OS4X - OFTP2. Viele Themenbereiche arbeiten zusammen: Zertifikate. Vertrauensstellungen CRL. Cipher Suites CSR TSL TLS. Zertifikataustausch

Größe: px
Ab Seite anzeigen:

Download "OS4X - OFTP2. Viele Themenbereiche arbeiten zusammen: Zertifikate. Vertrauensstellungen CRL. Cipher Suites CSR TSL TLS. Zertifikataustausch"

Transkript

1 OFTP2

2 Viele Themenbereiche arbeiten zusammen: Zertifikate Vertrauensstellungen CRL Cipher Suites CSR TSL TLS Zertifikataustausch

3 OFTP2 - Sicherheitsaspekte Es gibt mehrere Funktionen, die Sicherheit in OFTP2 umsetzen: Transportverschlüsselung: TLS ( Transport Layer Security ). Verschlüsselte TCP/IP-Verbindung, Möglichkeit der Authentifikation durch Clientzertifikat) OFTP2 Secure Authentification: Verschlüsselung eines dynamischen Tokens, Austausch und beidseitige Gegenverifikation Dateiverschlüsselung: nur der Empfänger kann die Datei nutzen Dateisignatur: Verifikation des Absenders signierte EERP/NERP: Empfangsbestätigung einer Datei garantiert vom Empfänger

4 OFTP2 - Sicherheitsaspekte Partnerbasierte Administration:

5 Zertifikate: Grundlage aller Sicherheit Format: X509v3 (dokumentiert in Odette OFTP2 Implementation Guideline) Datenformat: in OS4X durchgehend in PEM (ASCII-Text, Base64-codiert) Verwaltung notwendig für Vertrauensstellung und Nutzung

6 Zertifikate - Basics OS4X - OFTP2 Attribute eines Zertifikats: Eigentümer ( subject ), Ersteller ( issuer ) Gültigkeit (von... bis...) Fähigkeiten (Verschlüsselung, Signatur, Server, Client,...) Seriennummer ( serial number ) Version (v3, codiert als 2 ) CRL Distribution Point (URL, LDAP,...) Signatur Ist es eine CA? frei definierbare Felder (deshalb X509v3)

7 Zertifikate - Basics Zertifikate sind öffentlich OS4X - OFTP2 Nur der Inhaber des privaten Schlüssels kann mitsamt des Zertifikats sichere Aktionen auslösen (Signieren, Entschlüsseln, Zertifikat zurückrufen, Zertifikat verlängern,...) Zertifikate mit gleichem Subject und Issuer müssen nicht gleich sein: Mathematisch unterschiedliche Ergebnisse bei der Verarbeitung der Signatur auf Basis eines anderen privaten Schlüssels. Textuelle Informationen auf Basis des Subjects und Issuers sind damit nicht ausschlaggebend für die Sicherheit und damit Vertrauensstellung des Zertifikats. Einzig die Ergebnisse der Algorithmen geben Aufschluss über die Validität der Aktionen. Merke: In Verbindung mit dem privaten (geheimzuhaltenden) Schlüssel werden Zertifikate privat. Ohne private key sind sie öffentlich ( public ).

8 Zertifikate - manuelle Handhabung! Zertifikate können mittels Tools dargestellt werden. In OS4X eingesetzt: openssl Wichtig ist das Format: PEM oder DER. Default von openssl ist immer PEM. Immer. Überall.

9 X509v3-Zertifikat im PEM-Format imac-i7:oftp2 haraldlatzko$ cat CA04.cer -----BEGIN CERTIFICATE----- MIIHOTCCAyGgAwIBAgIBLjANBgkqhkiG9w0BAQUFADB0MQswCQYDVQQGEwJERTEc MBoGA1UEBwwTNzEwODggSG9semdlcmxpbmdlbjELMAkGA1UECAwCQlcxFTATBgNV BAoMDGMtd29ya3MgR21iSDELMAkGA1UECwwCQ0ExFjAUBgNVBAMMDUhhcmFsZCBM YXR6a28wHhcNMTAwODExMTM1NjA0WhcNMTEwODExMTM1NjA0WjB3MQswCQYDVQQG EwJERTELMAkGA1UECAwCQlcxFjAUBgNVBAcMDUhvbHpnZXJsaW5nZW4xFTATBgNV BAoMDGMtd29ya3MgR21iSDEUMBIGA1UECwwLRGV2ZWxvcG1lbnQxFjAUBgNVBAMM DUhhcmFsZCBMYXR6a28wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAM2ehcqG NMtYdofjjJ6SVyA5Fkkg+ySxKXTdZvQkAw60NO+/4qd0/LLaSDim3cTJXW0ezdlc urfaxjpjlkms/xkxltwfuyol+iq6sk0l99q2wkntt7f87la3yq9kkpmvdgngblte F4G89wi6t4WWdQrmsZayg4zdXwXfvNCy9jQdAgMBAAGjggFVMIIBUTAJBgNVHRME AjAAMBEGCWCGSAGG+EIBAQQEAwIGwDALBgNVHQ8EBAMCBPAwHQYDVR0lBBYwFAYI KwYBBQUHAwEGCCsGAQUFBwMCMC8GCWCGSAGG+EIBDQQiFiBVc2VyIENlcnRpZmlj YXRlIG9mIGMtd29ya3MgR21iSDAbBgNVHRIEFDASgRBzdXBwb3J0QG9zNHguY29t MDsGCWCGSAGG+EIBBAQuFixodHRwOi8vb3BlbmNhLm9zNHguY29tL3BraS9wdWIv Y3JsL2NhY3JsLmNybDA7BglghkgBhvhCAQMELhYsaHR0cDovL29wZW5jYS5vczR4 LmNvbS9wa2kvcHViL2NybC9jYWNybC5jcmwwPQYDVR0fBDYwNDAyoDCgLoYsaHR0 cdovl29wzw5jys5vczr4lmnvbs9wa2kvchvil2nybc9jywnybc5jcmwwdqyjkozi hvcnaqefbqadggqbafu82zoujqphu9gvvfp43mfmvzsya4gimym7ev5aatp0helg q9ixwk/vvwlaolbstxajhll1li6si/j9x5rdjpqapm2g9j6qfwlf62giw22hyvio h5g+bazttzpppir7equg9weytvfbve2n/t9izxvsgu70ijgnkm2bkz13bf8oosjv OKEte3lwdDn0Tn6Jnzw7RJBOspK5uAa0QZY4ZX+6KjcSZ9ixiRBF4Z19YrwgUsXq 1StWUDUn5H72/9FIv2nOZqdavMKqwv88/rruDK9RW01gHrzkZT+QXHiYHZlZBXry /HpMBeiGmJOy3OAtXtnSh1gsQRZrqkeAUVs2I17aXWl3FKadGSRF6/Q+ROSdy2E2 25rTm82q3bLnXebHWhXLLprQNuQQgC6NUQtoXCh6tjsoUEr+MtPS37tilhaEgW1O r0lvw3pnmksq4sh4shg8tfpdqcxj6rtm2a1xebs8w0psepxaycvvhkkxqapweaw4 QetwglkqNXSMktStVtPpyVlXDuAMpJG+9htyUkqY+LnjwbF/enmwZQ+gDEFjDHMG GIqreauGzFTy5QjPzbaCrewW0LrJfU300uDs0FqGylJGD2TknDOFC9cxh/n/vWeF QqFbAnQRQDqkopQVi5b3FebPcQyIjr1ooshTGiYWDV7AY4zEOYj9UJa38/5KCyth gyk+fugqqq1hjynzge2vqzpkcx1v06glw0uil6zpx9pidylegj7y2gve6gxvgoll NaafDkhocsMQfVnsgIBKCgskMTYK6s30MRbC+xikWw0gzYanNmdX4E6HsULGuclN vmgnm02c8uphdf2eq82nczh4fzilwkfyaxx9irvcc8qjrkyy/dvts9scup/9w36i LfrrneQyazyjK2gZ/SJb3v55xX+wcrLbsdZx1AN8q3HoBNAqfHhjzweytTkWHA1D 4ZY95/ojsfiNxoyrCnl6OpI0tyz8tPd69b0U23cijE3fAifHjIsrMlnGk7rTSOx0 UTNo9X/soPi6C6qFhUM+xl7I+uVIO8oWn6tVFwW8Z7PITTViGi4HFtShenmFz/J8 dg7yi0hhk3iflxtgizrnuxqzkioqncajqxrit4cvbw6zladudrlg4ffhubwdk1g9 /S+ZdhRzFWp2+3OF7dIA2Ay+AkJR9UcIoHa9b6iZLGJu8UQ0+v3/xTqATgNxHjJo fvav3hilq11cq8y/hyq52fk86r3hs4oic1qokmgivnzyscilttykovnxmn8kqvib cbku/sr44v3xxf8hlozhwqdpczi012luwitlqajcxenv6xb5/mdcybtn2v+cgqru HH6KEFeROS/C0JdCLGptqHWytuTDyuD99BCw7Mw= -----END CERTIFICATE-----

10 imac-i7:oftp2 haraldlatzko$ openssl x509 -in CA04.cer -noout -text -inform PEM Certificate: Data: Version: 3 (0x2) Serial Number: 46 (0x2e) Signature Algorithm: sha1withrsaencryption Issuer: C=DE, L=71088 Holzgerlingen, ST=BW, O=c-works GmbH, OU=CA, CN=Harald Latzko Validity Not Before: Aug 11 13:56: GMT Not After : Aug 11 13:56: GMT Subject: C=DE, ST=BW, L=Holzgerlingen, O=c-works GmbH, OU=Development, CN=Harald Latzko Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:cd:9e:85:ca:86:34:cb:58:76:87:e3:8c:9e:92: 57:20:39:16:49:20:fb:24:b1:29:74:dd:66:f4:24: 03:0e:b4:34:ef:bf:e2:a7:74:fc:b2:da:48:38:a6: dd:c4:c9:5d:6d:1e:cd:d9:5c:b9:11:5a:5c:93:e3: 96:49:ac:fd:79:31:2d:3c:05:51:8a:0b:f8:8a:ba: 4a:4d:25:f7:d4:36:58:a9:ed:b7:b7:fc:ec:b0:37: ca:af:64:28:f3:15:0c:63:46:6c:bb:44:17:81:bc: f7:08:ba:b7:85:96:75:0a:e6:b1:96:b2:83:8c:dd: 5f:05:df:bc:d0:b2:f6:34:1d Exponent: (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Cert Type: SSL Client, SSL Server X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication Netscape Comment: User Certificate of c-works GmbH X509v3 Issuer Alternative Name: Netscape CA Revocation Url: Netscape Revocation Url: X509v3 CRL Distribution Points: URI:http://openca.os4x.com/pki/pub/crl/cacrl.crl! Signature Algorithm: sha1withrsaencryption 5b:bc:d9:9a:2e:8d:03:c7:53:d1:af:55:f3:f8:dc:c7:cc:57: 3b:32:6b:88:08:99:83:3b:79:5e:40:6a:da:74:85:e2:e0:ab: d8:97:58:af:ef:bd:62:c0:a2:56:ec:b5:76:a3:84:b9:75:96: 2e:92:23:f8:fd:5f:94:43:24:f4:00:a4:cd:86:f6:3e:90:15: 69:45:eb:68:08:5b:6d:87:c9:58:a8:87:98:3e:04:0c:ed:b7: 3a:4f:a6:24:7b:7a:ab:a0:f5:67:98:b6:f1:5b:54:4d:a7:fd: 3f:62:65:7b:ec:19:4e:f4:88:98:27:2a:6d:9b:93:3d:77:05: ff:28:3a:c8:ef:38:a1:2d:7b:79:70:74:39:f4:4e:7e:89:9f: 3c:3b:44:90:4e:b2:92:b9:b8:06:b4:41:96:38:65:7f:ba:2a:...

11 Zertifikate haben immer einen Eigentümer und einen Aussteller Hinweise für den Aussteller gibt der Eintrag Issuer, wobei die textuellen Informationen kopiert werden können. Ausschlaggebend ist das mathematische Ergebnis des Signatur-Algorithmus Wenn Issuer = Subject, dann liegt es nahe dass das Ende einer Zertifikatskette erreicht ist Ende der Kette ist erreicht, wenn Issuer = Subject UND das X509v3-Attribut CA auf true (wahr) steht. Dann, und nur dann, ist die Zertifikatskette erfüllt. openssl behandelt Vertrauensstellung u.a. über Existenz von Zertifikaten mittels eines bestimmten Namens. Ort ist das root certificate directory. Ein Zertifikat ist vertrauenswürdig, wenn ein gleiches Zertifikat mit dem Namen des Hashes des Subjects mit dem Appendix.0 existiert. Beispiel: Zertifikat CA04.cer mit Subject /C=DE/ST=BW/L=Holzgerlingen/O=c-works GmbH/ OU=Development/CN=Harald Latzko existiert im Root-Certificate-Verzeichnis Hash (Checksumme) des Subjects ist d0fa5211 OS4X - OFTP2 Zertifikate - Vertrauensstellung CA04.cer wird vertraut, wenn im Root-Certificate-Verzeichnis ein Zertifikat mit dem Namen d0fa existiert, wenn es genau dieses Subject trägt, ebenso müssen die anderen Parameter passen. Optimalerweise geschieht das Sicherstellen der Existenz mittels eines Symlinks im Filesystems. Gängiger Fehler: Link existiert und ist valide, aber Kette der Vertrauensstellung passt mathematisch nicht zum Key. Merke: Textfelder sind frei wählbar! Jeder kann sich als Verisign etc. ausgeben, solange jemand diesem neuen Zertifikat vertraut. Dummheit siegt.

12 Zertifikate - CRLs! Was tun wenn jemand kompromittiert wurde? - CRL aktualisieren CRL: Certificate Revocation List Im Internet per HTTP online erreichbare, signierte Liste (normalerweise im binären DER- Format), die sowohl aktuell ist als auch valide sein muss. URL muss in Zertifikaten eingetragen sein. Attribute einer CRL: Version (ständig aktualisierter Zähler) Aussteller ( Issuer ) Gültigkeit von... bis Liste der invaliden Zertifikate (Seriennummer) einer CA inkl. Datum der Rücknahme, optimalerweise Grund Signatur der CRL

13 Zertifikate - CRLs! Konvertieren der CRL von DER nach PEM: openssl crl -in cacrl.crl -inform DER -outform PEM -out cacrl.pem In interpretierter Textform darstellen (aus DER-Format): openssl crl -in cacrl.crl -inform DER -noout -text In interpretierter Textform darstellen (aus PEM-Format): openssl crl -in cacrl.crl -inform PEM -noout -text!

14 CRL im PEM-Format -----BEGIN X509 CRL----- MIIGCTCCAfECAQEwDQYJKoZIhvcNAQEFBQAwdDELMAkGA1UEBhMCREUxHDAaBgNV BAcMEzcxMDg4IEhvbHpnZXJsaW5nZW4xCzAJBgNVBAgMAkJXMRUwEwYDVQQKDAxj LXdvcmtzIEdtYkgxCzAJBgNVBAsMAkNBMRYwFAYDVQQDDA1IYXJhbGQgTGF0emtv Fw0xMTAxMjYxODAwMzdaFw0xMTAxMjcxODAwMzdaMIGMMBICAQYXDTA5MDcyMjE5 NDcyNVowEgIBDBcNMDkwNzI3MTcyODIwWjASAgElFw0wOTA5MTYxNDE1MzRaMBIC ASoXDTA5MTAxOTE5MDkzOFowEgIBLBcNMDkxMDI1MTE0MzQ2WjASAgEtFw0wOTEy MTExMzU2NDVaMBICAToXDTEwMTEwMjIxMDgzOVqggbkwgbYwgaYGA1UdIwSBnjCB m4au6su+ys0uoyagscwns6chdq8chj+hekr2mhqxczajbgnvbaytakrfmrwwggyd VQQHDBM3MTA4OCBIb2x6Z2VybGluZ2VuMQswCQYDVQQIDAJCVzEVMBMGA1UECgwM Yy13b3JrcyBHbWJIMQswCQYDVQQLDAJDQTEWMBQGA1UEAwwNSGFyYWxkIExhdHpr b4ijald5znolstgfmasga1udfaqeagiz/danbgkqhkig9w0baqufaaocbaeakwub 6CohldCE2o2bB/BGCoBqb8XHoxd0w8OYerCXhFoKZ3IRlUZCFWuGSWryDT9ndJdC n7a4xvkcm/7lyr8wfd0tamidlti5o1do3vfdnkdnww7b0ezak0nxkeqafjjkcg+m Hfpe9Gr6pMw/0siYe4+d83dYfh76wp15EZoJcPRBd42Miho1cI4Tkgm5Jpp6Z0CL njl3bugevlxnso7z+rhmehgwwazrdsnm5wdjuq6tlebnm9pkito0t0uwlyrknwp1 prta3pk4o9lugl+nu8avpgap3whsqwpkf+45vf4dqb2xh/yimrxajdafrmswaczv SUF8oqlJckgAiWdQIhRb+vTibEKTQVwn+ji3wi0eCP+WLs61y6hVjUBZVB94fRbV 7RFA0OiEW8ehO+amlSpJZH8eowrn017yo6j0kcUxfE+QsHJuPgaB94O4Iz5/dSem MjcaBIzFAYqrlmUEGcjUcH+cZewbs0IN9kUvz/QtpGh0FDkkJO7NTkWzym0ZmtO4 jqmgnd1yu5b3doxcisapkz9epvh9fx65bkrwwdcsfrmpe0d0lejo19qqir0coyql 142bYNDR13jaxZFkRkJB8/zn6uQXZ/IwRbLsqvv9LZ1FF1dmTBBpsP39Z1CkfOLl I43ceT/B1xpF+ppFvu4MlGwBRiXEF6KBJGeOkl0eMKG2MM5pf1F51d7fhmRWXClb vavekb+aj/pzy0o+d1h2kvzbomj/kdw0zsn+tkanwvzqiofyrz2upbummrze/zq1 cac5y7qtsc39wukaztorleikizeht3w2tpxbg85uxkilnifqz+e2refvku8ij6p0 44KkIOKUTNNgt+00tDeicOgkEjGaK7kCkZD6l+mI8F4Cayn8mhnnEG1HmSw6pggV X31WXdJwp+k9j3+atoExXLPChLImjlsmdQNzW+JONZwmf/4RB0WAKdG3TrnXjuto BQQ9D4GlEIzViYkKfB6wd6RtEMheiKL7t7WxeLmxS4Np1jhu8+LcHXkNWEnxs5oj Gd1MrRxUNg7wM1k5Zxg+o/34b9R79qoQeMxUJH7cW8eleGw3nz9McnihQYTG1cMs WHLr6FNZ3RJCkiiJqUXU/4PUcHhKAlJ2cbOPriZK+oXFMQtbCxd9e3gIixQ/haxS Ysxh3re/EcRTUK9T8eh5kcqJ4+9gF+7gILGwOry6ILnCXbwZpuaTO4zJI63PEweG S84II49nPzSnC8Ju5qeeBFcLyTPCn3zKKhJ5eoil5GJtm1WsFmpRXFW4TEB67/ld 2WY0DF3rO2n9rcUwtlaVznuEfh4hodj/yuJFyvpwgJ8f0LvjRxHC+jNTR3OYWPFx 8RKm6LHHmshMJTdHLQ== -----END X509 CRL-----

15 dieselbe CRL - menschenlesbar imac-i7:os4x haraldlatzko$ openssl crl -in cacrl.crl -noout -text -inform DER Certificate Revocation List (CRL): Version 2 (0x1) Signature Algorithm: sha1withrsaencryption Issuer: /C=DE/L=71088 Holzgerlingen/ST=BW/O=c-works GmbH/OU=CA/CN=Harald Latzko Last Update: Jan 26 18:00: GMT Next Update: Jan 27 18:00: GMT CRL extensions: X509v3 Authority Key Identifier: keyid:e9:25:3e:62:cd:14:39:80:06:49:cc:27:4b:a0:87:75:0f:1c:1e:3f DirName:/C=DE/L=71088 Holzgerlingen/ST=BW/O=c-works GmbH/OU=CA/CN=Harald Latzko serial:b0:f9:ce:73:a5:49:31:9f! X509v3 CRL Number: Revoked Certificates: Serial Number: 06 Revocation Date: Jul 22 19:47: GMT Serial Number: 0C Revocation Date: Jul 27 17:28: GMT Serial Number: 25 Revocation Date: Sep 16 14:15: GMT Serial Number: 3A Revocation Date: Nov 2 21:08: GMT Signature Algorithm: sha1withrsaencryption 29:6b:9b:e8:2a:21:95:d0:84:da:8d:9b:07:f0:46:0a:80:6a: 6f:c5:c7:a3:17:74:c3:c3:98:7a:b0:97:84:5a:0a:67:72:11: 95:46:42:15:6b:86:49:6a:f2:0d:3f:67:74:97:42:9f:b0:38: c6:f9:1c:33:fe:cb:ca:bf:16:15:dd:2d:00:c2:03:96:d2:39: 9f:7c:ca:2a:12:79:7a:88:a5:e4:62:6d:9b:55:ac:16:6a:51:... 5c:55:b8:4c:40:7a:ef:f9:5d:d9:66:34:0c:5d:eb:3b:69:fd: ad:c5:30:b6:56:95:ce:7b:84:7e:1e:21:a1:d8:ff:ca:e2:45: ca:fa:70:80:9f:1f:d0:bb:e3:47:11:c2:fa:33:53:47:73:98: 58:f1:71:f1:12:a6:e8:b1:c7:9a:c8:4c:25:37:47:2d

16 Zertifikate - CRLs in OS4X! OS4X scannt zyklisch in folgenden Zertifikaten nach CRL-URLs: alle importierten Zertifikate alle Zertifikate im Root Certificate-Verzeichnis alle Zertifikate beim Verbindungsaufbau von und zu einem OFTP2-Server Eintrag in Liste der CRL (Management über WebGUI) Automatischer Download (ggf. über HTTP-Proxy, falls konfiguriert), Verifikation und Import jeder abgelaufenen CRL über Send Queue Daemon manuelles Einfügen und Upload von CRLs möglich Aktivieren und Deaktivieren von CRLs möglich Konfigurativ möglich: ignoriere abgelaufene CRL, vertraue dennoch. Nicht optimal, aber funktional. CRLs werden an allen genutzten Stellen zur Verifikation eines Zertifikats genutzt. Wenn revoked, erscheint entsprechende Meldung im Log.

17 Zertifikate - Fazit! Zertifikate bilden das Rückgrat einer sicheren und dezentral verwaltbaren Architektur. Damit ist es möglich: Daten zu signieren (Sicherstellung der Herkunft des Absenders) Daten zu verschlüsseln (Unlesbarkeit der Daten auf dem Transportweg) Zertifikate mittels einer PKI (Public Key Infrastructure) zu verwalten (Ausstellen, Vertrauen, Rückruf)

18 OFTP2: Cipher Suites! Definition Cipher Suite : Regeln, wie sich ein System zur Behandlung von Daten kryptographisch verhalten soll. Darin enthalten: Schlüsselaustausch Authentifizierung Hash-Algorithmus Verschlüsselungsalgorithmus OFTP2 besitzt die Eigenheit, bis zu 100 Cipher Suites konfigurierbar zu nutzen Derzeit sind drei Cipher Suites definiert, weitere können jederzeit folgen

19 OFTP2: Cipher Suites in OS4X! OS4X definiert Cipher Suites offen (wie so alles Script- und Einstellbare in OS4X): sie sind jederzeit erweiterbar (aber sauber vordefiniert) sie sind jederzeit änderbar (was hauseigene Anpassungen begünstigt) Attribute (auch zukünftige) sind frei definierbar die drei derzeit definierten Cipher Suites sind: ohne Verschlüsselung 3DES AES256

20 OFTP2: Cipher Suites in OS4X (Optionale) Definition von Kommandos pro Operation. Falls keine Definition gegeben ist wird diese ignoriert (und diese Operation übersprungen und somit nicht ausgeführt): Signieren einer Datei Signieren einer Information innerhalb OFTP2 (z.b. EERP) Verifikation einer Datei Verifikation einer Information innerhalb OFTP2 (z.b. EERP) Verschlüsselung einer Datei Verschlüsselung einer Information innerhalb OFTP2 (z.b. für sichere Authentifizierung) Entschlüsselung einer Datei Entschlüsselung einer Information innerhalb OFTP2 (z.b. für sichere Authentifikation) Komprimierung einer Datei Komprimierung einer signierten Datei Dekomprimierung einer Datei Hashen einer Datei OS4X - OFTP2

21 OFTP2: Cipher Suites in OS4X OS4X - OFTP2 jeder Operation wird ein Commandline-Aufruf hinterlegt OS4X-Umgebungsvariablen können und sollten genutzt werden Nicht durch OS4X-Umgebungsvariablen auflösbare Variablen gelten als sog. Cipher Suite Variablen. Diese werden dynamisch vom Webinterface erkannt und als Definition hinterlegt. Definition einer Variable per Maskierung mittels $ (wie bei Shell-Scripten üblich). Spezielle Variablen: $infile und $outfile werden dynamisch von OS4X gesetzt und dürfen nicht als Cipher Suite Variablennamen genutzt werden. Beispiel: Verschlüsseln einer Datei mittels 3DES (Cipher Suite 1) protokollgemäß für OFTP2 (CMS-Format): $OPENSSL_BIN smime -encrypt -in '$infile' -out $outfile -nodetach -binary -des3 -outform DER -stream $his_public_key darin enthaltene Variablen: OPENSSL_BIN: OS4X-Umgebungsvariable infile: dynamisch von OS4X bestimmter Dateiname outfile: dynamisch von OS4X bestimmter Dateiname his_public_key: Platzhalter einer partnerspezifischen Cipher Suite Variable

22 OFTP2: Definition einer Cipher Suite in OS4X

23 OFTP2: Definition einer Cipher Suite - Variablen Jede Cipher Suite enthält also nicht-os4x-bekannte Variablen Auslieferungszustand der Datenbank enthält alle notwendig Cipher Suite-Variablen Diese werden dynamisch innerhalb der Cipher Suites vom Webinterface geparsed und separat dargestellt. Dynamisch hinzufügen zu Definitionen der Cipher Suites ist somit möglich. Eigenschaften der Variablen: Name Zugehörigkeit zu Cipher Suite (klare Trennung!) Security-Attribute: Eigenes Zertifikat?! Fremdes Zertifikat?

24 OFTP2: Definition einer Cipher Suite - Variablen - Werte Cipher Suite Variablen werden pro Partner mit Werten gefüllt. Sobald ein Wert vorhanden ist, nutzt OS4X diesen. Zwei Typen von Werten: Text: die Variable wird mit dem textuellen Inhalt gefüllt. Datei: der Inhalt der upgeloadeten Datei wird in eine temporäre Datei geschrieben, dessen absoluter Pfad OS4X als Variable einfügt. Nach Beendigung der Operation der Cipher Suite werden temporäre Dateien gelöscht, wenn der Returncode 0 (=erfolgreich) war. War dies nicht der Fall, bleibt die temporäre Datei erhalten und der Logeintrag lässt sich zur Reproduktion verwerten. Werte haben darüberhinaus ein Gültigkeitsdatum (von... bis...) Werte können aktiv oder inaktiv sein. Inaktive Werte werden nach Empfang einer EERP zu einem ODETTE_CERTIFICATE_DELIVER aktiviert (siehe automatischer Zertifikatsaustausch ).

25

26 OFTP2: Definition einer Cipher Suite - Variablen - Werte Know How! Variablen werden so gut wie immer mit Datei-Inhalten gefüllt Datei-Uploads können jederzeit wieder downgeloaded werden Inhalt wird immer versucht als Zertifikat zu sehen. Konvertierung nach PEM wenn möglich Info-Link zeigt Zertifikat-Inhalt an (wenn möglich). Neu: Zertifikatsketten-Darstellung! Variablen können manuell aktiviert und deaktiviert werden Abgelaufene, manuell gelöschte oder automatisch ersetzte Variablen werden archiviert Der Easy -Modus reicht bestimmt immer aus, um Variablen auszutauschen

27 Fazit OS4X Cipher Suite Variables! komplexes System dynamisches Konzept hochgradig zukunftsorientiert (Update der Cipher Suites somit kein Problem mehr) optional einfach zu bedienen mittels einfachem Upload eines Zertifikats für alle eigenen oder fremden Cipher Suite-Variablen (eines Partners)

28 OFTP2: CSR! CSR bedeutet Certificate Signing Request : Anfrage an eine CA, einen Antrag zu signieren. Gleichzusetzen mit Bestellen eines Zertifikats. Attribute des Zertifikats werden durch CSR festgelegt (obwohl CA noch alle Parameter nachträglich ändern kann). Privater Schlüssel notwendig zur Erzeugung eines CSR. Dieser darf das eigene System nie verlassen! Gängiges Format (wie alles in openssl und damit OS4X): PEM!

29 CSR im PEM-Format -----BEGIN CERTIFICATE REQUEST----- MIICQzCCAawCAQAwgZkxCzAJBgNVBAYTAkRFMQswCQYDVQQIEwJCVzEWMBQGA1UE BxMNSG9semdlcmxpbmdlbjEVMBMGA1UEChMMYy13b3JrcyBHbWJIMRQwEgYDVQQL EwtEZXZlbG9wbWVudDEWMBQGA1UEAxMNSGFyYWxkIExhdHprbzEgMB4GCSqGSIb3 DQEJARYRaC5sYXR6a29Ab3M0eC5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJ AoGBANJZ2VOuKRIu25JGswWh44xXmL0QlirHUixi+3ugClQezS7I0GRVXEclowG/ 4WWD8dHE+Aur+KqnbMazcHqNfsxyau1cjgYQhEkrFjXEz1BbQpVmNYbaTAmge5De 73ZP7j8p+Cxaw1lkkKN4Gg1j3+Ru5f1eII6X5hbux09n+0gLAgMBAAGgaTBnBgkq hkig9w0bcq4xwjbymbcga1udeqqqma6gde8wmdezmdbdv1jluzalbgnvhq8ebamc BPAwEQYJYIZIAYb4QgEBBAQDAgbAMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEF BQcDAjANBgkqhkiG9w0BAQUFAAOBgQBqcA+l32n08MdfFtalY7u1cKv5vstMrv4K BandKX5bF43k6/nvmsnoDmADC8i1HNXG9n3p1O65+vqIMPd/6kk0ShiCZnff4aGK 9pbZVxPkgjwBxv86UbV2JwX/Z4GO7Kuh43gWkm5oV4b7p54gWc3zZsPLHdK2yATU fl5g282qlg== -----END CERTIFICATE REQUEST-----

30 dasselbe CSR - menschenlesbar dargestellt imac-i7:os4x haraldlatzko$ openssl req -in csr.txt -noout -text -inform PEM Certificate Request: Data: Version: 0 (0x0) Subject: C=DE, ST=BW, L=Holzgerlingen, O=c-works GmbH, OU=Development, CN=Harald Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:d2:59:d9:53:ae:29:12:2e:db:92:46:b3:05:a1: e3:8c:57:98:bd:10:96:2a:c7:52:2c:62:fb:7b:a0: 0a:54:1e:cd:2e:c8:d0:64:55:5c:47:25:a3:01:bf: e1:65:83:f1:d1:c4:f8:0b:ab:f8:aa:a7:6c:c6:b3: 70:7a:8d:7e:cc:72:6a:ed:5c:8e:06:10:84:49:2b: 16:35:c4:cf:50:5b:42:95:66:35:86:da:4c:09:a0: 7b:90:de:ef:76:4f:ee:3f:29:f8:2c:5a:c3:59:64: 90:a3:78:1a:0d:63:df:e4:6e:e5:fd:5e:20:8e:97: e6:16:ee:c7:4f:67:fb:48:0b Exponent: (0x10001) Attributes: Requested Extensions: X509v3 Subject Alternative Name: URI:O001300CWRKS X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment Netscape Cert Type: SSL Client, SSL Server X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication Signature Algorithm: sha1withrsaencryption 6a:70:0f:a5:df:69:f4:f0:c7:5f:16:d6:a5:63:bb:b5:70:ab: f9:be:cb:4c:ae:fe:0a:05:a9:dd:29:7e:5b:17:8d:e4:eb:f9: ef:9a:c9:e8:0e:60:03:0b:c8:b5:1c:d5:c6:f6:7d:e9:d4:ee: b9:fa:fa:88:30:f7:7f:ea:49:34:4a:18:82:66:77:df:e1:a1: 8a:f6:96:d9:57:13:e4:82:3c:01:c6:ff:3a:51:b5:76:27:05: ff:67:81:8e:ec:ab:a1:e3:78:16:92:6e:68:57:86:fb:a7:9e: 20:59:cd:f3:66:c3:cb:1d:d2:b6:c8:04:d4:7e:5e:60:db:cd: aa:2e

31 OFTP2: CSR Manuelle Erzeugung möglich, aber lästig: Key erzeugen, Format einhalten, Odette-Parameter korrekt eintragen etc.pp. Daher: Integration in OS4X! Cert. requests bequem über WebGUI verwaltbar. Vorgang: 1. CSR erzeugen 2. CSR an CA übertragen (online) 3. CA-Verifizierungsprozess bestehen 4. von CA generiertes Zertifikat (optimalerweise im PEM-Format) in CSR-Management uploaden 5.neue grüne Zeile (Identifikation läuft über Subject des Zertifikats) ermöglicht: a)download des privaten und öffentlichen Zertifikats (mit und ohne Private Key) b)zuweisung des Zertifikats zu einem OFTP2-Partner als Ersatz oder fortführendes Zertifikat (inkl. Mechanismen des automatisierten Zertifikataustauschs innerhalb OFTP2, inkl. deaktivem Cipher Suite Variable-Wert mit Aktivierung bei EERP)

32 OFTP2: CSR OS4X - OFTP2

33 OFTP2: CSR OS4X - OFTP2

34 Fazit OS4X CSR Management! Einfache Methode zur Erzeugung und Verwaltung offener und erfüllter Zertifikatsanfragen Simple Integration in bestehende Umgebung, tiefe Integration in OFTP2-Mechanismen für den automatisierten Zertifikatsaustausch unter Berücksichtung geltender Standards

35 OFTP2: TSL! Definition TSL : Trusted Service List Signierte XML, die von Odette verwaltet und aktuell gehalten wird kryptographische Grundlage jeder Vertrauenstellung von OFTP2-Systemen (Mindestmaß an vertrauenswürdigen CAs) jedes zertifizierte OFTP2-System muss diese Liste verstehen, integrieren und aktualisieren können jederzeit per HTTP im Internet erreichbar: Wichtig: Ablaufdatum forciert ein Update

36 OFTP2: TSL in OS4X URL wird konfiguriert in OS4X-WebGUI unter Configuration SSL/TLS TSL URL Dort ebenso einsehbar: nächstes geplantes Update der TSL. Forcierbar über enforce update -Icon. Send-Queue-Daemon kümmert sich um Update sobald Zeitpunkt erreicht ist Download erfolgt per HTTP über konfigurierten HTTP-Proxy (falls benötigt) Alte TSL-Einträge werden gelöscht, neue dann from scratch erzeugt. Dabei zu beachten: Sog. Helper -Zertifikate dienen nur der Verifikation der Kette. Zertifikate ausgestellt von Helper -CAs werden nicht als vertrauenswürdig anerkannt! Helper -Zertifikate erkennt man am Dateinamen im Bereich Trusted certificates : sie heißen os4x_tsl_certificate_helper_* Logging über OS4X System-Log OS4X - OFTP2 jederzeit manuell aufrufbar über $OS4X_BIN_DIR/os4x_tsl

37

38 OFTP2: TLS! Definition TLS : Transport Layer Security Nachfolger von SSLv2/3 Unterstützt Clientzertifikate, Wiederaufsetzen von Sessions (in OFTP2 nicht genutzt), Re-Authentifizierung innerhalb der Session (zu jeder Zeit), Änderung der Algorithmen, nutzt aktuelle kryptographische Methoden Mehrere Versionen verfügbar, in OFTP2 eingesetzt: TLSv1.0 Inkompatibel mit SSLv2/3: Handshake-Mechanismus anders. Vorsicht bei Connect- Versuchen zu TLS-Server via SSLv2/3, es wird nur TLSv1 unterstützt!

39 SSL/TLS-Kompatibilität: Server SSLv2 Server SSLv3 Server TLS1.0 Server TLS1.1 Server TLS1.2 Client SSLv2 Client SSLv3 Client TLS1.0 Client TLS1.1 Server downgrade Client TLS1.2 Client downgrade

40 OFTP2: TLS Grundlagen! OFTP2 über TLS bietet Sicherheit im Internet: niemand kann die OFTP2-Session belauschen. OFTP2 über TLS bietet Authentifikation bei Einsatz von Clientzertifikaten (nicht zwingend notwendig, aber unterstützt) Basis bieten X509v3-Zertifikate (genau dieselben wie bei Datei- und Informations-basierten Operationen innerhalb OFTP2) Voraussetzung: X509v3-Extension X509v3 Extended Key Usage besitzt den Wert TLS Web Server Authentication (Server) und [optional] TLS Web Client Authentication seltener im Einsatz: Netscape Cert Type : SSL Client, SSL Server darüber hinaus: Purpose muss SSL-Server anzeigen

41 OFTP2: TLS Grundlagen! damit TLS-Session erfolgreich aufgebaut werden kann, muss: TLS-Serverzertifikatskette vertraut werden TLS-Serverzertifikat darf nicht revoked sein CRL für die komplette Kette aktuell sein Serverzertifikat valide sein (Extensions stimmen, Gültigkeitsdatum OK) Muss ein sicherer Algorithmus beim Handshake ausgehandelt werden!

42 OFTP2: TLS Grundlagen - sichere Algorithmen imac-i7:os4x haraldlatzko$ openssl ciphers -v -tls1 DHE-RSA-AES256-SHA Kx=DH Au=RSA Enc=AES(256) Mac=SHA1 DHE-DSS-AES256-SHA Kx=DH Au=DSS Enc=AES(256) Mac=SHA1 AES256-SHA Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1 EDH-RSA-DES-CBC3-SHA Kx=DH Au=RSA Enc=3DES(168) Mac=SHA1 EDH-DSS-DES-CBC3-SHA Kx=DH Au=DSS Enc=3DES(168) Mac=SHA1 DES-CBC3-SHA Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1 DHE-RSA-AES128-SHA Kx=DH Au=RSA Enc=AES(128) Mac=SHA1 DHE-DSS-AES128-SHA Kx=DH Au=DSS Enc=AES(128) Mac=SHA1 AES128-SHA Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1 IDEA-CBC-SHA Kx=RSA Au=RSA Enc=IDEA(128) Mac=SHA1 RC4-SHA Kx=RSA Au=RSA Enc=RC4(128) Mac=SHA1 RC4-MD5 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5 EDH-RSA-DES-CBC-SHA Kx=DH Au=RSA Enc=DES(56) Mac=SHA1 EDH-DSS-DES-CBC-SHA Kx=DH Au=DSS Enc=DES(56) Mac=SHA1 DES-CBC-SHA Kx=RSA Au=RSA Enc=DES(56) Mac=SHA1 EXP-EDH-RSA-DES-CBC-SHA Kx=DH(512) Au=RSA Enc=DES(40) Mac=SHA1 export EXP-EDH-DSS-DES-CBC-SHA Kx=DH(512) Au=DSS Enc=DES(40) Mac=SHA1 export EXP-DES-CBC-SHA Kx=RSA(512) Au=RSA Enc=DES(40) Mac=SHA1 export EXP-RC2-CBC-MD5 Kx=RSA(512) Au=RSA Enc=RC2(40) Mac=MD5 export EXP-RC4-MD5 Kx=RSA(512) Au=RSA Enc=RC4(40) Mac=MD5 export

43 OFTP2: TLS Grundlagen - manueller Verbindungstest ohne Debugging, ohne Security:! imac-i7:os4x haraldlatzko$ openssl s_client -connect <server>:<port> -tls1! ohne Debugging, mit Security (mitsamt OS4X Trusted Certificates):! imac-i7:os4x haraldlatzko$ openssl s_client -connect <server>:<port> -tls1 -verify 9 \ -CApath /opt/os4x/cert/rootcerts!!! maximales Debugging, mit Security (mitsamt OS4X Trusted Certificates):! imac-i7:os4x haraldlatzko$ openssl s_client -connect <server>:<port> -tls1 -verify 9 \ -CApath /opt/os4x/cert/rootcerts -debug -msg -showcerts

44 OFTP2: TLS Debugging! Prüfung der Zertifikatskette mittels openssl Commandline-Tool möglich Verifikations-Returncode ersichtlich, inkl. Grund für diesen Sämtliche angebotene Serverzertifikate sichtbar Validierung der Grundfunktionalität für OFTP2 über TLS zusätzliche Attribute, die in OFTP2 geprüft werden: CRL Zertifikat darf nicht von Intermediate-CA erstellt sein Extensions werden nicht geprüft (z.b. Purpose, Odette-ID)

45 OFTP2: automatisierter Zertifikatsaustausch! Zertifikate sind elementarer Bestandteil jeglicher OFTP2-Kommunikation. Egal ob Session-basiert, Datei-basiert oder für andere Themenbereiche: Zertifikate sind wichtig! Da an vielen Stellen Zertifikate verwendet werden ist das Verwalten komplex (siehe Cipher Suite Variablen-Definition in OS4X, wenn die komplexeste Art genutzt wird). Um die Komplexität zu verringern existiert ein automatisierter Zertifikataustausch in OFTP2. Umgesetzt wird dieser mittels wohl-definierten virtuellen Filenamen: ODETTE_CERTIFICATE_REQUEST: Anfrage nach dem gerade aktuell eingesetzten Zertifikat beim Partner ODETTE_CERTIFICATE_DELIVER: das aktuell eingesetzte Zertifikat beim Partner zur Nutzung. Regeln beachten wann dieses eingesetzt wird! ODETTE_CERTIFICATE_REPLACE: das derzeit aktuell eingesetzt Zertifikat beim Partner, das ab sofort genutzt werden muss!

46 OFTP2: automatisierter Zertifikatsaustausch! Eine Zertifikats-Auslieferung (egal ob ODETTE_CERTIFICATE_DELIVER oder ODETTE_CERTIFICATE_REPLACE ) gilt als bestätigt, sobald die EERP hierfür einging. Erst nach bestätigtem Empfang (EERP) darf das neue Zertifikat eingesetzt werden. ODETTE_CERTIFICATE_REPLACE ersetzt alle zuvor eingesetzten Zertifikate! OS4X archiviert diese alten Zertifikate. Zertifikate sind in OS4X diejenigen der Cipher Suite 1 (3DES): das erstbeste aktive eigene Zertifikat wird für eine Auslieferung genutzt. In einfachen Umgebungen reicht dies aus. Wenn ein neues Zertifikat hochgeladen wird, das dann per Deliver ausgeliefert werden soll, ist dieses solange inaktiv, bis es bestätigt wurde. Ausschlaggebend für die Validität der EERP ist der virt. Filename, der Date- und Timestamp sowie der Hash der Datei. Erst bei einem perfekten Treffer wird die EERP als solche angenommen zur Aktivierung der Cipher Suite Variablen.

47 OFTP2: automatisierter Zertifikatsaustausch! Auslösen eines Certificate-Deliveries ist möglich über: Erzeugen eines neuen CSR, dessen Erfüllung und danach Zuweisung dieses Zertifikats zu einem definierten OFTP2-Partner (möglich als future replacement oder instant replacement ) Upload eines als eigenes Zertifikat markiertes File mit Aktivierung use OS4X's internal OFTP2 certificate delivery mechanism in der Cipher Suite Variable Value-Administration eines Partners Administration in CSR manueller Aufruf von os4xeq mit dem virt. Filenamen ODETTE_CERTIFICATE_DELIVER oder ODETTE_CERTIFICATE_REPLACE (funktioniert sogar über das Send-Queue- Webinterface solange eine valide Datei ausgewählt ist, die aber verworfen wird) Empfang einer Datei mit dem virtuellen Filenamen ODETTE_CERTIFICATE_REQUEST

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS Digitale Signatur Digitale Signatur kombiniert Hash Funktion und Signatur M, SIGK(HASH(M)) wichtige Frage: Wie wird der Bithaufen M interpretiert Struktur von M muss klar definiert sein Wie weiss ich,

Mehr

Internet Security: Verfahren & Protokolle

Internet Security: Verfahren & Protokolle Internet Security: Verfahren & Protokolle 39 20 13 Vorlesung im Grundstudium NWI (auch MGS) im Sommersemester 2003 2 SWS, Freitag 10-12, H10 Peter Koch pk@techfak.uni-bielefeld.de 30.05.2003 Internet Security:

Mehr

X.509v3 Zertifizierungsinstanz der Universität Würzburg

X.509v3 Zertifizierungsinstanz der Universität Würzburg X.509v3 Zertifizierungsinstanz der Universität Würzburg Markus Krieger Rechenzentrum Uni Würzburg ca@uni-wuerzburg.de 22.01.06 1 Notwendigkeit von Zertifikaten Steigende Anzahl von Kommunikationsbeziehungen

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

Hacken von implementierungsspezifischen! SSL-Schwachstellen

Hacken von implementierungsspezifischen! SSL-Schwachstellen Hacken von implementierungsspezifischen! SSL-Schwachstellen Basic-Constraints-Schwachstelle Null-Präfix-Attacke Thomas Konrad, FH St. Pölten, Studiengang IT Security, is072033@fhstp.ac.at Wozu SSL? Authentizität

Mehr

Sicherheitskonzept und Sicherheitspru fung. Internetanbindung Befundserver MVZ Labor PD Dr. Volkmann und Kollegen GbR

Sicherheitskonzept und Sicherheitspru fung. Internetanbindung Befundserver MVZ Labor PD Dr. Volkmann und Kollegen GbR Sicherheitskonzept und Sicherheitspru fung Internetanbindung Befundserver MVZ Labor PD Dr. Volkmann und Kollegen GbR Einführung Die Firma MVZ Labor PD Dr. Volkmann und Kollegen GbR, nachstehend als Labor

Mehr

OFTP2 SmartProxy. technische Details zur Arbeitsweise

OFTP2 SmartProxy. technische Details zur Arbeitsweise OFTP2 SmartProxy technische Details zur Arbeitsweise - Ziele Einhaltung der Daimler Security- Guidelines Neue Security-Strategie: Terminierung des Datenstroms am Proxy in DMZ, danach Neuverschlüsselung

Mehr

Denn es geht um ihr Geld:

Denn es geht um ihr Geld: Denn es geht um ihr Geld: [A]symmetrische Verschlüsselung, Hashing, Zertifikate, SSL/TLS Warum Verschlüsselung? Austausch sensibler Daten über das Netz: Adressen, Passwörter, Bankdaten, PINs,... Gefahr

Mehr

Eventscripts. - was passiert wann? -

Eventscripts. - was passiert wann? - Eventscripts - was passiert wann? - Events (Ereignisse) werden zu vielen Situationen aus OS4X gerufen Konfigurierbar (wird beim Start der Daemons eingelesen sowie bei Signalverarbeitung Jegliches Executable

Mehr

Semantic Web Technologien. Security and Trust. Sebastian Henke. Betreuer: Mark Giereth VIS 06

Semantic Web Technologien. Security and Trust. Sebastian Henke. Betreuer: Mark Giereth VIS 06 Semantic Web Technologien Security and Trust Sebastian Henke Betreuer: Mark Giereth Überblick Einführung Security Trust Verschlüsselung Pre-Shared-Key-Verfahren Public-Key-Verfahren Digitale Signatur Funktionsweise

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

BEKO-Forum Juni 2007 Server-Zertifikate an der Uni Bern

BEKO-Forum Juni 2007 Server-Zertifikate an der Uni Bern BEKO-Forum Juni 2007 Server-Zertifikate an der Uni Bern Informatikdienste Gruppe Security Universität Bern Agenda Demo: Ein bisschen Kryptologie für Sie und Ihn Aufgaben und Nutzen von Server-Zertifikaten

Mehr

Netzwerksicherheit Übung 5 Transport Layer Security

Netzwerksicherheit Übung 5 Transport Layer Security Netzwerksicherheit Übung 5 Transport Layer Security Tobias Limmer, Christoph Sommer, David Eckhoff Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg,

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

Einführung in die symmetrische und asymmetrische Verschlüsselung

Einführung in die symmetrische und asymmetrische Verschlüsselung Einführung in die symmetrische und asymmetrische Verschlüsselung Enigmail Andreas Grupp grupp@elektronikschule.de Download der Präsentation unter http://grupp-web.de by A. Grupp, 2007-2010. Dieses Werk

Mehr

OFTP2 - Checkliste für die Implementierung

OFTP2 - Checkliste für die Implementierung connect. move. share. Whitepaper OFTP2 - Checkliste für die Implementierung Die reibungslose Integration des neuen Odette-Standards OFTP2 in den Datenaustausch- Workflow setzt einige Anpassungen der Systemumgebung

Mehr

Netzwerksicherheit Übung 5 Transport Layer Security

Netzwerksicherheit Übung 5 Transport Layer Security Netzwerksicherheit Übung 5 Transport Layer Security Tobias Limmer, Christoph Sommer, Christian Berger Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg,

Mehr

Einführung in OpenSSL und X.509-Zertifikate. Martin Kaiser http://www.kaiser.cx/

Einführung in OpenSSL und X.509-Zertifikate. Martin Kaiser http://www.kaiser.cx/ Einführung in OpenSSL und X.509-Zertifikate Martin Kaiser http://www.kaiser.cx/ Über mich Elektrotechnik-Studium Uni Karlsruhe System-Ingenieur UNIX und IP-Netze (2001-2003) Embedded Software-Entwicklung

Mehr

IT-Sicherheit Kapitel 11 SSL/TLS

IT-Sicherheit Kapitel 11 SSL/TLS IT-Sicherheit Kapitel 11 SSL/TLS Dr. Christian Rathgeb Sommersemester 2014 1 Einführung SSL/TLS im TCP/IP-Stack: SSL/TLS bietet (1) Server-Authentifizierung oder Server und Client- Authentifizierung (2)

Mehr

USB-Tokens. Technik und Einsatzgebiete

USB-Tokens. Technik und Einsatzgebiete USB-Tokens Technik und Einsatzgebiete Vortrag im Rahmen der Lehrveranstaltung Chipkartensysteme und E-Payment im SS05 an der Fachhochschule Bonn-Rhein-Sieg Outline Passwortmanager PKI Smartcards USB-Tokens

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

Betriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere E-Mail

Betriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere E-Mail Betriebssysteme und Sicherheit Sicherheit Signaturen, Zertifikate, Sichere E-Mail Frage Public-Key Verschlüsselung stellt Vertraulichkeit sicher Kann man auch Integrität und Authentizität mit Public-Key

Mehr

SSL-Zertifikate. Dr. Christopher Kunz

SSL-Zertifikate. Dr. Christopher Kunz SSL-Zertifikate Dr. Christopher Kunz Ihr Referent _ Dr. Christopher Kunz _ CEO Hosting filoo GmbH / TK AG _ Promotion IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC 2012: SSL-Hacks _ OSDC

Mehr

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com Merkblatt: HSM Version 1.01 Systemvoraussetzungen, Setup und Trouble Shooting Kontakt: pdfsupport@pdf-tools.com Besitzer: PDF Tools AG Kasernenstrasse 1 8184 Bachenbülach Schweiz www.pdf-tools.com Copyright

Mehr

Allgemeine Erläuterungen zu

Allgemeine Erläuterungen zu en zu persönliche Zertifikate Wurzelzertifikate Zertifikatssperrliste/Widerrufsliste (CRL) Public Key Infrastructure (PKI) Signierung und Verschlüsselung mit S/MIME 1. zum Thema Zertifikate Zertifikate

Mehr

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 2: Zertifikate, X.509, PKI Dr.

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 2: Zertifikate, X.509, PKI Dr. Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009 IT-Security Teil 2: Zertifikate, X.509, PKI Dr. Erwin Hoffmann E-Mail: it-security@fehcom.de Einsatz von Zertifikaten Ein Zertifikat

Mehr

X.509-Zertifikate mit OpenSSL Mario Lorenz mailto:ml@vdazone.org. 18. November 2002

X.509-Zertifikate mit OpenSSL Mario Lorenz mailto:ml@vdazone.org. 18. November 2002 X.509-Zertifikate mit OpenSSL Mario Lorenz mailto:ml@vdazone.org 18. November 2002 1 Grundlagen Wir nehmen an, dass mathematische Algorithmen zur sicheren Verschlüsselung und zur Signatur verfügbar seien

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

Seminar Internet-Technologie

Seminar Internet-Technologie Seminar Internet-Technologie Zertifikate, SSL, SSH, HTTPS Christian Kothe Wintersemester 2008 / 2009 Inhalt Asymmetrisches Kryptosystem Digitale Zertifikate Zertifikatsformat X.509 Extended-Validation-Zertifikat

Mehr

E-Mail-Verschlüsselung mit Geschäftspartnern

E-Mail-Verschlüsselung mit Geschäftspartnern E-Mail-Verschlüsselung mit (Anleitung für Geschäftspartner) Datum: 15.07.2013 Dokumentenart: Anwenderbeschreibung Version: 3.2 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...

Mehr

SSL/TLS im Detail. Eine Einführung in SSL/TLS, die Integration in (E)SMTP und die Nutzung mit Postfix

SSL/TLS im Detail. Eine Einführung in SSL/TLS, die Integration in (E)SMTP und die Nutzung mit Postfix SSL/TLS im Detail Eine Einführung in SSL/TLS, die Integration in (E)SMTP und die Nutzung mit Postfix Postfix/TLS: Übersicht Motivation: Warum SMTP mit TLS? TLS: Das Protokoll Einbindung in Postfix und

Mehr

Ein Überblick über Security-Setups von E-Banking Websites

Ein Überblick über Security-Setups von E-Banking Websites Ein Überblick über Security-Setups von E-Banking Websites Stefan Huber www.sthu.org Linuxwochen Linz 2015 31. Mai 2015 Basierend auf Testergebnissen vom 28.03.2015 aus https://www.sthu.org/blog/11-tls-dnssec-ebanking/

Mehr

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009 Netzsicherheit I, WS 2008/2009 Übung 12 Prof. Dr. Jörg Schwenk 20.01.2009 Aufgabe 1 1 Zertifikate im Allgemeinen a) Was versteht man unter folgenden Begriffen? i. X.509 X.509 ist ein Standard (Zertifikatsstandard)

Mehr

IT-Sicherheit WS 2012/13. Übung 5. zum 28. November 2012

IT-Sicherheit WS 2012/13. Übung 5. zum 28. November 2012 Prof. Dr. C. Eckert Thomas Kittel IT-Sicherheit WS 2012/13 Übung 5 zum 28. November 2012 Institut für Informatik Lehrstuhl für Sicherheit in der Informatik 1 X.509-Zertifikate Zertifikate nach dem X.509-Standard

Mehr

Einführung in X.509 + S/MIME

Einführung in X.509 + S/MIME Einführung in X.509 + S/MIME Peter Steiert 24.10.2010 Agenda Was ist X.509 X.509 Zertifikate Kurzbeschreibung OpenSSL Elemente einer X.509 PKI Wie komme ich an ein Zertifikat? Import in die Anwendung S/MIME

Mehr

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure)

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Unterrichtseinheit 5: Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Verschlüsselung mit öffentlichen Schlüsseln ist eine bedeutende Technologie für E- Commerce, Intranets,

Mehr

MS Exchange 2003 Konfiguration für S/MIME v3 mit Outlook Web Access

MS Exchange 2003 Konfiguration für S/MIME v3 mit Outlook Web Access MS Exchange 2003 Konfiguration für S/MIME v3 mit Outlook Web Access Knowlegde Guide Wien, Jänner 2004 INHALT INHALT...2 Registry Einstellungen am Exchange Server Rechner...3 Empfängerbeschränkung Einstellung...6

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

Secure Socket Layer v. 3.0

Secure Socket Layer v. 3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer v. 3.0 (SSLv3) Zheng Yao 05.07.2004-1 - 1. Was ist SSL? SSL steht für Secure Socket Layer, ein Protokoll zur Übertragung

Mehr

Installation eines SSL Zertifikates unter Apache http Server 2.x

Installation eines SSL Zertifikates unter Apache http Server 2.x Installation eines SSL Zertifikates unter Apache http Server 2.x Inhaltsverzeichnis 1. Allgemeines... 1 2. Voraussetzungen... 1 3. Erstellen des Certificate Requests unter OpenSSL... 2 4. Senden des Requests

Mehr

Apache Webserver with SSL on Windows

Apache Webserver with SSL on Windows Apache Webserver with SSL on Windows Diese Konfiguration geht davon aus, dass man keine sperate CA Stelle benötigt. Mit OpenSSL ist es ohne weiteres möglich, dass man selber an die Stelle der CA treten

Mehr

Attribut Kürzel Beispiele Bemerkungen Country Name C DE bitte Großbuchstaben State or Province Name ST Nordrhein-Westfalen

Attribut Kürzel Beispiele Bemerkungen Country Name C DE bitte Großbuchstaben State or Province Name ST Nordrhein-Westfalen Erzeugen eines externen Schlüssels außerhalb des Browsers für Nutzerzertifikate Sollten bei Ihnen Abhängigkeiten zwischen ihrem privaten Schlüsselteil und verwendeter Hardware und oder Software bestehen,

Mehr

Import des persönlichen Zertifikats in Outlook Express

Import des persönlichen Zertifikats in Outlook Express Import des persönlichen Zertifikats in Outlook Express 1.Installation des persönlichen Zertifikats 1.1 Voraussetzungen Damit Sie das persönliche Zertifikat auf Ihrem PC installieren können, benötigen

Mehr

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.

Mehr

Apache HTTP-Server Teil 1

Apache HTTP-Server Teil 1 Apache HTTP-Server Teil 1 Zinching Dang 24. November 2014 1 Apache HTTP-Server Apache HTTP-Server allgemein offizielle Namensherkunft: Apachen-Stamm in Nordamerika wurde 1994 auf Basis des NCSA HTTPd-Webservers

Mehr

Henning Mohren 2005-7-6. Zertifikatsserver der Certification Authority (CA) Technische Spezifikation. Version 4.0. c 2005 FernUniversität in Hagen

Henning Mohren 2005-7-6. Zertifikatsserver der Certification Authority (CA) Technische Spezifikation. Version 4.0. c 2005 FernUniversität in Hagen Henning Mohren 2005-7-6 Zertifikatsserver der Certification Authority (CA) Technische Spezifikation Version 4.0 c 2005 FernUniversität in Hagen Inhaltsverzeichnis 1 Allgemeines 3 2 Leistungsumfang 4 3

Mehr

Public-Key-Infrastrukturen

Public-Key-Infrastrukturen TECHNISCHE UNIVERSITÄT DARMSTADT FACHGEBIET THEORETISCHE INFORMATIK PROF. DR. J. BUCHMANN DR. A. WIESMAIER 9. Übung zur Vorlesung Public-Key-Infrastrukturen Sommersemester 2011 Aufgabe 1: Indirekte CRL

Mehr

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 4: SSL/TLS Dr. Erwin Hoffmann

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 4: SSL/TLS Dr. Erwin Hoffmann Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009 IT-Security Teil 4: SSL/TLS Dr. Erwin Hoffmann E-Mail: it-security@fehcom.de Secure Socket Layer (SSL) Tranport Layser Security (TLS)

Mehr

ESecuremail Die einfache Email verschlüsselung

ESecuremail Die einfache Email verschlüsselung Wie Sie derzeit den Medien entnehmen können, erfassen und speichern die Geheimdienste aller Länder Emails ab, egal ob Sie verdächtig sind oder nicht. Die Inhalte von EMails werden dabei an Knotenpunkten

Mehr

Internet Security: Verfahren & Protokolle

Internet Security: Verfahren & Protokolle Internet Security: Verfahren & Protokolle 39 20 13 Vorlesung im Grundstudium NWI (auch MGS) im Sommersemester 2003 2 SWS, Freitag 10-12, H10 Peter Koch pk@techfak.uni-bielefeld.de 20.06.2003 Internet Security:

Mehr

Signierung und Verschlüsselung von E-Mails mit einem S/MIME Zertifikat

Signierung und Verschlüsselung von E-Mails mit einem S/MIME Zertifikat Signierung und Verschlüsselung von E-Mails mit einem S/MIME Zertifikat S/MIME steht für Secure / Multipurpose Internet Mail Extensions und ist ein Standard für die Signierung und Verschlüsselung von E-Mails.

Mehr

Import des persönlichen Zertifikats in Outlook 2003

Import des persönlichen Zertifikats in Outlook 2003 Import des persönlichen Zertifikats in Outlook 2003 1. Installation des persönlichen Zertifikats 1.1 Voraussetzungen Damit Sie das persönliche Zertifikat auf Ihren PC installieren können, benötigen Sie:

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

Knowledge Base Importieren von Zertifikaten

Knowledge Base Importieren von Zertifikaten Datum 25.02.10 14:50 Hersteller Fortinet, Seppmail, Watchguard, Mailfoundry Modell Type(n) n/a Firmware Copyright Boll Engineering AG, Wettingen Autor Tech-Abteilung Dokument-Version 1.1 Situation: In

Mehr

Secure Socket Layer V.3.0

Secure Socket Layer V.3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer V.3.0 (SSLv3) Zheng Yao 05.07.2004 1 Überblick 1.Was ist SSL? Bestandteile von SSL-Protokoll, Verbindungherstellung

Mehr

Verschlüsselte E-Mails: Wie sicher ist sicher?

Verschlüsselte E-Mails: Wie sicher ist sicher? Verschlüsselte E-Mails: Wie sicher ist sicher? Mein Name ist Jörg Reinhardt Linux-Administrator und Support-Mitarbeiter bei der JPBerlin JPBerlin ist ein alteingesessener Provider mit zwei Dutzend Mitarbeitern

Mehr

Public-Key-Infrastrukturen

Public-Key-Infrastrukturen 1 Technische Universität Darmstadt Fachgebiet Theoretische Informatik Prof. J. Buchmann Vangelis Karatsiolis Lösungsvorschlag zur 7. Übung zur Vorlesung Public-Key-Infrastrukturen SS 2008 Aufgabe 1: Smartcards

Mehr

OS4X Core. Admin-GUI! Konzepte und Methoden

OS4X Core. Admin-GUI! Konzepte und Methoden OS4X Core OS4X Core Admin-GUI! Konzepte und Methoden OS4X Core - Admin-GUI Darstellung abhängig von installierter Lizenz OS4X Core - Welcome Erster Einstieg in die Admin-Website liefert Informationen wie:

Mehr

SSL-Zertifikate. ausgestellt bzw. bezogen von den Informatikdiensten. Dieter Hennig. 25. November 2009. ETH Zürich. SSL-Zertifikate.

SSL-Zertifikate. ausgestellt bzw. bezogen von den Informatikdiensten. Dieter Hennig. 25. November 2009. ETH Zürich. SSL-Zertifikate. SSL-Zertifikate ausgestellt bzw. bezogen von den Informatikdiensten ETH Zürich 25. November 2009 Was ist eigentlich ein Zertifikat? Was ist eigentlich ein Zertifikat? Abbildung: Das Zertifikat c nicht

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Whitepaper. EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit

Whitepaper. EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit Whitepaper EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit Funktionsumfang: Plattform: Verschlüsselung, Signierung und email-versand von EDIFACT-Nachrichten des deutschen Energiemarktes gemäß der

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Public Key Infrastructure (PKI) Funktion und Organisation einer PKI

Public Key Infrastructure (PKI) Funktion und Organisation einer PKI Public Key Infrastructure (PKI) Funktion und Organisation einer PKI Übersicht Einleitung Begriffe Vertrauensmodelle Zertifikatswiderruf Verzeichnisse Inhalt eines Zertifikats 29.10.2003 Prof. Dr. P. Trommler

Mehr

Public Key Infrastruktur. Georg Gruber & Georg Refenner 26.Jänner 2009 ITTK 09

Public Key Infrastruktur. Georg Gruber & Georg Refenner 26.Jänner 2009 ITTK 09 Public Key Infrastruktur Georg Gruber & Georg Refenner 26.Jänner 2009 ITTK 09 Grundlagen Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Hybridverschlüsselung Hashverfahren/Digitale Signaturen

Mehr

Installation & Start. - Wie alles beginnt -

Installation & Start. - Wie alles beginnt - Installation & Start - Wie alles beginnt - Auswahl des Installationspakets Durchführung der Installation Erstkonfiguration Lizenzbestellung Migration Anpassungen verschiedene Installationspakete zur Auswahl.

Mehr

Anleitung zur Nutzung von OpenSSL in der DFN-PKI

Anleitung zur Nutzung von OpenSSL in der DFN-PKI Anleitung zur Nutzung von OpenSSL in der DFN-PKI Kontakt: Allgemeine Fragen zur DFN-PKI: Technische Fragen zur DFN-PKI: pki@dfn.de dfnpca@dfn-cert.de DFN-Verein, Januar 2008; Version 1.2 Seite 1 1 OpenSSL

Mehr

OpenChaos-Reihe Digitale VerhütungTeil 2: Sichere Kommunikation

OpenChaos-Reihe Digitale VerhütungTeil 2: Sichere Kommunikation OpenChaos-Reihe Digitale Verhütung Teil 2: Sichere Kommunikation Chaos Computer Club Cologne e.v. http://koeln.ccc.de Köln 25.10.2007 Gliederung 1 Warum Kommunikationsverschlüsselung? 2 Praxis 3 Letzte

Mehr

Import des persönlichen Zertifikats in Outlook2007

Import des persönlichen Zertifikats in Outlook2007 Import des persönlichen Zertifikats in Outlook2007 1. Installation des persönlichen Zertifikats 1.1 Voraussetzungen Damit Sie das persönliche Zertifikat auf Ihren PC installieren können, benötigen Sie:

Mehr

E-Mail-Verschlüsselung mit Geschäftspartnern

E-Mail-Verschlüsselung mit Geschäftspartnern E-Mail-Verschlüsselung mit (Anleitung für Siemens Mitarbeiter) Datum: 13.07.2011 Dokumentenart: Anwenderbeschreibung Version: 3.0 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...3

Mehr

Implementierung Drittanbieter Zertifikate (x509) in Securepoint UTM -Am Beispiel einer Microsoft zweistufigen PKI Infrastruktur-

Implementierung Drittanbieter Zertifikate (x509) in Securepoint UTM -Am Beispiel einer Microsoft zweistufigen PKI Infrastruktur- Implementierung Drittanbieter Zertifikate (x509) in Securepoint UTM -Am Beispiel einer Microsoft zweistufigen PKI Infrastruktur- Vorbemerkung Wir möchten uns beim Support von Securepoint, insbesondere

Mehr

Sichere Kommunikation mit Outlook 98 ohne Zusatzsoftware

Sichere Kommunikation mit Outlook 98 ohne Zusatzsoftware Sichere Kommunikation mit Outlook 98 ohne Zusatzsoftware Das E-Mail-Programm Outlook 98 von Microsoft bietet Ihnen durch die Standard- Integration des E-Mail-Protokolls S/MIME (Secure/MIME) die Möglichkeit,

Mehr

(S/MIME) Verschlüsselung

(S/MIME) Verschlüsselung (S/MIME) Verschlüsselung DI (FH) René Koch Systems Engineer Siedl Networks GmbH Collaboration trifft Communication im Web 2.0 Krems, 23.04.2015 Inhalt Wie funktioniert E-Mail Verschlüsselung?

Mehr

E-Mail-Verschlüsselung mit S/MIME

E-Mail-Verschlüsselung mit S/MIME E-Mail-Verschlüsselung mit S/MIME 17. November 2015 Inhaltsverzeichnis 1 Zertifikat erstellen 1 2 Zertifikat speichern 4 3 Zertifikat in Thunderbird importieren 6 4 Verschlüsselte Mail senden 8 5 Verschlüsselte

Mehr

IT-Sicherheit Kapitel 5 Public Key Infrastructure

IT-Sicherheit Kapitel 5 Public Key Infrastructure IT-Sicherheit Kapitel 5 Public Key Infrastructure Dr. Christian Rathgeb Sommersemester 2014 1 Einführung Problembetrachtung: Alice bezieht den Public Key von Bob aus einem öffentlichen Verzeichnis, verschlüsselt

Mehr

1 Was ist SSL? 3 1.1 SSL im OSI-Modell... 3 1.2 Der SSL-Verbindungsaufbau... 3

1 Was ist SSL? 3 1.1 SSL im OSI-Modell... 3 1.2 Der SSL-Verbindungsaufbau... 3 SSL und Zertifikate INHALTSVERZEICHNIS INHALTSVERZEICHNIS Inhaltsverzeichnis 1 Was ist SSL? 3 1.1 SSL im OSI-Modell.................................... 3 1.2 Der SSL-Verbindungsaufbau...............................

Mehr

Emailverschlüsselung mit Thunderbird

Emailverschlüsselung mit Thunderbird Emailverschlüsselung mit Thunderbird mit einer kurzen Einführung zu PGP und S/MIME Helmut Schweinzer 3.11.12 6. Erlanger Linuxtag Übersicht Warum Signieren/Verschlüsseln Email-Transport Verschlüsselung

Mehr

SSL/TLS, OpenSSL und https

SSL/TLS, OpenSSL und https SSL/TLS, OpenSSL und https Holger Jakobs bibjah@bg.bib.de, holger@jakobs.com 2006-09-21 Inhaltsverzeichnis 1 Sicherheit beim Surfen 1 1.1 http und https................................. 2 1.2 Erkennen

Mehr

UH-CA: Zertifikate für digitale Signaturen und Verschlüsselung an der Universität Hannover

UH-CA: Zertifikate für digitale Signaturen und Verschlüsselung an der Universität Hannover UH-CA: Zertifikate für digitale Signaturen und Verschlüsselung an der Universität Hannover Sicherheitstage WS 04/05 Birgit Gersbeck-Schierholz, RRZN Einleitung und Überblick Warum werden digitale Signaturen

Mehr

OpenVPN-Anbindung Sysmess Multi und Compact Firmware 3.7.X 03/2015

OpenVPN-Anbindung Sysmess Multi und Compact Firmware 3.7.X 03/2015 OpenVPN-Anbindung Sysmess Multi und Compact Firmware 3.7.X 03/2015 Alarm XML CSV Webinterface Internet TCP / RTU Slave IP-Router E-Mail FTP / SFTP UDP RS 232 GLT RS 485 GPRS / EDGE / UMTS SPS S0-Eingänge

Mehr

Datenübertragungsportal

Datenübertragungsportal Datenübertragungsportal seite zwei Inhalt Inhalt seite zwei Datenübertragungsportal seite drei Erreichte Schutzziele seite acht seite drei Datenübertragungsportal Die Firmengruppe Melter stellt Ihren Kunden

Mehr

Die Idee des Jahres 2013: Kommunikation verschlüsseln

Die Idee des Jahres 2013: Kommunikation verschlüsseln Die Idee des Jahres 2013: Kommunikation verschlüsseln Kommunikationsschema bei Email MailServer MailServer Internet PC PC Sender Empfänger Verschlüsselung ist... immer eine Vereinbarung zwischen zwei Kommunikationspartnern:

Mehr

E-Mail-Verschlüsselung mit Geschäftspartnern

E-Mail-Verschlüsselung mit Geschäftspartnern E-Mail-Verschlüsselung mit (Anleitung für Geschäftspartner) Datum: 13.07.2011 Dokumentenart: Anwenderbeschreibung Version: 3.0 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...3

Mehr

SSL Secure Socket Layer Algorithmen und Anwendung

SSL Secure Socket Layer Algorithmen und Anwendung SSL Secure Socket Layer Algorithmen und Anwendung Präsentation vom 03.06.2002 Stefan Pfab 2002 Stefan Pfab 1 Überblick Motivation SSL-Architektur Verbindungsaufbau Zertifikate, Certification Authorities

Mehr

1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12)

1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12) 1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12) 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPSec-Verbindung mit IKEv2 von einem Windows 7 Rechner zum bintec IPSec-Gateway

Mehr

Web Service Security

Web Service Security Hochschule für Angewandte Wissenschaften Hamburg Fachbereich Elektrotechnik und Informatik SS 2005 Masterstudiengang Anwendungen I Kai von Luck Web Service Security Thies Rubarth rubart_t@informatik.haw-hamburg.de

Mehr

Steganos Secure E-Mail Schritt für Schritt-Anleitung EINLEITUNG SCHRITT 1: INSTALLATION

Steganos Secure E-Mail Schritt für Schritt-Anleitung EINLEITUNG SCHRITT 1: INSTALLATION Steganos Secure E-Mail Schritt für Schritt-Anleitung EINLEITUNG Obwohl inzwischen immer mehr PC-Nutzer wissen, dass eine E-Mail so leicht mitzulesen ist wie eine Postkarte, wird die elektronische Post

Mehr

GnuPG. Verschlüsselte Kommunikation. Beni Buess. Swiss Privacy Foundation

GnuPG. Verschlüsselte Kommunikation. Beni Buess. Swiss Privacy Foundation GnuPG Verschlüsselte Kommunikation Beni Buess Swiss Privacy Foundation Inhaltsverzeichnis Warum verschlüsseln Grundlagen Schlüssel verwalten Mails verschlüsseln mit Desktopclient Mit Webclient 2/39 Inhaltsverzeichnis

Mehr

Das beantragte persönliche Zertifikat wird standardmäßig in den Zertifikatspeicher des Browsers abgelegt, mit dem es beantragt wurde.

Das beantragte persönliche Zertifikat wird standardmäßig in den Zertifikatspeicher des Browsers abgelegt, mit dem es beantragt wurde. 1. Zertifikatsinstallation und Anbindung an das Mailkonto Das beantragte persönliche Zertifikat wird standardmäßig in den Zertifikatspeicher des Browsers abgelegt, mit dem es beantragt wurde. Hinweis:

Mehr

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel Bernd Blümel 2001 Verschlüsselung Gliederung 1. Symetrische Verschlüsselung 2. Asymetrische Verschlüsselung 3. Hybride Verfahren 4. SSL 5. pgp Verschlüsselung 111101111100001110000111000011 1100110 111101111100001110000111000011

Mehr

Sichere Abwicklung von Geschäftsvorgängen im Internet

Sichere Abwicklung von Geschäftsvorgängen im Internet Sichere Abwicklung von Geschäftsvorgängen im Internet Diplomarbeit von Peter Hild Theoretische Grundlagen der Kryptologie Vorhandene Sicherheitskonzepte für das WWW Bewertung dieser Konzepte Simulation

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

Dokumentation Mail-Test

Dokumentation Mail-Test Dokumentation Mail-Test 1. Verschicken vordefinierter E-Mails... 1 Zweck des Testmailservice... 1 Fingerprint... 2 Explizit/Implizit Signed Mails... 2 Attachment... 3 "A mail with a signed attachment -

Mehr

Sichere Identitäten in Smart Grids

Sichere Identitäten in Smart Grids Informationstag "IT-Sicherheit im Smart Grid" Berlin, 23.05.2012 Sichere Identitäten in Smart Grids Dr. Thomas Störtkuhl, Agenda 1 2 Beispiele für Kommunikationen Digitale Zertifikate: Basis für Authentifizierung

Mehr

Terravis - Hinweise zur Implementierung der SSL-Verbindung

Terravis - Hinweise zur Implementierung der SSL-Verbindung Terravis - Hinweise zur Implementierung der -Verbindung Version: 1.0 Datum: 19.04.2013 Autoren: Claude Eisenhut -Hinweise.docx 19.04.2013 Seite 1/8 Verzeichnis: Einführung... 3 Kontaktpersonen 3 Allgemeines...

Mehr

Anwenderinnen und Anwender im IT-Verbund des Evangelischen Oberkirchenrats Stuttgart

Anwenderinnen und Anwender im IT-Verbund des Evangelischen Oberkirchenrats Stuttgart Evangelischer Oberkirchenrat Gänsheidestraße 4 70184 Stuttgart Bei Rückfragen wenden Sie sich bitte an folgende Nummer: 0711 2149-533 Anwenderinformation des Referats Informationstechnologie Thema Betroffene

Mehr

EntwicklerCamp 2011. Signierung & Verteilung von Plugins für den Notes Client

EntwicklerCamp 2011. Signierung & Verteilung von Plugins für den Notes Client EntwicklerCamp 2011 Signierung & Verteilung von Plugins für den Notes Client René Winkelmeyer Über mich René Winkelmeyer dp consulting purify it Senior Consultant http://www.dpocs.de Lotus Notes Traveler

Mehr

Microsoft Outlook Express 5.x (S/MIME-Standard)

Microsoft Outlook Express 5.x (S/MIME-Standard) Microsoft Outlook Express 5.x (S/MIME-Standard) Das E-Mail-Programm Outlook Express von Microsoft bietet Ihnen durch die Standard- Integration des E-Mail-Verschlüsselungsprotokolls S/MIME (Secure/MIME)

Mehr

Verschlüsselung der Kommunikation zwischen Rechnern

Verschlüsselung der Kommunikation zwischen Rechnern Verschlüsselung der Kommunikation zwischen Rechnern Stand: 11. Mai 2007 Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung

Mehr

Abruf und Versand von Mails mit Verschlüsselung

Abruf und Versand von Mails mit Verschlüsselung Bedienungstip: Verschlüsselung Seite 1 Abruf und Versand von Mails mit Verschlüsselung Die folgende Beschreibung erklärt, wie man mit den üblichen Mailprogrammen die E- Mailabfrage und den E-Mail-Versand

Mehr

SSL/TLS: Ein Überblick

SSL/TLS: Ein Überblick SSL/TLS: Ein Überblick Wie funktioniert das sichere Internet? Dirk Geschke Linux User Group Erding 28. März 2012 Dirk Geschke (LUG-Erding) SSL/TLS 28. März 2012 1 / 26 Gliederung 1 Einleitunng 2 Verschlüsselung

Mehr