Laborversuch. im Fachbereich Automatisierung und Informatik. Varianten für Signatur- und Verschlüsselungsinfrastrukturen / PKI
Größe: px
Ab Seite anzeigen:

Download "Laborversuch. im Fachbereich Automatisierung und Informatik. Varianten für Signatur- und Verschlüsselungsinfrastrukturen / PKI"

Transkript

1 Laborversuch im Fachbereich Automatisierung und Informatik Varianten für Signatur- und Verschlüsselungsinfrastrukturen / PKI (am Beispiel SigG bzw. OpenPGP) Netzwerklabor Prof. Dr. H. Strack

2 1 Versuchsziele Ziel dieses Labors ist es, Signatur- und Verschlüsselungsinfrastrukturen für die softwarebasierte digitale bzw. elektronische Signatur und Verschlüsselung am Beispiel von OpenPGP zu untersuchen. Versuchsvorbereitung Zur Anwendung kommt im Rahmen dieses Laborversuches der Standard OpenPGP (RFC 4880). Die vermutlich häufigste Anwendung von OpenPGP betrifft die Erzeugung von Schlüsseln und das Versenden von mit diesen Schlüsseln signierten bzw. verschlüsselten s. Die Aufgaben diese Praktikums sind deshalb primär auf diese Anwendungsfelder ausgerichtet. Für die Workstations im Labor Rechnernetze existiert ein laborinternes Mailsystem, welches keine Mails nach außen weiterleitet. Als -Client wird Thunderbird genutzt, das bereits entsprechend von der Laboraufsicht vorkonfiguriert wurde. Zum Versand von s zwischen den einzelnen PC dient als Zieladresse der jeweilige Rechnername, welcher auf der Oberseite des Rechners steht, mit der Hostadresse idefix.hs-harz.de, d.h. es existieren die folgenden Accounts: Bitte dokumentieren Sie zur Lösung der Aufgaben Ihr Vorgehen unter Beantwortung der gestellten Fragen (bitte nur in einer Textdatei, nur mit ASCII-Texten, ohne Graphiken).

3 2 Versuchsdurchführung Teil 1: Symmetrische Verschlüsselung von Zip-Archiven und Versand Erzeugen Sie mittels Softwaretool WinZip eine komprimierte und verschlüsselte Archiv-Datei auf Ihrem Laborrechner (wählen Sie dazu die Verschlüsselung mit dem Standard AES). Versenden Sie diese im nächsten Schritt an eine der oben genannten -Adressen. Für den notwendigen Schlüsselaustausch zwischen Sender und Empfänger sollten Sie einen geeigneten Übertragungsweg für das Passwort finden. (Auth-Nr-1): Wie viele Passworte müssen für eine Gruppe von n Personen untereinander ausgetauscht werden, damit kein Kommunikationspartner unbefugt andere Sendungen entschlüsseln & einsehen kann? Teil 2: PKI mit OpenPGP -- Schlüsselerzeugung Hinweis: Senden Sie die hier erzeugten Schlüssel nicht an externe Schlüsselserver! Wichtig! Bitte verwenden Sie bei der Erzeugung der Schlüssel folgende Namensformate: TestOnly-Name-Enc-Nr-i (Schlüssel zur Verschlüsselung) bzw. TestOnly-Name-Sign-Nr-i (Schlüssel zum Signieren) - TestOnly kennzeichnet vorsorglich insbesondere Ihre Signaturzertifikate als Testzertifikate (zur Vermeidung von Mißverständnissen), Name steht für einen persönlichen Namen (vorzugsweise für Ihren Nachnamen), Nr-i für laufende Nummern. Erzeugen Sie sich zwei Schlüsselpaare nach dem RSA-Verfahren unter Beachtung einer geeigneten Schlüssellänge und einer Gültigkeitsdauer von 1 bzw. 2 Monaten. Um Einfluss auf den zu verwendenden Algorithmus, die Schlüssellänge und die Gültigkeitsdauer nehmen zu können, starten sie zunächst die Schlüsselverwaltung von Thunderbird, welche über das Menü OpenPGP Schlüssel verwalten erreichbar ist. Den Dialog zur Schlüsselerzeugung starten Sie über Erzeugen neues Schlüsselpaar. Entscheiden Sie sich, welches der Zertifikate im Folgenden für Verschlüsselungen und welches für Signaturen verwendet werden soll (durch entsprechende Kürzel im Namen: Enc/Sign). Sichern Sie Ihre privaten Schlüssel auf einem externen Datenträger und verwenden Sie diesen im Folgenden im Zweifel als privaten Schlüsselträger.

4 3 F1) Welche Sicherheitsrisiken bestehen bei OpenPGP bezüglich der Aufbewahrung des privaten Schlüssels, wie kann man diesen Risiken entgegenwirken? Teil 3: PKI mit OpenPGP Zertikats-/Schlüsselaustausch-Varianten 3.1 Direkter Zertifikats-/Schlüsselaustausch Tauschen Sie jeweils mit drei Mitstudierenden je einen öffentlichen Schlüssel per Zertifikat aus. Nutzen Sie hierzu den persönlichen Austausch per externem Datenträger, den Versand als -Attachment bzw. als Textmail (Schlüssel direkt als Text in die Mail einfügen). Importieren Sie im Gegenzug öffentliche Schlüsselzertifikate der Mitstudierenden und stufen Sie diese, nach vorheriger Vergewisserung der entsprechenden Authentizität und Vertrauenswürdigkeit, als "vertrauenswürdig" ein, indem Sie diese Schlüsselzertifikate mit ihrem eigenen privaten Schlüssel signieren. Tauschen Sie mit einer vertrauenswürdigen, Ihnen vorher persönlich bekannten Person, von der Sie jedoch bis zum jetzigen Zeitpunkt keinerlei OpenPGP-Daten erhalten haben, per Mail die Schlüsselzertifikate aus und verifizieren Sie die Zertifikate per Telefonkanal, zunächst über Authentisierung des Angerufenen per Telefon, dann über Verifikation des Fingerprint über den Telefonkanal. Notieren Sie den Fingerprint und die Zertifikatseigenschaften. F2) Was ist beim Zertifikatsaustausch zu beachten bzgl. der Vertrauenswürdigkeit? 3.2 Web-of-Trust-Modell : Indirekter Zertifikats-/Schlüsselaustausch mit (mehreren/persönlichen) vertrauenswürdigen Dritten Fordern Sie per Mail von Ihnen bereits bekannten (zweiten) Personen für weitere (dritte) Personen öffentliche Schlüssel bzw. Zertifikate an, die wiederum vor Übersendung an Sie durch die von Ihnen als bereits vertrauenswürdig eingestuften (zweiten) Zertifikats- bzw. Schlüsselträger-Personen zusätzlich als "vertrauenswürdig" zertifiziert/signiert exportiert wurden. Importieren Sie die so von den Zweiten übergebenen Zertifikate dieser Dritten und verifizieren Sie sie bzgl. ihrer bescheinigten Vertrauenswürdigkeit.

5 4 3.3 CA 1 -/Trustcenter-Modell : Indirekter Zertifikats-/Schlüsselaustausch mit zentralem vertrauenswürdigem Dritten (CA/Trustcenter) Eine von der gesamten Gruppe ernannte Person wird nun von Ihnen zur (organisatorisch begründeten) ernannten CA. Diese CA gibt nach vorheriger (persönlicher) Authentisierung ihrer CA-Kunden zentral auf Anfrage Dritter die Schlüsselzertifikate ihrer CA-Kunden per Mail an diese dritten Personen heraus, wobei die Zertifikate der CA-Kunden dazu vorher mit dem CA-Signaturschlüssel signiert wurden. F3) Was ist notwendig, damit die CA-Kunden die CA-Antworten/Zertifikate als gesichert und gültig verifizieren können? Teil 4: PKI mit OpenPGP Verschlüsselung und Nachrichtenaustausch Tauschen Sie mit anderen Laborteilnehmern (zumindest einem Teilnehmer / möglichst jedoch mehreren), deren Zertifikate für Sie vertrauenswürdig sind, verschlüsselte Nachrichten aus. Entschlüsseln Sie die Nachrichten und Ergänzen Sie die entschlüsselten Nachrichten durch Zusätze und senden Sie diese verschlüsselt an den Absender zurück. Vergleichen Sie den Key-Management-Fall(Auth-Nr-1) für die Sicherstellung der kompletten Nicht-Entschlüsselbarkeit von verschlüsselten Verkehren in einer Gruppe von n Personen für den symmetrischen Fall (Auth-Nr-1) mit dem PKI-Fall mittels zentraler CA (3.3) bezüglich des Schlüsselmanagementaufwandes. Teil 5: PKI mit OpenPGP Signaturen und Nachrichtenaustausch Tauschen Sie mit mindestens zwei Personen, deren Zertifikaten Sie vertrauen, signierte Nachrichten aus. Verifizieren Sie die Gültigkeit der Zertifikate und der Nachrichtensignaturen. Tauschen Sie gleichzeitig signierte und verschlüsselte Nachrichten aus! (Hierfür sind 2 Schlüsselpaare notwendig). 1 Certification Authority

6 5 Verändern Sie eine bereits gültige signierte unverschlüsselte Nachricht und verifizieren Sie erneut die Signatur. Diese Nachricht kann man sich dazu entweder selbst zusenden oder einer anderen Person, die den öffentlichen Schlüssel zum Verifizieren besitzt. Zu welchem Ergebnis führt die Verifikation nach dieser Änderung? Hinweis! Zum Ändern einer signierte unverschlüsselte Nachricht sollte im Thunderbird die Funktion zum automatischen Entschlüsseln/Überprüfen abgeschaltet werden (ggf. im Menü OpenPGP Automatisch Entschlüsseln / Überprüfen den Haken entfernen). Danach kann der Inhalt der Nachricht herauskopiert werden, in eine neue Nachricht eingefügt, verändert und weitergesendet werden. Lassen Sie nach Erhalt und Prüfung der gültig signierten Nachricht vom Sender einen Schlüsselrückruf durchführen. Versuchen Sie jetzt noch einmal die Nachrichtensignatur zu verifizieren. Dokumentieren Sie das Ergebnis! Teil 6: Lösungsabgabe Importieren Sie den öffentlichen Schlüssel der Laboraufsicht von der Homepage des Laborservers ( Senden Sie Ihre Laborlösung als Arbeitsgruppe pro Rechner mit einer OpenPGPverschlüsselten ohne Attachement (Inhalt der Lösungstextdatei hineinkopieren) an den -Account der Laboraufsicht (labor@idefix.hs-harz.de). Beachten Sie dabei folgende Konventionen: Als Betreff der geben Sie bitte OpenPGP Lösung_PCx (x ist die Nummer des Arbeitsplatzes) an. Geben Sie die Namen, Vornamen aller Beteiligten in der an, damit Ihre Lösungen berücksichtigt werden können.

Ähnliche Dokumente
2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback