Termine. Vorlesung FS 2011 Sicherheit in der Informationstechnik
|
|
- Erika Dörte Albrecht
- vor 8 Jahren
- Abrufe
Transkript
1 Vorlesung FS 2011 Sicherheit in der Informationstechnik 2011 Prof. Dr. Rolf Oppliger Folie 1 Termine 21. Februar März März April Mai Mai Mai Juni 2011 (Prüfung) 2011 Prof. Dr. Rolf Oppliger Folie 2
2 Übersicht 1. Einführung 2. Kryptografische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2011 Prof. Dr. Rolf Oppliger Folie 3 Fragen sind jederzeit erwünscht 2011 Prof. Dr. Rolf Oppliger Folie 4
3 Literatur Matt Bishop, Computer Security: Art and Science, Addison-Wesley, 2002 Matt Bishop, Introduction to Computer Security, Addison-Wesley, 2004 Charles P. Pfleeger und Shari L. Pfleeger, Security in Computing, Fourth Edition, Prentice Hall, Prof. Dr. Rolf Oppliger Folie 5 Übersicht 1. Einführung 2. Kryptografische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2011 Prof. Dr. Rolf Oppliger Folie 6
4 1. Einführung 1/21 Sicherheit Zustand des Nichtvorhanden- oder Geschütztseins vor Bedrohungen und Risiken Sicherheit ist eine subjektiv wahrnehmbare Grösse und weder direkt sicht- noch messbar ( es ist schwierig, Sicherheit zu verkaufen ) Was als sicher oder unsicher zu bezeichnen ist, hängt auch vom Betrachter bzw. dessen individuellen Risikobereitschaft ab (z.b. Fliegen) Sicherheit ist immer relativ und situationsbezogen (d.h. abhängig von der aktuellen Bedrohungslage) 2011 Prof. Dr. Rolf Oppliger Folie 7 Einführung 2/21 Dem deutschsprachigen Sicherheitsbegriff entsprechen im Englischen zwei Bedeutungen Sicherheit im Sinne von safety Zuverlässigkeit, Ablauf- und Ausfallsicherheit Sicherheit im Sinne von security Schutz vor beabsichtigten Störungen und Angriffen Die Vorlesung befasst sich schwerpunktmässig mit Sicherheit im Sinne von security Zuweilen werden die zwei Bedeutungen auch unter dem Begriff der Verlässlichkeit subsummiert 2011 Prof. Dr. Rolf Oppliger Folie 8
5 Einführung 3/21 Information Boden Arbeit Information stellt einen vierten, Boden, Kapital und Arbeit ergänzenden Produktionsfaktor dar Unsere Gesellschaft wandelt sich von einer Industrie- zu einer Informationsgesellschaft Kapital 2011 Prof. Dr. Rolf Oppliger Folie 9 Einführung 4/21 Die Informatik- oder IT-Sicherheit befasst sich mit der Sicherheit in der Informatik, d.h. mit der sicheren Speicherung, Verarbeitung und Übertragung von Daten (Informationssicherheit ist weiter gefasst) Sicherheitsziele Verfügbarkeit Vertraulichkeit Integrität Authentizität Verbindlichkeit Anonymität / Pseudonymität 2011 Prof. Dr. Rolf Oppliger Folie 10
6 Einführung 5/21 Es fehlt eine (brauchbare) Metrik für die IT-Sicherheit Entsprechend wird in der Praxis IT-Sicherheit durch Räuber-und-Gendarm -Spiele approximiert (z.b. Penetrationstests und ethisches Hacken) Solche Spiele und Approximationen hat es schon immer gegeben Geldtransporte im Wilden Westen Einbruchsichere Safes Ausbruchsichere Gefängnisse Prof. Dr. Rolf Oppliger Folie 11 Einführung 6/21 Zentrale Frage der IT-Sicherheit Wie kann ein Informatiksystem and seine Betriebsmittel (insbesondere Daten) vor Angriffen (von innen und aussen) geschützt werden? Aufgrund der asymmetrischen Lastverteilung ist es möglich und wahrscheinlich, dass ein Angriff erfolgreich ist Es gibt (zu) viele Möglichkeiten, ein Informatiksystem anzugreifen (z.b. DoS) 2011 Prof. Dr. Rolf Oppliger Folie 12
7 Einführung 7/21 Direkte Angriffe können technisch erschwert werden Indirekte Angriffe sind immer möglich (z.b., Social Engineering -Angriffe) 2011 Prof. Dr. Rolf Oppliger Folie 13 Einführung 8/21 It is easy to run a secure computer system. You merely have to disconnect all dial-up connections and permit only direct-wired terminals, put the machine and its terminals in a shielded room, and post a guard at the door. F.T. Grampp and R.H. Morris, UNIX Operating System Security. AT&T Bell Laboratories Technical Journal, Vol. 63, No. 8, October 1984, pp It is easy to run a secure computer system. You merely have to disconnect all dial-up connections and permit only direct-wired terminals, put the machine and its terminals in a shielded room, post a guard at the door, remove or disable all user accounts, and make sure that no user can get physically close to the system Prof. Dr. Rolf Oppliger Folie 14
8 Einführung 9/21 Natürliche Feinde der Informatiksicherheit Menschliche Benutzer Komplexität Windows XP hat ca Programmzeilen Bei einem sicherheitsrelevanten Programm(ier)fehler pro Programmzeilen ergeben sich Fehler Nur ein Teil dieser Fehler wird gefunden bzw. korrigiert Geschwindigkeit Produktions- und Time-to-Market -Zyklen werden immer kürzer Beta-Testen hat das Austesten von Software ersetzt 2011 Prof. Dr. Rolf Oppliger Folie 15 Einführung 10/21 Aufgrund dieser Ausgangslage kann kurzfristig nicht mit einer Verbesserung gerechnet werden Im Informatiksicherheitsbereich gibt es keinen heiligen Gral (oder Indiz für dessen Existenz) Dennoch gibt es Firmen, die versuchen, ihre Produkte oder Dienstleistungen als heiligen Gral anzupreisen und zu verkaufen Vor einer solchen Praxis muss gewarnt werden Ähnliche Vorbehalte gelten auch gegenüber Zertifikaten 2011 Prof. Dr. Rolf Oppliger Folie 16
9 Einführung 11/21 Bill Cheswick, Steve Bellovin, und Aviel Rubin, Firewall and Internet Security, 2 nd Edition, Addison- Wesley, 2003 There is no such thing as absolute security Security is always a question of economics Keep the level of all your defenses at about the same height An attacker doesn t go through security, but around it Put your defenses in layers (defense-in-depth) It s a bad idea to rely on security through obscurity Keep it simple 2011 Prof. Dr. Rolf Oppliger Folie 17 Einführung 12/21 Don t give a person or a program any more privileges than those neceassry to do the job Programming is hard Security should be an integral part of the original design If you do not run a program, it does not matter if it has security holes A program or protocol is insecure until proven secure A chain is only as strong as ist weakest link Security is a trade-off with convenience Don t underestimate the value of your assets 2011 Prof. Dr. Rolf Oppliger Folie 18
10 Einführung 13/21 Bedrohungsmodell Sicherheitsleitbild oder -politik Bedrohungs- und Risikoanalyse Sicherheitsstrategie Entwurf Implementation Implementationsrichtlinien Sicherheitsmassnahmen Technisch Organisatorisch Rechtlich Verbesserung Überprüfung 2011 Prof. Dr. Rolf Oppliger Folie 19 Einführung 14/21 Die Erarbeitung einer Bedrohungs- und Risikoanalyse ist schwierig In der Theorie errechnet sich das Risiko eines Schadenereignisses als Risiko = Eintretenswahrscheinlichkeit * Schadenausmass Leider sind sowohl die Eintretenswahrscheinlichkeit als auch das Schadenausmass schwierig abzuschätzen (bzw. zu quantifizieren) In der Praxis begnügt man sich mit qualitativen Risikoanalysen und Grundschutzansätzen (nicht Gegenstand der Vorlesung) 2011 Prof. Dr. Rolf Oppliger Folie 20
11 Einführung 15/21 Die Formulierung einer Sicherheitspolitik erfordert ein Abwägen von Funktionalität vs. Sicherheit Beispiel: POP3- bzw. IMAP4-Zugänge zu externen Mailboxen Funktionalität Sicherheit 2011 Prof. Dr. Rolf Oppliger Folie 21 Einführung 16/21 Prävention (prevention) Erkennung (detection) Reaktion (response) 2011 Prof. Dr. Rolf Oppliger Folie 22
12 Einführung 17/21 Die Aufgabe eines Informatiksicherheitsverantwortlichen ist ähnlich wie die eines Architekten (vgl. R. Oppliger, IT Security: In Search of the Holy Grail, Communications of the ACM, 50(2), February 2007, pp ) Sicherheitsarchitektur(en) ist (sind) wichtig Sicherheits- und Penetrationstests sind weniger wichtig Die Aussagekraft solcher Tests ist nicht sehr gross 2011 Prof. Dr. Rolf Oppliger Folie 23 Einführung 18/21 In der realen Welt gibt es auch keine ethischen Einbrecher bzw. entsprechende Dienstleistungen Dafür gibt es Kontroll- und Überwachungsdienstleister Analoge Dienstleistungen werden sinnvollerweise auch in der digitalen Welt angeboten und nachgefragt 2011 Prof. Dr. Rolf Oppliger Folie 24
13 Einführung 19/21 Im Strassenverkehr haben wir uns daran gewöhnt, dass es eine absolute Sicherheit nicht gibt Ein sinnvolles Mass an Sicherheit resultiert aus dem Zusammenspiel von verschiedenen Sicherheitsmassnahmen Führerprüfungen Fahrzeugprüfungen Ausbildungsprogramme Sensibilisierungskampagnen Verkehrsgesetze Polizeieinsätze und Kontrollen 2011 Prof. Dr. Rolf Oppliger Folie 25 Einführung 20/21 Je komplexer eine Materie ist, umso mehr will man sich üblicherweise auf Standards (ab-)stützen Dies gilt namentlich auch für die Informatiksicherheit Entsprechend viele Standards gibt es Besondere Verbreitung finden Standards über Best Practices bzw. Informationssicherheitsmanagementsysteme (ISMS) z.b. BS :2002 bzw. ISO/IEC 27001:2005) Zum Teil werden Standards auch sektoriell übernommen bzw. adaptiert z.b. Payment Card Industry Data Security Standard (PCI DSS) 2011 Prof. Dr. Rolf Oppliger Folie 26
14 Einführung 21/21 Je sektorieller und spezifischer ein Informatiksicherheitsstandard ist, umso besser ist seine Ausgangslage (aber umso kleiner ist auch sein Potential) PCI DSS wird sich wahrscheinlich durchsetzen und etablieren (in konkretisierter Form) Hingegen ist die weitere Entwicklung bzw. Durchsetzung von ISO/IEC 27001:2005 offen Die Entwicklung ist auch abhängig von wirtschaftspolitischen Einflussfaktoren und gruppendynamischen Effekten (analog zu ISO 9000) 2011 Prof. Dr. Rolf Oppliger Folie 27 Übersicht 1. Einführung 2. Kryptografische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2011 Prof. Dr. Rolf Oppliger Folie 28
15 2. Kryptografische Grundlagen 1/18 Artech House (2005) ISBN Prof. Dr. Rolf Oppliger Folie 29 Kryptografische Grundlagen 2/18 Der Begriff Kryptologie (cryptology) leitet sich von zwei griechischen Wörtern ab kryptós hidden lógos word Die Bedeutung verstecktes Wort repräsentiert den ursprünglichen Einsatzzweck der Kryptografie (insb. Datenvertraulichkeitsschutz) Der Begriff Kryptologie wird heute breiter verwendet Er umfasst alle sicherheitsbezogenen Einsatzgebiete und Anwendungen (in Ergänzung zum Datenvertraulichkeitsschutz) 2011 Prof. Dr. Rolf Oppliger Folie 30
16 Kryptografische Grundlagen 3/18 Beispiele Datenintegritätsschutz Authentizität von Entitäten Authentizität des Datenursprungs Zugriffskontrolle ( conditional access, DRM, ) Verbindlichkeit Zurechenbarkeit (accountability) Anonymität Pseudonymität Einige Ziele und Anwendungen sind wiedersprüchlich oder sich sogar gegenseitig ausschliessend 2011 Prof. Dr. Rolf Oppliger Folie 31 Kryptografische Grundlagen 4/18 Kryptologie Kryptografie Kryptoanalyse Steganografie 2011 Prof. Dr. Rolf Oppliger Folie 32
17 Kryptografische Grundlagen 5/18 Gemäss RFC 2828 ist ein kryptografisches System oder Kryptosystem A set of algorithms together with the key management processes that support use of the algorithm in some application context In der Literatur werden kryptografische Systeme zuweilen auch als kryptografische Schemata bezeichnet (z.b. digital signature schemes) Ein Protokoll ist ein von mehreren Parteien auszuführender (verteilter) Algorithmus 2011 Prof. Dr. Rolf Oppliger Folie 33 Kryptografische Grundlagen 6/18 Notation für Protokolle A ( Inputparamter ) Berechnungsschritt B ( Inputparamter ) Berechnungsschritt Berechnungsschritt ( Outputparamter ) Berechnungsschritt ( Outputparamter ) 2011 Prof. Dr. Rolf Oppliger Folie 34
18 Kryptografische Grundlagen 7/18 Klassen von Kryptosystemen Schlüssellose Kryptosysteme Keine kryptografischen Parameter Kryptosysteme mit geheimen Schlüsseln (symmetrische Kryptosysteme) Kryptografische Parameter sind allen Beteiligten bekannt Kryptosysteme mit öffentlichen Schlüsseln (asymmetrische Kryptosysteme) Kryptografische Parameter sind nicht notwendigerweise allen Beteiligten bekannt 2011 Prof. Dr. Rolf Oppliger Folie 35 Kryptografische Grundlagen 8/18 Das Ziel der Kryptografie ist der Entwurf, die Entwicklung und der Einsatz von sicheren Kryptosystemen Um präzise Aussagen über die Sicherheit eines Kryptosystems machen zu können, muss der Begriff Sicherheit präzis (z.b. formal) definiert sein Insbesondere muss der Angreifer definiert sein und es muss klar sein, was dieser Angreifer machen muss, um erfolgreich zu sein (d.h. um die Sicherheit zu brechen) Starke Sicherheitsdefinitionen gehen von einem starken Angreifer und einer einfachen Aufgabe aus 2011 Prof. Dr. Rolf Oppliger Folie 36
19 Kryptografische Grundlagen 9/18 Beispiele aus der realen Welt 2011 Prof. Dr. Rolf Oppliger Folie 37 Kryptografische Grundlagen 10/18 Ein Kryptosystem gilt als sicher wenn ein definierter Angreifer eine definierte Aufgabe nicht lösen kann Wenn der Angreifer die Aufgabe grundsätzlich nicht lösen kann, spricht man von bedingungsloser bzw. informationstheoretischer Sicherheit ( Wahrscheinlichkeitsrechnung und Informationstheorie) Wenn der Angreifer die Aufgabe grundsätzlich schon lösen könnte, im Moment aber nicht fähig ist, dies zu tun, spricht man von bedingter bzw. berechenbarer Sicherheit ( Komplexitätstheorie) 2011 Prof. Dr. Rolf Oppliger Folie 38
20 Kryptografische Grundlagen 11/18 In der Literatur ist zuweilen auch von beweisbar sicheren Kryptosystemen die Rede Für ein solches Kryptosystem kann ein komplexitätstheoretischer Reduktionsbeweis geführt werden, d.h. es kann gezeigt werden, dass die Brechung des Systems gleichbedeutend ist mit der Lösung eines (schwierigen) mathematischen Problems Unter der Annahme, dass das mathematische Problem nicht gelöst werden kann, gilt im Umkehrschluss, dass das System nicht gebrochen werden kann 2011 Prof. Dr. Rolf Oppliger Folie 39 Kryptografische Grundlagen 12/18 In einigen Sicherheitsbeweisen bzw. -analysen wird zudem die Annahme gemacht, dass sich ein kryptografisches System (typischerweise eine kryptografische Hashfunktion) gleich verhält wie eine Zufallsfunktion Solche Beweise gelten nur im sogenannten Random Oracle Model und nicht im Standardmodell (z.b. OAEP, PSS, ) Beweise im Random Oracle Model werden kontravers diskutiert 2011 Prof. Dr. Rolf Oppliger Folie 40
21 Kryptografische Grundlagen 13/18 Es entspricht einer leider weit verbreiteten Meinung, dass man die Sicherheit eines (kryptografischen) Systems dadurch verbessern kann, dass man dessen Entwurfskriterien und Informationen über die interne Funktions- und Arbeitsweise geheim hält Diesen Ansatz bezeichnet man auch etwa als security through obscurity Viele Systeme, die auf security through obscurity aufsetzen, bieten keine adäquate Sicherheit 2011 Prof. Dr. Rolf Oppliger Folie 41 Kryptografische Grundlagen 14/18 Demgegenüber besagt das Prinzip von Kerckhoffs, dass ein kryptografisches System so entworfen werden soll, dass es auch dann noch sicher ist, wenn der Angreifer alle Einzelheiten des Systems (ausser den Schlüsselwerten) kennt Das Prinzip von Kerckhoffs ist beim Entwurf von kryptografischen Systemen angebracht und akzeptiert In anderen Einsatzumgebungen ist das Prinzip allerdings umstritten 2011 Prof. Dr. Rolf Oppliger Folie 42
22 Kryptografische Grundlagen 15/18 Die Implementation eines (theoretisch sicheren) Kryptosystems muss nicht sicher sein Es gibt viele Angriffsmöglichkeiten gegen eine spezifische Implementation Insbesondere gibt es zunehmend viele Seitenkanal- Angriffe, die zum Teil sehr erfolgreich sind Timing Attacks Differential Fault Analysis (DFA) Differential Power Analysis (DPA) 2011 Prof. Dr. Rolf Oppliger Folie 43 Kryptografische Grundlagen 16/18 Bis zum Zweiten Weltkrieg wurde die Kryptografie mehr als Kunst denn als Wissenschaft betrachtet und vor allem vom Militär und in der Diplomatie genutzt Zwei wissenschaftliche Errungenschaften haben die Kryptografie zu einer Wissenschaft gemacht 2011 Prof. Dr. Rolf Oppliger Folie 44
23 Kryptografische Grundlagen 17/18 Während des Zweiten Weltkrieges hat Claude E. Shannon die Informationstheorie entwickelt, die es erlaubt, wissenschaftlich über Verschlüsselungssysteme zu argumentieren 2011 Prof. Dr. Rolf Oppliger Folie 45 Kryptografische Grundlagen 18/18 In den 70-Jahren haben Whitfield Diffie und Martin Hellman (mit Ralph Merkle) den Einsatz von Trapdoor (Einweg-)Funktionen vorgeschlagen und damit die Kryptografie mit öffentlichen Schlüsseln (public key cryptography) begründet Seit den frühen 90-Jahren findet eine Verberitung und Kommerzialisierung der Kryptografie statt 2011 Prof. Dr. Rolf Oppliger Folie 46
24 Übersicht 1. Einführung 2. Kryptographische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2011 Prof. Dr. Rolf Oppliger Folie Kryptosysteme (Übersicht) 1/61 c't 20/2004 Schlagseite 2011 Prof. Dr. Rolf Oppliger Folie 48
25 Kryptosysteme Schlüssellose Kryptosysteme 2/61 Einweg-Funktionen Kryptografische Hashfunktionen Zufallsbitgeneratoren 2011 Prof. Dr. Rolf Oppliger Folie 49 Kryptosysteme Schlüssellose Kryptosysteme Einweg-Funktionen 3/61 Einweg-Funktionen spielen in der modernen Kryptografie eine zentrale Rolle Informelle Definition: Eine Funktion f: X Y ist Einweg wenn sie effizient berechenbar aber nicht effizient invertiert werden kann X Y effizient berechenbar x? y 2011 Prof. Dr. Rolf Oppliger Folie 50
26 Kryptosysteme Schlüssellose Kryptosysteme Einweg-Funktionen 4/61 Formale(re) Definition: Eine Funktion f: X Y ist Einweg wenn für x R X f(x) effizient berechnet werden kann für y R Y f -1 (y) nicht effizient berechnet werden kann In der realen Welt gibt es viele Funktionen, die eine Einweg-Eigenschaft haben Ermitteln einer Telefonnummer in einem (alphabetisch sortierten) Telefonbuch Zerschlagen einer Flasche Zeitabhängige Prozesse (z.b. Alterundprozess) 2011 Prof. Dr. Rolf Oppliger Folie 51 Kryptosysteme Schlüssellose Kryptosysteme Einweg-Funktionen 5/61 In der Mathematik gibt es nur wenige Funktionen, von denen man annimmt, dass sie Einweg sind Diskrete Exponentialfunktion (Exp): y = g x (mod p) Modulares Potenzieren (RSA): y = x e (mod n) Modulares Quadrieren (Square): y = x 2 (mod n) Keine dieser Funktionen ist bewiesenermassen Einweg Es ist theoretisch nicht einmal klar, ob es überhaupt Einweg-Funktionen gibt (bzw. geben kann) 2011 Prof. Dr. Rolf Oppliger Folie 52
27 Kryptosysteme Schlüssellose Kryptosysteme Einweg-Funktionen 6/61 Eine Einweg-Funktion f: X Y ist eine Trapdoor (Einweg-)Funktion wenn es Zusatzinformation gibt, mit der f effizient invertiert werden kann, d.h. f -1 (y) kann für y R Y effizient berechnet werden Das mechanische Analogon für eine Trapdoor (Einweg-)Funktion ist ein Vorhängeschloss Um formal korrekt argumentieren zu können, muss man Familien von Einweg-Funktionen bzw. Trapdoor (Einweg-) Funktionen betrachten 2011 Prof. Dr. Rolf Oppliger Folie 53 Kryptosysteme Schlüssellose Kryptosysteme Kryptografische Hashfunktionen 7/61 Hashfunktionen werden in der Informatik häufig verwendet Dabei stellt eine Hashfunktion eine effizient berechenbare Funktion h: Σ * Σ n dar, die aus einem beliebig langen Eingabe-String einen Ausgabe-String fester Länge n erzeugt Entsprechend erzeugt h Hashwerte der Länge n Technisch gibt es eine maximale Länge n max für Eingabe-Strings (d.h. h: Σ n max Σ n ) 2011 Prof. Dr. Rolf Oppliger Folie 54
28 Kryptosysteme Schlüssellose Kryptosysteme Kryptografische Hashfunktionen 8/61 In der Kryptografie ist man an Hashfunktionen interessiert, die spezielle Eigenschaften haben Urbild-resistent (preimage resistent one way) Zweites-Urbild-resistent (second-preimage resistent) Kollisionsresistent (collision resistent) Eine kryptografische Hashfunktion ist eine Hashfunktion, die entweder Urbild-resistent und Zweites- Urbild-resistent oder Urbild-resistent und Kollisionsresistent ist 2011 Prof. Dr. Rolf Oppliger Folie 55 Kryptosysteme Schlüssellose Kryptosysteme Kryptografische Hashfunktionen 9/61 Die Ausgabe einer kryptografischen Hashfunktion ist eine charakteristische Repräsentation des Eingabe- Strings (Nachricht) Fingerprint oder Digest This is a file that includes some inportant but long statements. Consequently, we may need a short representation of this file. h E4 23 AB 7D D1 3E F6 EA EA Prof. Dr. Rolf Oppliger Folie 56
29 Kryptosysteme Schlüssellose Kryptosysteme Kryptografische Hashfunktionen 10/61 Dabei ist es zu aufwändig, zwei oder mehr Nachrichten zu finden, die den gleichen Hashwert haben Beispiele MD5 SHA-1, SHA-2 family SHA-3 (~ 2012) Die aktuellen Forschungsbemühungen zielen auf Kollisionen in gängigen Hashfunktionen und die Entwicklung von kryptografischen Hashfunktionen ab, die inhärent kollisionsresistent(er) sind 2011 Prof. Dr. Rolf Oppliger Folie 57 Kryptosysteme Schlüssellose Kryptosysteme Zufallsbitgeneratoren 11/61 Die Möglichkeit, geheime und nicht vorhersehbare Zufallsgrössen (d.h. Zufallsbits) erzeugen zu können, ist eine notwendige aber nicht hinreichende Bedingung für die Sicherheit eines Kryptosystems Ob es eine solche Möglichkeit gibt, ist umstritten Die Quantenphysik suggeriert, dass es zufällige Ereignisse und damit auch solche Möglichkeiten gibt Ein Zufallsbitgenerator ist ein (idealisiertes Modell eines) Gerät(es), das ohne Eingabe Zufallsbits erzeugen und ausgeben kann 2011 Prof. Dr. Rolf Oppliger Folie 58
30 Kryptosysteme Schlüssellose Kryptosysteme Zufallsbitgeneratoren 12/61 Zufallsbitgenerator Die Ausgabe ist eine Sequenz von statistisch unabhängigen und gleichverteilten Bits Die Bits treten mit der gleichen Wahrscheinlichkeit auf, d.h. Pr[0] = Pr[1] = ½ Für k 1 treten alle 2k k-tupel von Bits mit der gleichen Wahrscheinlichkeit auf, d.h. Pr[00 0] = Pr[00 1] = = Pr[11 1] = 1/2 k 2011 Prof. Dr. Rolf Oppliger Folie 59 Kryptosysteme Schlüssellose Kryptosysteme Zufallsbitgeneratoren 13/61 Es gibt statistische Tests, um die Güte eines Zufallbitgenerators (oder seiner Ausgaben) abzuschätzen Der Entwurf eines guten Zufallbitgenerators ist eine schwierige und anspruchsvolle Aufgabe Es braucht eine natürliche Quelle von Zufall Dazu können verschiedene physikalische Phänomene oder Ereignisse genutzt werden (z.b. radioaktiver Zerfall) 2011 Prof. Dr. Rolf Oppliger Folie 60
31 Kryptosysteme Symmetrische Kryptosysteme 14/61 Verschlüsselungssysteme Nachrichtenauthentifikationscodes Pseudozufallsbitgeneratoren Pseudozufallsfunktionen 2011 Prof. Dr. Rolf Oppliger Folie 61 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 15/61 Mit einem symmetrischen Verschlüsselungssystem können mit einem geheimen Schlüssel k Daten verund entschlüsselt werden Im Rahmen einer Verschlüsselung wird ein Klartext auf einen Chiffretext (Chiffrat) c abgebildet Die Entschlüsselung is der Umkehrprozess, d.h. ein Chiffretext c wird auf einen Klartext m abgebildet k k m E c D m 2011 Prof. Dr. Rolf Oppliger Folie 62
32 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 16/61 Ein symmetrisches Verschlüsselungssystem besteht aus 5 Komponenten Klartextnachrichtenraum M Chiffretextraum C Schlüsselraum K Familie E = {E k : k K} von (probabilistischen) Verschlüsselungsfunktionen E k : M C Familie D = {D k : k K} von Entschlüsselungsfunktionen D k : C M D k und E k müssen invers zueinander sein, d.h. D k (E k (m)) = E k (D k (m)) = m ( k K, m M) 2011 Prof. Dr. Rolf Oppliger Folie 63 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 17/61 Typische Werte sind M = C = {0,1}* K = {0,1} l für eine konstante Schlüssellänge l (z.b. l = 128) Beispiele Data Encryption Standard (DES), DESX, 3DES International Data Encryption Algorithm (IDEA) Advanced Encryption Standard (AES) RC2, RC4, RC5, 2011 Prof. Dr. Rolf Oppliger Folie 64
33 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 18/61 In den 1970er Jahren führte das National Bureau of Standards (NBS) einen Wettbewerb für einen standardisierten Verschlüsselungsalgorithmus durch Der Lucifer-Algorithmus von IBM wurde 1977 vom NBS als DES (FIPS PUB 46) spezifiziert Das NIST (vormals NBS) bestätigte den Standard 1983, 1988, 1993 und 1999 Im Rahmen von FIPS PUB 46-3 (1999) wurde der Triple Data Encryption Algrotihm (TDEA) eingeführt 2004 wurde DES als Standard aufgehoben 2011 Prof. Dr. Rolf Oppliger Folie 65 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 19/61 DES stellt eine Substitution-Permutation-Verschlüsselung bzw. Feistel-Verschlüsselung dar Σ = Z 2 = {0,1} Blocklänge 2t r Runden Für jedes k K müssen r Rundenschlüssel k 1, k r generiert werden 2011 Prof. Dr. Rolf Oppliger Folie 66
34 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 20/61 Die Verschlüsselungsfinktion E k beginnt mit der Aufteilung eines Klartextblocks m in zwei Hälften zu je t Bits, d.h. m = (L 0,R 0 ) Eine Sequenz von Paaren (L i,r i ) für i=1,,r wird rekursiv berechnet (L i,r i ) = (R i-1,l i-1 f ki (R i-1 )) (1) (L r,r r ) in umgekehrten Reihenfolge stellt den Chiffretextblock dar, d.h. c = (R r,l r ) Entsprechend gilt c = E k (m) = E k (L 0,R 0 ) = (R r,l r ) 2011 Prof. Dr. Rolf Oppliger Folie 67 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 21/61 Die rekursive Formel (1) kann umgeschrieben werden (L i-1,r i-1 ) = (R i f ki (L i ),L i ) Damit können L i-1 and R i-1 rekursiv aus L i, R i und k i berechnet und m = (L 0,R 0 ) aus c = (R r,l r ) bestimmt werden (Rundenschlüssel k r,,k 1 in umgekehrter Reihenfolge) DES ist eine Feistel-Verschlüsselung mit Blocklänge 2t = 64 Bits und r = 16 Runden 2011 Prof. Dr. Rolf Oppliger Folie 68
35 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 22/61 DES-Schlüssel sind 64-Bit Strings mit ungerader Parität (pro Byte) K = {(k 1,,k 64 ) {0,1} 64 Σ j=1,,8 k 8i+j 1 (mod 2) for i = 0,,7} Zum Beispiel ist F1DFBC9B ein gültiger DES-Schlüssel F1 = DF = BC = Prof. Dr. Rolf Oppliger Folie 69 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 23/61 Um ein Klartextnachrichtenblock m mit dem Schlüssel k zu chiffrieren, operiert der DES-Verschlüsselungsalgorithmus in 3 Schritten 1. Es wird eine initiale Permutation (IP) auf m angewandt 2. Es wird eine 16-Runden Feistel-Verschlüsselung auf IP(m) angewandt das beinhaltet die abschliessende Vertauschung von L 16 und R Es wird die inverse initiale Permutation (IP -1 ) auf das Result von Schritt 2 angewandt 2011 Prof. Dr. Rolf Oppliger Folie 70
36 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 24/ Prof. Dr. Rolf Oppliger Folie 71 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 25/61 DES setzt eine Rundenfunktion f ein, die 16 mal iteriert wird Die Rundenfunktion f hat als Input einen 32- Bit R-Block und einen 48-Bit Rundenschlüssel k i Sie erzeugt als Ausgabe einen Bitstring der Länge Prof. Dr. Rolf Oppliger Folie 72
37 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 26/61 Der DES Key Schedule nimmt einen 56 oder 64 Bit langen DES-Schlüssel entgegen und erzeugt Bit lange Rundenschlüssel k 1,k 2,,k 16 Permuted choice (PC) Funktionen PC1: {0,1} 64 {0,1} 28 x {0,1} 28 PC2: {0,1} 28 x {0,1} 28 {0,1} 64 1 position for 1, 2, 9, 16 2 positions for 3, 4, 5, 6, 7, 8, 10, 11, 12, 13, 14, Prof. Dr. Rolf Oppliger Folie 73 Kryptosysteme Symmetrische Kryptosysteme Nachrichtenauthentifikationscodes 27/61 Es ist manchmal ausreichend, die Authentizität und Integrität einer Nachricht zu schützen (anstelle der Datenvertraulichkeit) In einer solchen Situation kann ein Authentifizierungstag an die Nachricht angehängt werden, das vom Empfänger verifiziert werden kann Nachricht Nachricht Tag 2011 Prof. Dr. Rolf Oppliger Folie 74
38 Kryptosysteme Symmetrische Kryptosysteme Nachrichtenauthentifikationscodes 28/61 Möglichkeiten zur Erzeugung und Verifikation von Authentifizierungstags Public Key Cryptography Digitale Signaturen Secret Key Cryptography Nachrichtenauthentifizierungscodes (message authentication codes, MACs no nonrepudiation) Ein Nachrichtenauthentifizierungssystem (message authentication system) ist ein System zur Erzeugung und Verifizierung von MACs 2011 Prof. Dr. Rolf Oppliger Folie 75 Kryptosysteme Symmetrische Kryptosysteme Nachrichtenauthentifikationscodes 29/61 Ein Nachrichtenauthentifizierungssystem besteht aus 5 Komponenten Nachrichetnraum M Tagraum T Schlüsselraum K Familie A = {A k : k K} von Nachrichtenauthentifikationsfunktionen A k : M T Familie V = {V k : k K} von Verifikationsfunktionen verification functions V k : M x T {valid,invalid} 2011 Prof. Dr. Rolf Oppliger Folie 76
39 Kryptosysteme Symmetrische Kryptosysteme Nachrichtenauthentifikationscodes 30/61 V k (m,t) gültig t gültiges Authentifizierungstag für Nachricht m und Schlüssel k (d.h. t = A k (m)) Damit ist V k (m, A k (m)) gültig k K, m K Typischerweise M = {0,1}* T = {0,1} l tag für konstante Taglänge ltag K = {0,1} l key für konstante Schlüssellänge lkey Z.B. l tag = l key = Prof. Dr. Rolf Oppliger Folie 77 Kryptosysteme Symmetrische Kryptosysteme Nachrichtenauthentifikationscodes 31/61 In der Theorie sind viele (bedingungslos oder bedingt sichere) Nachrichtenauthentifizierungssysteme bekannt In der Praxis wird vor allem eine auf Hashfunktionen mit Schlüsseln basierende Konstruktion (HMAC) eingesetzt (RFC 2104) HMAC k (m) = h(k opad h(k ipad m) Die meisten Internet-Sicherheitsprotokolle (z.b. IPsec, TLS, ) setzen die HMAC-Konstruktion ein 2011 Prof. Dr. Rolf Oppliger Folie 78
40 Kryptosysteme Symmetrische Kryptosysteme Pseudozufallsbitgeneratoren 32/61 Ein Zufallsbitgenerator kann nicht deterministisch implementiert werden Demgegenüber ist ein Pseudozufallsbitgenerator (PRBG) ein effizienter deterministischer Algorithmus, der als Eingabe eine zufällige Bitfolge der Länge k (seed) entgegennimmt und als Ausgabe eine Bitfolge der Länge l >> k erzeugt Seed PRBG Prof. Dr. Rolf Oppliger Folie 79 Kryptosysteme Symmetrische Kryptosysteme Pseudozufallsbitgeneratoren 33/61 Im Gegensatz zu einem Zufallsbitgenerator nimmt ein PRBG eine Eingabe entgegen und stellt einen deterministischen Algorithmus dar Konsequenzen Ein PRBG ist ein endlicher Automat Jede erzeugte Bitfolge ist zyklisch (mit einem möglicherweise sehr langen Zyklus) Man kann nicht verlangen, dass die Ausgabe eines PRBG echt zufällig ist, sondern nur dass sie so erscheint (d.h. dass sie von einer echten Zufallsfolge nicht unterschieden werden kann) 2011 Prof. Dr. Rolf Oppliger Folie 80
41 Kryptosysteme Symmetrische Kryptosysteme Pseudozufallsbitgeneratoren 34/61 Ähnlich wie bei Zufallsbitgeneratoren kann mithilfe von statistischen Testverfahren die Zufälligkeit einer mit einem PRBG erzeugten Bitfolge untersucht werden Ein PRBG gibt Bitfolgen aus, die bestimmte Anforderungen an die Zufälligkeit erfüllen 2011 Prof. Dr. Rolf Oppliger Folie 81 Kryptosysteme Symmetrische Kryptosysteme Pseudozufallsfunktionen 35/61 Als Zufallsfunktion (random function oder random oracle) bezeichnet man eine Funktion f: X Y, die zufällig aus allen Funktionen von X auf Y ausgewählt worden ist Für x X gibt eine Zufallsfunktion f ein beliebiges (aber immer gleiches) y = f(x) f(x) Y aus Mit einer Familie von Pseudozufallsfunktionen kann eine Zufallsfunktion emuliert werden (kein effizienter Algorithmus kann entscheiden, ob eine Funktion aus einer Familie von Pseudozufallsfunktionen stammt oder eine echte Zufallsfunktion darstellt) 2011 Prof. Dr. Rolf Oppliger Folie 82
42 Kryptosysteme Symmetrische Kryptosysteme Pseudozufallsfunktionen 36/61 Trotz aller Unterschiede sind Pseudozufallsbitgeneratoren und Familien von Pseudozufallsfunktionen verwandt bzw. können auseinander konstruiert werden Aus einer Familie von Pseudozufallsfunktionen kann ein Pseudozufallsbitgenerator konstruiert werden Aus einem Pseudozufallsbitgenerator kann eine Familie von Pseudozufallsfunktionen konstruiert werden 2011 Prof. Dr. Rolf Oppliger Folie 83 Kryptosysteme Asymmetrische Kryptosysteme 37/61 Verschlüsselungssysteme Digitale Signatursysteme Schlüsselvereinbarung 2011 Prof. Dr. Rolf Oppliger Folie 84
43 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 38/61 In einem Kryptosystem mit öffentlichen Schlüsseln verfügt jede Entität über ein Paar mathematisch verwandter Schlüssel (k,k -1 ) Öffentlicher Schlüssel k Privater Schlüssel k -1 Eine notwendige (aber nicht hinreichende) Bedingung für die Sicherheit eines Kryptosystems mit öffentlichen Schlüsseln ist die berechenbare Unmöglichkeit k -1 aus k zu berechnen k kann dann publiziert werden (z.b. in einem Verzeichnisdienst) 2011 Prof. Dr. Rolf Oppliger Folie 85 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 39/61 Kryptosysteme mit öffentlichen Schlüsseln sind viel weniger effizient als Kryptosysteme mit geheimen Schlüsseln (ungefährt Faktor 1 000) In der Praxis werden deshalb beide Arten von Kryptosystemen in hybriden Systemen kombiniert (z.b. Secure Messaging) Nachricht verschlüsselt mit Session Key Session Key verschlüsselt mit dem öffentlichen Schlüssel des Empfängers 2011 Prof. Dr. Rolf Oppliger Folie 86
44 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 40/61 Mit einem asymmetrischen Verschlüsselungssystem können Daten ver- und entschlüsselt werden Dazu wird eine (Familie von) Trapdoor (Einweg-) Funktionen benötigt Öffentlicher Schlüssel k B entspricht Einweg-Funktion Privater Schlüssel k -1 B entspricht Trapdoor (der Einweg-Funktion) -1 k B k B m E c D m 2011 Prof. Dr. Rolf Oppliger Folie 87 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 41/61 Ein asymmetrisches Verschlüsselungssystem besteht aus drei effizient berechenbaren Algorithmen Generate(1 l ) ist ein probabilistischer Schlüsselerzeugungsalgorithmus, der auf der Basis eines Sicherheitparameters l ein Schlüsselpaar (k,k -1 ) erzeugt Encrypt(k,m) ist ein deterministischer oder probabilistischer Verschlüsselungsalgorithmus (c = Encrypt(k,m)) Decrypt(k -1,c) ist ein deterministischer Entschlüsselungsalgorithmus (m = Decrypt(k -1,c)) 2011 Prof. Dr. Rolf Oppliger Folie 88
45 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 42/61 Sicherheitsparameter Öffentlicher Schlüssel Klartext Privater Schlüssel Chiffretext Generate Encrypt Decrypt Öffentlicher Schlüssel Privater Schlüssel Chiffretext Klartext 2011 Prof. Dr. Rolf Oppliger Folie 89 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 43/61 Rivest, Shamir, and Adleman (MIT, 1977) Communications of the ACM (February 1978) U.S. Patent 4,405,829 (bis September 2000) ACM Turing Award Prof. Dr. Rolf Oppliger Folie 90
46 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 44/61 Der RSA-Schlüsselerzeugungsalgorithmus erzeugt ein Schlüsselpaar ((n,e),d) in zwei Schritten Er wählt zufällig zwei l/2-bit lange Primzahlen p und q aus und berechnet den RSA-Modul n = pq Er wählt zufällig ein 1<e<φ(n) mit gcd(e,φ(n)) = 1 aus, und berechnet (z.b. mil Hilfe des Erweiterten Euklidschen Algorithmus) das multiplikativ inverse Element 1<d<φ(n) mit de 1 (mod φ(n)) 2011 Prof. Dr. Rolf Oppliger Folie 91 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 45/61 Zahlenbeispiel Schritt 1 p = 11 und q = 23 n = = 253 φ(n) = φ(253) = = 220 Schritt 2 e = 3 (gcd(3,220)=1) d = 147 modulo 220 (3 147 = (mod 220)) (n,e) = (253,3) ist der öffentliche Schlüssel d = 147 ist der private Schlüssel 2011 Prof. Dr. Rolf Oppliger Folie 92
47 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 46/61 RSA-Verschlüsselung c = RSA n,e (m) m e (mod n) RSA-Entschlüsselung m = RSA n,d (c) c d (mod n) 2011 Prof. Dr. Rolf Oppliger Folie 93 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 47/61 Zahlenbeispiel Verschlüsselung von m = 26 c 26 3 (mod 253) 17,576 (mod 253) = 119 Entschlüsselung von c = 119 m (mod 253) = Prof. Dr. Rolf Oppliger Folie 94
48 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 48/61 Digitale Signaturen können verwendet werden, um die Authentizität und Integrität von Nachrichten zu schützen und um Verbindlichkeitsdienste umzusetzen Mit dem Aufkommen des elektronischen Handels haben sich digitale Signaturen und deren Rechtsetzung zu wichtigen Themen entwickelt Die meisten Staaten verfügen über ein Signaturgesetz Allerdings ist der Erfolg von Signaturgesetzen bis heute bescheiden geblieben 2011 Prof. Dr. Rolf Oppliger Folie 95 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 49/61 Definition einer digitalen Signatur A value computed with a cryptographic algorithm and appended to a data object in such a way that any recipient of the data can use the signature to verify the data s origin and integrity (RFC 2828) Data appended to, or a cryptographic transformation of, a data unit that allows a recipient of the data unit to prove the source and integrity of the data unit and protect against forgery, e.g. by the recipient (ISO/IEC ) 2011 Prof. Dr. Rolf Oppliger Folie 96
49 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 50/61 Typen von digitalen Signaturen Digital signature with appendix Digitale Signatur wird der Dateneinheit angefügt (ISO/IEC 14888) Digital signature giving message recovery Die Dateneinheit wird kryptografisch in eine Form transformiert, die sowohl die Dateneinheit als auch die Signatur beinhaltet (ISO/IEC 9796) 2011 Prof. Dr. Rolf Oppliger Folie 97 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 51/61 Arbeitsweise Der Signierer (signatory) A berechnet mit dem privaten Schlüssel k A -1 die Signatur s = D A (m) Der Verifizierer (verifier) überprüft mit dem öffentlichen Schlüssel k A von A die Signatur s Public verifiability -1 k A k A m D [m,] s gültig / ungültig E 2011 Prof. Dr. Rolf Oppliger Folie 98
50 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 52/61 Ein digitales Signatursystem mit Anhang besteht aus drei effizient berechenbaren Algorithmen 2011 Prof. Dr. Rolf Oppliger Folie 99 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 53/61 Signierschlüssel Nachricht Verifikationsschlüssel Nachricht Signatur Generate Sign Verify Signierschlüssel Generate(1 l ) ist ein probabilistischer Schlüsselerzeugungsalgorithmus Sign(k -1,m) ist ein deterministischer oder probabilistischer Signaturerzeugungsalgorithmus (s = Sign(k -1,m) Verify(k,m,s) ist ein deterministischer Signaturverifikationsalgorithmus Sicherheitsparameter Verifikationsschlüssel Signatur valid invalid 2011 Prof. Dr. Rolf Oppliger Folie 100
51 Kryptosysteme Kryptosysteme mit öffentlichen Digitale Signatursysteme 54/61 Ein digitales Signatursystem mit Nachrichtenrekonstruktion besteht aus drei effizient berechenbaren Algorithmen Generate(1 l ) ist ein probabilistischer Schlüsselerzeugungsalgorithmus 2011 Prof. Dr. Rolf Oppliger Folie 101 Kryptosysteme Kryptosysteme mit öffentlichen Digitale Signatursysteme 55/61 Security parameter Signierschlüssel Nachricht Verifikationsschlüssel Verifikationsschlüssel Signatur Generate Sign Recover Signierschlüssel Sign(k -1,m) ist ein deterministischer oder probabilistischer Signaturerzeugungsalgorithmus, der eine Signatur mit Nachrichtenrekonstruktion erzeugt Recover(k,s) ist ein deterministischer Nachrichtenrekonstruktionsalgorithmus Signatur Nachricht ungültig 2011 Prof. Dr. Rolf Oppliger Folie 102
52 Kryptosysteme Kryptosysteme mit öffentlichen Schlüsselvereinbarung 56/61 Wenn zwei (oder mehr) Entitäten kryptografische Verfahren nutzen wollen, brauchen sie einen Schlüssel In grossen Systmen müssen viele Schlüssel sicher erzeugt, gespeichert, verwaltet und vernichtet werden Bei n Entitäten sind das n 2 = n(n-1) 1 2 = n2 -n 1 2 Schlüssel (z.b. 499,500 Schlüssel für n=1,000) Das resultierende Skalierbarkeitsproblem wird auch als n 2 -Problem bezeichnet 2011 Prof. Dr. Rolf Oppliger Folie 103 Kryptosysteme Kryptosysteme mit öffentlichen Schlüsselvereinbarung 57/61 Ansätze zur Lösung des n 2 -Problems Schlüsselverteilzentralen (e.g., Kerberos) Schlüsseletablierungsprotokolle Typen von Schlüsseletablierungsprotokollen Key distribution protocols (z.b. SSL/TLS Handshake) Key agreement protocols (z.b. Diffie-Hellman key exchange) Mit dem Diffie-Hellman key exchange protocol begann die Geschichte der Public Key Kryptografie 2011 Prof. Dr. Rolf Oppliger Folie 104
53 Kryptosysteme Kryptosysteme mit öffentlichen Schlüsselvereinbarung 58/61 A (p,g) B (p,g) x A R Z p * x B R Z p * y A g xa (mod p) y B g xb (mod p) K AB y B x A (mod p) K BA y A x B (mod p) (K AB ) (K BA ) 2011 Prof. Dr. Rolf Oppliger Folie 105 Kryptosysteme Kryptosysteme mit öffentlichen Schlüsselvereinbarung 59/61 Zahlenbeispiel (1) p = 17 und g = 3 A wählt zufällig x A = 7, berechnet y A 3 7 (mod 17) = 11 und sendet diesen Wert an B B wählt zufällig x B = 4, berechnet y B 3 4 (mod 17) = 13 und sendet diesen Wert an A A berechnet y B x A 137 (mod 17) = 4 B berechnet y A x B 114 (mod 17) = 4 K = 4 kann als Sitzungsschlüssel eingesetzt werden 2011 Prof. Dr. Rolf Oppliger Folie 106
54 Kryptosysteme Kryptosysteme mit öffentlichen Schlüsselvereinbarung 60/61 Zahlenbeispiel (2) p = 347 und g = 11 A wählt zufällig x A = 240, berechnet y A (mod 347) = 49 und sendet diesen Wert an B B wählt zufällig x B = 39, berechnet y B (mod 347) = 285 und sendet diesen Wert an A A berechnet y B xa (mod 347) = 268 B berechnet y A xb (mod 347) = 268 K = 268 kann als Sitzungsschlüssel eingesetzt werden 2011 Prof. Dr. Rolf Oppliger Folie 107 Kryptosysteme Kryptosysteme mit öffentlichen Schlüsselvereinbarung 61/61 Das Hauptproblem des Diffie-Hellman Schlüsselaustauschprotokolls stellen Man-in-the-middle (MITM) Angriffe dar Bei einem MITM-Angriff tauscht der Angreifer mit A und B jeweils einen Sitzungsschlüssel aus und agiert dann als Umschlüsselungszentrale 2011 Prof. Dr. Rolf Oppliger Folie 108
55 Übersicht 1. Einführung 2. Kryptographische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2011 Prof. Dr. Rolf Oppliger Folie Authentifikation 1/27 Bei der Authentifikation geht es um die Verifikation einer vorgegebenen Identität (der Begriff Identität wird in Kapitel 14 erörtert und vertieft) Ansätze Etwas haben Etwas wissen Etwas sein Irgendwo sein Alle Ansätze haben Vor- und Nachteile Alle Ansätze können kombiniert werden ( Multi- Faktoren-Authentifizierung) 2011 Prof. Dr. Rolf Oppliger Folie 110
56 Authentifikation 2/27 Etwas-haben -Ansätze basieren auf (physischen) Tokens, die bei der Authentifikation vorgewiesen und überprüft werden müssen Die Überprüfung der Tokens kann grundsätzlich durch Menschen oder Maschinen efolgen Beispiele Schlüssel Billete Mitgliederausweise (häufig kombiniert mit Fotos) Kundenkarten (z.b. Coop Supercard, Culumus,... ) Hauptproblem: Benutzer kann Token weitergeben 2011 Prof. Dr. Rolf Oppliger Folie 111 Authentifikation 3/27 Etwas-wissen -Ansätze basieren auf (geheimen) Informationen, deren Kenntnis bei der Authentifikation bewiesen und überprüft werden muss Information kann (muss aber nicht) persönlich sein Die Überprüfung der Information kann durch Menschen oder Maschinen efolgen Beispiele PIN, Passwort, Passsatz, Krytographisches Geheimnis Hauptproblem: Benutzer kann Authentifikationsinformation(en) weitergeben 2011 Prof. Dr. Rolf Oppliger Folie 112
57 Authentifikation 4/27 Etwas-sein -Ansätze basieren auf (persönlichen) biometrischen Merkmalen, die bei der Authentifikation überprüft werden müssen Die Überprüfung kann grundsätzlich durch Menschen oder Maschinen efolgen Beispiele Gesichtszüge Fingerabdrücke Handgeometrien DNA-Proben 2011 Prof. Dr. Rolf Oppliger Folie 113 Authentifikation 5/27 Probleme Benutzer kann nur authentifiziert werden, wenn seine Referenzdaten vorliegen ( Datenbank) Es gibt Fehler ( FAR und FRR müssen gegeneinander abgewogen werden) Grundsätzliche Bedenken und Einwände aus der Sicht des Datenschutzes Die Biometrie eignet sich eher zur Authentifikation als zur Identifikation Sie stellt eine High-end -Technologie dar 2011 Prof. Dr. Rolf Oppliger Folie 114
58 Authentifikation 6/ Prof. Dr. Rolf Oppliger Folie 115 Authentifikation 7/27 Irgendwo-sein -Ansätze basieren auf Informationen über den aktuellen Aufenthaltsort von Personen Location-based Authentifikation Die Auswertung der Informationen kann grundsätzlich durch Menschen oder Maschinen efolgen Man beachte aber, dass Informationen über den aktuellen Aufenthaltsort nicht authentisch sein muss bzw. leicht gefälscht werden kann (z.b. IP-Adressen) 2011 Prof. Dr. Rolf Oppliger Folie 116
59 Authentifikation 8/27 Beispiele Telefonnummernerkennungs- und Rückrufsysteme Berkeley r-tools (rlogin, rsh, rexec, ) Verifikationssysteme für IP-Adressen GPS-basierte Lokationssysteme WLAN-basierte Lokationssysteme 2011 Prof. Dr. Rolf Oppliger Folie 117 Authentifikation 9/27 In der Informatik überwiegen Etwas-wissen -Ansätze in Form von Passwortsystemen Dabei müssen Passworte Server-seitig nicht notwendigerweise im Klartext abgelegt sein Die Passworte können auch als Bilder unter einer Einwegfunktion f abgelegt und verglichen werden Eingegebenes Passwort (pw ) f f(pw )? = f(pw) 2011 Prof. Dr. Rolf Oppliger Folie 118
60 Authentifikation 10/27 Beispiel: UNIX Die Einwegfunktion f wird durch die crypt()-funktion realisiert Crypt() implementiert eine (modifizierte) DES- Chiffrierung (25 Runden), wobei der Nullstrings mit dem Passwort des Benutzers als Schlüssel chiffriert wird Heute werden zum Teil auch andere Einwegfunktionen eingesetzt (z.b. MD5) Um Off-line Wörterbuchangriffe zu erschweren, kann ein Salt -Mechanismus eingesetzt werden Dabei wird die Funktion f durch einen pro Benutzer zufällig gewählten 12-Bit-Wert ( Salt ) parametrisiert 2011 Prof. Dr. Rolf Oppliger Folie 119 Authentifikation 11/27 Das Salt wird im Klartext zusammen mit dem Einwegchiffrierten Passwort in der Passwortdatei abgelegt Salt Passwort Eintrag in der Passwortdatei Salt = 2 druckbare Zeichen Passwort = 11 druckbare Zeichen f Passworteingabe des Benutzers In frühen Systemen war die Passwortdatei öffentlich lesbar Heute werden Passwortdateien meist geshadowed 2011 Prof. Dr. Rolf Oppliger Folie 120
61 Authentifikation 12/27 Probleme von Passwortsystemen Benutzer wählen einfache und einfach zu erratende Passworte ( Password aging, proaktive Passwortchecker, Passwortgeneratoren,... ) Kenntnis einer ganzen Passwortdatei oder einzelner Einweg-chiffrierten Passwörtern ermöglicht Off-line- Wörterbuchangriffe ( Salt -Mechanismus) Werden Passworte in Computernetzen übertragen, können sie entweder direkt mitgelesen oder im Rahmen von Wörterbuchangriffen ermittelt werden ( starke Authentifikationsverfahren) 2011 Prof. Dr. Rolf Oppliger Folie 121 Authentifikation 13/27 Möglichkeit zur Weitergabe von Passworten führt unter anderem zu Phishing -Angriffen Goscinny/Uderzo, Grosser Asterix-Band X, Asterix als Legionär, EHAPA-Verlag GmbH, Stuttgart, 1973, Seite Prof. Dr. Rolf Oppliger Folie 122
62 Authentifikation 14/27 Zudem sind bei Passwortsystemen meist Bruteforce -Angriffe möglich Goscinny/Uderzo, Grosser Asterix-Band X, Asterix als Legionär, EHAPA-Verlag GmbH, Stuttgart, 1973, Seite Prof. Dr. Rolf Oppliger Folie 123 Authentifikation 15/ Prof. Dr. Rolf Oppliger Folie 124
63 Authentifikation 16/ Prof. Dr. Rolf Oppliger Folie 125 Authentifikation 17/27 Base-64 encoded version of <Username>:<Password> 2011 Prof. Dr. Rolf Oppliger Folie 126
64 Authentifikation 18/27 Ein Authentifikationsverfahren kann als stark bezeichnet werden, wenn ein passiver Angreifer im Netz abgehorchte Daten nicht wiederverwenden kann Authentifikationsdaten? 2011 Prof. Dr. Rolf Oppliger Folie 127 Authentifikation 19/27 Beispiele Einweg-Passworte Streichlisten und Transaktionsnummern (TANs) SecurID- und SecOVID-Token Challenge-Response-Verfahren S/Key und OPIE Racal-, Vasco- und andere C/R-Token HTTP Digest Authentication Verfahren auf der Basis von Kryptosystemen mit öffentlichen Schlüsseln 2011 Prof. Dr. Rolf Oppliger Folie 128
65 Authentifikation 20/27 S/Key (MD4) und OPIE (MD5) Initialisierung mit h t (pw) Authentifizierung mit h t-i (pw) für i=1,..., t-1 Ersetzung von h t-i+1 (pw) mit h t-i (pw) in der Passwortdatei h 1000 (pw) = a 0 h 999 (pw) = a 1 h 998 (pw) = a 2... h 2 (pw) = a 998? h(a i ) = a i-1 h(pw) = a Prof. Dr. Rolf Oppliger Folie 129 Authentifikation 21/27 In vernetzten und verteilten Systemen spielen Verfahren und Protokolle auf der Basis von Kryptosystemen mit öffentlichen Schlüsseln eine zunehmend wichtige Rolle Einige dieser Protokolle basieren auf interaktiven Beweis(system)en In einem interaktiven Beweissystem kann ein Teilnehmer durch ein (interaktives) Protokoll etwas beweisen - z.b. eine bestimmte Fähigkeit oder die Kenntnis eines bestimmten Geheimnisses Es handelt sich um Tatbeweise 2011 Prof. Dr. Rolf Oppliger Folie 130
66 Authentifikation 22/27 Beispiele Fähigkeit, Coca Cola und Pepsi zu unterscheiden ( Pepsi-Test) Fähigkeit, Gedanken zu lesen Kenntnis einer mathematischen Formel (z.b. Formel zum Ziehen von Quadrat- oder Kubikwurzeln) Im Gegensatz zu normalen (d.h. nicht-interaktiven) Beweisen, sind interaktive Beweise nicht übertragbar, d.h. aussenstehende Dritte können durch solche Beweise in der Regel nicht überzeugt werden 2011 Prof. Dr. Rolf Oppliger Folie 131 Authentifikation 23/27 Es gibt interaktive Beweissysteme, die die Zero- Knowledge-Eigenschaft haben (Goldwasser, Micali und Rackoff, 1985) Diese Eigenschaft bewirkt, dass im Rahmen einer konkreten Beweisführung (im interaktiven Beweissystem) beweisbar keine Information über den zu beweisenden Gegenstand (d.h. das Geheimnis) freigegeben wird Der Beweiser kann gegenüber dem Verifizierer beweisen, dass er ein Geheimnis kennt, ohne dass der Verifizierer Informationen über dieses Geheimnis erhält 2011 Prof. Dr. Rolf Oppliger Folie 132
67 Authentifikation 24/27 Entsprechend interessant (und vielfältig einsetzbar) sind Authentifikationsprotokolle, die die Zero-Knowledge-Eigenschaft haben Diese Protokolle geben (beweisbar) keine Information über die Authentifikationsinformation preis Formal wird die Zero-Knowledge-Eigenschaft (eines Authentifikationsprotokolles) über die Simulierbarkeit der auszutauschenden Nachrichten bewiesen Für jeden Verifizierer gibt es einen Simulator, der (ohne Kenntnis der Authentifikationsinformation) einen Mitschrieb der Kommunikation (d.h. der auszutauschenden Nachrichten) selbst erzeugen kann 2011 Prof. Dr. Rolf Oppliger Folie 133 Authentifikation 25/27 Beispiel: Fiat-Shamir (FS) Protokoll Annahmen Öffentlich bekannter RSA-Modul n = pq (p und q sind geheim bzw. werden nicht verwendet) Teilnehmer P ( Prover ) hat einen zufällig aus Z n * ausgewählten privaten Schlüssel x P Teilnehmer V ( Verifier ) hat den entsprechenden öffentlichen Schlüssel (n,y P ) mit y P = (x P ) 2 mod n Man kann zeigen, dass es ebenso schwer ist in Z n * Quadratwurzeln zu ziehen wie n zu faktorisieren Entsprechend basiert die Sicherheit des FS-Protokolls auf der Schwierigkeit des Faktorisierungsproblems 2011 Prof. Dr. Rolf Oppliger Folie 134
68 Authentifikation 26/27 Protokollrunde Zufällig aus Z n * gewähltes r s = r 2 e {0,1} Prover t = r (x P ) e e = 0: t = r e = 1: t = r x P Verifier t 2? = s (y P ) e Die Protokollrunde wird k mal wiederholt (k ist Sicher- heitsparameter z.b. k = 20) 2011 Prof. Dr. Rolf Oppliger Folie 135 Authentifikation 27/27 Wenn jemand auf beide e (0 und 1) richtig antworten kann, kann er auch x P berechnen (x P = r x P /r) Entsprechend muss ein Angreifer in jeder Runde e richtig erraten, damit er sich vorbereiten kann e = 0 normaler Protokolllauf (für e=1 fehlt aber x P ) e = 1 t wird zufällig gewählt; s = t 2 /y P ; Protokoll wird mit s angestossen (für e=0 fehlt aber r) In jeder Runde beträgt die Betrugswahrscheinlichkeit 1/2 In k Runden beträgt die Betrugswahrscheinlichkeit (1/2) k = 1/2 k 2011 Prof. Dr. Rolf Oppliger Folie 136
69 Übersicht 1. Einführung 2. Kryptographische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2011 Prof. Dr. Rolf Oppliger Folie Autorisation und Zugriffskontrolle 1/14 Autorisationsdatenbank Subjekt Referenzmonitor Objekt Authentifikation Autorisation Überwachung (Auditing) 2011 Prof. Dr. Rolf Oppliger Folie 138
70 Autorisation und Zugriffskontrolle 2/14 Zugriffskontrollmodelle Modelle für diskrete Zugriffskontrollen (discretionary access control, DAC) Modelle für regelbasierte Zugriffskontrollen (mandatory access control, MAC) Modelle für rollenbasierte Zugriffskontrollen (role-based access control, RBAC) Zum Teil sind diese (und andere) Modelle historisch bedingt ( TCSEC) In der Praxis werden vor allem RBACs eingesetzt 2011 Prof. Dr. Rolf Oppliger Folie 139 Autorisation und Zugriffskontrolle 3/14 Systemkomponenten einer DAC Subjekte s i (i = 1,...,n) aktive Komponenten Objekte o j (j = 1,...,m) passive Komponenten Zugriffsrechte / Privilegien R ij Eigentümerparadigma: In einer DAC ist der Eigentümer eines (Schutz-) Objektes zuständig für die Autorisierung 2011 Prof. Dr. Rolf Oppliger Folie 140
71 Autorisation und Zugriffskontrolle 4/14 Implementation als Zugriffskontrollmatrix (engl. access control matrix, ACM) ist nicht effizient o 1 o 2 o j s 1 s 2 s i R ij 2011 Prof. Dr. Rolf Oppliger Folie 141 Autorisation und Zugriffskontrolle 5/14 Implementationsmöglichkeit 1: Objekt-spezifische (linear verkettete) Listen Zugriffskontrolllisten (engl. access control lists, ACLs) o 1 o 2 o j 2011 Prof. Dr. Rolf Oppliger Folie 142
72 Autorisation und Zugriffskontrolle 6/14 Implementationsmöglichkeit 2: Subjekt-spezifische (linear verkettete) Listen Fähigkeits- oder C-Listen (engl. capabilities lists) s 1 s Prof. Dr. Rolf Oppliger Folie 143 Autorisation und Zugriffskontrolle 7/14 Praktische Probleme Entscheidbarkeit Die Frage, ob ein Subjekt in den Besitz eines Zugriffs- rechtes für ein Objekt kommen kann, ist i.a. nicht bzw. nur für eingeschränkte Befehlssätze entscheidbar Widerrufung von Zugriffsrechten Im Prinzip muss die Historie der Ausbreitung der Zugriffsrechte aufgezeichnet und verwaltet werden Die Unterwanderungen einer DAC ist für berechtigte Benutzer immer möglich ( keine Informations- flusskontrolle) 2011 Prof. Dr. Rolf Oppliger Folie 144
73 Autorisation und Zugriffskontrolle 8/14 Im Rahmen einer MAC ist der Ersteller der Regeln für die Informationsflüsse und deren Autorisierung zuständig (anstelle des Eigentümers) Entsprechend werden Informationsflüsse (ohne Einfluss der Objekteigentümer) kontrolliert Damit verspricht man sich Vorteile in bezug auf die Unterwanderung der Zugriffskontrolle Um eine MAC umzusetzen, müssen Subjekte ermächtigt und Objekte eingestuft werden 2011 Prof. Dr. Rolf Oppliger Folie 145 Autorisation und Zugriffskontrolle 9/14 Beispiel 1: Militärsiches Modell Sicherheitsklassen stammen aus dem Produkteverband eines total geordneten Verbands und eines Untermengenverbands Auf ein Objekt (SECRET,{A}) können z.b. Subjekte zugreifen, die als (TOP SECRET,{A}) oder (SECRET,{A,B}) ermächtigt worden sind, nicht aber Subjekte, die als (CONFIDENTIAL,{A}) oder (SECRET,{B,C}) ermächtigt worden sind 2011 Prof. Dr. Rolf Oppliger Folie 146
74 Autorisation und Zugriffskontrolle 10/14 Beispiel 2 Bell-LaPadula-Modell (1973) Vertraulichkeitsschutz Einfache Sicherheitseigenschaft ( no read up ) s i darf o j nur lesen, wenn C(s i ) C(o j ) erfüllt ist *-Eigenschaft ( no write down ) s i darf auf o j nur schreiben, wenn C(s i ) C(o j ) erfüllt ist 2011 Prof. Dr. Rolf Oppliger Folie 147 Autorisation und Zugriffskontrolle 11/14 Beispiel 3 Biba-Modell (1977) Integritätsschutz (zum Bell- LaPadula-Modell duales Modell) Einfache Integritätseigenschaft ( no read down ) s i darf o j nur lesen, wenn I(s i ) I(o j ) erfüllt ist *- Integritätseigenschaft ( no write up ) s i darf auf o j nur schreiben, wenn I(s i ) I(o j ) erfüllt ist 2011 Prof. Dr. Rolf Oppliger Folie 148
75 Autorisation und Zugriffskontrolle 12/14 WRITE READ S i READ Bell-LaPadula- Modell Biba-Modell WRITE 2011 Prof. Dr. Rolf Oppliger Folie 149 Autorisation und Zugriffskontrolle 13/14 Eine RBAC ist i.p. eine DAC (die Zuordnung der Zugriffsrechte findet aber über Rollen statt) Subjekte treten in bestimmten Rollen auf Auf Objekte können Subjekte in Rollen zugreifen CTO Systemadministrator Zugriffsberechtigt: Systemadministratoren Leiter Projekt X 2011 Prof. Dr. Rolf Oppliger Folie 150
76 Autorisation und Zugriffskontrolle 14/14 RBACs entsprechen dem Stand der Technik Beispiel: Windows XP 2011 Prof. Dr. Rolf Oppliger Folie 151 Übersicht 1. Einführung 2. Kryptographische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2011 Prof. Dr. Rolf Oppliger Folie 152
Vorlesung FS 2010 Sicherheit in der Informationstechnik. 2010 Prof. Dr. Rolf Oppliger Folie 1
Vorlesung FS 2010 Sicherheit in der Informationstechnik 2010 Prof. Dr. Rolf Oppliger Folie 1 Termine 22. Februar 2010 8. März 2010 22. März 2010 29. März 2010 26. April 2010 3. Mai 2010 17. Mai 2010 7.
MehrInformatik für Ökonomen II HS 09
Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und
MehrDigitale Signaturen. Sven Tabbert
Digitale Signaturen Sven Tabbert Inhalt: Digitale Signaturen 1. Einleitung 2. Erzeugung Digitaler Signaturen 3. Signaturen und Einweg Hashfunktionen 4. Digital Signature Algorithmus 5. Zusammenfassung
Mehr12 Kryptologie. ... immer wichtiger. Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce WWW...
12 Kryptologie... immer wichtiger Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce WWW... Kryptologie = Kryptographie + Kryptoanalyse 12.1 Grundlagen 12-2 es gibt keine einfachen Verfahren,
Mehr10.6 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen
10.6 Authentizität Zur Erinnerung: Geheimhaltung: nur der Empfänger kann die Nachricht lesen Integrität: Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde Authentizität: es ist sichergestellt,
MehrDiffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002
Diffie-Hellman, ElGamal und DSS Vortrag von David Gümbel am 28.05.2002 Übersicht Prinzipielle Probleme der sicheren Nachrichtenübermittlung 'Diskreter Logarithmus'-Problem Diffie-Hellman ElGamal DSS /
Mehr10. Public-Key Kryptographie
Stefan Lucks 10. PK-Krypto 274 orlesung Kryptographie (SS06) 10. Public-Key Kryptographie Analyse der Sicherheit von PK Kryptosystemen: Angreifer kennt öffentlichen Schlüssel Chosen Plaintext Angriffe
MehrDigitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen
Sommersemester 2008 Digitale Unterschriften Unterschrift von Hand : Physikalische Verbindung mit dem unterschriebenen Dokument (beides steht auf dem gleichen Blatt). Fälschen erfordert einiges Geschick
Mehr11. Das RSA Verfahren und andere Verfahren
Chr.Nelius: Kryptographie (SS 2011) 31 11. Das RSA Verfahren und andere Verfahren Eine konkrete Realisierung eines Public Key Kryptosystems ist das sog. RSA Verfahren, das im Jahre 1978 von den drei Wissenschaftlern
MehrKonzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit. Asymmetrische Verschlüsselung, Digitale Signatur
Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit Thema: Asymmetrische Verschlüsselung, Digitale Signatur Vortragender: Rudi Pfister Überblick: Asymmetrische Verschlüsselungsverfahren - Prinzip
MehrAsymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau
Asymmetrische Verschlü erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau Gliederung 1) Prinzip der asymmetrischen Verschlü 2) Vergleich mit den symmetrischen Verschlü (Vor- und Nachteile)
MehrAuthentikation und digitale Signatur
TU Graz 23. Jänner 2009 Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Begriffe Alice und
Mehr9 Schlüsseleinigung, Schlüsselaustausch
9 Schlüsseleinigung, Schlüsselaustausch Ziel: Sicherer Austausch von Schlüsseln über einen unsicheren Kanal initiale Schlüsseleinigung für erste sichere Kommunikation Schlüsselerneuerung für weitere Kommunikation
MehrDigital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine)
Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen Vorlesung im Sommersemester 2010 an der Technischen Universität Ilmenau von Privatdozent Dr.-Ing. habil. Jürgen
MehrTermine. Vorlesung FS 2010 Sicherheit in der Informationstechnik
Vorlesung FS 2010 Sicherheit in der Informationstechnik 2010 Prof. Dr. Rolf Oppliger Folie 1 Termine 22. Februar 2010 8. März 2010 22. März 2010 29. März 2010 26. April 2010 3. Mai 2010 17. Mai 2010 7.
MehrKryptographie eine erste Ubersicht
Kryptographie eine erste Ubersicht KGV bedeutet: Details erfahren Sie in der Kryptographie-Vorlesung. Abgrenzung Steganographie: Das Kommunikationsmedium wird verborgen. Klassische Beispiele: Ein Bote
MehrWiederholung: Informationssicherheit Ziele
Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,
Mehr8: Zufallsorakel. Wir suchen: Einfache mathematische Abstraktion für Hashfunktionen
Stefan Lucks 8: Zufallsorakel 139 Kryptogr. Hashfunkt. (WS 08/09) 8: Zufallsorakel Unser Problem: Exakte Eigenschaften von effizienten Hashfunktionen nur schwer erfassbar (z.b. MD5, Tiger, RipeMD, SHA-1,...)
Mehr10. Kryptographie. Was ist Kryptographie?
Chr.Nelius: Zahlentheorie (SoSe 2015) 39 10. Kryptographie Was ist Kryptographie? Die Kryptographie handelt von der Verschlüsselung (Chiffrierung) von Nachrichten zum Zwecke der Geheimhaltung und von dem
MehrSecurity Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis
Wie Interoperabel ist IPsec? Ein Erfahrungsbericht Arturo Lopez Senior Consultant März 2003 Agenda Internet Protokoll Security (IPsec) implementiert Sicherheit auf Layer 3 in OSI Modell Application Presentation
MehrBeweisbar sichere Verschlüsselung
Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 6
MehrReaktive Sicherheit. II. Passwörter. Dr. Michael Meier. technische universität dortmund
Reaktive Sicherheit II. Passwörter Dr. Michael Meier technische universität dortmund Fakultät für Informatik Lehrstuhl VI, Informationssysteme und Sicherheit 20. Oktober 2009 Grundlegendes Grundlegendes
MehrIT-Sicherheit: Kryptographie. Asymmetrische Kryptographie
IT-Sicherheit: Kryptographie Asymmetrische Kryptographie Fragen zur Übung 5 C oder Java? Ja (gerne auch Python); Tips waren allerdings nur für C Wie ist das mit der nonce? Genau! (Die Erkennung und geeignete
MehrDas RSA-Verschlüsselungsverfahren 1 Christian Vollmer
Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer Allgemein: Das RSA-Verschlüsselungsverfahren ist ein häufig benutztes Verschlüsselungsverfahren, weil es sehr sicher ist. Es gehört zu der Klasse der
MehrEffizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:
Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC: Hashe m {0, 1} auf einen Hashwert in {0, 1} n. Verwende Π MAC3 für Nachrichten fixer Länge auf dem Hashwert. Wir konstruieren Π MAC3 mittels
MehrNetzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009
Netzsicherheit I, WS 2008/2009 Übung 12 Prof. Dr. Jörg Schwenk 20.01.2009 Aufgabe 1 1 Zertifikate im Allgemeinen a) Was versteht man unter folgenden Begriffen? i. X.509 X.509 ist ein Standard (Zertifikatsstandard)
MehrEinführung in die moderne Kryptographie
c by Rolf Haenni (2006) Seite 1 Von der Caesar-Verschlüsselung zum Online-Banking: Einführung in die moderne Kryptographie Prof. Rolf Haenni Reasoning under UNcertainty Group Institute of Computer Science
MehrErste Vorlesung Kryptographie
Erste Vorlesung Kryptographie Andre Chatzistamatiou October 14, 2013 Anwendungen der Kryptographie: geheime Datenübertragung Authentifizierung (für uns = Authentisierung) Daten Authentifizierung/Integritätsprüfung
MehrIT-Sicherheit Kapitel 3 Public Key Kryptographie
IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 13.05.2013 1 / 16 Überblick 1 Asymmetrische Verschlüsselung Erinnerung Andere Verfahren Demonstration Zusammenfassung 2 Symmetrische Authentifikation von Nachrichten
MehrDas Kerberos-Protokoll
Konzepte von Betriebssystemkomponenten Schwerpunkt Authentifizierung Das Kerberos-Protokoll Referent: Guido Söldner Überblick über Kerberos Network Authentication Protocol Am MIT Mitte der 80er Jahre entwickelt
MehrGrundlagen der Verschlüsselung und Authentifizierung (2)
Grundlagen der Verschlüsselung und Authentifizierung (2) Benjamin Klink Friedrich-Alexander Universität Erlangen-Nürnberg Benjamin.Klink@informatik.stud.uni-erlangen.de Proseminar Konzepte von Betriebssystem-Komponenten
MehrWas heißt Kryptographie I? Understanding Cryptography Christof Paar und Jan Pelzl
Was heißt Kryptographie I? Understanding Cryptography Christof Paar und Jan Pelzl Die Autoren Dr.-Ing. Jan Pelzl Prof. Dr.-Ing. Christof Paar Gliederung Historischer Überblick Begrifflichkeiten Symmetrische
MehrVerteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen
Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten
MehrKryptographie und Fehlertoleranz für Digitale Magazine
Stefan Lucks Kryptographie und Fehlertoleranz für digitale Magazine 1 Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Professur für Mediensicherheit 13. März 2013 Stefan Lucks Kryptographie
MehrAlgorithmische Kryptographie
Algorithmische Kryptographie Walter Unger, Dirk Bongartz Lehrstuhl für Informatik I 27. Januar 2005 Teil I Mathematische Grundlagen Welche klassischen Verfahren gibt es? Warum heissen die klassischen Verfahren
MehrInstitut für Informatik Sicherheit in der Informationstechnik
Sicherheit in der Informationstechnik Prof. Dr. Rolf Oppliger Version: 8. Mai 2012 Termine 20. Februar 2012 5. März 2012 19. März 2012 2. April 2012 23. April 2012 7. Mai 2012 21. Mai 2012 11. Juni 2012
MehrExkurs Kryptographie
Exkurs Kryptographie Am Anfang Konventionelle Krytographie Julius Cäsar mißtraute seinen Boten Ersetzen der Buchstaben einer Nachricht durch den dritten folgenden im Alphabet z. B. ABCDEFGHIJKLMNOPQRSTUVWXYZ
MehrVerteilte Systeme. Übung 10. Jens Müller-Iden
Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten
MehrBernd Blümel. Verschlüsselung. Prof. Dr. Blümel
Bernd Blümel 2001 Verschlüsselung Gliederung 1. Symetrische Verschlüsselung 2. Asymetrische Verschlüsselung 3. Hybride Verfahren 4. SSL 5. pgp Verschlüsselung 111101111100001110000111000011 1100110 111101111100001110000111000011
MehrEine Praxis-orientierte Einführung in die Kryptographie
Eine Praxis-orientierte Einführung in die Kryptographie Mag. Lukas Feiler, SSCP lukas.feiler@lukasfeiler.com http://www.lukasfeiler.com/lectures_brg9 Verschlüsselung & Entschlüsselung Kryptographie & Informationssicherheit
MehrKryptographie oder Verschlüsselungstechniken
Kryptographie oder Verschlüsselungstechniken Dortmund, Dezember 1999 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX:
MehrNAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner
Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network
MehrIT-Sicherheit Kapitel 11 SSL/TLS
IT-Sicherheit Kapitel 11 SSL/TLS Dr. Christian Rathgeb Sommersemester 2014 1 Einführung SSL/TLS im TCP/IP-Stack: SSL/TLS bietet (1) Server-Authentifizierung oder Server und Client- Authentifizierung (2)
MehrWiederholung: Informationssicherheit Ziele
Wiederholung: Informationssicherheit Ziele Vertraulichkeit : Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Methode: Verschüsselung symmetrische Verfahren
MehrGrundlagen der Kryptographie
Grundlagen der Kryptographie Seminar zur Diskreten Mathematik SS2005 André Latour a.latour@fz-juelich.de 1 Inhalt Kryptographische Begriffe Primzahlen Sätze von Euler und Fermat RSA 2 Was ist Kryptographie?
MehrKryptographie praktisch erlebt
Kryptographie praktisch erlebt Dr. G. Weck INFODAS GmbH Köln Inhalt Klassische Kryptographie Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Digitale Signaturen Erzeugung gemeinsamer Schlüssel
MehrComputeralgebra in der Lehre am Beispiel Kryptografie
Kryptografie Grundlagen RSA KASH Computeralgebra in der Lehre am Beispiel Kryptografie Institut für Mathematik Technische Universität Berlin Kryptografie Grundlagen RSA KASH Überblick Kryptografie mit
MehrVoll homomorpe Verschlüsselung
Voll homomorpe Verschlüsselung Definition Voll homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : R R für Ringe R, R. Π heißt voll homomorph, falls 1 Enc(m 1 ) + Enc(m 2 ) eine gültige
MehrPrimzahlen und RSA-Verschlüsselung
Primzahlen und RSA-Verschlüsselung Michael Fütterer und Jonathan Zachhuber 1 Einiges zu Primzahlen Ein paar Definitionen: Wir bezeichnen mit Z die Menge der positiven und negativen ganzen Zahlen, also
MehrBetriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere E-Mail
Betriebssysteme und Sicherheit Sicherheit Signaturen, Zertifikate, Sichere E-Mail Frage Public-Key Verschlüsselung stellt Vertraulichkeit sicher Kann man auch Integrität und Authentizität mit Public-Key
MehrKryptographische Systeme (M, C, K, e, d) Symmetrische Verfahren (gleicher Schlüssel zum Verschlüsseln und Entschlüsseln):
Was bisher geschah Kryptographische Systeme (M, C, K, e, d) Symmetrische Verfahren (gleicher Schlüssel zum Verschlüsseln und Entschlüsseln): Substitutions-Chiffren (Permutationschiffren): Ersetzung jedes
Mehr17 Ein Beispiel aus der realen Welt: Google Wallet
17 Ein Beispiel aus der realen Welt: Google Wallet Google Wallet (seit 2011): Kontaktlose Bezahlen am Point of Sale Kreditkarten werden im Sicherheitselement des Smartphone abgelegt Kommunikation über
MehrDatensicherheit und Datenschutz. Datenschutz. Datensicherheit. Schutz von Personen. Schutz von Daten. (setzt Datensicherheit voraus)
Seite 1 Datensicherheit und Datenschutz Datensicherheit Datenschutz (setzt Datensicherheit voraus) Schutz von Daten Schutz von Personen (über die die Daten Aussagen zulassen; Privacy) Seite 2 Datensicherheit
MehrZur Sicherheit von RSA
Zur Sicherheit von RSA Sebastian Petersen 19. Dezember 2011 RSA Schlüsselerzeugung Der Empfänger (E) wählt große Primzahlen p und q. E berechnet N := pq und ϕ := (p 1)(q 1). E wählt e teilerfremd zu ϕ.
MehrKryptographie II. Introduction to Modern Cryptography. Jonathan Katz & Yehuda Lindell
Kryptographie II Introduction to Modern Cryptography Jonathan Katz & Yehuda Lindell Universität zu Köln, WS 13/14 Medienkulturwissenschaft / Medieninformatik AM2: Humanities Computer Science Aktuelle Probleme
MehrMail encryption Gateway
Mail encryption Gateway Anwenderdokumentation Copyright 06/2015 by arvato IT Support All rights reserved. No part of this document may be reproduced or transmitted in any form or by any means, electronic
MehrSicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013
Sicherheit in Netzwerken Leonard Claus, WS 2012 / 2013 Inhalt 1 Definition eines Sicherheitsbegriffs 2 Einführung in die Kryptografie 3 Netzwerksicherheit 3.1 E-Mail-Sicherheit 3.2 Sicherheit im Web 4
MehrIn beiden Fällen auf Datenauthentizität und -integrität extra achten.
Stromchiffren Verschlüsseln eines Stroms von Daten m i (Bits/Bytes) mithilfe eines Schlüsselstroms k i in die Chiffretexte c i. Idee: Im One-Time Pad den zufälligen Schlüssel durch eine pseudo-zufällige
MehrMulticast Security Group Key Management Architecture (MSEC GKMArch)
Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen
MehrKryptographie. = verborgen + schreiben
Kryptographie Kryptographie = kruptóc + gráfein = verborgen + schreiben Allgemeiner: Wissenschaft von der Sicherung von Daten und Kommunikation gegen Angriffe Dritter (allerdings nicht auf technischer
MehrVerschlüsselung. Chiffrat. Eve
Das RSA Verfahren Verschlüsselung m Chiffrat m k k Eve? Verschlüsselung m Chiffrat m k k Eve? Aber wie verteilt man die Schlüssel? Die Mafia-Methode Sender Empfänger Der Sender verwendet keine Verschlüsselung
MehrSicherheit von PDF-Dateien
Sicherheit von PDF-Dateien 1 Berechtigungen/Nutzungsbeschränkungen zum Drucken Kopieren und Ändern von Inhalt bzw. des Dokumentes Auswählen von Text/Grafik Hinzufügen/Ändern von Anmerkungen und Formularfeldern
MehrSymmetrische und Asymmetrische Kryptographie. Technik Seminar 2012
Symmetrische und Asymmetrische Kryptographie Technik Seminar 2012 Inhalt Symmetrische Kryptographie Transpositionchiffre Substitutionchiffre Aktuelle Verfahren zur Verschlüsselung Hash-Funktionen Message
Mehr6.2 Perfekte Sicherheit
04 6.2 Perfekte Sicherheit Beweis. H(B AC) + H(A C) = H(ABC) H(AC) + H(AC) H(C) Wegen gilt Einsetzen in die Definition gibt = H(AB C). H(A BC) = H(AB C) H(B C). I(A; B C) = H(A C) H(AB C) + H(B C). Da
MehrProgrammiertechnik II
X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel
MehrNachrichten- Verschlüsselung Mit S/MIME
Nachrichten- Verschlüsselung Mit S/MIME Höma, watt is S/MIME?! S/MIME ist eine Methode zum signieren und verschlüsseln von Nachrichten, ähnlich wie das in der Öffentlichkeit vielleicht bekanntere PGP oder
Mehr2. Realisierung von Integrität und Authentizität
2. Realisierung von Integrität und Authentizität Zur Prüfung der Integrität einer Nachricht oder Authentizität einer Person benötigt die prüfende Instanz eine zusätzliche Information, die nur vom Absender
MehrKryptographische Verfahren auf Basis des Diskreten Logarithmus
Kryptographische Verfahren auf Basis des Diskreten Logarithmus -Vorlesung Public-Key-Kryptographie SS2010- Sascha Grau ITI, TU Ilmenau, Germany Seite 1 / 18 Unser Fahrplan heute 1 Der Diskrete Logarithmus
MehrVerschlüsselung. Kirchstraße 18 Steinfelderstraße 53 76831 Birkweiler 76887 Bad Bergzabern. 12.10.2011 Fabian Simon Bfit09
Verschlüsselung Fabian Simon BBS Südliche Weinstraße Kirchstraße 18 Steinfelderstraße 53 76831 Birkweiler 76887 Bad Bergzabern 12.10.2011 Fabian Simon Bfit09 Inhaltsverzeichnis 1 Warum verschlüsselt man?...3
MehrMerkblatt: Sichere E-Mail-Kommunikation zur datenschutz cert GmbH
Version 1.3 März 2014 Merkblatt: Sichere E-Mail-Kommunikation zur datenschutz cert GmbH 1. Relevanz der Verschlüsselung E-Mails lassen sich mit geringen Kenntnissen auf dem Weg durch die elektronischen
MehrKryptographie I Symmetrische Kryptographie
Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2010/11 Krypto I - Vorlesung 01-11.10.2010 Verschlüsselung, Kerckhoffs, Angreifer,
MehrUmstellung des Schlüsselpaares der Elektronischen Unterschrift von A003 (768 Bit) auf A004 (1024 Bit)
Umstellung des Schlüsselpaares der Elektronischen Unterschrift von A003 (768 Bit) auf A004 (1024 Bit) 1. Einleitung Die Elektronische Unterschrift (EU) dient zur Autorisierung und Integritätsprüfung von
Mehr1 Kryptosysteme 1 KRYPTOSYSTEME. Definition 1.1 Eine Kryptosystem (P(A), C(B), K, E, D) besteht aus
1 RYPTOSYSTEME 1 ryptosysteme Definition 1.1 Eine ryptosystem (P(A), C(B),, E, D) besteht aus einer Menge P von lartexten (plaintext) über einem lartextalphabet A, einer Menge C von Geheimtexten (ciphertext)
MehrKapitel 3: Etwas Informationstheorie
Stefan Lucks 3: Informationstheorie 28 orlesung Kryptographie (SS06) Kapitel 3: Etwas Informationstheorie Komplexitätstheoretische Sicherheit: Der schnellste Algorithmus, K zu knacken erfordert mindestens
MehrAuthentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof
Authentifizierung Benutzerverwaltung mit Kerberos Referent: Jochen Merhof Überblick über Kerberos Entwickelt seit Mitte der 80er Jahre am MIT Netzwerk-Authentifikations-Protokoll (Needham-Schroeder) Open-Source
MehrZusammenfassung der Vorlesung vom 15.4.2015
Zusammenfassung der Vorlesung vom 15.4.2015 Für welche Schutzziele ist Kryptographie der geeignete Schutzmechanismus? Was genau kann erreicht werden (verhindern / entdecken)? Was besagt das Prinzip von
MehrKryptologie. Verschlüsselungstechniken von Cäsar bis heute. Arnulf May
Kryptologie Verschlüsselungstechniken von Cäsar bis heute Inhalt Was ist Kryptologie Caesar Verschlüsselung Entschlüsselungsverfahren Die Chiffrierscheibe Bestimmung der Sprache Vigenére Verschlüsselung
MehrSicherheit von hybrider Verschlüsselung
Sicherheit von hybrider Verschlüsselung Satz Sicherheit hybrider Verschlüsselung Sei Π ein CPA-sicheres PK-Verschlüsselungsverfahren und Π ein KPA-sicheres SK-Verschlüsselungsverfahren. Dann ist das hybride
MehrRSA Verfahren. Kapitel 7 p. 103
RSA Verfahren RSA benannt nach den Erfindern Ron Rivest, Adi Shamir und Leonard Adleman war das erste Public-Key Verschlüsselungsverfahren. Sicherheit hängt eng mit der Schwierigkeit zusammen, große Zahlen
MehrIT-Sicherheit. IT-Sicherheit. Axel Pemmann. 03. September 2007
IT-Sicherheit Axel Pemmann 03. September 2007 1 / 12 1 Authentifizierungsmöglichkeiten Zwei Verschlüsselungsverfahren Authentifizierung von Nachrichten Handshake-Protokolle Verwaltung von Schlüsseln 2
MehrStammtisch 04.12.2008. Zertifikate
Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate
Mehr8. Von den Grundbausteinen zu sicheren Systemen
Stefan Lucks 8. Grundb. sich. Syst. 211 orlesung Kryptographie (SS06) 8. Von den Grundbausteinen zu sicheren Systemen Vorlesung bisher: Bausteine für Kryptosysteme. Dieses Kapitel: Naiver Einsatz der Bausteine
MehrDigitale Magazine ohne eigenen Speicher
Stefan Lucks Digitale Magazine ohne eigenen Speicher 1 Digitale Magazine ohne eigenen Speicher Wie man die Integrität fremdgespeicherter Archivalien sicherstellen kann Stefan Lucks Professur für Mediensicherheit
MehrEinfache kryptographische Verfahren
Einfache kryptographische Verfahren Prof. Dr. Hagen Knaf Studiengang Angewandte Mathematik 26. April 2015 c = a b + a b + + a b 1 11 1 12 2 1n c = a b + a b + + a b 2 21 1 22 2 2n c = a b + a b + + a b
MehrVirtual Private Network. David Greber und Michael Wäger
Virtual Private Network David Greber und Michael Wäger Inhaltsverzeichnis 1 Technische Grundlagen...3 1.1 Was ist ein Virtual Private Network?...3 1.2 Strukturarten...3 1.2.1 Client to Client...3 1.2.2
MehrE-Mail-Verschlüsselung
E-Mail-Verschlüsselung German Privacy Foundation e.v. Schulungsreihe»Digitales Aikido«Workshop am 15.04.2009 Jan-Kaspar Münnich (jan.muennich@dotplex.de) Übertragung von E-Mails Jede E-Mail passiert mindestens
MehrU3L Ffm Verfahren zur Datenverschlüsselung
U3L Ffm Verfahren zur Datenverschlüsselung Definition 2-5 Symmetrische Verschlüsselung 6-7 asymmetrischer Verschlüsselung (Public-Key Verschlüsselung) 8-10 Hybride Verschlüsselung 11-12 Hashfunktion/Digitale
MehrKundeninformationen zur Sicheren E-Mail
S Sparkasse der Stadt Iserlohn Kundeninformationen zur Sicheren E-Mail Informationen zur Sicheren E-Mail erhalten Sie bei Ihrem Berater, oder bei den Mitarbeiter aus dem Team ElectronicBanking unter der
MehrIT-Sicherheit IAIK 1
IT-Sicherheit IAIK 1 Motivation Rechner enthalten Informationen Informationen haben Wert Manche Firmen: gesamter Wert in elektronischer Form Aufgabe von Betriebssystemen: Information vor unautorisierter
MehrReale Nutzung kryptographischer Verfahren in TLS/SSL
Reale Nutzung kryptographischer Verfahren in TLS/SSL CeBIT 2009/03/06 Dominique Petersen petersen (at) internet-sicherheit.de Institut für Internet-Sicherheit https://www.internet-sicherheit.de Fachhochschule
MehrWireless LAN (WLAN) Sicherheit
Wireless LAN (WLAN) Sicherheit Prof. Dr. Rolf Oppliger Folie 1 Übersicht 1. Einführung 2. WEP 3. WPA 4. WPA2 5. Sicherheitsempfehlungen 6. Situation an der UZH (inkl. IFI) 7. Schlussfolgerungen und Ausblick
MehrGeschichte und Überlick über Authentifizierungsmechanismen unter UNIX
Unix-, shadow- und md5- Passwörter, PAM Geschichte und Überlick über Authentifizierungsmechanismen unter UNIX Thomas Glanzmann (sithglan@stud.uni-erlangen.de) Lehrstuhl 4 Informatik - FAU Erlangen-Nürnberg
MehrAnleitung Thunderbird Email Verschlu sselung
Anleitung Thunderbird Email Verschlu sselung Christoph Weinandt, Darmstadt Vorbemerkung Diese Anleitung beschreibt die Einrichtung des AddOn s Enigmail für den Mailclient Thunderbird. Diese Anleitung gilt
MehrGrundlagen der Theoretischen Informatik, SoSe 2008
1. Aufgabenblatt zur Vorlesung Grundlagen der Theoretischen Informatik, SoSe 2008 (Dr. Frank Hoffmann) Lösung von Manuel Jain und Benjamin Bortfeldt Aufgabe 2 Zustandsdiagramme (6 Punkte, wird korrigiert)
MehrAutorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente
Autorisierung Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Dokumentation zum Referat von Matthias Warnicke und Joachim Schröder Modul: Komponenten basierte Softwareentwickelung
MehrWiederholung: Informationssicherheit Ziele
Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Verschlüsselungsverfahren Integrität: Garantie
MehrWeb of Trust, PGP, GnuPG
Seminar Konzepte von Betriebssystem-Komponenten Web of Trust, PGP, GnuPG von Tobias Sammet tobias.sammet@informatik.stud.uni-erlangen.de 16. Juni 2010 Motivation Szenario: E-Mail-Verschlüsselung Angreifer
MehrDas RSA-Verfahren. Armin Litzel. Proseminar Kryptographische Protokolle SS 2009
Das RSA-Verfahren Armin Litzel Proseminar Kryptographische Protokolle SS 2009 1 Einleitung RSA steht für die drei Namen Ronald L. Rivest, Adi Shamir und Leonard Adleman und bezeichnet ein von diesen Personen
Mehr