgium


Inhalt

Einführung

Kryptographische TechnikenDefinitionenKlassische Kryptographie und KryptoanalyseModerne Kryptographie

Praktische Anwendung kryptographischer TechnikenHybride Verschlüsselungsverfahren

Vertrauen in öffentliche SchlüsselPGP – Web of TrustPKI – Hierarchische ZertifizierungsstrukturenBeispiel-PKI: PKI des Deutschen Forschungsnetzes (DFN)

Elektronische Signatur – Rechtliche Rahmenbedingungen

Keystores und externe Crypto-Token

Literatur


Inhalt

Einführung






Literatur


Einführung

Der normale Postweg wird mehr und mehr durch die elektronische Abwicklung der Kommunikation ersetzt.

Nicht nur allgemeine Informationen werden dem Datennetz anvertraut, sondern auch wichtige Verträge und weit reichende Vereinbarungen.

Immer dringlicher wird der Ruf nach mehr Sicherheit, die Forderung nach mehr Vertrauenswürdigkeit und Verbindlichkeit.

Ein normaler Brief erhält seine Verbindlichkeit durch eine handschriftliche Unterschrift, wie wird ein elektronischer Brief vertrauenswürdig?

Eine eingescannte Unterschrift kann jeder einfach fälschen – Farce.


Einführung

Die elektronische Unterschrift unterscheidet sich grundsätzlich von der Handunterschrift

Höhere Fälschungssicherheit als die Handunterschrift

Der Text wird in die Signatur einbezogen – jede spätere Änderung würde bemerktBei jedem neuen Text ergibt sich ein neues Bitmuster der Signatur – die digitale Signatur ist nicht nachahmbarDie Echtheit (Authentizität) des Absenders ist eindeutig nachweisbar

Die Unterschriftsprüfung erfolgt rationell und eindeutig

Neben dem Unterschreiben ist das Verfahren auch geeignet zum Signieren von geistigem Eigentum und Urheberrechten (Bilder, Töne, Software)


Einführung

weitere Anwendungsbereiche kryptographischer Verfahren

sichere Internet-Verbindungen (z.B. SSL/TLS, HTTPS) sichere E-Mail (z.B. S/MIME) sicherer Zahlungsverkehr (z.B. SET, EDIFACT) Unterschreiben von elektronischen Formularen Bankanwendungen (z.B. HBCI / online Brokerage) Urheberschutz / digitale Wasserzeichen sicherer Daten-Transfer Virtual Private Networks (z.B. IPSec) Mobile Commerce (M-Commerce)


Einführung

Beispiele für den praktischen Einsatz kryptographischerVerfahren (1)

S/MIME ZertifikatePersönliches Zertifikat zum Unterschreiben (signieren) und Verschlüsseln von E-Mail

Code SigningGewährleistet Authentizität und Integrität von Programm-Code (z.B. Office-Macros)


Einführung

Beispiele für den praktischen Einsatz kryptographischerVerfahren (2)

SSL Server-Zertifikate Ermöglicht gesicherten Datenaustausch nach einer Server-AuthentifizierungGewährleistet damit Vertraulichkeit, Integrität, einseitige Authentifizierung

SSL Client-ZertifikateErmöglicht gesicherten Datenaustausch nach Authentifizierung beider KommunikationspartnerGewährleistet damit Vertraulichkeit, Integrität, beidseitige Authentifizierung


Einführung

Beispiel: Mail (PGP)


Einführung

Beispiel: Mail (S/MIME)


Einführung

Beispiel:

PDF-Dokument


Inhalt

Einführung






Literatur


Kryptographische TechnikenDefinitionen

Kryptologie, Wissenschaft, deren Aufgabe die Entwicklung von Methoden zur Verschlüsselung (Chiffrierung) von (geheimen) Informationen (Kryptographie) und deren math. Absicherung gegen unberechtigte Entschlüsselung (Dechiffrierung) ist (Kryptoanalyse)....Chiffriermethoden dienen dazu, eine zu übertragende Nachricht (Klartext, Plaintext) so zu verschlüsseln, dass sie nur mithilfe einer entsprechenden Vorschrift (Schlüssel, Key) vom Empfänger rekonstruiert werden kann.

Das Verschlüsselungsverfahren (Kryptoalgorithmus, Cipher) beruht auf einer Verschlüsselungsfunktion V, die jedem Klartext einen verschlüsselten Text (Schlüsseltext, Ciphertext) zuordnet, und eine Entschlüsselungsfunktion E, die umgekehrt Schlüsseltexte in Klartext überführt.

Den Funktionen V und E liegt eine Vorschrift zugrunde, wie einzelne Zeichen zu ver- und entschlüsseln sind. Verfahren bei denen Sender und Empfänger den gleichen Schlüssel verwenden, nennt man symmetrische Schlüsselverfahren. Asymmetrische Schlüsselverfahren verwenden math. Zusammenhängende Schlüsselpaare, bei denen ein geheimer Schlüssel unausforschbar gespeichert wird und ein öffentlicher Schlüssel allg. verfügbar ist (sog. Public-Key-Kryptosysteme).

Aus Meyers Großes Taschenlexikon, 2006


Kryptographische TechnikenKlassische Kryptographie und Kryptoanalyse

TranspositionNeu-Anordnen der Buchstaben

SubstitutionsverfahrenErsetzen der Buchstaben durch einen anderen Buchstaben oder ein SymbolMonoalphabetische Substitution: Verschlüsselungsverfahren, bei dem jeder Buchstabe oder jedes Zeichen durch ein anderes Zeichen nach Vorgabe eines einzigen Alphabets ersetzt wird. Polyalphabetischen Substitutionen: Zur Verschlüsselung werden mehrere (viele) verschiedene Alphabete verwendet.

Solange für die Kryptographie noch keine elektronischen Rechner eingesetzt wurden, ersetzte man bei der Verschlüsselung immer vollständige Buchstaben oder Buchstabengruppen.


Kryptographische TechnikenKlassische Kryptographie und Kryptoanalyse1. Transposition

Neu-Anordnen der Buchstaben

Beispiel: SkytaleIn der Antike wurde die Skytale von den Griechen und Spartanern in kriegerischen Auseinandersetzungen zur geheimen Kommunikation eingesetzt.Ein Leder- oder Papierstreifen wurde um einen Zylinder gewickelt und dann beschrieben.Der abgewickelte Streifen wurde überbracht, für Dritte nicht lesbar.Der Empfänger benutzt zum dechiffrieren einen Stab mit gleichem Durchmesser, der zuvor für die Geheimkorrespondenz definiert wurde.


Kryptographische TechnikenKlassische Kryptographie und KryptoanalyseTransposition

Neu-Anordnen der Buchstaben

Beispiel: SkytaleThe dispatch-scroll is of the following character. When the ephors send out an admiral or a general, they make two

round pieces of wood exactly alike in length and thickness, so that each corresponds to the other in itsdimensions, and keep one themselves, while they give the other to their envoy. These pieces of wood they callscytalae. Whenever, then, they wish to send some secret and important message, they make a scroll of parchment long and narrow, like a leathern strap, and wind it round their scytale, leaving no vacant spacethereon, but covering its surface all round with the parchment. After doing this, they write what they wish on the parchment, just as it lies wrapped about the scytale; and when they have written their message, they takethe parchment off and send it, without the piece of wood, to the commander. He, when he has received it, cannot otherwise get any meaning out of it,--since the letters have no connection, but are disarranged,--unlesshe takes his own scytale and winds the strip of parchment about it, so that, when its spiral course is restoredperfectly, and that which follows is joined to that which precedes, he reads around the staff, and so discoversthe continuity of the message. And the parchment, like the staff, is called scytale, as the thing measured bearsthe name of the measure.—Plutarch, Lives (Lysander 19), ed. Bernadotte Perrin.


Kryptographische TechnikenKlassische Kryptographie und Kryptoanalyse2. Substitutionsverfahren

Monoalphabetische SubstitutionErsetzen der Buchstaben durch einen anderen Buchstaben oder ein Symbol

Beispiel: Caesar-CodeAustauschen der Buchstaben mit dem Buchstaben einige Positionen weiter hinten im Alphabetnur 25 verschiedene „Schlüssel“ möglich. Hier mit Schlüssel C, also Verschiebung um 3 Zeichen

If he had anything confidential to say, he wrote it in cipher, that is, by so changing the order of the letters of the alphabet, that not a word could bemade out. If anyone wishes to decipher these, and get at their meaning, he must substitute the fourth letter of the alphabet, namely D, for A, and so withthe others. — Suetonius, Life of Julius Caesar 56


Kryptographische TechnikenKlassische Kryptographie und KryptoanalyseBeispiel: Das Babington-Komplott - Maria Stuart (1)

Monoalphabetische Substitution (zusätzlich Symbole für ganze Wörter und Füllsymbole)

Die Babington-Verschwörung (auch Babington-Komplott) hat ihren Namen von Anthony Babington, der im Jahr 1586 gemeinsam mit einer Gruppe von befreundeten Katholiken eine Verschwörung plante, mit dem Ziel die protestantische englische Königin Elisabeth I. zu ermorden und Maria Stuart aus dem Gefängnis in Chartley Hall zu befreien, um sie auf den englischen Thron zu bringen.

Maria erhielt Briefe von ihren Anhängern, die im ausgehöhlten Spund eines Fasses versteckt und mit einem Nomenklator verschlüsselt waren. Zum Unglück für die Verschwörer war der Überbringer der Botschaften Gilbert Gifford ein Spion der englischen Königin Elisabeth, der dafür sorgte, dass alle Briefe zu Francis Walsingham, dem Sicherheitsminister von Elisabeth, kamen. Da die Briefe verschlüsselt waren, stellte Walsingham den erfahrenen Codeknacker Thomas Phelippes als Geheimsekretär ein, dem die Entzifferung der Nachrichten mit Hilfe der Häufigkeitsanalyse gelang.

Durch die Briefe kam die Nachricht über den geplanten Mord an Elisabeth ans Tageslicht. Walsingham wartete aber noch ab, denn er wollte die Namen aller Beteiligten erfahren. Um das zu erreichen, gab er Phelippes den Auftrag, die Briefe von und für Maria zu fälschen und diese mit einem anderem Text zu ergänzen. Am 17. Juli 1586 antwortete Maria den Verschwörern und unterschrieb damit ihr eigenes Todesurteil.


Kryptographische TechnikenKlassische Kryptographie und KryptoanalyseBeispiel: Das Babington-Komplott - Maria Stuart (2)

Eine schwache Verschlüsselung kann folgenschwerer sein als gar keine, denn das Vertrauen in die eigene Geheimschrift wiegt Sender und Empfänger in einem trügerischen Sicherheitsgefühl!


Kryptographische TechnikenKlassische Kryptographie und KryptoanalyseKryptoanalyse mittels Häufigkeitsanalyse

Nutzt statistische Eigenschaften der SpracheDie unterschiedlichen Häufigkeiten der Buchstaben in Texten wurden ausgewertet um Geheimschriften zu entschlüsselnErste schriftl. Erwähnung im 9. Jahrh. von dem arabischen Gelehrten Al-KindiDie Kenntnis der verwendeten Sprache ist entscheidend für das erfolgreiche Knacken des CodesWurde eingesetzt um mittels monoalphabetischer Substitution chiffrierte Texte zu entschlüsseln

Spanisch Englisch



Edgar Allan Poe war Schriftsteller und leidenschaftlicher Codeknacker.

„Als er für den Alexander Weekly Messenger in Philadelphia schrieb, forderte er seine Leser mit der Behauptung heraus, er könne jede monoalphabetische Geheimschrift entschlüsseln. Hunderte von Lesern schickten ihm ihre Kryptogramme, und Poe gelang es sie allesamt zu entziffern. Obwohl er dazu nichts weiter als die Häufigkeitsanalyse benötigte, ....“

(aus S. Singh, Geheime Botschaften, 2000)


Kryptographische TechnikenKlassische Kryptographie und KryptoanalysePolyalphabetische Substitution

Die einfache monoalphabetische Verschlüsselung hatte Jahrhunderte lang ausreichend Sicherheit gewährt.Durch die Entwicklung der Häufigkeitsanalyse wurde sie zu schwach.1460 entwickelte der Florentiner Mathematiker Leon Batista Alberti die Verschlüsselung anhand mehrerer Geheimtextalphabete, die polyalphabetische Substitution.Bei der polyalphabetischen Substitution wird für die Verschlüsselung eines Buchstaben zwischen mehreren Geheimtextalphabeten hin und her gesprungen, sodass eine einfache Häufigkeitsanalyse nicht mehr zur Entschlüsselung ausreicht. Die einzelnen Alphabete leiten sich aus der Caesar-Substitution ab.Ein ausgereiftes polyalphabetisches Verschlüsselungssystem wurde Ende des 16. Jahrh. von Blaise de Vigenère entwickelt (Vigenère Verschlüsselung). Ein geheimes Schlüsselwort legt fest, zwischen welchen der insgesamt 26 Alphabete für die Verschlüsselung der Botschaft hin und her gesprungen werden soll.


Kryptographische TechnikenKlassische Kryptographie und KryptoanalysePolyalphabetische Substitution

Beispiel: Vigenère VerschlüsselungKlartext: GeheimnisSchlüssel, der die zu verwendenden

Alphabete festlegt: AKEYVier Caesar-Substitutionen verschlüsseln den Text:Die erste Substitution ist eine Caesar-

Verschlüsselung mit dem Schlüssel „A“. „A“ ist der erste Buchstabe im Alphabet. Er verschiebt den ersten Buchstaben des zu verschlüsseln-den Textes, das „g“, um 0 Stellen, es bleibt „G“.

Der zweite Buchstabe des Schlüssels, das „K“, ist der elfte Buchstabe im Alphabet, er verschiebt das zweite Zeichen des Textes, das „e“, um zehn Zeichen. Aus „e“ wird ein „O“ (siehe Tabelle).

Das dritte Zeichen des Schlüssels („E“) verschiebt um 4,

„Y“ verschiebt um 24 Stellen. Die Verschiebung des nächsten Buchstabens des Textes beginnt wieder bei „A“, dem ersten Buchstaben des Schlüssels.

Ergebnis: Text: GEHEIMNIS

Schlüssel: AKEYAKEYA

Chiffrat: GOLCIWRGS



Polyalphabetische Substitution

One-Time-Pad

Hochsicheres VerfahrenSchlüssel wird nur einmal zur Verschlüsselung verwendet Schlüssels hat (mindestens) die gleiche Länge wie die zu verschlüsselnde NachrichtJedes Zeichen des Klartextes kann mit einem anderen Zeichen des Schlüssels kombiniert werdenAllein mit Kenntnis des Schlüssels kann der Geheimtext entschlüsselt werdenFindet heute noch Anwendung bei extrem geheimer diplomatischer Kommunikation


Kryptographische TechnikenModerne Kryptographie

Grundlage sind nicht ganze Buchstaben, sondern die einzelnen Bits der Daten

Erhebliche Erweiterung des Umfangs an möglichen Transformationen

Ermöglicht die Verarbeitung von Daten, die keinen Text repräsentieren

Man unterscheidet symmetrische und asymmetrische Verschlüsselungsverfahren


Kryptographische TechnikenModerne KryptographieSymmetrische Verschlüsselung

Der gleiche Schlüssel wird für das Chiffrieren und Dechiffrieren der Daten verwendet (analog der klassischen Kryptoverfahren)Sichere, von aktuellen Applikationen verwendete symmetrische Verschlüsselungsverfahren:

3DES, IDEA, Blowfish, AES usw. (Schlüssellänge derzeit 128 – 196 Bit)

Vorteil: Sicheres Verfahren mit guter Performance aufgrund relativ geringer SchlüssellängenNachteil: der Schlüsselaustausch ist nur über ein persönliches Treffen oder einen Kurier zu realisieren (sichere Verbindung zum Schlüsseltausch notwendig)

Alice Bob

*/+Aq~!*eW*9x=

Symbols by: OCAL/www.clker.com


Kryptographische TechnikenModerne Kryptographie

Symmetrische VerschlüsselungBeispiel: Data Encryption Standard (DES) (1)

Als Standard zertifiziert von 1976 bis 1998, Nachfolger AES (AdvancedEncryption Standard)

DES wird bis heute international vielfach eingesetzt obwohl DES aufgrund der verwendeten Schlüssellänge von nur 56 Bit für viele Anwendungen als nicht mehr ausreichend sicher gilt

DES ist in viele kommerzielle Produkte integriert, vor allem im BankenumfeldProblematik hat teilweise dazu geführt die sicherere Variante Triple-DES(3DES) einzusetzen: Chipkartenanwendungen von Banken3DES: Vergößern der Schlüssellänge durch Mehrfachanwendung des DES


Kryptographische TechnikenModerne KryptographieSymmetrische VerschlüsselungBeispiel: Data Encryption Standard (DES) (2)

Blockchiffre: Der Text wird in Blöcke unterteilt und jeder Block unter Verwendung des Schlüssels einzeln chiffriert

Daten werden in 16 Runden (Iterationen) von Substitutionen und Transpositionen „verwürfelt“

Blockgröße: 64 Bits (ein 64-Bit-Block Klartext wird in einen 64-Bit-Block Chiffretext transformiert)Schlüssellänge: 64 Bit

Einschränkung: Von diesen 64 Bit stehen nur 56 Bit zur Verfügung; die übrigen 8 Bit (jeweils ein Bit aus jedem Byte) werden zum Paritäts-Check benötigt.Die effektive Schlüssellänge beträgt demnach 56 Bit.

Die Wiederherstellung des Klartextes erfolgt dadurch, dass die einzelnen Runden in umgekehrter Reihenfolge entschlüsselt werden


Kryptographische TechnikenModerne KryptographieSymmetrische VerschlüsselungAdvanced Encryption Standard (AES) – Rijndael Verfahren

Symmetrische Blockchiffre mit variabler SchlüssellängeDas Rijndael Verfahren wurde von den Belgiern Joan Daemen und Victor Rijmen entwickelt und ist seit Mai 2002 der offizielle AdvancedEncryption Standard (AES)Schlüssellänge von 128, 192, 256 BitEinfach zu implementierenGute PerformanceWenig Speicherbedarf Trotz der sehr guten Eigenschaften wird AES nur sehr langsam in Anwendungen implementiert


Kryptographische TechnikenModerne KryptographieAsymmetrische Verschlüsselung

1976 von Whitfield Diffie, Martin Hellmann und Ralph Merkle veröffentlicht

Zwei verschiedene Schlüssel zum Ver- und Entschlüsseln

Besonderheit: Die Kommunikationspartner müssen sich nicht mehr treffen, um einen Schlüssel auszutauschen

Basiert auf Einwegfunktionen (Primzahlen, diskrete Logarithmen, elliptische Kurven)

Eine Einwegfunktion ist z.B. auch das Vermischen von gelber und blauer Farbe zu grüner Farbe, nicht reversibel



Jeder Kommunikationspartner verfügt über ein Schlüsselpaar, dieses besteht aus 2 unterschiedlichen Schlüsseln:

1. Privater Schlüssel - private key (muss sicher verwahrt werden, nur für mich) 2. Öffentlicher Schlüssel - public key (für alle anderen)

Was mit dem öffentlichen Schlüssel verschlüsselt wurde, kann nur mit dem privaten Schlüssel lesbar gemacht werden und umgekehrt!

Alice BobBob´s öffentlicher

SchlüsselBob´s privater

Schlüssel




Aktuelle Verfahren:1976 Diffie-Hellmann (Schlüsseltausch)

Diskrete Logarithmen1977 RSA – Rivest, Shamir, Adleman

PrimzahlenEl´Gamal

Diskrete Logarithmen1985 Elliptische Kurven (ECC)1994 DAS – Digital Signature Algorithm

Modifikation des El´Gamal-Verfahrens



RSA (Rivest, Shamir, Adleman)

Basiert im Wesentlichen auf der Schwierigkeit der Primfaktorzerlegung, stark vereinfacht lässt sich das folgendermaßen darstellen:

N = p x q p und q sind sehr große Primzahlen

Privater Schlüssel

Öffentlicher Schlüssel

Ronald Rivest Adi Shamir

Leonard Adleman



RSA (Rivest, Shamir, Adleman)

Mathematische Funktionsbeschreibung (Anwendung der Modul-Arithmetik)

1. Wähle Primzahlen p, qN = pq (Primfaktorzerlegung)

2. Wähle d so, dassggT((p-1)(q-1), d) = 1

3. Wähle e mited = 1 mod ((p-1)(q-1))

(e, N) öffentlicher Schlüssel;(d, N) privater (geheimer) Schlüssel

Verschlüsselung RSA(M) = Me mod N = CEntschlüsselung RSA (C) = Cd mod N = M

Dabei ist M die Klartext-Botschaft als Dezimalzahl und C der Geheimtext



Technische Sicherheit asymmetrischer Kryptographie:

Bei Auswahl hinreichend großer Primzahlen können p und q nicht ermittelt werden!

The RSA Factoring Challenge http://www.rsasecurity.com/rsalabs/node.asp?id=2093

RSA-640 (640 Bit, 193 Stellen)N= 310 7418240490 0437213507 5003588856 7930037346 0228427275 4572016194 8823206440

5180815045 5634682967 1723286782 4379162728 3803341547 1073108501 9195485290 0733772482 2783525742 3864540146 9173660247 7652346609

wurde am 2. November 2005 faktorisiert und zwar in:

p= 1634733 6458092538 4844313388 3865090859 8417836700 3309231218 1110852389 3331001045 0815121211 8167511579×

q= 1900871 2816648221 1312685157 3935413975 4718967899 6851549366 6638539088 0271038021 0449895719 1261465571

20.000 US-Dollar

http://www.rsasecurity.com/rsalabs/node.asp?id=2093



The RSA Factoring Challenge

Neue Herausforderung:RSA-704 30.000 US-Dollar(Wurde nicht mehr gelöst, da RSA den Challenge 2007 eingestellt hat)

Die aktuell für RSA-Verschlüsselungsverfahren empfohlenen Schlüssellängen von 2048 Bit können mit praktikablen Mitteln nicht entschlüsselt werden!


Kryptographische TechnikenModerne KryptographiePrüfsummen/Hashverfahren (Hashkomprimierung)

Verschlüsselung ohne SchlüsselErzeugen eines Hash-Wertes anhand der Verrechnung der Daten über einen vorgegebenen mathematischen Algorithmus:

Verkürzung des Objektes auf einen „Identifikator“„digitaler Fingerabdruck“ (Fingerprint) eines ObjektesVorgang ist nicht reversibelAny change to a message will, with a very high probability, result in a different messagedigest.”

Aktuelle Verfahren HAVAL (basierend auf MD5)HMACMD2, MD4, MD5RIPEMD-160SHA-1 (basierend auf MD4)SHA-256 (basierend auf MD4)SHA-512 (basierend auf MD4)SNEFRU



MD5 und SHA-1 sind die in Standardanwendungen am häufigsten integrierten Hashverfahren

MD5 (Message-Digest algorithm 5)Entwickelt von Ronald Rivest, 1991Internet-Standard (RFC 1321) Länge 128 BitApplikationen (einige Beispiele): PGP, Integritätsprüfung von Dateien in z.B. Linux Distributionen, sowie verschlüsselte Speicherung von Passwörtern

SHA-1 (Secure Hash Algorithm -1)Entwickelt von der National Security Agency (NSA), basierend auf MD4Als Standard veröffentlicht vom amerikanischen National Institute of Standards and Technology (NIST), 1993Länge 160 Bit Applikationen (einige Beispiele): TLS, SSL, PGP, SSH, S/MIME, IPsec



Mögliches Sicherheitsproblem: Auftreten von KollisionenZwei Dateien haben den gleichen Hash-WertEindeutige Charakterisierung eines Objektes zur Integritätsprüfung wird durch Kollisionen in Frage gestellt



Mögliches Sicherheitsproblem: Auftreten von KollisionenGeburtstagsangriff (birthday attack)

Ausgangspunkt ist das sog. Geburtstagsparadoxon:„Wieviele Personen müssen in einem Raum sein, damit die Wahrscheinlichkeit größer als 0,5 ist, dass

zwei Personen aus der Gruppe am gleichen Tag Geburtstag haben?“>>>>Es genügen bereits 23 Personen!„Wieviele Personen müssen in einem Raum sein, damit die Wahrscheinlichkeit größer als 0,5 ist, dass

eine Person aus der Gruppe am gleichen Tag wie der Gastgeber Geburtstag hat?“>>>>Mindestens 183 Personen sind erforderlich!

Übertragen auf die Hashfunktionen entsprechen die übereinstimmenden Geburtstage einer Kollision, da die Anzahl der Texteingaben den Personen und die jeweils errechneten Hashfunktionen den Geburtstagen an sich entsprechen.Für den Angriff ergibt sich daraus der Vorteil, dass z.B. nur ein Aufwand in der Größenordnung von 2³² statt 264 erforderlich ist, um zu einem 64-Bit Hashwert eine Kollision zu finden.Kryptographisch sichere Hash-Funktionen müssen auch diesen Angriffen standhalten. Dazu sollte die Länge des Hashwertes hinreichend groß gewählt werden. Für elektronische Unterschriften etwa sind derzeit 128 Bit (MD5) oder 160 Bit gebräuchlich (SHA-1).



Sicherheitsbemerkung zu MD5 (Heise Security Newsmeldung vom 18.08.2004)

„MD5 galt schon seit längerem als unsicherer im Vergleich zu SHA-1. Das MD5CRK-Projekt versuchte durch den Zusammenschluss vieler Rechner über das Internet (ähnlich SETI@Home) und das Berechnen von Kollisionen dies zu beweisen. ...

Allen Angriffen auf die Algorithmen zum Trotz ist es aber weiterhin sehr schwierig, zwei sinnvolle -- und nicht irgendwelche beliebigen -- Zeichenketten zu finden, die denselben Hash-Wert erzeugen. So dürfte es immensen Aufwand erfordern, in einen Sourcecode eine Backdoor derart einzubauen, dass der gleiche Hash herauskommt wie bei der Sourcecode Version ohne Backdoor. Gleiches gilt für digitale Zertifikate und PGP-Fingerprints. Allerdings hat sich in der Vergangenheit immer wieder gezeigt, dass eine kleine Lücke schnell zu einem großen Loch aufgerissen wird.“



Sicherheitsbemerkungen zu SHA-1

Am 15. Februar 2005 meldete der Kryptographieexperte Bruce Schneier in seinem Blog, dass die Wissenschaftler Xiaoyun Wang, Yiqun Lisa Yin und Hongbo Yu an der Shandong University in China erfolgreich SHA-1 gebrochen hätten. Ihnen sei es gelungen, den Aufwand zur Kollisionsberechnung von 280 auf 269 zu verringern. 269 Berechnungen könnten eventuell mit Hochleistungsrechnern durchgeführt werden.

Kurze Zeit später, am 17. August 2005, wurde von Xiaoyun Wang, Andrew Yao und Frances Yao auf der Konferenz CRYPTO 2005 ein weiterer, effizienterer Kollisionsangriff auf SHA-1 vorgestellt, welcher den Berechnungsaufwand auf 263 reduziert.

Im August 2006 wurde auf der CRYPTO 2006 ein weiterer, wesentlich schwerwiegenderer Angriff gegen SHA-1 präsentiert, der möglicherweise auch in der Praxis Auswirkungen zeigen kann. Bei diesem Angriff kann ein Teil der gefälschten Nachricht (derzeit bis zu 25%) im Inhalt frei gewählt werden. Bei den bisherigen Kollisionsangriffen wurden die so genannten Hash-Zwillinge lediglich mit sinnlosen Buchstabenkombinationen des Klartextes gebildet und waren damit leicht zu erkennen.

Ein kritisches Angriffsszenario setzt aber voraus, dass der Angreifer eine zweite zumindest in Teilen sinnvolle Variante eines Dokuments erzeugen kann, die den gleichen SHA-1-Wert und damit auch die gleiche Signatur ergibt. Die bei der neuen Angriffsmethode derzeit verbleibenden 75% sinnloser Buchstabenkombinationen (also Datenmüll) können vor den Augen eines ungeschulten Betrachters ggfs. technisch leicht verborgen werden. Der Angreifer kann daher behaupten, die gefälschte Variante sei an Stelle der originalen Variante signiert worden.


Inhalt

Einführung






Literatur


Praktische Anwendung kryptographischer Techniken Hybride Verschlüsselungsverfahren

1. SSL-Handshake

Secure Sockets Layer (SSL), Transport Layer Security (TLS)

TLS 1.0, 1.1 und 1.2 sind die standardisierten Weiter-entwicklungen von SSL 3.0 (TLS 1.0 steht neu für SSL 3.1)

->SSL wird unter dem Namen TLS weiterentwickelt

Nebenstehende Abbildung zeigt das Verfahren schematisch:

Encrypted data exchange

Asy

mm

etric

Encr

yptio

nSy

mm

etric

Encr

yptio

nH

ash

Func

tion


Praktische Anwendung kryptographischer Techniken Hybride Verschlüsselungsverfahren2. Digitale Signatur (digitale Unterschrift)

Alice Bob

Hash-Komprimierung(MD5, SHA1)

Alice verschlüsselt den Hash-Wert des

Dokuments mit ihrem privaten

Schlüssel

Bob entschlüsselt den Hash-Wert des Dokuments mit Alice´s öffentlichem Schlüssel

Hash-Wert des Dokuments

Hash-Wert des Dokuments



Praktische Anwendung kryptographischer Techniken Hybride Verschlüsselungsverfahren

Öffentlicher Schlüssel von Bob

Alice Bob

Privater Schlüssel von Bob

Öffentlicher Schlüssel von Bob

Privater Schlüssel von Bob

AliceBob

Daten verschlüsseln: Vertraulichkeit

Daten signieren (digital unterschreiben): Authentizität, Integrität, Verbindlichkeit

Verschlüsseln der Daten und Digitale Signatur (digitale Unterschrift) im Vergleich

Prüf-

ergebnis



Praktische Anwendung kryptographischer Techniken

Alice Bob

Verschlüsseln der Daten und Digitale Signatur (digitale Unterschrift) Nutzer verfügt in der Regel über

– mehrere (viele) öffentliche Schlüssel (jeweils einen pro Kommunikationspartner)

– einen privaten Schlüssel

Bob

Linda

Peter

Achim

Ken

SaraLinda

ChrisJo

elAlice




Digitale Zertifikate – Software (1) Schlüsselmanagment im Browser und Mailklienten am Beispiel Thunderbird

Öffentliche Schlüssel der Kommunikationspartner



Digitale Zertifikate - Software (2)Signieren und Verschlüsseln der E-Mail am Beispiel Thunderbird

Verfahren wählen:

Darstellung beim Empfänger:


Inhalt

Einführung






Literatur


Vertrauen in öffentliche Schlüssel

Wie kann ich erkennen, wem ein öffentlicher Schlüssel wirklich gehört oder ob ich schon eine Fälschung besitze?

Dies ist nur dann kein Problem, wenn man den Schlüssel persönlich vom Eigentümer bekommen hat (Vorteil der Schlüsselverteilung gegenüber der symmetrischen Verschlüsselung wäre damit hinfällig).

Mathematische Sicherheit allein reicht nicht aus, wichtig ist die eindeutige Zuordnung des Schlüsselpaares zum Inhaber!


Vertrauen in öffentliche Schlüssel PGP – Web of TrustPretty Good Privacy (PGP)

Web of Trust (1)

Public-Key Verfahren1991 von Phil Zimmermann veröffentlicht

Transitive Vertrauensbeziehungen:Alice signiert den Schlüssel von Bob, Bob signiert den Schlüssel von Carl, somit vertraut Alice dem Schlüssel von Carl.Anders ausgedrückt: Ich vertraue jedem, dem jemand vertraut, dem ich vertraue.Und umgekehrt: Jeder, der jemandem vertraut, der mir vertraut, vertraut auch mir.

RFC 2440 beschreibt ein Verfahren, wie diese Zertifikate mit dem Schlüssel verbunden und mit einer Wertung versehen werden. Das Zertifikat wird mit dem Schlüssel auf einen weltweiten Verbund von Schlüsselservern (keyserver) hochgeladen und kann so von jedermann abgerufen werden.


Vertrauen in öffentliche Schlüssel PGP – Web of TrustPretty Good Privacy (PGP)

Web of Trust (2)

Initiative des BSI: Gpg4win – E-Mail-Sicherheitspaket für Windows

http://www.bsi.de/produkte/gpg4win/index.htm

GnuPG und Mozilla – PlugIn Enigmail


Vertrauen in öffentliche Schlüssel PKI – Hierarchische Zertifizierungsstrukturen

Public Key Infrastructure (PKI)

Eine Beglaubigungsinstanz kann mittels einer Urkunde/Zertifikat den öffentlichen Schlüssel beglaubigen

Zertifikate stellen die eindeutige, zweifelsfreie Zuordnung zwischen einem Schlüsselpaar und einer Person oder einem Rechner her

Dabei wird die reale Identität an die digitale Identität gebunden

Nach Prüfung von Identität und öffentlichem Schlüssel, stellt die Zertifizierungsinstanz , CA ( Certification Authority) das Zertifikat aus

Man unterscheidet:1. Beglaubigungsinstanzen: bestätigt, dass der öffentliche tatsächlich einer

bestimmten Person gehört– Stellen kein Sicherheitsrisiko dar

2. Trusted Third Parties (Vertrauenswürdige Dritte), Trustcenter: generieren u.a. die privaten Schlüssel und halten sie vor

– Umstritten, da Missbrauch des privaten Schlüssels möglich ist


Vertrauen in öffentliche Schlüssel PKI – Hierarchische ZertifizierungsstrukturenAufbau und Betrieb einer Public Key Infrastructure (PKI)

Jede Organisation oder jedes Unternehmen, das seinen internen und/oder externen Datenaustausch sicher gestalten möchte und sich entscheidet, mit Zertifikaten zu arbeiten, kann seine eigene PKI aufbauen und einsetzen.

Zur Kommunikation mit anderen PKI bieten sich folgende Möglichkeiten: Eine gemeinsame Wurzelinstanz (Root) stellt sicher, dass Teilnehmer der nachgeordneten CAs direkt miteinander sicher kommunizieren können (hierarchisches Modell). Über Cross-Zertifizierung können zunächst unabhängig aufgebaute PKIennachträglich durch gegenseitige Anerkennung miteinander verbunden werden. Die gegenseitige Anerkennung unterschiedlicher PKIen kann über eine Bridge-CA vereinfacht werden. Dabei entfällt die individuelle Vereinbarung der Cross-Zertifizierung der Partner untereinander. Sie wird durch Vereinbarungen der einzelnen PKI mit der Bridge-CA ersetzt.



ein Zertifikat nach dem Standard X.509v3 besteht im Wesentlichen aus 4 Teilen:

Öffentlicher Schlüssel

Angaben über den Schlüsselinhaber

(Distinguished Name (DN) nach X.509v3)

C=DE, O=Universitaet Hannover, OU=RRZN, CN=Birgit Gersbeck-Schierholz/serialNumber=3

Attribute wie Seriennummer und

Gültigkeitsdauer

Serial Number: 3 (0x3)Signature Algorithm: sha1WithRSAEncryptionValidity Not Before: May 26 15:42:55 2004 GMT

Not After : May 26 15:42:55 2005 GMT

Beglaubigung (digitale Signatur) der CA,

dass die Angaben stimmen

00:ab:77:e0:53:4a:4a:6b:42:8b:e0:4b:91:14:6f: df:e7:28:4f:58:e5:43:b5:01:71:fa:24:2f:6c:4e: …39:04:62:2f:fd:20:4a:a3:d0:00:78:c8:e7:44:7a

Signature Algorithm: sha1WithRSAEncryption30:40:02:1e:45:2e:de:8a:20:61:44:54:64:29:40:c1:41:81:39:29:5e:4c:90:4f:27:ed:ec:ac:48:25:44:39:a7:4e:02:1e:3b:78:fe:5c:42:f1:d1:5e:d8:cb:46:d2:13:2b:1f:7a:53:ce:37:39:c3:3b:18:b6:c2:bd:cc:1a:9d:08

Digitale Signatur: Verschlüsselung mit dem private key der CA, dies lässt sich mit dem publickey der CA überprüfen


Vertrauen in öffentliche Schlüssel PKI – Hierarchische ZertifizierungsstrukturenX.509v3 Hierarchie

Aufbau einer Zertifikatkette

Dadurch, dass die CA wiederum von einer übergeordneten Zertifizierungsstelle beglaubigt wird, entsteht eine Hierarchie des Vertrauens

Die Aussteller-Signatur in einem Zertifikat ist jeweils mit dem privaten Schlüssel des Ausstellers verschlüsselt worden

Mit dem im Zertifikat enthaltenen öffentlichen Schlüssel kann das in der Hierarchie darüber liegende Zertifikat verifiziert werden



Zertifikat / Zertifikatkette : Angaben im Browser und MailklientenCA Zertifikat

Zertifikatnehmer

Zertifizierungsstelle

Gültigkeitszeitraum

Fingerabdruck, HashfunktionenMD5 und SHA1



Zertifikat / Zertifikatkette : Angaben im Browser und MailklientenNutzer Zertifikat

Zertifikatnehmer

Zertifizierungsstelle

Gültigkeitszeitraum

Fingerabdruck, HashfunktionenMD5 und SHA1



Digitale Signatur der ausstellenden CA, mit

deren geheimen Schlüssel verschlüsselt


Relevante Daten eines Zertifikates (1)

Eindeutige Kennung für einen Schlüssel, die über eine Hash-Funktion (MD5) aus bestimmten Teilen der Schlüsseldaten errechnet wird.

Eindeutiger Name (DN) des Zertifikats-Ausstellers

Gültigkeitszeitraum des Zertifikats

Eindeutiger Name, Distinghuished Name (DN) des Zertifikats-Eigentümers

E-Mail des Zertifikats-Eigentümers

Name des Zertifikats-Eigentümers

X.509 Version Eindeutige, von der CA vergebene Serien-Nummer



Sperrliste der CA

Sperrliste der CA

Zertifikatstyp: SSL Client (https, ftps, imaps, etc., sichere E-Mail per S/MIME

Zertifikatstyp: Benutzerzertifikat der UH

Schlüssel-ID (Hashwert des öffentl. Schlüssels der UHtopCA)und DN

des Ausstellers

Basisbeschränkungen: der Zertifikatseigentümer ist keine CA



Schlüssel-ID: Hashwert des öffentlichen Schlüssels des

Zertifikatseigentümers

Ort, an dem die UH-CA monatl. Eine neue Sperrliste zur

Verfügung stellt

Verwendungszweck: digitale Signatur, Unabstreitbarkeit, Verschlüsselung

E-Mail Adresse des Ausstellers als alternativer Name

E-Mail Adresse des Zertifikatseigentümers als alternativer Name


PKI - Digitale Signatur (digitale Unterschrift)

Zertifikat

Asymmetrisches Schlüsselpaar

Antrag auf Zertifizierung

Prüfung der Identität

Prüfung auf Rückruf bzw. Sperrung

Validierung der Zertifikatkette

Prüfung auf Gültigkeit

Erstellung und Verbreitung des Zertifikats

CA

ZertifikatZertifikatZertifikat Symbols by: OCAL/www.clker.com


Vertrauen in öffentliche SchlüsselBeispiel-PKI: PKI des Deutschen Forschungsnetzes (DFN)

UH-CA

Zertifizierungsstelle der Universität Hannover seit Mai 2004

Zertifiziert öffentliche Schlüssel für Nutzer und Server

Benutzerschnittstelle:

Zertifikate für Mitglieder der Universität Hannover

Integriert in die PKI (Public Key Infrastructure)des Deutschen Forschungsnetzes

www.rrzn.uni-hannover.de/zertifizierung.html

http://www.rrzn.uni-hannover.de/



http://www.rrzn.uni-hannover.de/uhca-policy.html

Policy

Zertifizierungsrichtlinien zum Betrieb der UH-CA

Definiert die Sicherheitsanforderungen als Basis für das Vertrauen in die Zertifizierungsinstanz

Besteht aus 3 Dokumenten:

Zertifizierungsrichtlinie der DFN-PKI - Sicherheitsniveaus: Global, Classic, Basic -Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der DFN-PKI -

Sicherheitsniveaus: Global, Classic, BasicErklärung zum Zertifizierungsbetrieb der UH-CA in der DFN-PKI -

Sicherheitsniveau: Global

http://www.rrzn.uni-hannover.de/uhca-policy.html

http://www.pca.dfn.de/dfn-pki/certification/cp/global-classic-basic/x509/

http://www.pca.dfn.de/dfn-pki/certification/cps/global-classic-basic/x509/

http://www.pca.dfn.de/dfn-pki/certification/cps/global-classic-basic/x509/

http://www.rrzn.uni-hannover.de/fileadmin/it_sicherheit/pdf/Uni-Hannover-CPS-2.1-1.pdf

http://www.rrzn.uni-hannover.de/fileadmin/it_sicherheit/pdf/Uni-Hannover-CPS-2.1-1.pdf



Verwalten und Verteilen von Zertifikaten

VerzeichnisdienstBereitstellung über dieWebschnittstelle

Benachrichtigung der Zertifikatnehmer (Ausstellung,

Sperrung, Gültigkeit)Backup

Aufgaben

Bearbeitung von Zertifizierungsanträgen (RA, Registration Authority):

Online-AntragSchriftliche TeilnehmererklärungPersönliche Identifizierung

Beratung, Support, WebInformationen …

Ausstellen von Zertifikaten

Sperrung von Zertifikaten, z.B. bei Kompromittierung oder Schlüsselverlust

Regelmäßige Veröffentlichungvon Sperrlisten

RRZN, Leibniz Universität Hannover

DFN-PKI, DFN-CERT GmbH



CA

Uni …

CA

Uni …

CA

Uni …

CA

Uni …


Antrag auf ein persönliches E-Mail-Zertifikat



Registration Authority (RA)


Persönliche Identifizierung und Entgegennahme des schriftlichen Teilnahmeantrages



Inhalt

Einführung






Literatur



Das Deutsche Signaturgesetz (SigG) unterscheidet einfache, fortgeschrittene und qualifizierte Signaturen, entsprechend der EU-Richtlinie für elektronische Signaturen.

Im Sinne dieses Gesetzes sind1. „(einfache) elektronische Signaturen“ Daten in elektronischer Form, die

anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen,

2. „fortgeschrittene elektronische Signaturen" elektronische Signaturen nach Nummer 1, die a) ausschließlich dem Signaturschlüssel-Inhaber zugeordnet sind, b) die Identifizierung des Signaturschlüssel-Inhabers ermöglichen, c) mit Mitteln erzeugt werden, die der Signaturschlüssel-Inhaber unter seiner alleinigen Kontrolle halten kann, und d) mit den Daten, auf die sie sich beziehen, so verknüpft sind, dass eine nachträgliche Veränderung der Daten erkannt werden kann,

3. „qualifizierte elektronische Signaturen" elektronische Signaturen nach Nummer 2, die a) auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruhen und b) mit einer sicheren Signaturerstellungseinheit erzeugt werden,…


Elektronische Signatur – Rechtliche RahmenbedingungenDigitale Zertifikate der UH-CA

Alle gesetzlichen Anforderungen an fortgeschrittene elektronische Signaturen sind erfüllt. Darüber hinaus muss sich jeder Antragsteller mit einem amtlichen Ausweispapier mit Lichtbild persönlich identifizieren. Damit wird bei der Zuverlässigkeit der Identifikation zum Erhalt eines persönlichen Zertifikats in der DFN-PKI ein vergleichbares Sicherheitsniveau erreicht wie bei der Identifikation zum Erhalt eines Zertifikats zur Ausstellung von qualifizierten elektronischen Signaturen (Vgl. § 5 Abs. 1 S. 1 SigG) (s. auch https://www.pki.dfn.de/index.php?id=faqpki-recht)

Dennoch ersetzen sie nicht die handschriftliche Unterschrift, denn dies ist nach SigG §2 Nr. 7 nur mit qualifizierten Zertifikaten möglich

Höchste mathematische Sicherheit ist gegeben

Die digitalen Zertifikate der UH-CA dienen in erster Linie dazu die authentische und vertrauliche Kommunikation im Internet zu fördern

Nicht ausreichend für den Status qualifizierter Zertifikate sind die organisatorischen Rahmenbedingungen der UH-CA (z.B. besondere räumliche Voraussetzungen für die CA, sowie die generelle Anforderung, dass qualifizierte Zertifikate den externen Kryptospeichernicht verlassen dürfen)


Elektronische Signatur – Rechtliche RahmenbedingungenDeutsches Bundesamt für Sicherheit in der Informationstechnik

(BSI) – Publikationen

Rechtliche Rahmenbedingungen für die elektronische SignaturDer rechtliche Rahmen der elektronischen Signatur in Deutschland ist durch das Signaturgesetz [SigG] und die Signaturverordnung [SigV] definiert. SigG: http://www.bsi.bund.de/esig/dokumente/sigg2001.pdfSigV: http://www.bsi.bund.de/esig/dokumente/sigv2001.pdf

Grundlagen der elektronischen Signatur http://www.bsi.bund.de/esig/index.htm

Umfassende Publikation des BSI zum Thema

Kryptoalgorithmenhttp://www.bsi.bund.de/esig/kryptoalg.htm

Übersicht über die Eignung von Algorithmen für qualifizierte elektronische Signaturen nach dem Signaturgesetz (SigG)

http://www.bsi.bund.de/esig/dokumente/sigg2001.pdf

http://www.bsi.bund.de/esig/dokumente/sigv2001.pdf

http://www.bsi.bund.de/esig/dokumente/sigg2001.pdf

http://www.bsi.bund.de/esig/dokumente/sigv2001.pdf

http://www.bsi.bund.de/esig/index.htm

http://www.bsi.bund.de/esig/kryptoalg.htm


Elektronische Signatur – Rechtliche RahmenbedingungenBundeseinrichtungen in Deutschland

Bundesnetzagentur - Elektronische Signatur http://www.bundesnetzagentur.de/enid/37ee8b434a657f8c98f91b5f9f930ae9,0/Sachgebiete/Elektronische_Signatur_gz.html

Die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen ist die zuständige Behörde gemäß § 3 des Signaturgesetzes (SigG)

Verordnung über den elektronischen Rechtsverkehr beim Bundesgerichtshof und Bundespatentamt (24.August 2007)

http://www.bgblportal.de/BGBL/bgbl1f/bgbl107s2130.pdf

http://www.bundesnetzagentur.de/enid/37ee8b434a657f8c98f91b5f9f930ae9,0/Sachgebiete/Elektronische_Signatur_gz.html

http://www.bgblportal.de/BGBL/bgbl1f/bgbl107s2130.pdf


Elektronische Signatur – Rechtliche RahmenbedingungenEuropa

EU Richtlinie für elektronische Signaturen [1999/93/EG]http://www.bsi.bund.de/esig/dokumente/euricht.pdf

Voraussetzung für das EU-weite Wachstum des elektronischen GeschäftsverkehrsLegt Harmonisierungsmaßnahmen zur Gewährleistung von Vertrauen in elektronische Transaktionen fest

eSignatures Standardisation surveyhttp://www.esstandardisation.eu/The final study report should be available by November 2007

http://www.bsi.bund.de/esig/dokumente/euricht.pdf

http://www.esstandardisation.eu/



European commission – i2010 (1)http://ec.europa.eu/information_society/eeurope/i2010/single_infor_space/index_en.htm

Study on the legal and market aspects of electronic signatures (Studie über Rechts- und Marktaspekte elektronischer Signaturen), 2003http://ec.europa.eu/information_society/eeurope/i2010/docs/single_info_space/electronic_sig_report.pdf

http://ec.europa.eu/information_society/eeurope/i2010/single_infor_space/index_en.htm

http://ec.europa.eu/information_society/eeurope/i2010/docs/single_info_space/electronic_sig_report.pdf

http://ec.europa.eu/information_society/eeurope/i2010/docs/single_info_space/electronic_sig_report.pdf



European commission – 2010 (2)

Bericht über die Anwendung der Richtlinie 1999/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen (März 2006)Beschreibt und bewertet die Anwendung der EU Richtlinie für elektronische Signaturen [1999/93/EG]Die Untersuchung der Verwendung fortgeschrittener und qualifizierter Signaturen hat gezeigt, dass diese sich in Europa nur sehr langsam durchsetzen

Komplexität der PKI-TechnologieAusweichen auf Formen der einfachen elektronische Signatur (Passwörter, Berechtigungen (PIN/TAN))Fehlen von technischer Interoperabilität auf nationaler und grenzüberschreitender EbeneHohe Kosten für die physische Infrastruktur (Chipkarten, Kartenleser)Archivierung elektronisch unterzeichneter Dokumente gilt als zu komplex und unsicher

Die Europäische Initiative zur Normung elektronischer Signaturen (EESSI) ist eingesetzt, um die Normen für Produkte und Dienste für elektronische Signaturen zu erstellenDie Kommission erachtet die Einführung elektronischer Signaturen weiterhin als „wichtiges Instrument für die Entwicklung von Diensten der Informations-gesellschaft und zur Förderung eines sicheren elektronischen Handels“

http://ec.europa.eu/information_society/eeurope/i2010/docs/esignatures/com_electronic_signatures_report_de.pdf

http://ec.europa.eu/information_society/eeurope/i2010/docs/esignatures/com_electronic_signatures_report_de.pdf



European Citizen Card (ECC, Europäische Bürgerkarte)Hochsichere Chipkarte für alle Bürger der EURechtsverbindlicher Nachweis der eigenen Identität vom häuslichen PC aus persönliches Erscheinen im Bürgeramt oder bei einer ausländischen Versicherungsgesellschaft wäre nicht mehr notwendig

Europäische Normungsinitiative: Technical Committee CEN/TC224 „Personal identification, electronicsignature and cards and their related systems and operations“CEN/TC224/WG16, „SmartCards as electronic signature devices”CEN/TC224/WG17, „Protection profiles in the context of electronicsignature“,

Europäische Norm ist zu großen Teilen noch im Entwurfsstadium!

Quelle: <kes>, Die Zeitschrift für Informationssicherheit, 2007#2


Inhalt

Einführung






Literatur



PSE und Token

Der private Schlüssel muss geschützt werden! Bei Kompromittierung ist das Zertifikat hinfällig!Mit einer Kopie des Schlüssels kann der Angreifer eine falsche Identität vortäuschen und vertrauliche Daten entschlüsseln. Missbrauch wird nicht zwingend erkannt!Anwendungen, die Zertifikate verwenden, speichern i.d.R. private Schlüssel (Software – PSE (Private Security Environment) )

Beispiel Firefox, Thunderbird: privater Schlüssel wird, durch Master-Passwort geschützt, in gesichertem Bereich gehalten (Keystore)Beispiel Internet Explorer, Outlook, Outlook Express: Schlüssel wird in Registry-Schlüsselcontainer gehalten. Schutz durch Master-Passwort nur bei Wahl der hohen Sicherheitsstufe!

Für Anwendungen mit hohen Sicherheitsanforderungen reicht die Software-PSE möglicherweise nicht aus!Einsatz von Crypto-Token: USB-Token, Chipkarten


Keystores und externe Kryptospeicher

Crypto-Token

Token dient als externe PSE Auf Crypto-Token werden private Schlüssel nicht extrahierbar erzeugt und/oder gespeichert, der Schlüssel verlässt den Token nieSichere 2-Faktor Authentifizierung (Privater Schlüssel und Passwort) ist gegebenPortable Möglichkeit für den Einsatz von privaten SchlüsselnSchlüssel kann nicht durch irgendeine Software-Sicherheitslücke entwendet werden, da er nicht auf der Festplatte hinterlegt wirdVerlust des Tokens ist feststellbar (die Kompromittierung eines Passworts bleibt meist unbemerkt)Token kann geschützt werden (Administrator-Zugriff für Konfiguration und Formatierung, Sperrung nach n falschen PIN-Eingaben)



Crypto-Token

Beispiele:Smart CardSmart Card – kontaktlos / -behaftet, Lesegerät erforderlich

(USB, Seriell)GemSafe GPK16000, ISO7816, PC/SC, 16k EEPROM

USB-TokenUSB Token – kein Reader erforderlich Aladdin eToken R2 & Pro, ISO7816, PC/SC, 32k EEPROM



Generierung von Schlüsseln auf Crypto-Token: Bei Verlust/Defekt keine Möglichkeit der Wiederherstellung!Das Webinterface der UH-CA ermöglicht die Schlüsselgenerierung auf einem Token

Achtung:In diesem FallKEIN BACKUPdes privatenSchlüsselsmöglich!



Für die Nutzung von Chipkarten muss die persönliche Arbeitsumgebung technisch darauf abgestimmt werden

Treiber-Installation auf allen SystemenKonfiguration der jeweiligen Anwendung für die Nutzung (z.B. E-Mail-Programm) von Crypto-Token ist notwendig


Inhalt

Einführung






Literatur


Literatur

S. SINGH. The Code Book. The Secret History of Codes and Code-breaking. Fourth Estate, 2000 C. ADAMS, S. LLOYD, Understanding PKI, 2nd Edition. Addison Wesley, 2003A. NASH, W.DUANE, C. JOSEPH, D. BRINK, PKI, e-security implementieren, Deutsche Ausgabe, RSA, 2002A.J. MENEZES, P.C. VAN OORSCHOT, S. A. VANSTONE, Handbook of AppliedCryptography, last updated October 4, 2004, http://www.cacr.math.uwaterloo.ca/hac/C. ECKERT. IT-Sicherheit, Konzepte – Verfahren – Protokolle. OldenbourgWissenschaftsverlag GmbH, 4. Auflage 2006Cryptool, E-Learning-Programm für Kryptologie, http://www.cryptool.de/TeleTrusT Deutschland e.V., http://www.teletrust.de/

Anwendung kryptographischer Verfahren für eine ... · B. Gersbeck-Schierholz| Digitale Zertifikate...

Documents

Transcript of Anwendung kryptographischer Verfahren für eine ... · B. Gersbeck-Schierholz| Digitale Zertifikate...