Praktische Kryptographie unter Linux

Transkript

1 Lars Packschies Praktische Kryptographie unter Linux Werkzeuge und Techniken

2 1 Einleitung 11 2 Kryptographische Grundlagen Terminologie Klassische Chiffren Transpositionsehiffren Monoalphabetische Substitutionschiffren Polyalphabetische Substitutionschiffren In Hardware umgesetzte Substitutionschiffren Moderne symmetrische Verfahren DES AES: Rijndael Betriebsmodi von Blockchiffren IDEA Public-Key-Verfahren \ Der Schlüsselaustausch nach Diffie, Hellman und Merkle Asymmetrische Schlüssel Rivest, Shamir, Adleman:RSA EIGamal Angriffe gegen asymmetrische Verfahren Die digitale Unterschrift DSA 67 3 Kryptographie für alle - PGP und GnuPG PGP 72

3 3.1.1 Technischer Hintergrund Patent-und Zollprobleme Versionsvielfalt GnuPG Wo fängt Vertraueiran? Installation von GnuPG Schlüsselgenerierung 79 4 GnuPG in der Praxis Das Schlüsselpaar Die Schlüsseldateien und ihre Aufbewahrung Der Inhalt der Schlüsselringe Rückzugsmöglichkeit - das Revocation Certificate Der Schlüsseleditor User-IDs bearbeiten Exportieren des öffentlichen Schlüssels Export in eine Datei Export auf einen Keyserver Import eines öffentlichen Schlüssels Vertrauensstatus festlegen Schlüssel beglaubigen Vertrauensnetzwerke Keyserver abfragen Backup des eigenen Schlüsselpaares Signieren und verschlüsseln von Dateien Verschlüsseln.... * Entschlüsseln Signieren einer Datei Kompatibilität zu anderen Public-Key-Programmen Standardeinstellungen verändern 112»' Allgemeine GnuPG-Konfigurationsparameter Auswahl der Algorithmen 115

4 5 Signieren, prüfen, verschlüsseln und entschlüsseln mit S/MIME Grundlagen, Begriffe und verwendete Standards Die X.509-lnfrastruktur für öffentliche Schlüssel Die Public Key Cryptography Standards" Die Formate PEM und DER.' S/MIME-Zertifikate ZertifikatsverwaltungmitCRLsundOCSP Die S/MIME-Erweiterung von GnuPG Verschlüsseln, entschlüsseln, signieren und verifizieren Schlüsselpaar erzeugen Zertifikate importieren Grafische Benutzeroberflächen für GnuPG und S/MIME GPA Erster Start Schlüsselerzeugung und-verwaltung Interaktion mit dem Schlüsselserver GPA-Dateiverwaltung KGpg Schlüsselgenerierung Schlüsselverwaltung KDE im Zusammenspiel mit GnuPG TkPGP Einstellungen ' Seahorse * Schlüsselverwaltung Arbeiten mit Dateien Kleopatra Schlüssel erzeugen und einpflegen Zertifikate betrachten Zertifikatsverwaltung 154

5 7 Sichere Versandarten für verschlüsselte s Inline PGP MIM s S/MIME oder OpenPGP?. r" Sicherer Datentransfer zum Provider STARTTLS Sichere in der Praxis Mozilla Mail undthunderbird KMail Novell Evolution 180 7A4 Balsa Mutt Sylpheed SSL/TLS und OpenSSL SSL und TLS - Grundlagen und Geschichte Abriss der Entwicklungsgeschichte SSL/TLS im Protokollstapel Client-Server-Kommunikation über SSL/TLS Certification Authority und Zertifikate Zertifikate in der Praxis OpenSSL-Funktionalität und Beschaffung openssl und libcrypto Sicherheitsaspekte OpenSSL unter Linux s> Die eigene Zertifizierungsinstanz Aufbau einer lokalen Certification Authority CA-Schlüssel und Zertifikat Erzeugen eines Zertifikats für Dritte 215 '" Einem Zertifikatsersuchen stattgeben Einsatz eines signierten Server-Zertifikats 220

6 9 OpenSSH Grundlagen Die beiden Protokollversionen SSH1 und SSH Installationsumfang Eigenschaften von SSH-Sitzungen Die Secure Shell ssh Konfiguration ssh-login in der Praxis Schlüsselerzeugung, Schlüsselhinterlegung Wahl des Verschlüsselungsalgorithmus Übertragungsdaten sparen Andere Protokolle über SSH tunneln Passphrasenverwaltung mit dem ssh-agent Initialisierung Schlüsselübergabe Sichere Dateiübertragung Dateien kopieren mit Secure Copy Interaktive Dateiübertragung mit Secure FTP Grafische Oberflächen für SSH Remote Login mit grafischen Programmen GPutty Putty SSH-Funktionalität in KDE-Programmen Sichere Dateiübertragung mit grafischen Tools Konqueror Andere KDE-Anwendungen..* Gftp Schlüssel-, Datei-und Sitzungsverwaltung mit Secpanel Konfiguration SSH-Sitzungsverwaltung :3.3 Dateimanagement über abgesicherte Verbindungen Schlüsselmanagement 298

7 11 Kryptographischer Schutz von Dateisystemen Möglichkeiten der Dateisystemverschlüsselung Echte Krypto-Dateisysteme Verschlüsselte Loopback-Devices CFS « Funktionsweise Nutzung Struktur des verschlüsselten Dateisystems GnuPG-Schlüssel mit CFS sichern Wahl des Verschlüsselungsalgorithmus Probleme beim Backup Arbeitserleichterungen auf Red-Hat- und verwandten Systemen Loop-AES Verschlüsselte Datenpartition Swap-Partition verschlüsseln Das Cryptographic Loopback Device Daten aus einem kryptographischen Dateisystem geschützt umziehen Voraussetzungen für den Einsatz für Cryptoloop Container im Dateisystem Verschlüsselte Datenpartitionen DM-Crypt Voraussetzungen für den Einsatz von DM-Crypt DM-Crypt einrichten Eine Partition verschlüsseln Der verschlüsselte Datencontainer Verschlüsseltes Swap-Device 329 A Installationshinweise