Termine. Vorlesung FS 2011 Sicherheit in der Informationstechnik

Größe: px
Ab Seite anzeigen:

Download "Termine. Vorlesung FS 2011 Sicherheit in der Informationstechnik"

Transkript

1 Vorlesung FS 2011 Sicherheit in der Informationstechnik 2011 Prof. Dr. Rolf Oppliger Folie 1 Termine 21. Februar März März April Mai Mai Mai Juni 2011 (Prüfung) 2011 Prof. Dr. Rolf Oppliger Folie 2

2 Übersicht 1. Einführung 2. Kryptografische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2011 Prof. Dr. Rolf Oppliger Folie 3 Fragen sind jederzeit erwünscht 2011 Prof. Dr. Rolf Oppliger Folie 4

3 Literatur Matt Bishop, Computer Security: Art and Science, Addison-Wesley, 2002 Matt Bishop, Introduction to Computer Security, Addison-Wesley, 2004 Charles P. Pfleeger und Shari L. Pfleeger, Security in Computing, Fourth Edition, Prentice Hall, Prof. Dr. Rolf Oppliger Folie 5 Übersicht 1. Einführung 2. Kryptografische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2011 Prof. Dr. Rolf Oppliger Folie 6

4 1. Einführung 1/21 Sicherheit Zustand des Nichtvorhanden- oder Geschütztseins vor Bedrohungen und Risiken Sicherheit ist eine subjektiv wahrnehmbare Grösse und weder direkt sicht- noch messbar ( es ist schwierig, Sicherheit zu verkaufen ) Was als sicher oder unsicher zu bezeichnen ist, hängt auch vom Betrachter bzw. dessen individuellen Risikobereitschaft ab (z.b. Fliegen) Sicherheit ist immer relativ und situationsbezogen (d.h. abhängig von der aktuellen Bedrohungslage) 2011 Prof. Dr. Rolf Oppliger Folie 7 Einführung 2/21 Dem deutschsprachigen Sicherheitsbegriff entsprechen im Englischen zwei Bedeutungen Sicherheit im Sinne von safety Zuverlässigkeit, Ablauf- und Ausfallsicherheit Sicherheit im Sinne von security Schutz vor beabsichtigten Störungen und Angriffen Die Vorlesung befasst sich schwerpunktmässig mit Sicherheit im Sinne von security Zuweilen werden die zwei Bedeutungen auch unter dem Begriff der Verlässlichkeit subsummiert 2011 Prof. Dr. Rolf Oppliger Folie 8

5 Einführung 3/21 Information Boden Arbeit Information stellt einen vierten, Boden, Kapital und Arbeit ergänzenden Produktionsfaktor dar Unsere Gesellschaft wandelt sich von einer Industrie- zu einer Informationsgesellschaft Kapital 2011 Prof. Dr. Rolf Oppliger Folie 9 Einführung 4/21 Die Informatik- oder IT-Sicherheit befasst sich mit der Sicherheit in der Informatik, d.h. mit der sicheren Speicherung, Verarbeitung und Übertragung von Daten (Informationssicherheit ist weiter gefasst) Sicherheitsziele Verfügbarkeit Vertraulichkeit Integrität Authentizität Verbindlichkeit Anonymität / Pseudonymität 2011 Prof. Dr. Rolf Oppliger Folie 10

6 Einführung 5/21 Es fehlt eine (brauchbare) Metrik für die IT-Sicherheit Entsprechend wird in der Praxis IT-Sicherheit durch Räuber-und-Gendarm -Spiele approximiert (z.b. Penetrationstests und ethisches Hacken) Solche Spiele und Approximationen hat es schon immer gegeben Geldtransporte im Wilden Westen Einbruchsichere Safes Ausbruchsichere Gefängnisse Prof. Dr. Rolf Oppliger Folie 11 Einführung 6/21 Zentrale Frage der IT-Sicherheit Wie kann ein Informatiksystem and seine Betriebsmittel (insbesondere Daten) vor Angriffen (von innen und aussen) geschützt werden? Aufgrund der asymmetrischen Lastverteilung ist es möglich und wahrscheinlich, dass ein Angriff erfolgreich ist Es gibt (zu) viele Möglichkeiten, ein Informatiksystem anzugreifen (z.b. DoS) 2011 Prof. Dr. Rolf Oppliger Folie 12

7 Einführung 7/21 Direkte Angriffe können technisch erschwert werden Indirekte Angriffe sind immer möglich (z.b., Social Engineering -Angriffe) 2011 Prof. Dr. Rolf Oppliger Folie 13 Einführung 8/21 It is easy to run a secure computer system. You merely have to disconnect all dial-up connections and permit only direct-wired terminals, put the machine and its terminals in a shielded room, and post a guard at the door. F.T. Grampp and R.H. Morris, UNIX Operating System Security. AT&T Bell Laboratories Technical Journal, Vol. 63, No. 8, October 1984, pp It is easy to run a secure computer system. You merely have to disconnect all dial-up connections and permit only direct-wired terminals, put the machine and its terminals in a shielded room, post a guard at the door, remove or disable all user accounts, and make sure that no user can get physically close to the system Prof. Dr. Rolf Oppliger Folie 14

8 Einführung 9/21 Natürliche Feinde der Informatiksicherheit Menschliche Benutzer Komplexität Windows XP hat ca Programmzeilen Bei einem sicherheitsrelevanten Programm(ier)fehler pro Programmzeilen ergeben sich Fehler Nur ein Teil dieser Fehler wird gefunden bzw. korrigiert Geschwindigkeit Produktions- und Time-to-Market -Zyklen werden immer kürzer Beta-Testen hat das Austesten von Software ersetzt 2011 Prof. Dr. Rolf Oppliger Folie 15 Einführung 10/21 Aufgrund dieser Ausgangslage kann kurzfristig nicht mit einer Verbesserung gerechnet werden Im Informatiksicherheitsbereich gibt es keinen heiligen Gral (oder Indiz für dessen Existenz) Dennoch gibt es Firmen, die versuchen, ihre Produkte oder Dienstleistungen als heiligen Gral anzupreisen und zu verkaufen Vor einer solchen Praxis muss gewarnt werden Ähnliche Vorbehalte gelten auch gegenüber Zertifikaten 2011 Prof. Dr. Rolf Oppliger Folie 16

9 Einführung 11/21 Bill Cheswick, Steve Bellovin, und Aviel Rubin, Firewall and Internet Security, 2 nd Edition, Addison- Wesley, 2003 There is no such thing as absolute security Security is always a question of economics Keep the level of all your defenses at about the same height An attacker doesn t go through security, but around it Put your defenses in layers (defense-in-depth) It s a bad idea to rely on security through obscurity Keep it simple 2011 Prof. Dr. Rolf Oppliger Folie 17 Einführung 12/21 Don t give a person or a program any more privileges than those neceassry to do the job Programming is hard Security should be an integral part of the original design If you do not run a program, it does not matter if it has security holes A program or protocol is insecure until proven secure A chain is only as strong as ist weakest link Security is a trade-off with convenience Don t underestimate the value of your assets 2011 Prof. Dr. Rolf Oppliger Folie 18

10 Einführung 13/21 Bedrohungsmodell Sicherheitsleitbild oder -politik Bedrohungs- und Risikoanalyse Sicherheitsstrategie Entwurf Implementation Implementationsrichtlinien Sicherheitsmassnahmen Technisch Organisatorisch Rechtlich Verbesserung Überprüfung 2011 Prof. Dr. Rolf Oppliger Folie 19 Einführung 14/21 Die Erarbeitung einer Bedrohungs- und Risikoanalyse ist schwierig In der Theorie errechnet sich das Risiko eines Schadenereignisses als Risiko = Eintretenswahrscheinlichkeit * Schadenausmass Leider sind sowohl die Eintretenswahrscheinlichkeit als auch das Schadenausmass schwierig abzuschätzen (bzw. zu quantifizieren) In der Praxis begnügt man sich mit qualitativen Risikoanalysen und Grundschutzansätzen (nicht Gegenstand der Vorlesung) 2011 Prof. Dr. Rolf Oppliger Folie 20

11 Einführung 15/21 Die Formulierung einer Sicherheitspolitik erfordert ein Abwägen von Funktionalität vs. Sicherheit Beispiel: POP3- bzw. IMAP4-Zugänge zu externen Mailboxen Funktionalität Sicherheit 2011 Prof. Dr. Rolf Oppliger Folie 21 Einführung 16/21 Prävention (prevention) Erkennung (detection) Reaktion (response) 2011 Prof. Dr. Rolf Oppliger Folie 22

12 Einführung 17/21 Die Aufgabe eines Informatiksicherheitsverantwortlichen ist ähnlich wie die eines Architekten (vgl. R. Oppliger, IT Security: In Search of the Holy Grail, Communications of the ACM, 50(2), February 2007, pp ) Sicherheitsarchitektur(en) ist (sind) wichtig Sicherheits- und Penetrationstests sind weniger wichtig Die Aussagekraft solcher Tests ist nicht sehr gross 2011 Prof. Dr. Rolf Oppliger Folie 23 Einführung 18/21 In der realen Welt gibt es auch keine ethischen Einbrecher bzw. entsprechende Dienstleistungen Dafür gibt es Kontroll- und Überwachungsdienstleister Analoge Dienstleistungen werden sinnvollerweise auch in der digitalen Welt angeboten und nachgefragt 2011 Prof. Dr. Rolf Oppliger Folie 24

13 Einführung 19/21 Im Strassenverkehr haben wir uns daran gewöhnt, dass es eine absolute Sicherheit nicht gibt Ein sinnvolles Mass an Sicherheit resultiert aus dem Zusammenspiel von verschiedenen Sicherheitsmassnahmen Führerprüfungen Fahrzeugprüfungen Ausbildungsprogramme Sensibilisierungskampagnen Verkehrsgesetze Polizeieinsätze und Kontrollen 2011 Prof. Dr. Rolf Oppliger Folie 25 Einführung 20/21 Je komplexer eine Materie ist, umso mehr will man sich üblicherweise auf Standards (ab-)stützen Dies gilt namentlich auch für die Informatiksicherheit Entsprechend viele Standards gibt es Besondere Verbreitung finden Standards über Best Practices bzw. Informationssicherheitsmanagementsysteme (ISMS) z.b. BS :2002 bzw. ISO/IEC 27001:2005) Zum Teil werden Standards auch sektoriell übernommen bzw. adaptiert z.b. Payment Card Industry Data Security Standard (PCI DSS) 2011 Prof. Dr. Rolf Oppliger Folie 26

14 Einführung 21/21 Je sektorieller und spezifischer ein Informatiksicherheitsstandard ist, umso besser ist seine Ausgangslage (aber umso kleiner ist auch sein Potential) PCI DSS wird sich wahrscheinlich durchsetzen und etablieren (in konkretisierter Form) Hingegen ist die weitere Entwicklung bzw. Durchsetzung von ISO/IEC 27001:2005 offen Die Entwicklung ist auch abhängig von wirtschaftspolitischen Einflussfaktoren und gruppendynamischen Effekten (analog zu ISO 9000) 2011 Prof. Dr. Rolf Oppliger Folie 27 Übersicht 1. Einführung 2. Kryptografische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2011 Prof. Dr. Rolf Oppliger Folie 28

15 2. Kryptografische Grundlagen 1/18 Artech House (2005) ISBN Prof. Dr. Rolf Oppliger Folie 29 Kryptografische Grundlagen 2/18 Der Begriff Kryptologie (cryptology) leitet sich von zwei griechischen Wörtern ab kryptós hidden lógos word Die Bedeutung verstecktes Wort repräsentiert den ursprünglichen Einsatzzweck der Kryptografie (insb. Datenvertraulichkeitsschutz) Der Begriff Kryptologie wird heute breiter verwendet Er umfasst alle sicherheitsbezogenen Einsatzgebiete und Anwendungen (in Ergänzung zum Datenvertraulichkeitsschutz) 2011 Prof. Dr. Rolf Oppliger Folie 30

16 Kryptografische Grundlagen 3/18 Beispiele Datenintegritätsschutz Authentizität von Entitäten Authentizität des Datenursprungs Zugriffskontrolle ( conditional access, DRM, ) Verbindlichkeit Zurechenbarkeit (accountability) Anonymität Pseudonymität Einige Ziele und Anwendungen sind wiedersprüchlich oder sich sogar gegenseitig ausschliessend 2011 Prof. Dr. Rolf Oppliger Folie 31 Kryptografische Grundlagen 4/18 Kryptologie Kryptografie Kryptoanalyse Steganografie 2011 Prof. Dr. Rolf Oppliger Folie 32

17 Kryptografische Grundlagen 5/18 Gemäss RFC 2828 ist ein kryptografisches System oder Kryptosystem A set of algorithms together with the key management processes that support use of the algorithm in some application context In der Literatur werden kryptografische Systeme zuweilen auch als kryptografische Schemata bezeichnet (z.b. digital signature schemes) Ein Protokoll ist ein von mehreren Parteien auszuführender (verteilter) Algorithmus 2011 Prof. Dr. Rolf Oppliger Folie 33 Kryptografische Grundlagen 6/18 Notation für Protokolle A ( Inputparamter ) Berechnungsschritt B ( Inputparamter ) Berechnungsschritt Berechnungsschritt ( Outputparamter ) Berechnungsschritt ( Outputparamter ) 2011 Prof. Dr. Rolf Oppliger Folie 34

18 Kryptografische Grundlagen 7/18 Klassen von Kryptosystemen Schlüssellose Kryptosysteme Keine kryptografischen Parameter Kryptosysteme mit geheimen Schlüsseln (symmetrische Kryptosysteme) Kryptografische Parameter sind allen Beteiligten bekannt Kryptosysteme mit öffentlichen Schlüsseln (asymmetrische Kryptosysteme) Kryptografische Parameter sind nicht notwendigerweise allen Beteiligten bekannt 2011 Prof. Dr. Rolf Oppliger Folie 35 Kryptografische Grundlagen 8/18 Das Ziel der Kryptografie ist der Entwurf, die Entwicklung und der Einsatz von sicheren Kryptosystemen Um präzise Aussagen über die Sicherheit eines Kryptosystems machen zu können, muss der Begriff Sicherheit präzis (z.b. formal) definiert sein Insbesondere muss der Angreifer definiert sein und es muss klar sein, was dieser Angreifer machen muss, um erfolgreich zu sein (d.h. um die Sicherheit zu brechen) Starke Sicherheitsdefinitionen gehen von einem starken Angreifer und einer einfachen Aufgabe aus 2011 Prof. Dr. Rolf Oppliger Folie 36

19 Kryptografische Grundlagen 9/18 Beispiele aus der realen Welt 2011 Prof. Dr. Rolf Oppliger Folie 37 Kryptografische Grundlagen 10/18 Ein Kryptosystem gilt als sicher wenn ein definierter Angreifer eine definierte Aufgabe nicht lösen kann Wenn der Angreifer die Aufgabe grundsätzlich nicht lösen kann, spricht man von bedingungsloser bzw. informationstheoretischer Sicherheit ( Wahrscheinlichkeitsrechnung und Informationstheorie) Wenn der Angreifer die Aufgabe grundsätzlich schon lösen könnte, im Moment aber nicht fähig ist, dies zu tun, spricht man von bedingter bzw. berechenbarer Sicherheit ( Komplexitätstheorie) 2011 Prof. Dr. Rolf Oppliger Folie 38

20 Kryptografische Grundlagen 11/18 In der Literatur ist zuweilen auch von beweisbar sicheren Kryptosystemen die Rede Für ein solches Kryptosystem kann ein komplexitätstheoretischer Reduktionsbeweis geführt werden, d.h. es kann gezeigt werden, dass die Brechung des Systems gleichbedeutend ist mit der Lösung eines (schwierigen) mathematischen Problems Unter der Annahme, dass das mathematische Problem nicht gelöst werden kann, gilt im Umkehrschluss, dass das System nicht gebrochen werden kann 2011 Prof. Dr. Rolf Oppliger Folie 39 Kryptografische Grundlagen 12/18 In einigen Sicherheitsbeweisen bzw. -analysen wird zudem die Annahme gemacht, dass sich ein kryptografisches System (typischerweise eine kryptografische Hashfunktion) gleich verhält wie eine Zufallsfunktion Solche Beweise gelten nur im sogenannten Random Oracle Model und nicht im Standardmodell (z.b. OAEP, PSS, ) Beweise im Random Oracle Model werden kontravers diskutiert 2011 Prof. Dr. Rolf Oppliger Folie 40

21 Kryptografische Grundlagen 13/18 Es entspricht einer leider weit verbreiteten Meinung, dass man die Sicherheit eines (kryptografischen) Systems dadurch verbessern kann, dass man dessen Entwurfskriterien und Informationen über die interne Funktions- und Arbeitsweise geheim hält Diesen Ansatz bezeichnet man auch etwa als security through obscurity Viele Systeme, die auf security through obscurity aufsetzen, bieten keine adäquate Sicherheit 2011 Prof. Dr. Rolf Oppliger Folie 41 Kryptografische Grundlagen 14/18 Demgegenüber besagt das Prinzip von Kerckhoffs, dass ein kryptografisches System so entworfen werden soll, dass es auch dann noch sicher ist, wenn der Angreifer alle Einzelheiten des Systems (ausser den Schlüsselwerten) kennt Das Prinzip von Kerckhoffs ist beim Entwurf von kryptografischen Systemen angebracht und akzeptiert In anderen Einsatzumgebungen ist das Prinzip allerdings umstritten 2011 Prof. Dr. Rolf Oppliger Folie 42

22 Kryptografische Grundlagen 15/18 Die Implementation eines (theoretisch sicheren) Kryptosystems muss nicht sicher sein Es gibt viele Angriffsmöglichkeiten gegen eine spezifische Implementation Insbesondere gibt es zunehmend viele Seitenkanal- Angriffe, die zum Teil sehr erfolgreich sind Timing Attacks Differential Fault Analysis (DFA) Differential Power Analysis (DPA) 2011 Prof. Dr. Rolf Oppliger Folie 43 Kryptografische Grundlagen 16/18 Bis zum Zweiten Weltkrieg wurde die Kryptografie mehr als Kunst denn als Wissenschaft betrachtet und vor allem vom Militär und in der Diplomatie genutzt Zwei wissenschaftliche Errungenschaften haben die Kryptografie zu einer Wissenschaft gemacht 2011 Prof. Dr. Rolf Oppliger Folie 44

23 Kryptografische Grundlagen 17/18 Während des Zweiten Weltkrieges hat Claude E. Shannon die Informationstheorie entwickelt, die es erlaubt, wissenschaftlich über Verschlüsselungssysteme zu argumentieren 2011 Prof. Dr. Rolf Oppliger Folie 45 Kryptografische Grundlagen 18/18 In den 70-Jahren haben Whitfield Diffie und Martin Hellman (mit Ralph Merkle) den Einsatz von Trapdoor (Einweg-)Funktionen vorgeschlagen und damit die Kryptografie mit öffentlichen Schlüsseln (public key cryptography) begründet Seit den frühen 90-Jahren findet eine Verberitung und Kommerzialisierung der Kryptografie statt 2011 Prof. Dr. Rolf Oppliger Folie 46

24 Übersicht 1. Einführung 2. Kryptographische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2011 Prof. Dr. Rolf Oppliger Folie Kryptosysteme (Übersicht) 1/61 c't 20/2004 Schlagseite 2011 Prof. Dr. Rolf Oppliger Folie 48

25 Kryptosysteme Schlüssellose Kryptosysteme 2/61 Einweg-Funktionen Kryptografische Hashfunktionen Zufallsbitgeneratoren 2011 Prof. Dr. Rolf Oppliger Folie 49 Kryptosysteme Schlüssellose Kryptosysteme Einweg-Funktionen 3/61 Einweg-Funktionen spielen in der modernen Kryptografie eine zentrale Rolle Informelle Definition: Eine Funktion f: X Y ist Einweg wenn sie effizient berechenbar aber nicht effizient invertiert werden kann X Y effizient berechenbar x? y 2011 Prof. Dr. Rolf Oppliger Folie 50

26 Kryptosysteme Schlüssellose Kryptosysteme Einweg-Funktionen 4/61 Formale(re) Definition: Eine Funktion f: X Y ist Einweg wenn für x R X f(x) effizient berechnet werden kann für y R Y f -1 (y) nicht effizient berechnet werden kann In der realen Welt gibt es viele Funktionen, die eine Einweg-Eigenschaft haben Ermitteln einer Telefonnummer in einem (alphabetisch sortierten) Telefonbuch Zerschlagen einer Flasche Zeitabhängige Prozesse (z.b. Alterundprozess) 2011 Prof. Dr. Rolf Oppliger Folie 51 Kryptosysteme Schlüssellose Kryptosysteme Einweg-Funktionen 5/61 In der Mathematik gibt es nur wenige Funktionen, von denen man annimmt, dass sie Einweg sind Diskrete Exponentialfunktion (Exp): y = g x (mod p) Modulares Potenzieren (RSA): y = x e (mod n) Modulares Quadrieren (Square): y = x 2 (mod n) Keine dieser Funktionen ist bewiesenermassen Einweg Es ist theoretisch nicht einmal klar, ob es überhaupt Einweg-Funktionen gibt (bzw. geben kann) 2011 Prof. Dr. Rolf Oppliger Folie 52

27 Kryptosysteme Schlüssellose Kryptosysteme Einweg-Funktionen 6/61 Eine Einweg-Funktion f: X Y ist eine Trapdoor (Einweg-)Funktion wenn es Zusatzinformation gibt, mit der f effizient invertiert werden kann, d.h. f -1 (y) kann für y R Y effizient berechnet werden Das mechanische Analogon für eine Trapdoor (Einweg-)Funktion ist ein Vorhängeschloss Um formal korrekt argumentieren zu können, muss man Familien von Einweg-Funktionen bzw. Trapdoor (Einweg-) Funktionen betrachten 2011 Prof. Dr. Rolf Oppliger Folie 53 Kryptosysteme Schlüssellose Kryptosysteme Kryptografische Hashfunktionen 7/61 Hashfunktionen werden in der Informatik häufig verwendet Dabei stellt eine Hashfunktion eine effizient berechenbare Funktion h: Σ * Σ n dar, die aus einem beliebig langen Eingabe-String einen Ausgabe-String fester Länge n erzeugt Entsprechend erzeugt h Hashwerte der Länge n Technisch gibt es eine maximale Länge n max für Eingabe-Strings (d.h. h: Σ n max Σ n ) 2011 Prof. Dr. Rolf Oppliger Folie 54

28 Kryptosysteme Schlüssellose Kryptosysteme Kryptografische Hashfunktionen 8/61 In der Kryptografie ist man an Hashfunktionen interessiert, die spezielle Eigenschaften haben Urbild-resistent (preimage resistent one way) Zweites-Urbild-resistent (second-preimage resistent) Kollisionsresistent (collision resistent) Eine kryptografische Hashfunktion ist eine Hashfunktion, die entweder Urbild-resistent und Zweites- Urbild-resistent oder Urbild-resistent und Kollisionsresistent ist 2011 Prof. Dr. Rolf Oppliger Folie 55 Kryptosysteme Schlüssellose Kryptosysteme Kryptografische Hashfunktionen 9/61 Die Ausgabe einer kryptografischen Hashfunktion ist eine charakteristische Repräsentation des Eingabe- Strings (Nachricht) Fingerprint oder Digest This is a file that includes some inportant but long statements. Consequently, we may need a short representation of this file. h E4 23 AB 7D D1 3E F6 EA EA Prof. Dr. Rolf Oppliger Folie 56

29 Kryptosysteme Schlüssellose Kryptosysteme Kryptografische Hashfunktionen 10/61 Dabei ist es zu aufwändig, zwei oder mehr Nachrichten zu finden, die den gleichen Hashwert haben Beispiele MD5 SHA-1, SHA-2 family SHA-3 (~ 2012) Die aktuellen Forschungsbemühungen zielen auf Kollisionen in gängigen Hashfunktionen und die Entwicklung von kryptografischen Hashfunktionen ab, die inhärent kollisionsresistent(er) sind 2011 Prof. Dr. Rolf Oppliger Folie 57 Kryptosysteme Schlüssellose Kryptosysteme Zufallsbitgeneratoren 11/61 Die Möglichkeit, geheime und nicht vorhersehbare Zufallsgrössen (d.h. Zufallsbits) erzeugen zu können, ist eine notwendige aber nicht hinreichende Bedingung für die Sicherheit eines Kryptosystems Ob es eine solche Möglichkeit gibt, ist umstritten Die Quantenphysik suggeriert, dass es zufällige Ereignisse und damit auch solche Möglichkeiten gibt Ein Zufallsbitgenerator ist ein (idealisiertes Modell eines) Gerät(es), das ohne Eingabe Zufallsbits erzeugen und ausgeben kann 2011 Prof. Dr. Rolf Oppliger Folie 58

30 Kryptosysteme Schlüssellose Kryptosysteme Zufallsbitgeneratoren 12/61 Zufallsbitgenerator Die Ausgabe ist eine Sequenz von statistisch unabhängigen und gleichverteilten Bits Die Bits treten mit der gleichen Wahrscheinlichkeit auf, d.h. Pr[0] = Pr[1] = ½ Für k 1 treten alle 2k k-tupel von Bits mit der gleichen Wahrscheinlichkeit auf, d.h. Pr[00 0] = Pr[00 1] = = Pr[11 1] = 1/2 k 2011 Prof. Dr. Rolf Oppliger Folie 59 Kryptosysteme Schlüssellose Kryptosysteme Zufallsbitgeneratoren 13/61 Es gibt statistische Tests, um die Güte eines Zufallbitgenerators (oder seiner Ausgaben) abzuschätzen Der Entwurf eines guten Zufallbitgenerators ist eine schwierige und anspruchsvolle Aufgabe Es braucht eine natürliche Quelle von Zufall Dazu können verschiedene physikalische Phänomene oder Ereignisse genutzt werden (z.b. radioaktiver Zerfall) 2011 Prof. Dr. Rolf Oppliger Folie 60

31 Kryptosysteme Symmetrische Kryptosysteme 14/61 Verschlüsselungssysteme Nachrichtenauthentifikationscodes Pseudozufallsbitgeneratoren Pseudozufallsfunktionen 2011 Prof. Dr. Rolf Oppliger Folie 61 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 15/61 Mit einem symmetrischen Verschlüsselungssystem können mit einem geheimen Schlüssel k Daten verund entschlüsselt werden Im Rahmen einer Verschlüsselung wird ein Klartext auf einen Chiffretext (Chiffrat) c abgebildet Die Entschlüsselung is der Umkehrprozess, d.h. ein Chiffretext c wird auf einen Klartext m abgebildet k k m E c D m 2011 Prof. Dr. Rolf Oppliger Folie 62

32 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 16/61 Ein symmetrisches Verschlüsselungssystem besteht aus 5 Komponenten Klartextnachrichtenraum M Chiffretextraum C Schlüsselraum K Familie E = {E k : k K} von (probabilistischen) Verschlüsselungsfunktionen E k : M C Familie D = {D k : k K} von Entschlüsselungsfunktionen D k : C M D k und E k müssen invers zueinander sein, d.h. D k (E k (m)) = E k (D k (m)) = m ( k K, m M) 2011 Prof. Dr. Rolf Oppliger Folie 63 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 17/61 Typische Werte sind M = C = {0,1}* K = {0,1} l für eine konstante Schlüssellänge l (z.b. l = 128) Beispiele Data Encryption Standard (DES), DESX, 3DES International Data Encryption Algorithm (IDEA) Advanced Encryption Standard (AES) RC2, RC4, RC5, 2011 Prof. Dr. Rolf Oppliger Folie 64

33 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 18/61 In den 1970er Jahren führte das National Bureau of Standards (NBS) einen Wettbewerb für einen standardisierten Verschlüsselungsalgorithmus durch Der Lucifer-Algorithmus von IBM wurde 1977 vom NBS als DES (FIPS PUB 46) spezifiziert Das NIST (vormals NBS) bestätigte den Standard 1983, 1988, 1993 und 1999 Im Rahmen von FIPS PUB 46-3 (1999) wurde der Triple Data Encryption Algrotihm (TDEA) eingeführt 2004 wurde DES als Standard aufgehoben 2011 Prof. Dr. Rolf Oppliger Folie 65 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 19/61 DES stellt eine Substitution-Permutation-Verschlüsselung bzw. Feistel-Verschlüsselung dar Σ = Z 2 = {0,1} Blocklänge 2t r Runden Für jedes k K müssen r Rundenschlüssel k 1, k r generiert werden 2011 Prof. Dr. Rolf Oppliger Folie 66

34 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 20/61 Die Verschlüsselungsfinktion E k beginnt mit der Aufteilung eines Klartextblocks m in zwei Hälften zu je t Bits, d.h. m = (L 0,R 0 ) Eine Sequenz von Paaren (L i,r i ) für i=1,,r wird rekursiv berechnet (L i,r i ) = (R i-1,l i-1 f ki (R i-1 )) (1) (L r,r r ) in umgekehrten Reihenfolge stellt den Chiffretextblock dar, d.h. c = (R r,l r ) Entsprechend gilt c = E k (m) = E k (L 0,R 0 ) = (R r,l r ) 2011 Prof. Dr. Rolf Oppliger Folie 67 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 21/61 Die rekursive Formel (1) kann umgeschrieben werden (L i-1,r i-1 ) = (R i f ki (L i ),L i ) Damit können L i-1 and R i-1 rekursiv aus L i, R i und k i berechnet und m = (L 0,R 0 ) aus c = (R r,l r ) bestimmt werden (Rundenschlüssel k r,,k 1 in umgekehrter Reihenfolge) DES ist eine Feistel-Verschlüsselung mit Blocklänge 2t = 64 Bits und r = 16 Runden 2011 Prof. Dr. Rolf Oppliger Folie 68

35 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 22/61 DES-Schlüssel sind 64-Bit Strings mit ungerader Parität (pro Byte) K = {(k 1,,k 64 ) {0,1} 64 Σ j=1,,8 k 8i+j 1 (mod 2) for i = 0,,7} Zum Beispiel ist F1DFBC9B ein gültiger DES-Schlüssel F1 = DF = BC = Prof. Dr. Rolf Oppliger Folie 69 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 23/61 Um ein Klartextnachrichtenblock m mit dem Schlüssel k zu chiffrieren, operiert der DES-Verschlüsselungsalgorithmus in 3 Schritten 1. Es wird eine initiale Permutation (IP) auf m angewandt 2. Es wird eine 16-Runden Feistel-Verschlüsselung auf IP(m) angewandt das beinhaltet die abschliessende Vertauschung von L 16 und R Es wird die inverse initiale Permutation (IP -1 ) auf das Result von Schritt 2 angewandt 2011 Prof. Dr. Rolf Oppliger Folie 70

36 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 24/ Prof. Dr. Rolf Oppliger Folie 71 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 25/61 DES setzt eine Rundenfunktion f ein, die 16 mal iteriert wird Die Rundenfunktion f hat als Input einen 32- Bit R-Block und einen 48-Bit Rundenschlüssel k i Sie erzeugt als Ausgabe einen Bitstring der Länge Prof. Dr. Rolf Oppliger Folie 72

37 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 26/61 Der DES Key Schedule nimmt einen 56 oder 64 Bit langen DES-Schlüssel entgegen und erzeugt Bit lange Rundenschlüssel k 1,k 2,,k 16 Permuted choice (PC) Funktionen PC1: {0,1} 64 {0,1} 28 x {0,1} 28 PC2: {0,1} 28 x {0,1} 28 {0,1} 64 1 position for 1, 2, 9, 16 2 positions for 3, 4, 5, 6, 7, 8, 10, 11, 12, 13, 14, Prof. Dr. Rolf Oppliger Folie 73 Kryptosysteme Symmetrische Kryptosysteme Nachrichtenauthentifikationscodes 27/61 Es ist manchmal ausreichend, die Authentizität und Integrität einer Nachricht zu schützen (anstelle der Datenvertraulichkeit) In einer solchen Situation kann ein Authentifizierungstag an die Nachricht angehängt werden, das vom Empfänger verifiziert werden kann Nachricht Nachricht Tag 2011 Prof. Dr. Rolf Oppliger Folie 74

38 Kryptosysteme Symmetrische Kryptosysteme Nachrichtenauthentifikationscodes 28/61 Möglichkeiten zur Erzeugung und Verifikation von Authentifizierungstags Public Key Cryptography Digitale Signaturen Secret Key Cryptography Nachrichtenauthentifizierungscodes (message authentication codes, MACs no nonrepudiation) Ein Nachrichtenauthentifizierungssystem (message authentication system) ist ein System zur Erzeugung und Verifizierung von MACs 2011 Prof. Dr. Rolf Oppliger Folie 75 Kryptosysteme Symmetrische Kryptosysteme Nachrichtenauthentifikationscodes 29/61 Ein Nachrichtenauthentifizierungssystem besteht aus 5 Komponenten Nachrichetnraum M Tagraum T Schlüsselraum K Familie A = {A k : k K} von Nachrichtenauthentifikationsfunktionen A k : M T Familie V = {V k : k K} von Verifikationsfunktionen verification functions V k : M x T {valid,invalid} 2011 Prof. Dr. Rolf Oppliger Folie 76

39 Kryptosysteme Symmetrische Kryptosysteme Nachrichtenauthentifikationscodes 30/61 V k (m,t) gültig t gültiges Authentifizierungstag für Nachricht m und Schlüssel k (d.h. t = A k (m)) Damit ist V k (m, A k (m)) gültig k K, m K Typischerweise M = {0,1}* T = {0,1} l tag für konstante Taglänge ltag K = {0,1} l key für konstante Schlüssellänge lkey Z.B. l tag = l key = Prof. Dr. Rolf Oppliger Folie 77 Kryptosysteme Symmetrische Kryptosysteme Nachrichtenauthentifikationscodes 31/61 In der Theorie sind viele (bedingungslos oder bedingt sichere) Nachrichtenauthentifizierungssysteme bekannt In der Praxis wird vor allem eine auf Hashfunktionen mit Schlüsseln basierende Konstruktion (HMAC) eingesetzt (RFC 2104) HMAC k (m) = h(k opad h(k ipad m) Die meisten Internet-Sicherheitsprotokolle (z.b. IPsec, TLS, ) setzen die HMAC-Konstruktion ein 2011 Prof. Dr. Rolf Oppliger Folie 78

40 Kryptosysteme Symmetrische Kryptosysteme Pseudozufallsbitgeneratoren 32/61 Ein Zufallsbitgenerator kann nicht deterministisch implementiert werden Demgegenüber ist ein Pseudozufallsbitgenerator (PRBG) ein effizienter deterministischer Algorithmus, der als Eingabe eine zufällige Bitfolge der Länge k (seed) entgegennimmt und als Ausgabe eine Bitfolge der Länge l >> k erzeugt Seed PRBG Prof. Dr. Rolf Oppliger Folie 79 Kryptosysteme Symmetrische Kryptosysteme Pseudozufallsbitgeneratoren 33/61 Im Gegensatz zu einem Zufallsbitgenerator nimmt ein PRBG eine Eingabe entgegen und stellt einen deterministischen Algorithmus dar Konsequenzen Ein PRBG ist ein endlicher Automat Jede erzeugte Bitfolge ist zyklisch (mit einem möglicherweise sehr langen Zyklus) Man kann nicht verlangen, dass die Ausgabe eines PRBG echt zufällig ist, sondern nur dass sie so erscheint (d.h. dass sie von einer echten Zufallsfolge nicht unterschieden werden kann) 2011 Prof. Dr. Rolf Oppliger Folie 80

41 Kryptosysteme Symmetrische Kryptosysteme Pseudozufallsbitgeneratoren 34/61 Ähnlich wie bei Zufallsbitgeneratoren kann mithilfe von statistischen Testverfahren die Zufälligkeit einer mit einem PRBG erzeugten Bitfolge untersucht werden Ein PRBG gibt Bitfolgen aus, die bestimmte Anforderungen an die Zufälligkeit erfüllen 2011 Prof. Dr. Rolf Oppliger Folie 81 Kryptosysteme Symmetrische Kryptosysteme Pseudozufallsfunktionen 35/61 Als Zufallsfunktion (random function oder random oracle) bezeichnet man eine Funktion f: X Y, die zufällig aus allen Funktionen von X auf Y ausgewählt worden ist Für x X gibt eine Zufallsfunktion f ein beliebiges (aber immer gleiches) y = f(x) f(x) Y aus Mit einer Familie von Pseudozufallsfunktionen kann eine Zufallsfunktion emuliert werden (kein effizienter Algorithmus kann entscheiden, ob eine Funktion aus einer Familie von Pseudozufallsfunktionen stammt oder eine echte Zufallsfunktion darstellt) 2011 Prof. Dr. Rolf Oppliger Folie 82

42 Kryptosysteme Symmetrische Kryptosysteme Pseudozufallsfunktionen 36/61 Trotz aller Unterschiede sind Pseudozufallsbitgeneratoren und Familien von Pseudozufallsfunktionen verwandt bzw. können auseinander konstruiert werden Aus einer Familie von Pseudozufallsfunktionen kann ein Pseudozufallsbitgenerator konstruiert werden Aus einem Pseudozufallsbitgenerator kann eine Familie von Pseudozufallsfunktionen konstruiert werden 2011 Prof. Dr. Rolf Oppliger Folie 83 Kryptosysteme Asymmetrische Kryptosysteme 37/61 Verschlüsselungssysteme Digitale Signatursysteme Schlüsselvereinbarung 2011 Prof. Dr. Rolf Oppliger Folie 84

43 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 38/61 In einem Kryptosystem mit öffentlichen Schlüsseln verfügt jede Entität über ein Paar mathematisch verwandter Schlüssel (k,k -1 ) Öffentlicher Schlüssel k Privater Schlüssel k -1 Eine notwendige (aber nicht hinreichende) Bedingung für die Sicherheit eines Kryptosystems mit öffentlichen Schlüsseln ist die berechenbare Unmöglichkeit k -1 aus k zu berechnen k kann dann publiziert werden (z.b. in einem Verzeichnisdienst) 2011 Prof. Dr. Rolf Oppliger Folie 85 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 39/61 Kryptosysteme mit öffentlichen Schlüsseln sind viel weniger effizient als Kryptosysteme mit geheimen Schlüsseln (ungefährt Faktor 1 000) In der Praxis werden deshalb beide Arten von Kryptosystemen in hybriden Systemen kombiniert (z.b. Secure Messaging) Nachricht verschlüsselt mit Session Key Session Key verschlüsselt mit dem öffentlichen Schlüssel des Empfängers 2011 Prof. Dr. Rolf Oppliger Folie 86

44 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 40/61 Mit einem asymmetrischen Verschlüsselungssystem können Daten ver- und entschlüsselt werden Dazu wird eine (Familie von) Trapdoor (Einweg-) Funktionen benötigt Öffentlicher Schlüssel k B entspricht Einweg-Funktion Privater Schlüssel k -1 B entspricht Trapdoor (der Einweg-Funktion) -1 k B k B m E c D m 2011 Prof. Dr. Rolf Oppliger Folie 87 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 41/61 Ein asymmetrisches Verschlüsselungssystem besteht aus drei effizient berechenbaren Algorithmen Generate(1 l ) ist ein probabilistischer Schlüsselerzeugungsalgorithmus, der auf der Basis eines Sicherheitparameters l ein Schlüsselpaar (k,k -1 ) erzeugt Encrypt(k,m) ist ein deterministischer oder probabilistischer Verschlüsselungsalgorithmus (c = Encrypt(k,m)) Decrypt(k -1,c) ist ein deterministischer Entschlüsselungsalgorithmus (m = Decrypt(k -1,c)) 2011 Prof. Dr. Rolf Oppliger Folie 88

45 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 42/61 Sicherheitsparameter Öffentlicher Schlüssel Klartext Privater Schlüssel Chiffretext Generate Encrypt Decrypt Öffentlicher Schlüssel Privater Schlüssel Chiffretext Klartext 2011 Prof. Dr. Rolf Oppliger Folie 89 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 43/61 Rivest, Shamir, and Adleman (MIT, 1977) Communications of the ACM (February 1978) U.S. Patent 4,405,829 (bis September 2000) ACM Turing Award Prof. Dr. Rolf Oppliger Folie 90

46 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 44/61 Der RSA-Schlüsselerzeugungsalgorithmus erzeugt ein Schlüsselpaar ((n,e),d) in zwei Schritten Er wählt zufällig zwei l/2-bit lange Primzahlen p und q aus und berechnet den RSA-Modul n = pq Er wählt zufällig ein 1<e<φ(n) mit gcd(e,φ(n)) = 1 aus, und berechnet (z.b. mil Hilfe des Erweiterten Euklidschen Algorithmus) das multiplikativ inverse Element 1<d<φ(n) mit de 1 (mod φ(n)) 2011 Prof. Dr. Rolf Oppliger Folie 91 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 45/61 Zahlenbeispiel Schritt 1 p = 11 und q = 23 n = = 253 φ(n) = φ(253) = = 220 Schritt 2 e = 3 (gcd(3,220)=1) d = 147 modulo 220 (3 147 = (mod 220)) (n,e) = (253,3) ist der öffentliche Schlüssel d = 147 ist der private Schlüssel 2011 Prof. Dr. Rolf Oppliger Folie 92

47 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 46/61 RSA-Verschlüsselung c = RSA n,e (m) m e (mod n) RSA-Entschlüsselung m = RSA n,d (c) c d (mod n) 2011 Prof. Dr. Rolf Oppliger Folie 93 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 47/61 Zahlenbeispiel Verschlüsselung von m = 26 c 26 3 (mod 253) 17,576 (mod 253) = 119 Entschlüsselung von c = 119 m (mod 253) = Prof. Dr. Rolf Oppliger Folie 94

48 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 48/61 Digitale Signaturen können verwendet werden, um die Authentizität und Integrität von Nachrichten zu schützen und um Verbindlichkeitsdienste umzusetzen Mit dem Aufkommen des elektronischen Handels haben sich digitale Signaturen und deren Rechtsetzung zu wichtigen Themen entwickelt Die meisten Staaten verfügen über ein Signaturgesetz Allerdings ist der Erfolg von Signaturgesetzen bis heute bescheiden geblieben 2011 Prof. Dr. Rolf Oppliger Folie 95 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 49/61 Definition einer digitalen Signatur A value computed with a cryptographic algorithm and appended to a data object in such a way that any recipient of the data can use the signature to verify the data s origin and integrity (RFC 2828) Data appended to, or a cryptographic transformation of, a data unit that allows a recipient of the data unit to prove the source and integrity of the data unit and protect against forgery, e.g. by the recipient (ISO/IEC ) 2011 Prof. Dr. Rolf Oppliger Folie 96

49 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 50/61 Typen von digitalen Signaturen Digital signature with appendix Digitale Signatur wird der Dateneinheit angefügt (ISO/IEC 14888) Digital signature giving message recovery Die Dateneinheit wird kryptografisch in eine Form transformiert, die sowohl die Dateneinheit als auch die Signatur beinhaltet (ISO/IEC 9796) 2011 Prof. Dr. Rolf Oppliger Folie 97 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 51/61 Arbeitsweise Der Signierer (signatory) A berechnet mit dem privaten Schlüssel k A -1 die Signatur s = D A (m) Der Verifizierer (verifier) überprüft mit dem öffentlichen Schlüssel k A von A die Signatur s Public verifiability -1 k A k A m D [m,] s gültig / ungültig E 2011 Prof. Dr. Rolf Oppliger Folie 98

50 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 52/61 Ein digitales Signatursystem mit Anhang besteht aus drei effizient berechenbaren Algorithmen 2011 Prof. Dr. Rolf Oppliger Folie 99 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 53/61 Signierschlüssel Nachricht Verifikationsschlüssel Nachricht Signatur Generate Sign Verify Signierschlüssel Generate(1 l ) ist ein probabilistischer Schlüsselerzeugungsalgorithmus Sign(k -1,m) ist ein deterministischer oder probabilistischer Signaturerzeugungsalgorithmus (s = Sign(k -1,m) Verify(k,m,s) ist ein deterministischer Signaturverifikationsalgorithmus Sicherheitsparameter Verifikationsschlüssel Signatur valid invalid 2011 Prof. Dr. Rolf Oppliger Folie 100

51 Kryptosysteme Kryptosysteme mit öffentlichen Digitale Signatursysteme 54/61 Ein digitales Signatursystem mit Nachrichtenrekonstruktion besteht aus drei effizient berechenbaren Algorithmen Generate(1 l ) ist ein probabilistischer Schlüsselerzeugungsalgorithmus 2011 Prof. Dr. Rolf Oppliger Folie 101 Kryptosysteme Kryptosysteme mit öffentlichen Digitale Signatursysteme 55/61 Security parameter Signierschlüssel Nachricht Verifikationsschlüssel Verifikationsschlüssel Signatur Generate Sign Recover Signierschlüssel Sign(k -1,m) ist ein deterministischer oder probabilistischer Signaturerzeugungsalgorithmus, der eine Signatur mit Nachrichtenrekonstruktion erzeugt Recover(k,s) ist ein deterministischer Nachrichtenrekonstruktionsalgorithmus Signatur Nachricht ungültig 2011 Prof. Dr. Rolf Oppliger Folie 102

52 Kryptosysteme Kryptosysteme mit öffentlichen Schlüsselvereinbarung 56/61 Wenn zwei (oder mehr) Entitäten kryptografische Verfahren nutzen wollen, brauchen sie einen Schlüssel In grossen Systmen müssen viele Schlüssel sicher erzeugt, gespeichert, verwaltet und vernichtet werden Bei n Entitäten sind das n 2 = n(n-1) 1 2 = n2 -n 1 2 Schlüssel (z.b. 499,500 Schlüssel für n=1,000) Das resultierende Skalierbarkeitsproblem wird auch als n 2 -Problem bezeichnet 2011 Prof. Dr. Rolf Oppliger Folie 103 Kryptosysteme Kryptosysteme mit öffentlichen Schlüsselvereinbarung 57/61 Ansätze zur Lösung des n 2 -Problems Schlüsselverteilzentralen (e.g., Kerberos) Schlüsseletablierungsprotokolle Typen von Schlüsseletablierungsprotokollen Key distribution protocols (z.b. SSL/TLS Handshake) Key agreement protocols (z.b. Diffie-Hellman key exchange) Mit dem Diffie-Hellman key exchange protocol begann die Geschichte der Public Key Kryptografie 2011 Prof. Dr. Rolf Oppliger Folie 104

53 Kryptosysteme Kryptosysteme mit öffentlichen Schlüsselvereinbarung 58/61 A (p,g) B (p,g) x A R Z p * x B R Z p * y A g xa (mod p) y B g xb (mod p) K AB y B x A (mod p) K BA y A x B (mod p) (K AB ) (K BA ) 2011 Prof. Dr. Rolf Oppliger Folie 105 Kryptosysteme Kryptosysteme mit öffentlichen Schlüsselvereinbarung 59/61 Zahlenbeispiel (1) p = 17 und g = 3 A wählt zufällig x A = 7, berechnet y A 3 7 (mod 17) = 11 und sendet diesen Wert an B B wählt zufällig x B = 4, berechnet y B 3 4 (mod 17) = 13 und sendet diesen Wert an A A berechnet y B x A 137 (mod 17) = 4 B berechnet y A x B 114 (mod 17) = 4 K = 4 kann als Sitzungsschlüssel eingesetzt werden 2011 Prof. Dr. Rolf Oppliger Folie 106

54 Kryptosysteme Kryptosysteme mit öffentlichen Schlüsselvereinbarung 60/61 Zahlenbeispiel (2) p = 347 und g = 11 A wählt zufällig x A = 240, berechnet y A (mod 347) = 49 und sendet diesen Wert an B B wählt zufällig x B = 39, berechnet y B (mod 347) = 285 und sendet diesen Wert an A A berechnet y B xa (mod 347) = 268 B berechnet y A xb (mod 347) = 268 K = 268 kann als Sitzungsschlüssel eingesetzt werden 2011 Prof. Dr. Rolf Oppliger Folie 107 Kryptosysteme Kryptosysteme mit öffentlichen Schlüsselvereinbarung 61/61 Das Hauptproblem des Diffie-Hellman Schlüsselaustauschprotokolls stellen Man-in-the-middle (MITM) Angriffe dar Bei einem MITM-Angriff tauscht der Angreifer mit A und B jeweils einen Sitzungsschlüssel aus und agiert dann als Umschlüsselungszentrale 2011 Prof. Dr. Rolf Oppliger Folie 108

55 Übersicht 1. Einführung 2. Kryptographische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2011 Prof. Dr. Rolf Oppliger Folie Authentifikation 1/27 Bei der Authentifikation geht es um die Verifikation einer vorgegebenen Identität (der Begriff Identität wird in Kapitel 14 erörtert und vertieft) Ansätze Etwas haben Etwas wissen Etwas sein Irgendwo sein Alle Ansätze haben Vor- und Nachteile Alle Ansätze können kombiniert werden ( Multi- Faktoren-Authentifizierung) 2011 Prof. Dr. Rolf Oppliger Folie 110

56 Authentifikation 2/27 Etwas-haben -Ansätze basieren auf (physischen) Tokens, die bei der Authentifikation vorgewiesen und überprüft werden müssen Die Überprüfung der Tokens kann grundsätzlich durch Menschen oder Maschinen efolgen Beispiele Schlüssel Billete Mitgliederausweise (häufig kombiniert mit Fotos) Kundenkarten (z.b. Coop Supercard, Culumus,... ) Hauptproblem: Benutzer kann Token weitergeben 2011 Prof. Dr. Rolf Oppliger Folie 111 Authentifikation 3/27 Etwas-wissen -Ansätze basieren auf (geheimen) Informationen, deren Kenntnis bei der Authentifikation bewiesen und überprüft werden muss Information kann (muss aber nicht) persönlich sein Die Überprüfung der Information kann durch Menschen oder Maschinen efolgen Beispiele PIN, Passwort, Passsatz, Krytographisches Geheimnis Hauptproblem: Benutzer kann Authentifikationsinformation(en) weitergeben 2011 Prof. Dr. Rolf Oppliger Folie 112

57 Authentifikation 4/27 Etwas-sein -Ansätze basieren auf (persönlichen) biometrischen Merkmalen, die bei der Authentifikation überprüft werden müssen Die Überprüfung kann grundsätzlich durch Menschen oder Maschinen efolgen Beispiele Gesichtszüge Fingerabdrücke Handgeometrien DNA-Proben 2011 Prof. Dr. Rolf Oppliger Folie 113 Authentifikation 5/27 Probleme Benutzer kann nur authentifiziert werden, wenn seine Referenzdaten vorliegen ( Datenbank) Es gibt Fehler ( FAR und FRR müssen gegeneinander abgewogen werden) Grundsätzliche Bedenken und Einwände aus der Sicht des Datenschutzes Die Biometrie eignet sich eher zur Authentifikation als zur Identifikation Sie stellt eine High-end -Technologie dar 2011 Prof. Dr. Rolf Oppliger Folie 114

58 Authentifikation 6/ Prof. Dr. Rolf Oppliger Folie 115 Authentifikation 7/27 Irgendwo-sein -Ansätze basieren auf Informationen über den aktuellen Aufenthaltsort von Personen Location-based Authentifikation Die Auswertung der Informationen kann grundsätzlich durch Menschen oder Maschinen efolgen Man beachte aber, dass Informationen über den aktuellen Aufenthaltsort nicht authentisch sein muss bzw. leicht gefälscht werden kann (z.b. IP-Adressen) 2011 Prof. Dr. Rolf Oppliger Folie 116

59 Authentifikation 8/27 Beispiele Telefonnummernerkennungs- und Rückrufsysteme Berkeley r-tools (rlogin, rsh, rexec, ) Verifikationssysteme für IP-Adressen GPS-basierte Lokationssysteme WLAN-basierte Lokationssysteme 2011 Prof. Dr. Rolf Oppliger Folie 117 Authentifikation 9/27 In der Informatik überwiegen Etwas-wissen -Ansätze in Form von Passwortsystemen Dabei müssen Passworte Server-seitig nicht notwendigerweise im Klartext abgelegt sein Die Passworte können auch als Bilder unter einer Einwegfunktion f abgelegt und verglichen werden Eingegebenes Passwort (pw ) f f(pw )? = f(pw) 2011 Prof. Dr. Rolf Oppliger Folie 118

60 Authentifikation 10/27 Beispiel: UNIX Die Einwegfunktion f wird durch die crypt()-funktion realisiert Crypt() implementiert eine (modifizierte) DES- Chiffrierung (25 Runden), wobei der Nullstrings mit dem Passwort des Benutzers als Schlüssel chiffriert wird Heute werden zum Teil auch andere Einwegfunktionen eingesetzt (z.b. MD5) Um Off-line Wörterbuchangriffe zu erschweren, kann ein Salt -Mechanismus eingesetzt werden Dabei wird die Funktion f durch einen pro Benutzer zufällig gewählten 12-Bit-Wert ( Salt ) parametrisiert 2011 Prof. Dr. Rolf Oppliger Folie 119 Authentifikation 11/27 Das Salt wird im Klartext zusammen mit dem Einwegchiffrierten Passwort in der Passwortdatei abgelegt Salt Passwort Eintrag in der Passwortdatei Salt = 2 druckbare Zeichen Passwort = 11 druckbare Zeichen f Passworteingabe des Benutzers In frühen Systemen war die Passwortdatei öffentlich lesbar Heute werden Passwortdateien meist geshadowed 2011 Prof. Dr. Rolf Oppliger Folie 120

61 Authentifikation 12/27 Probleme von Passwortsystemen Benutzer wählen einfache und einfach zu erratende Passworte ( Password aging, proaktive Passwortchecker, Passwortgeneratoren,... ) Kenntnis einer ganzen Passwortdatei oder einzelner Einweg-chiffrierten Passwörtern ermöglicht Off-line- Wörterbuchangriffe ( Salt -Mechanismus) Werden Passworte in Computernetzen übertragen, können sie entweder direkt mitgelesen oder im Rahmen von Wörterbuchangriffen ermittelt werden ( starke Authentifikationsverfahren) 2011 Prof. Dr. Rolf Oppliger Folie 121 Authentifikation 13/27 Möglichkeit zur Weitergabe von Passworten führt unter anderem zu Phishing -Angriffen Goscinny/Uderzo, Grosser Asterix-Band X, Asterix als Legionär, EHAPA-Verlag GmbH, Stuttgart, 1973, Seite Prof. Dr. Rolf Oppliger Folie 122

62 Authentifikation 14/27 Zudem sind bei Passwortsystemen meist Bruteforce -Angriffe möglich Goscinny/Uderzo, Grosser Asterix-Band X, Asterix als Legionär, EHAPA-Verlag GmbH, Stuttgart, 1973, Seite Prof. Dr. Rolf Oppliger Folie 123 Authentifikation 15/ Prof. Dr. Rolf Oppliger Folie 124

63 Authentifikation 16/ Prof. Dr. Rolf Oppliger Folie 125 Authentifikation 17/27 Base-64 encoded version of <Username>:<Password> 2011 Prof. Dr. Rolf Oppliger Folie 126

64 Authentifikation 18/27 Ein Authentifikationsverfahren kann als stark bezeichnet werden, wenn ein passiver Angreifer im Netz abgehorchte Daten nicht wiederverwenden kann Authentifikationsdaten? 2011 Prof. Dr. Rolf Oppliger Folie 127 Authentifikation 19/27 Beispiele Einweg-Passworte Streichlisten und Transaktionsnummern (TANs) SecurID- und SecOVID-Token Challenge-Response-Verfahren S/Key und OPIE Racal-, Vasco- und andere C/R-Token HTTP Digest Authentication Verfahren auf der Basis von Kryptosystemen mit öffentlichen Schlüsseln 2011 Prof. Dr. Rolf Oppliger Folie 128

65 Authentifikation 20/27 S/Key (MD4) und OPIE (MD5) Initialisierung mit h t (pw) Authentifizierung mit h t-i (pw) für i=1,..., t-1 Ersetzung von h t-i+1 (pw) mit h t-i (pw) in der Passwortdatei h 1000 (pw) = a 0 h 999 (pw) = a 1 h 998 (pw) = a 2... h 2 (pw) = a 998? h(a i ) = a i-1 h(pw) = a Prof. Dr. Rolf Oppliger Folie 129 Authentifikation 21/27 In vernetzten und verteilten Systemen spielen Verfahren und Protokolle auf der Basis von Kryptosystemen mit öffentlichen Schlüsseln eine zunehmend wichtige Rolle Einige dieser Protokolle basieren auf interaktiven Beweis(system)en In einem interaktiven Beweissystem kann ein Teilnehmer durch ein (interaktives) Protokoll etwas beweisen - z.b. eine bestimmte Fähigkeit oder die Kenntnis eines bestimmten Geheimnisses Es handelt sich um Tatbeweise 2011 Prof. Dr. Rolf Oppliger Folie 130

66 Authentifikation 22/27 Beispiele Fähigkeit, Coca Cola und Pepsi zu unterscheiden ( Pepsi-Test) Fähigkeit, Gedanken zu lesen Kenntnis einer mathematischen Formel (z.b. Formel zum Ziehen von Quadrat- oder Kubikwurzeln) Im Gegensatz zu normalen (d.h. nicht-interaktiven) Beweisen, sind interaktive Beweise nicht übertragbar, d.h. aussenstehende Dritte können durch solche Beweise in der Regel nicht überzeugt werden 2011 Prof. Dr. Rolf Oppliger Folie 131 Authentifikation 23/27 Es gibt interaktive Beweissysteme, die die Zero- Knowledge-Eigenschaft haben (Goldwasser, Micali und Rackoff, 1985) Diese Eigenschaft bewirkt, dass im Rahmen einer konkreten Beweisführung (im interaktiven Beweissystem) beweisbar keine Information über den zu beweisenden Gegenstand (d.h. das Geheimnis) freigegeben wird Der Beweiser kann gegenüber dem Verifizierer beweisen, dass er ein Geheimnis kennt, ohne dass der Verifizierer Informationen über dieses Geheimnis erhält 2011 Prof. Dr. Rolf Oppliger Folie 132

67 Authentifikation 24/27 Entsprechend interessant (und vielfältig einsetzbar) sind Authentifikationsprotokolle, die die Zero-Knowledge-Eigenschaft haben Diese Protokolle geben (beweisbar) keine Information über die Authentifikationsinformation preis Formal wird die Zero-Knowledge-Eigenschaft (eines Authentifikationsprotokolles) über die Simulierbarkeit der auszutauschenden Nachrichten bewiesen Für jeden Verifizierer gibt es einen Simulator, der (ohne Kenntnis der Authentifikationsinformation) einen Mitschrieb der Kommunikation (d.h. der auszutauschenden Nachrichten) selbst erzeugen kann 2011 Prof. Dr. Rolf Oppliger Folie 133 Authentifikation 25/27 Beispiel: Fiat-Shamir (FS) Protokoll Annahmen Öffentlich bekannter RSA-Modul n = pq (p und q sind geheim bzw. werden nicht verwendet) Teilnehmer P ( Prover ) hat einen zufällig aus Z n * ausgewählten privaten Schlüssel x P Teilnehmer V ( Verifier ) hat den entsprechenden öffentlichen Schlüssel (n,y P ) mit y P = (x P ) 2 mod n Man kann zeigen, dass es ebenso schwer ist in Z n * Quadratwurzeln zu ziehen wie n zu faktorisieren Entsprechend basiert die Sicherheit des FS-Protokolls auf der Schwierigkeit des Faktorisierungsproblems 2011 Prof. Dr. Rolf Oppliger Folie 134

68 Authentifikation 26/27 Protokollrunde Zufällig aus Z n * gewähltes r s = r 2 e {0,1} Prover t = r (x P ) e e = 0: t = r e = 1: t = r x P Verifier t 2? = s (y P ) e Die Protokollrunde wird k mal wiederholt (k ist Sicher- heitsparameter z.b. k = 20) 2011 Prof. Dr. Rolf Oppliger Folie 135 Authentifikation 27/27 Wenn jemand auf beide e (0 und 1) richtig antworten kann, kann er auch x P berechnen (x P = r x P /r) Entsprechend muss ein Angreifer in jeder Runde e richtig erraten, damit er sich vorbereiten kann e = 0 normaler Protokolllauf (für e=1 fehlt aber x P ) e = 1 t wird zufällig gewählt; s = t 2 /y P ; Protokoll wird mit s angestossen (für e=0 fehlt aber r) In jeder Runde beträgt die Betrugswahrscheinlichkeit 1/2 In k Runden beträgt die Betrugswahrscheinlichkeit (1/2) k = 1/2 k 2011 Prof. Dr. Rolf Oppliger Folie 136

69 Übersicht 1. Einführung 2. Kryptographische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2011 Prof. Dr. Rolf Oppliger Folie Autorisation und Zugriffskontrolle 1/14 Autorisationsdatenbank Subjekt Referenzmonitor Objekt Authentifikation Autorisation Überwachung (Auditing) 2011 Prof. Dr. Rolf Oppliger Folie 138

70 Autorisation und Zugriffskontrolle 2/14 Zugriffskontrollmodelle Modelle für diskrete Zugriffskontrollen (discretionary access control, DAC) Modelle für regelbasierte Zugriffskontrollen (mandatory access control, MAC) Modelle für rollenbasierte Zugriffskontrollen (role-based access control, RBAC) Zum Teil sind diese (und andere) Modelle historisch bedingt ( TCSEC) In der Praxis werden vor allem RBACs eingesetzt 2011 Prof. Dr. Rolf Oppliger Folie 139 Autorisation und Zugriffskontrolle 3/14 Systemkomponenten einer DAC Subjekte s i (i = 1,...,n) aktive Komponenten Objekte o j (j = 1,...,m) passive Komponenten Zugriffsrechte / Privilegien R ij Eigentümerparadigma: In einer DAC ist der Eigentümer eines (Schutz-) Objektes zuständig für die Autorisierung 2011 Prof. Dr. Rolf Oppliger Folie 140

71 Autorisation und Zugriffskontrolle 4/14 Implementation als Zugriffskontrollmatrix (engl. access control matrix, ACM) ist nicht effizient o 1 o 2 o j s 1 s 2 s i R ij 2011 Prof. Dr. Rolf Oppliger Folie 141 Autorisation und Zugriffskontrolle 5/14 Implementationsmöglichkeit 1: Objekt-spezifische (linear verkettete) Listen Zugriffskontrolllisten (engl. access control lists, ACLs) o 1 o 2 o j 2011 Prof. Dr. Rolf Oppliger Folie 142

72 Autorisation und Zugriffskontrolle 6/14 Implementationsmöglichkeit 2: Subjekt-spezifische (linear verkettete) Listen Fähigkeits- oder C-Listen (engl. capabilities lists) s 1 s Prof. Dr. Rolf Oppliger Folie 143 Autorisation und Zugriffskontrolle 7/14 Praktische Probleme Entscheidbarkeit Die Frage, ob ein Subjekt in den Besitz eines Zugriffs- rechtes für ein Objekt kommen kann, ist i.a. nicht bzw. nur für eingeschränkte Befehlssätze entscheidbar Widerrufung von Zugriffsrechten Im Prinzip muss die Historie der Ausbreitung der Zugriffsrechte aufgezeichnet und verwaltet werden Die Unterwanderungen einer DAC ist für berechtigte Benutzer immer möglich ( keine Informations- flusskontrolle) 2011 Prof. Dr. Rolf Oppliger Folie 144

73 Autorisation und Zugriffskontrolle 8/14 Im Rahmen einer MAC ist der Ersteller der Regeln für die Informationsflüsse und deren Autorisierung zuständig (anstelle des Eigentümers) Entsprechend werden Informationsflüsse (ohne Einfluss der Objekteigentümer) kontrolliert Damit verspricht man sich Vorteile in bezug auf die Unterwanderung der Zugriffskontrolle Um eine MAC umzusetzen, müssen Subjekte ermächtigt und Objekte eingestuft werden 2011 Prof. Dr. Rolf Oppliger Folie 145 Autorisation und Zugriffskontrolle 9/14 Beispiel 1: Militärsiches Modell Sicherheitsklassen stammen aus dem Produkteverband eines total geordneten Verbands und eines Untermengenverbands Auf ein Objekt (SECRET,{A}) können z.b. Subjekte zugreifen, die als (TOP SECRET,{A}) oder (SECRET,{A,B}) ermächtigt worden sind, nicht aber Subjekte, die als (CONFIDENTIAL,{A}) oder (SECRET,{B,C}) ermächtigt worden sind 2011 Prof. Dr. Rolf Oppliger Folie 146

74 Autorisation und Zugriffskontrolle 10/14 Beispiel 2 Bell-LaPadula-Modell (1973) Vertraulichkeitsschutz Einfache Sicherheitseigenschaft ( no read up ) s i darf o j nur lesen, wenn C(s i ) C(o j ) erfüllt ist *-Eigenschaft ( no write down ) s i darf auf o j nur schreiben, wenn C(s i ) C(o j ) erfüllt ist 2011 Prof. Dr. Rolf Oppliger Folie 147 Autorisation und Zugriffskontrolle 11/14 Beispiel 3 Biba-Modell (1977) Integritätsschutz (zum Bell- LaPadula-Modell duales Modell) Einfache Integritätseigenschaft ( no read down ) s i darf o j nur lesen, wenn I(s i ) I(o j ) erfüllt ist *- Integritätseigenschaft ( no write up ) s i darf auf o j nur schreiben, wenn I(s i ) I(o j ) erfüllt ist 2011 Prof. Dr. Rolf Oppliger Folie 148

75 Autorisation und Zugriffskontrolle 12/14 WRITE READ S i READ Bell-LaPadula- Modell Biba-Modell WRITE 2011 Prof. Dr. Rolf Oppliger Folie 149 Autorisation und Zugriffskontrolle 13/14 Eine RBAC ist i.p. eine DAC (die Zuordnung der Zugriffsrechte findet aber über Rollen statt) Subjekte treten in bestimmten Rollen auf Auf Objekte können Subjekte in Rollen zugreifen CTO Systemadministrator Zugriffsberechtigt: Systemadministratoren Leiter Projekt X 2011 Prof. Dr. Rolf Oppliger Folie 150

76 Autorisation und Zugriffskontrolle 14/14 RBACs entsprechen dem Stand der Technik Beispiel: Windows XP 2011 Prof. Dr. Rolf Oppliger Folie 151 Übersicht 1. Einführung 2. Kryptographische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2011 Prof. Dr. Rolf Oppliger Folie 152

IT-Sicherheit Kapitel 3 Public Key Kryptographie

IT-Sicherheit Kapitel 3 Public Key Kryptographie IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer

Mehr

Grundlagen der Kryptographie

Grundlagen der Kryptographie Grundlagen der Kryptographie Seminar zur Diskreten Mathematik SS2005 André Latour a.latour@fz-juelich.de 1 Inhalt Kryptographische Begriffe Primzahlen Sätze von Euler und Fermat RSA 2 Was ist Kryptographie?

Mehr

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie IT-Sicherheit: Kryptographie Asymmetrische Kryptographie Fragen zur Übung 5 C oder Java? Ja (gerne auch Python); Tips waren allerdings nur für C Wie ist das mit der nonce? Genau! (Die Erkennung und geeignete

Mehr

Denn es geht um ihr Geld:

Denn es geht um ihr Geld: Denn es geht um ihr Geld: [A]symmetrische Verschlüsselung, Hashing, Zertifikate, SSL/TLS Warum Verschlüsselung? Austausch sensibler Daten über das Netz: Adressen, Passwörter, Bankdaten, PINs,... Gefahr

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

Kap. 2: Fail-Stop Unterschriften

Kap. 2: Fail-Stop Unterschriften Stefan Lucks 2: Fail-Stop Unterschriften 17 Digital Unterschreiben und Bezahlen Kap. 2: Fail-Stop Unterschriften Digitale Unterschriften (Synomym: Digitale Signaturen ): Fälschen mutmaßlich hart (RSA-Wurzeln,

Mehr

Methoden der Kryptographie

Methoden der Kryptographie Methoden der Kryptographie!!Geheime Schlüssel sind die sgrundlage Folien und Inhalte aus II - Der Algorithmus ist bekannt 6. Die - Computer Networking: A Top außer bei security by obscurity Down Approach

Mehr

Kryptographie praktisch erlebt

Kryptographie praktisch erlebt Kryptographie praktisch erlebt Dr. G. Weck INFODAS GmbH Köln Inhalt Klassische Kryptographie Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Digitale Signaturen Erzeugung gemeinsamer Schlüssel

Mehr

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis Wie Interoperabel ist IPsec? Ein Erfahrungsbericht Arturo Lopez Senior Consultant März 2003 Agenda Internet Protokoll Security (IPsec) implementiert Sicherheit auf Layer 3 in OSI Modell Application Presentation

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine)

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine) Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen Vorlesung im Sommersemester 2010 an der Technischen Universität Ilmenau von Privatdozent Dr.-Ing. habil. Jürgen

Mehr

Kryptographische Verfahren. zur Datenübertragung im Internet. Patrick Schmid, Martin Sommer, Elvis Corbo

Kryptographische Verfahren. zur Datenübertragung im Internet. Patrick Schmid, Martin Sommer, Elvis Corbo Kryptographische Verfahren zur Datenübertragung im Internet Patrick Schmid, Martin Sommer, Elvis Corbo 1. Einführung Übersicht Grundlagen Verschlüsselungsarten Symmetrisch DES, AES Asymmetrisch RSA Hybrid

Mehr

MAC Message Authentication Codes

MAC Message Authentication Codes Seminar Kryptographie SoSe 2005 MAC Message Authentication Codes Andrea Schminck, Carolin Lunemann Inhaltsverzeichnis (1) MAC (2) CBC-MAC (3) Nested MAC (4) HMAC (5) Unconditionally secure MAC (6) Strongly

Mehr

Was ist Kryptographie

Was ist Kryptographie Was ist Kryptographie Kryptographie Die Wissenschaft, mit mathematischen Methoden Informationen zu verschlüsseln und zu entschlüsseln. Eine Methode des sicheren Senden von Informationen über unsichere

Mehr

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten Versuch: Eigenschaften einer Unterhaltung Instant Messaging Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten welche Rollen gibt es in einem IM-System? Analysieren

Mehr

Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen

Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen Digital Rights Management 4FriendsOnly.com Internet Technologies AG Vorlesung im Sommersemester an der Technischen Universität Ilmenau

Mehr

9 Schlüsseleinigung, Schlüsselaustausch

9 Schlüsseleinigung, Schlüsselaustausch 9 Schlüsseleinigung, Schlüsselaustausch Ziel: Sicherer Austausch von Schlüsseln über einen unsicheren Kanal initiale Schlüsseleinigung für erste sichere Kommunikation Schlüsselerneuerung für weitere Kommunikation

Mehr

Digitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen

Digitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen Sommersemester 2008 Digitale Unterschriften Unterschrift von Hand : Physikalische Verbindung mit dem unterschriebenen Dokument (beides steht auf dem gleichen Blatt). Fälschen erfordert einiges Geschick

Mehr

Kryptographische Systeme (M, C, K, e, d) Symmetrische Verfahren (gleicher Schlüssel zum Verschlüsseln und Entschlüsseln):

Kryptographische Systeme (M, C, K, e, d) Symmetrische Verfahren (gleicher Schlüssel zum Verschlüsseln und Entschlüsseln): Was bisher geschah Kryptographische Systeme (M, C, K, e, d) Symmetrische Verfahren (gleicher Schlüssel zum Verschlüsseln und Entschlüsseln): Substitutions-Chiffren (Permutationschiffren): Ersetzung jedes

Mehr

Seminar Neue Techologien in Internet und WWW

Seminar Neue Techologien in Internet und WWW Seminar Neue Techologien in Internet und WWW Sicherheit auf der Anwendungsschicht: HTTP mit SSL, TLS und dabei verwendete Verfahren Christian Raschka chrisra@informatik.uni-jena.de Seminar Neue Internettechnologien

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

Vorlesung Kryptographie

Vorlesung Kryptographie Vorlesung Kryptographie Teil 2 Dr. Jan Vorbrüggen Übersicht Teil 1 (Nicht-) Ziele Steganographie vs. Kryptographie Historie Annahmen Diffie-Hellman Angriffe Teil 2 Symmetrische Verfahren Asymmetrische

Mehr

Authentikation und digitale Signatur

Authentikation und digitale Signatur TU Graz 23. Jänner 2009 Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Begriffe Alice und

Mehr

Kurze Einführung in kryptographische Grundlagen.

Kurze Einführung in kryptographische Grundlagen. Kurze Einführung in kryptographische Grundlagen. Was ist eigentlich AES,RSA,DH,ELG,DSA,DSS,ECB,CBC Benjamin.Kellermann@gmx.de GPG-Fingerprint: D19E 04A8 8895 020A 8DF6 0092 3501 1A32 491A 3D9C git clone

Mehr

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.

Mehr

Kryptographie. nur mit. Freier Software!

Kryptographie. nur mit. Freier Software! Michael Stehmann Kryptographie nur mit Freier Software! Kurze Einführung in Kryptographie ErsterTeil: Bei der Kryptographie geht es um die Zukunft von Freiheit und Demokratie Artur P. Schmidt, 1997 http://www.heise.de/tp/artikel/1/1357/1.html

Mehr

Datensicherheit durch Kryptographie

Datensicherheit durch Kryptographie Datensicherheit durch Kryptographie Dr. Michael Hortmann Fachbereich Mathematik, Universität Bremen T-Systems Michael.Hortmann@gmx.de 1 Kryptographie: Klassisch: Wissenschaft und Praxis der Datenverschlüsselung

Mehr

RSA Verfahren. Kapitel 7 p. 103

RSA Verfahren. Kapitel 7 p. 103 RSA Verfahren RSA benannt nach den Erfindern Ron Rivest, Adi Shamir und Leonard Adleman war das erste Public-Key Verschlüsselungsverfahren. Sicherheit hängt eng mit der Schwierigkeit zusammen, große Zahlen

Mehr

Einführung in die moderne Kryptographie

Einführung in die moderne Kryptographie c by Rolf Haenni (2006) Seite 1 Von der Caesar-Verschlüsselung zum Online-Banking: Einführung in die moderne Kryptographie Prof. Rolf Haenni Reasoning under UNcertainty Group Institute of Computer Science

Mehr

Einführung in Computer Microsystems

Einführung in Computer Microsystems Einführung in Computer Microsystems Kapitel 9 Entwurf eines eingebetteten Systems für Anwendungen in der IT-Sicherheit Prof. Dr.-Ing. Sorin A. Huss Fachbereich Informatik Integrierte Schaltungen und Systeme

Mehr

Vortrag Keysigning Party

Vortrag Keysigning Party Vortrag Keysigning Party Benjamin Bratkus Fingerprint: 3F67 365D EA64 7774 EA09 245B 53E8 534B 0BEA 0A13 (Certifcation Key) Fingerprint: A7C3 5294 E25B B860 DD3A B65A DE85 E555 101F 5FB6 (Working Key)

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

8. Von den Grundbausteinen zu sicheren Systemen

8. Von den Grundbausteinen zu sicheren Systemen Stefan Lucks 8. Grundb. sich. Syst. 211 orlesung Kryptographie (SS06) 8. Von den Grundbausteinen zu sicheren Systemen Vorlesung bisher: Bausteine für Kryptosysteme. Dieses Kapitel: Naiver Einsatz der Bausteine

Mehr

2. Realisierung von Integrität und Authentizität

2. Realisierung von Integrität und Authentizität 2. Realisierung von Integrität und Authentizität Zur Prüfung der Integrität einer Nachricht oder Authentizität einer Person benötigt die prüfende Instanz eine zusätzliche Information, die nur vom Absender

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

Verteilte Systeme. Sicherheit. Prof. Dr. Oliver Haase

Verteilte Systeme. Sicherheit. Prof. Dr. Oliver Haase Verteilte Systeme Sicherheit Prof. Dr. Oliver Haase 1 Einführung weitere Anforderung neben Verlässlichkeit (zur Erinnerung: Verfügbarkeit, Zuverlässigkeit, Funktionssicherheit (Safety) und Wartbarkeit)

Mehr

Vorlesung SS 2001: Sicherheit in offenen Netzen

Vorlesung SS 2001: Sicherheit in offenen Netzen Vorlesung SS 2001: Sicherheit in offenen Netzen Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik, Trier Institut für Telematik, Leitung Prof. Dr. sc. nat. Christoph Meinel,

Mehr

Online Banking. de Lorenzo, Hopfgartner, Leupold. February 13, 2011. de Lorenzo, Hopfgartner, Leupold Online Banking February 13, 2011 1 / 29

Online Banking. de Lorenzo, Hopfgartner, Leupold. February 13, 2011. de Lorenzo, Hopfgartner, Leupold Online Banking February 13, 2011 1 / 29 Online Banking de Lorenzo, Hopfgartner, Leupold February 13, 2011 de Lorenzo, Hopfgartner, Leupold Online Banking February 13, 2011 1 / 29 Übersicht Geschichte Bedenken Verschlüsselungsarten Netzwerkarchitektur

Mehr

Digital Signature and Public Key Infrastructure

Digital Signature and Public Key Infrastructure E-Governement-Seminar am Institut für Informatik an der Universität Freiburg (CH) Unter der Leitung von Prof. Dr. Andreas Meier Digital Signature and Public Key Infrastructure Von Düdingen, im Januar 2004

Mehr

Betriebsarten für Blockchiffren

Betriebsarten für Blockchiffren Betriebsarten für Blockchiffren Prof. Dr. Rüdiger Weis TFH Berlin Sommersemester 2008 Betriebsarten für Blockchiffren Was ist eine Betriebsart (engl. Mode of Operation )? Blockchiffre wird genutzt, um

Mehr

10. Public-Key Kryptographie

10. Public-Key Kryptographie Stefan Lucks 10. PK-Krypto 274 orlesung Kryptographie (SS06) 10. Public-Key Kryptographie Analyse der Sicherheit von PK Kryptosystemen: Angreifer kennt öffentlichen Schlüssel Chosen Plaintext Angriffe

Mehr

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Hashe m {0, 1} auf einen Hashwert in {0, 1} n. Verwende Π MAC3 für Nachrichten fixer Länge auf dem Hashwert. Wir konstruieren Π MAC3 mittels

Mehr

Kryptographie II. Introduction to Modern Cryptography. Jonathan Katz & Yehuda Lindell

Kryptographie II. Introduction to Modern Cryptography. Jonathan Katz & Yehuda Lindell Kryptographie II Introduction to Modern Cryptography Jonathan Katz & Yehuda Lindell Universität zu Köln, WS 13/14 Medienkulturwissenschaft / Medieninformatik AM2: Humanities Computer Science Aktuelle Probleme

Mehr

Netzsicherheit Architekturen und Protokolle Grundlagen PKI/PMI

Netzsicherheit Architekturen und Protokolle Grundlagen PKI/PMI Grundlagen PKI/PMI 1 Motivation 2 Digitale Zertifikate 3 Infrastrukturen 4 PKI (Bausteine) 5 Vertrauensmodelle Wiederholung Kryptographie Symmetrische Kryptographie 1 Schlüssel für Ver- und Entschlüsselung

Mehr

Kryptographie und Fehlertoleranz für Digitale Magazine

Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Kryptographie und Fehlertoleranz für digitale Magazine 1 Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Professur für Mediensicherheit 13. März 2013 Stefan Lucks Kryptographie

Mehr

IT-Sicherheitsmanagement Teil 8: Einführung in die Kryptographie

IT-Sicherheitsmanagement Teil 8: Einführung in die Kryptographie IT-Sicherheitsmanagement Teil 8: Einführung in die Kryptographie 28.04.15 1 Literatur I mit ein paar Kommentaren [8-1] Burnett, Steve; Paine, Spephen: Kryptographie. RSA Security s Official Guide. RSA

Mehr

Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen

Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen Agenda 1. Kerckhoff sches Prinzip 2. Kommunikationsszenario 3. Wichtige Begriffe 4. Sicherheitsmechanismen 1. Symmetrische Verschlüsselung

Mehr

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009 IT-Security Teil 2: Grundlagen der Kryptographie DES, RSA, Hashes Dr. Erwin Hoffmann E-Mail: it-security@fehcom.de Risiken bei ungesicherter

Mehr

17 Ein Beispiel aus der realen Welt: Google Wallet

17 Ein Beispiel aus der realen Welt: Google Wallet 17 Ein Beispiel aus der realen Welt: Google Wallet Google Wallet (seit 2011): Kontaktlose Bezahlen am Point of Sale Kreditkarten werden im Sicherheitselement des Smartphone abgelegt Kommunikation über

Mehr

Stefan Lucks Krypto und Mediensicherheit (2009) 5: Blockchiffren. 5: Blockchiffren. (n bit) (n bit) VERschlüsseln ENTschlüsseln

Stefan Lucks Krypto und Mediensicherheit (2009) 5: Blockchiffren. 5: Blockchiffren. (n bit) (n bit) VERschlüsseln ENTschlüsseln 5: Blockchiffren Klartexte 000000 111111 000000 111111 000000 111111 000000 111111 000000 111111 000000 111111 Chiffretexte (n bit) (n bit) VERschlüsseln ENTschlüsseln 74 5.1: Abstrakte Blockchiffren Familie

Mehr

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen Immo FaUl Wehrenberg immo@ctdo.de Chaostreff Dortmund 16. Juli 2009 Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit

Mehr

Secure Socket Layer V.3.0

Secure Socket Layer V.3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer V.3.0 (SSLv3) Zheng Yao 05.07.2004 1 Überblick 1.Was ist SSL? Bestandteile von SSL-Protokoll, Verbindungherstellung

Mehr

Inhalt. Grundlegendes zu Bankkarten. Moduliertes Merkmal. PIN-Sicherheit. Seitenkanalangriffe

Inhalt. Grundlegendes zu Bankkarten. Moduliertes Merkmal. PIN-Sicherheit. Seitenkanalangriffe Inhalt Grundlegendes zu Bankkarten Moduliertes Merkmal PIN-Sicherheit Seitenkanalangriffe Harald Baier Ausgewählte Themen der IT-Sicherheit h_da SS 10 24 PIN-Erzeugung bei Debitkarten 1. Variante: Kartendaten

Mehr

Das Kerberos-Protokoll

Das Kerberos-Protokoll Konzepte von Betriebssystemkomponenten Schwerpunkt Authentifizierung Das Kerberos-Protokoll Referent: Guido Söldner Überblick über Kerberos Network Authentication Protocol Am MIT Mitte der 80er Jahre entwickelt

Mehr

Exkurs Kryptographie

Exkurs Kryptographie Exkurs Kryptographie Am Anfang Konventionelle Krytographie Julius Cäsar mißtraute seinen Boten Ersetzen der Buchstaben einer Nachricht durch den dritten folgenden im Alphabet z. B. ABCDEFGHIJKLMNOPQRSTUVWXYZ

Mehr

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC Modul 5: IPSEC Teil 1: Transport- und Tunnelmode / Authentication Header / Encapsulating Security Payload Security Association (SAD, SPD), IPsec-Assoziationsmanagements Teil 2: Das IKE-Protokoll Folie

Mehr

OPC UA: Ein kritischer Vergleich der IT-Sicherheitsoptionen

OPC UA: Ein kritischer Vergleich der IT-Sicherheitsoptionen OPC UA: Ein kritischer Vergleich der IT-Sicherheitsoptionen Melanie Gallinat 1, Stefan Hausmann 2, Markus Köster 1, Stefan Heiss 2 Weidmüller Gruppe 1 Klingenbergstraße 16 32758 Detmold, Deutschland Hochschule

Mehr

IT-Sicherheit: Übung 6

IT-Sicherheit: Übung 6 IT-Sicherheit: Übung 6 Zertifikate, Kryptographie (Diffie-Hellman), Sicherheitsprotokolle (SSL/TLS) Zertifikate! Problem: Woher weiß Bob, dass K E Alice zu Alice gehört?! Persönlicher Austausch des öffentlichen

Mehr

11 Instanzauthentisierung

11 Instanzauthentisierung 11 Instanzauthentisierung B (Prüfer) kann die Identität von A (Beweisender) zweifelsfrei feststellen Angreifer O versucht, Identität von A zu übernehmen (aktiver Angri ) Oskar (O) Alice (A) Bob (B) Faktoren

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

IT-Sicherheit Kapitel 11 SSL/TLS

IT-Sicherheit Kapitel 11 SSL/TLS IT-Sicherheit Kapitel 11 SSL/TLS Dr. Christian Rathgeb Sommersemester 2014 1 Einführung SSL/TLS im TCP/IP-Stack: SSL/TLS bietet (1) Server-Authentifizierung oder Server und Client- Authentifizierung (2)

Mehr

Technischer Datenschutz im Internet

Technischer Datenschutz im Internet Technischer Datenschutz im Internet Prof. Dr. Lehrstuhl Management der Informationssicherheit Uni Regensburg http://www-sec.uni-regensburg.de/ Was ist Sicherheit? Techniken zum Schutz? Stand der Technik?

Mehr

Sichere Abwicklung von Geschäftsvorgängen im Internet

Sichere Abwicklung von Geschäftsvorgängen im Internet Sichere Abwicklung von Geschäftsvorgängen im Internet Diplomarbeit von Peter Hild Theoretische Grundlagen der Kryptologie Vorhandene Sicherheitskonzepte für das WWW Bewertung dieser Konzepte Simulation

Mehr

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof Authentifizierung Benutzerverwaltung mit Kerberos Referent: Jochen Merhof Überblick über Kerberos Entwickelt seit Mitte der 80er Jahre am MIT Netzwerk-Authentifikations-Protokoll (Needham-Schroeder) Open-Source

Mehr

Stefan Lucks Krypto und Mediensicherheit (2009) 4: Stromchiffren

Stefan Lucks Krypto und Mediensicherheit (2009) 4: Stromchiffren 4: Stromchiffren Zwei Grundbausteine der symmetrischen Kryptographie: Stromchiffren Verschlüsseln beliebig langer Klartexte, interner Zustand Blockchiffren Verschlüsseln von Blocks einer festen Größe,

Mehr

Web Service Security

Web Service Security Hochschule für Angewandte Wissenschaften Hamburg Fachbereich Elektrotechnik und Informatik SS 2005 Masterstudiengang Anwendungen I Kai von Luck Web Service Security Thies Rubarth rubart_t@informatik.haw-hamburg.de

Mehr

Übersicht. Generalversammlung SGRP Rahmenprogramm Live Hacking eines Access Points. Ziel: Programm:

Übersicht. Generalversammlung SGRP Rahmenprogramm Live Hacking eines Access Points. Ziel: Programm: Generalversammlung SGRP Rahmenprogramm Live Hacking eines Access Points Roland Portmann, dipl. Ing. ETH Seite 1 Live Hacking eines Access Points Übersicht Ziel: Wichtigsten Probleme beim Einsatz von WLAN

Mehr

Schutz und Sicherheit

Schutz und Sicherheit Schutz und Sicherheit Teil 3 Prof. Dr. Margarita Esponda Freie Universität Berlin WS 2011/2012 1 Kryptographie als Sicherheits-Tool - Sicherheit innerhalb von lokalen Rechnernetzen ist "relativ einfach"

Mehr

Rechneranmeldung mit Smartcard oder USB-Token

Rechneranmeldung mit Smartcard oder USB-Token Rechneranmeldung mit Smartcard oder USB-Token Verfahren zur Authentifizierung am Rechnersystem und angebotenen Diensten, SS2005 1 Inhalt: 1. Systemanmeldung 2. Grundlagen 3. Technik (letzte Woche) 4. Standards

Mehr

Internet-Security aus Software-Sicht

Internet-Security aus Software-Sicht Xpert.press Internet-Security aus Software-Sicht Grundlagen der Software-Erstellung für sicherheitskritische Bereiche von Walter Kriha, Roland Schmitz 1. Auflage Springer-Verlag Berlin Heidelberg 2008

Mehr

Blockverschlüsselung und AES

Blockverschlüsselung und AES Blockverschlüsselung und AES Proseminar/Seminar Kryptographie und Datensicherheit SoSe 2009 Universität Potsdam ein Vortrag von Linda Tschepe Übersicht Allgemeines SPNs (Substitutions- Permutations- Netzwerke)

Mehr

Seminar Kryptographie und Datensicherheit

Seminar Kryptographie und Datensicherheit Andere Protokolle für digitale Unterschriften Wintersemester 2006/2007 Gliederung 1 Provably Secure Signature Schemes Lamport Signature Scheme Full Domain Hash 2 Undeniable Signatures 3 Fail-stop Signature

Mehr

Material zum Versuch. Kryptografie mit Bouncy Castle

Material zum Versuch. Kryptografie mit Bouncy Castle zusammengestellt von: Mark Manulis (mark.manulis@nds.rub.de) Version 1.0 Grundpraktikum für IT-Sicherheit Material zum Versuch Kryptografie mit Bouncy Castle Lehrstuhl für Netz- und Datensicherheit ruhr-universität

Mehr

Secure Socket Layer v. 3.0

Secure Socket Layer v. 3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer v. 3.0 (SSLv3) Zheng Yao 05.07.2004-1 - 1. Was ist SSL? SSL steht für Secure Socket Layer, ein Protokoll zur Übertragung

Mehr

CrypTool im Überblick

CrypTool im Überblick CrypTool im Überblick Martin Schütte 3. Juni 2012 Inhaltsverzeichnis I. Erste Schritte 2 1. Programm-Aufbau 2 2. Symmetrische Verschlüsselungen 2 3. Asymmetrische Verfahren 3 4. Hashfunktionen 3 5. Tools

Mehr

Sichere Identitäten in Smart Grids

Sichere Identitäten in Smart Grids Informationstag "IT-Sicherheit im Smart Grid" Berlin, 23.05.2012 Sichere Identitäten in Smart Grids Dr. Thomas Störtkuhl, Agenda 1 2 Beispiele für Kommunikationen Digitale Zertifikate: Basis für Authentifizierung

Mehr

Proseminar : Allgegenwärtiges Rechnen. Vortrag über Sicherheit. Christian Fricke cfricke@rz.uni-potsdam.de

Proseminar : Allgegenwärtiges Rechnen. Vortrag über Sicherheit. Christian Fricke cfricke@rz.uni-potsdam.de Proseminar : Allgegenwärtiges Rechnen Vortrag über Sicherheit Christian Fricke cfricke@rz.uni-potsdam.de 1 I. Einleitung : Sicherheitseigenschaften und Angriffsarten Definition 1: Unter Funktionssicherheit

Mehr

Internet Datasafe Sicherheitstechnische Herausforderungen

Internet Datasafe Sicherheitstechnische Herausforderungen ERFA-Tagung 14.9.2010 Internet Datasafe Sicherheitstechnische Herausforderungen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte Wissenschaften

Mehr

Empfehlungen für den sicheren Einsatz. SSL-verschlüsselter Verbindungen. Dipl.-Inform. Lars Oergel Technische Universität Berlin. 13.

Empfehlungen für den sicheren Einsatz. SSL-verschlüsselter Verbindungen. Dipl.-Inform. Lars Oergel Technische Universität Berlin. 13. Empfehlungen für den sicheren Einsatz SSL-verschlüsselter Verbindungen Dipl.-Inform. Lars Oergel Technische Universität Berlin 13. Januar 2014 1 Motivation Edward Snowden: Encryption works. Properly implemented

Mehr

Ein Überblick über Security-Setups von E-Banking Websites

Ein Überblick über Security-Setups von E-Banking Websites Ein Überblick über Security-Setups von E-Banking Websites Stefan Huber www.sthu.org Linuxwochen Linz 2015 31. Mai 2015 Basierend auf Testergebnissen vom 28.03.2015 aus https://www.sthu.org/blog/11-tls-dnssec-ebanking/

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

8: Zufallsorakel. Wir suchen: Einfache mathematische Abstraktion für Hashfunktionen

8: Zufallsorakel. Wir suchen: Einfache mathematische Abstraktion für Hashfunktionen Stefan Lucks 8: Zufallsorakel 139 Kryptogr. Hashfunkt. (WS 08/09) 8: Zufallsorakel Unser Problem: Exakte Eigenschaften von effizienten Hashfunktionen nur schwer erfassbar (z.b. MD5, Tiger, RipeMD, SHA-1,...)

Mehr

Smartphone mit Nahfunk (NFC)

Smartphone mit Nahfunk (NFC) Sicheres Online Banking via Smartphone mit Nahfunk (NFC) Diplomarbeit Informatik 25. November 2011 1 Übersicht 2 Motivation Geschäftsmodell von Onlineservices erfordert Authentifikation des Kunden Email

Mehr

Mehr Sicherheit durch PKI-Technologie

Mehr Sicherheit durch PKI-Technologie Mehr Sicherheit durch PKI-Technologie Verschlüsselung allgemein Die 4 wichtigsten Bedingungen Bei einer Übertragung von sensiblen Daten über unsichere Netze müssen folgende Bedingungen erfüllt sein: Vertraulichkeit

Mehr

Kodierungsalgorithmen

Kodierungsalgorithmen Kodierungsalgorithmen Komprimierung Verschlüsselung Komprimierung Zielsetzung: Reduktion der Speicherkapazität Schnellere Übertragung Prinzipien: Wiederholungen in den Eingabedaten kompakter speichern

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

Kryptologie. 2. Sicherstellung, dass eine Nachricht unverfälscht beim Empfänger ankommt: Integrität.

Kryptologie. 2. Sicherstellung, dass eine Nachricht unverfälscht beim Empfänger ankommt: Integrität. Kryptologie Zur Terminologie Die Begriffe KRYPTOLOGIE und KRYPTOGRAPHIE entstammen den griechischen Wörtern kryptos (geheim), logos (Wort, Sinn) und graphein (schreiben). Kryptographie ist die Lehre vom

Mehr

Kapitel 4: Flusschiffren

Kapitel 4: Flusschiffren Stefan Lucks 4: Flusschiffren 52 orlesung Kryptographie (SS06) Kapitel 4: Flusschiffren Als Basis-Baustein zur Verschlüsselung von Daten dienen Fluss- und Blockchiffren. Der Unterschied: Flusschiffren

Mehr

Elliptische Kurven und ihre Anwendungen in der Kryptographie

Elliptische Kurven und ihre Anwendungen in der Kryptographie Elliptische Kurven und ihre Anwendungen in der Kryptographie Heiko Knospe Fachhochschule Köln heiko.knospe@fh-koeln.de 29. März 2014 1 / 25 Weierstraß-Gleichung Elliptische Kurven sind nicht-singuläre

Mehr

Probabilistische Primzahlensuche. Marco Berger

Probabilistische Primzahlensuche. Marco Berger Probabilistische Primzahlensuche Marco Berger April 2015 Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung 4 1.1 Definition Primzahl................................ 4 1.2 Primzahltest...................................

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

1. WAS IST SSL. 1.1. Protokollaufbau: Stefan Peer 2001-04-17

1. WAS IST SSL. 1.1. Protokollaufbau: Stefan Peer 2001-04-17 1. WAS IST SSL SSL (Secure Socket Layer) ist ein Übertragungsprotokoll, das verschlüsselte Verbindungen über Transportprotokolle wie zum Beispiel TCP/IP ermöglicht. Der Vorteil von SSL liegt vor allem

Mehr

Beweisbar sichere Verschlüsselung

Beweisbar sichere Verschlüsselung Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 12

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen"

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar Kommunikation in P2P-Netzen P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen" Ziele des Vortrags Sicherheit auf Konzept-Ebene Kommunikationsprotokolle Datenspeicherung Resistenz gegen Störungen, Angriffe,

Mehr

Christian J. Dietrich. 9. Kryptotag

Christian J. Dietrich. 9. Kryptotag Extended Access Control (epa epa) Christian J. Dietrich 2008-11-10 9. Kryptotag Inhalt 1. Einleitung 2. Der elektronische Personalausweis 3. Die Authentisierungsfunktion im Detail 4. Kurzvorstellung der

Mehr

Modul 2: Zusammenspiel der Verfahren: Authentisierung, Verschlüsselung und Schlüsselmanagement

Modul 2: Zusammenspiel der Verfahren: Authentisierung, Verschlüsselung und Schlüsselmanagement Modul 2: Zusammenspiel der Verfahren: Authentisierung, und Schlüsselmanagement M. Leischner nsysteme II Folie 1 Gegenseitige, symmetrische, dynamische Authentisierung und Authentisierung rnd-c A RANDOM

Mehr

Sicherheit in mobilen Netzen. Vaida Klimmek 14. Dezember 2004

Sicherheit in mobilen Netzen. Vaida Klimmek 14. Dezember 2004 Sicherheit in mobilen Netzen Vaida Klimmek 14. Dezember 2004 Gliederung Bedeutung der Sicherheit in mobilen Netzen Grundlagen der Kryptografie Sicherheit in GSM-Netzen Sicherheit in Wireless LANs Sicherheit

Mehr