Authentifizierung: Soll sicherstellen, dass sich die Kommunikationspartner eindeutig und sicher identifizieren können.

Transkript

1 1. Grundlagen Schutzziele: Geheimhaltung: Inhalte von Nachrichten sollen nur Beteiligten zur Verfügung stehen. Wird erreicht durch: Sender (Klartext) -> Verschlüsselung -> Chiffretext -> Entschlüsselung -> Empfänger (Klartext) Integrität: Der Inhalt der Nachrichten darf während der Übertragung nicht verändert werden. Wird erreicht durch: Hashwert über Nachricht berechnen und diesen an Nachricht hängen. Authentifizierung: Soll sicherstellen, dass sich die Kommunikationspartner eindeutig und sicher identifizieren können. Verbindlichkeit: Soll sicherstellen, dass abgesendete oder empfangene Nachrichten nicht abgestritten werden können. Verfügbarkeit: Soll sicherstellen, dass die Kommunikationspartner dauerhaft verfügbar sind und die Kommunikation nicht durch den Verlust von Nachrichten gestört wird. Ein Angriff auf die Verfügbarkeit nennt man Denial-of-Service (DoS). Symmetrische Verschlüsselung: Nur ein Schlüssel k für Verschlüsselung und Entschlüsselung: encrypt(m,k)=c > decrypt(c,k)=m Sowohl Sender als auch Empfänger müssen Schlüssel k kennen. Probleme: o Schlüsselaustausch (Lösungen: Diffie-Hellman, Austausch über sicheren Kanal) o Anzahl der Schlüssel: Bei einer größeren Anzahl Teilnehmern werden für jeweils zwei Kommunikationspartner ein eigener Schlüssel benötigt. Bei n Teilnehmern werden somit verschiedene Schlüssel benötigt.

2 Asymmetrische Verschlüsselung: Hier wird ein Schlüsselpaar benötigt: Ein Schlüssel pk verschlüsselt eine Nachricht, die nur noch mit dem anderen Schlüssel sk entschlüsselt werden kann. Der eine Schlüssel dieses Paares ist der private Schlüssel (sk), den nur sein Besitzer kennt, der andere Schlüssel ist der öffentliche Schlüssel (pk), der jedermann zugänglich ist. Geheimhaltung Durch Verschlüsseln der Nachricht mit dem öffentlichen Schlüssel (pk) des Empfängers, ist nur dieser in der Lage die Nachricht mit seinem dazugehörigen privaten Schlüssel (sk) zu entschlüsseln. Signatur Durch Verschlüsseln der Nachricht mit dem privaten Schlüssel des Senders (sk) können die Empfänger der Nachricht durch Entschlüsseln dieser mit Hilfe des öffentlichen Schlüssels des Senders (pk) feststellen, ob die Nachricht tatsächlich von diesem Sender stammt. Hashfunktionen Eine Hashfunktion bildet einen Text M mit beliebiger Länge in eine Zeichenkette H mit fester Länge ab. Dies sollte möglichst kollisionsfrei sein, d.h. es darf nur wenige M geben, die durch die Hashfunktion auf einen Hashwert H abgebildet werden.

3 Hashfunktionen sollen Einwegfunktionen sein: Aus dem Hashwert darf kein Rückschluss auf die ursprüngliche Zeichenkette gemacht werden können. Anwendungen von Hashfunktionen o Authentifizierung (und Integrität) 1. Bilden eines Hashwertes über die Nachricht und einem angehängtem geheimen Schlüssel. 2. Senden der Nachricht im Klartext und des Hashwertes. 3. Empfänger bildet ebenfalls Hashwert über die Nachricht mit dem geheimen Schlüssel und vergleicht dann den empfangenen Hashwert mit dem selbst berechneten. Gleichheit: OK hybride Kryptosysteme Problem: Asymmetrische Verschlüsselungsverfahren benötigen höheren Rechenaufwand als symmetrische Verfahren. (ca. um Faktor 1000 langsamer) Lösung: Austausch eines symmetrischen Schlüssels mittels asymmetrischer Verschlüsselung. Anschließend werden die Nachrichten mit diesem Schlüssel symmetrisch verschlüsselt und verschickt. Signaturen Elektronische Signaturen sollen der Unterschrift auf Papier gleichgesetzt werden durch das Signaturgesetz. Eigenschaften: o Authentisch o Fälschungssicher o Nicht wieder verwendbar o Unveränderbar o Kann nicht zurückgenommen werden Nicht mit symmetrischer Verschlüsselung möglich, da Empfänger Nachricht im Nachhinein verändern könnte. Anwendung von privaten und öffentlichen Schlüsseln: 1. Bilden eines Hashwertes über die Nachricht. 2. Verschlüsseln des Hashwertes mit dem privaten Schlüssel des Senders. 3. Senden des verschlüsselten Hashwertes und der Nachricht. 4. Entschlüsseln des empfangenen Hashwertes mit dem öffentlichen Schlüssel des Senders. 5. Vergleich des empfangenen Hashwertes mit einem selbst erzeugten Hashwert. Verhindern von Replay Problem: Elektronisch signierte Dokumente können mehrfach verwendet werden. Lösung: Anhängen einer Zufallszahl oder Zeitmarke an die Nachricht.

4 Zertifikate Mit dem öffentlichen Schlüssel des Senders kann der Empfänger verifizieren, dass die Nachricht wirklich mit dem privaten Schlüssel des Senders signiert wurde. => öffentlicher und privater Schlüssel passen zusammen. Problem 1: Jeder könnte behaupten Eigentümer dieses Schlüsselpaares sein, das er selbst generiert hat. Problem 2: Bei der Verschlüsselung einer Nachricht könnte der Sender getäuscht werden, indem ihm anstelle des öffentlichen Schlüssels des Empfängers ein falscher öffentlicher Schlüssel untergejubelt wird, der zum privaten Schlüssel eines Angreifers passt. => Angreifer kann Nachricht entschlüsseln. Lösung: Einführen eines Verzeichnisdienstes für öffentliche Schlüssel. Problem 3: Angriff auf Verzeichnisdienst Lösung: Einführung von Zertifikaten: o Zertifikat ist eine Datenstruktur, welche den Zusammenhang zwischen Person und ihrem öffentlichen Schlüssel zertifiziert. Wird von einer Zertifizierungsstelle signiert. o Aufbau: - Name des zu zertifizierenden Objekts ( Subject ) - der öffentliche Schlüssel ( Object ) - Signatur des Ausstellers - bestätigt Identität - schützt vor nachträglicher Verfälschung

5 o Erstellung / Verifikation: o Format: X.509 am weitesten verbreitet:

6 o Zertifizierungsketten: Die öffentlichen Schlüssel einer Zertifizierungsstelle (CA) werden von anderen Zertifizierungsstellen zertifiziert. Dabei gibt es verschiedene Strukturen: - hierarchische Zertifizierung Root-CA muss sicher sein! - Cross-Zertifizierung Root-CA s zertifizieren sich gegenseitig. - Web-of-Trust Keine feste Strukturen, jeder entscheidet selbst, wem er vertraut. So entstehen Vertrauensketten.

7 2. Symmetrische Verschlüsselungen Diffusion Jedes Bit des Klartextes soll möglichst viele Bits des Ciphertextes beeinflussen, so dass nicht vom Ciphertext auf den Klartext geschlossen werden kann: Wird z.b. erreicht durch Permutation-Boxes (P-Boxes). Konfusion Der Zusammenhang zwischen der statistischen Verteilung im Ciphertext und dem Schlüssel soll möglichst komplex sein, d.h. man soll keinen Zusammenhang zwischen dem Schlüssel und der statistischen Verteilung der Zeichen im Ciphertext erkennen können: Wird z.b. erreicht durch Substitution-Boxes (S-Boxes). Blockchiffrierungen Es wird immer ein größerer Block des Klartextes in einen gleich großen Block des Chiffretextes verschlüsselt. Üblicherweise ist die Blockgröße 64 Bit. Stromchiffrierungen Hier wird der Datenstrom bitweise oder zeichenweise verschlüsselt. Feistel Cipher Alle modernen symmetrischen Blockchiffrierungen basieren auf Feistel Cipher. Verschlüsselung und Entschlüsselung sind sehr ähnlich, teilweise sogar identisch, wobei nur die Reihenfolge der Schlüssel umgedreht werden muss.

8 Es werden mehrere Durchläufe von folgendem Schema angewandt: In einem Durchlauf wird immer nur die eine Hälfte des Klartextes verschlüsselt, anschließend werden beide Hälften vertauscht.

9 3. DES Grundlagen Blockchiffrierung: Es werden 64 Bit große Blöcke mit Schlüsseln der Länge 56 Bit verschlüsselt. basiert auf Feistel Cipher Dechiffrierung durch Umkehrung der Reihenfolge der Subschlüssel. Algorithmus Eingangspermutation: Hier werden lediglich die einzelnen Bits des Klartextes mittels einer festgelegten Tabelle vertauscht. Ausgangspermutation: Nach den 16 Runden von DES wird auf das Ergebnis der 16. Runde eine Permutation durchgeführt, die invers zur Eingangspermutation ist.

10 Eine Runde von DES: 1. Aufteilen in linke und rechte Hälfte. 2. Expansionspermutation Die 32 Bit der rechten Hälfte werden auf 48 Bit expandiert, indem die 32 Bit in 4er Blöcke aufgeteilt werden und pro Block 2 Bits hinzugenommen werden. 3. Berechnung der Subschlüssel

11 Der 56 Bit Schlüssel wird als 64 Bit dargestellt, wobei jedes 8. Bit ein eingefügtes Paritäts-Bit für die 7 vorangegangenen Bits ist. Diese Paritätsbits werden dann entfernt. Schlüsselpermutation Auf den 56 Bit Schlüssel wird dann eine Permutation angewandt, welche die Reihenfolge der Bits ändert. Aufteilen in 2 Hälften Der permutierte Schlüssel wird in 2 Hälften von 28 Bit geteilt. Shiften Die Hälften werden in jeder Runde zirkulär nach links geshiftet. Das Bit, welches links raus fällt wird beim Shiften wieder rechts eingefügt. Die Anzahl der Shifts hängt von der Rundennummer ab und wird einer Tabelle entnommen. Kompressionspermutation Das Ergebnis des Shiftens wird in einer Kompressionspermutation auf 48 Bit reduziert. 4. XOR-Verknüpfung mit Schlüssel Das Ergebnis der Expansionstransformation wird mit dem 48 Bit langen Subschlüssel verknüpft. 5. S-Box Substitution Die resultierenden 48 Bit werden in 8 S-Boxen aufgeteilt, die jeweils 6 Bit in 4 Bit reduzieren. Das Ergebnis sind 32 Bit. 6. P-Box Permutation Das Ergebnis der S-Box Permutation wird anschließend permutiert, d.h. die Reihenfolge der Bits wird vertauscht. 7. XOR-Verknüpfung mit linker Hälfte Das Ergebnis der P-Box Permutation wird mit der linken Hälfte XOR verknüpft.

12 8. Ergebnis einer Runde Der linke Teil des Ergebnisses der Runde wird der rechte Teil, wie er zu Beginn der Runde war. Der rechte Teil des Ergebnisses ist das Ergebnis der XOR- Verknüpfung aus Punkt 7.

13 4. Blockmodi ECB (Electronic Code Book Mode) Jeder Block wird getrennt für sich verschlüsselt. Geeignet für kurze Nachrichten (z.b. anderer Schlüssel). Problem: Bei langen Nachrichten Kryptoanalyse möglich. CBC (Cipher Block Chaining Mode) Das Ergebnis der Verschlüsselung des ersten Blocks wird mit dem Klartext des folgenden Blocks XOR verknüpft, bevor dieser verschlüsselt wird. Der erste Block wird mittels Initialisierungsvektor (IV) verschlüsselt. Problem: Bei bekanntem IV Angriff möglich.

14 CFB (Cipher Feedback Mode) Hiermit können einzelne Zeichen (z.b. 8 Bit) versendet werden, ohne diese in einen größeren Chiffreblock (z.b. 64 Bit) einbetten zu müssen. Das Auffüllen zu einem großen Chiffreblock würde Übertragungskapazität verschwenden. Verschlüsselung (Beispiel für 8 Bit): 1. Schieberegister initialisieren Schieberegister wird mit einem festen IV initialisiert. 2. Verschlüsselung (Bei Sender und Empfänger gleich) Das Schieberegister wird mit einem geheimen Schlüssel verschlüsselt. 3. XOR-Verknüpfung Das linke Byte des Chiffretextes wird mittels XOR mit dem zu versendenden Datenwort verknüpft. 4. Senden / Einschieben Das Ergebnis der XOR-Verknüpfung kann dann an den Empfänger geschickt werden. Zudem wird es von rechts in das Schieberegister eingefügt. Entschlüsselung (Beispiel für 8 Bit): 1. Schieberegister initialisieren Schieberegister wird mit gleichem IV initialisiert. 2. Empfangen / Einschieben Das empfangene verschlüsselte Wort wird von links in das Schieberegister eingeschoben, so dass beide Schieberegister den gleichen Wert haben. 3. Verschlüsselung (Bei Sender und Empfänger gleich) Das Schieberegister wird mit einem geheimen Schlüssel verschlüsselt.

15 4. XOR-Verknüpfung Das linke Byte des Chiffretextes wird mittels XOR mit dem empfangenen und somit zu entschlüsselnden Datenwort verknüpft. OFB (Output Feedback Mode) Ähnlichkeiten zu CFB Die einzige Änderung gegenüber CFB ist, dass nicht das verschlüsselte Datenwort von links in das Schieberegister eingefügt wird, sondern das linke Wort (in Länge des zu versendenden Datenwortes) des verschlüsselten Schieberegister. Keine Fehlerfortpflanzungen Da der Inhalt des Schieberegisters nicht von dem versendeten Datenwort abhängt, kann bei verfälschten Übertragungen dennoch korrekt weiter übertragen werden. Bei CFB würde dies nicht gehen.

16 3DES Idee Mehrfachverschlüsselung zur Erhöhung der Sicherheit gegenüber Bruteforce-Angriffen. Dabei lässt sich zeigen, dass sich bei einer zweifachen Verschlüsselung mit DES mit zwei unterschiedlichen Schlüsseln nicht wie vielleicht erwartet ein effektiver Schlüsselraum von 112 Bit ergibt, sondern dass sich der effektive Schlüsselraum lediglich auf 57 Bit vergrößert. 3-fache Verschlüsselung mit DES Bei einer dreifachen Verschlüsselung mit zwei verschiedenen Schlüsseln mit DES steigt die effektive Schlüsselstärke auf 112 Bit. Bei einer dreifachen Verschlüsselung mit drei verschiedenen Schlüsseln steigt sie sogar auf 168 Bit.

17 5. Zahlentheorie Primzahlen Definition Ein Integer p > 1 heißt Primzahl, wenn es außer +1, -1, -p und +p keine Divisoren gibt, welche p ohne Rest ganzzahlig teilen. Zerlegung in Primzahlen Jedes Integer größer als 1 kann eindeutig in Primfaktoren zerlegt werden. Relativ prim Zwei Integer sind relativ prim zueinander, wenn sie bei der Zerlegung in Primzahlen außer der 1 keine gemeinsamen Primfaktoren haben. Modulo Arithmetik Kongruent modulo n Bei der Division zweier Integerzahlen a und n entsteht ein ganzzahliger Quotient q und ein ganzzahliger Rest r. Zwei Zahlen a und b sind kongruent modulo n, wenn a mod n den gleichen Rest r ergibt wie b mod n. Bestimmen von Primzahlen -fehlt- Euclid s Algorithmus Ermittlung des ggt Für jedes nicht-negative Integer a und jedes positive Integer b gilt: ggt (a,b) = ggt (b, a mod b) Beispiel:

18 6. RSA Prinzip 2 Schlüsselpaare Public Key {e,n} und Private Key {d,n} Schlüsselbestimmung 1. Wähle zwei große Primzahlen p und q. (z.b Bit) 2. Berechne n = pq und z = (p-1) (q-1). 3. Wähle e (mit e<n), welches relativ prim zu z ist. 4. Wähle d so, dass ed-1 exakt durch z dividierbar ist. (ed mod z = 1) 5. Public-Key = {n,e} und Private-Key = {n,d}. Verschlüsselung Die Nachricht M wird vom Sender mit dem Public-Key {e,n} des Empfängers wie folgt verschlüsselt: C = M e mod n Entschlüsselung Die verschlüsselte Nachricht C wird mit dem Private-Key {d,n} des Empfängers wie folgt entschlüsselt: M = C d mod n Testen von Primzahlen -fehlt- Rechnen mit großen Zahlen -fehlt-

19 7. Diffie-Hellman Verfahren zum Schlüsselaustausch u und w sind geheim, q und a sind öffentlich. Primitive Wurzel Eine Zahl a ist primitive Wurzel von n, wenn 1 a mod n, a 2 Φ( mod n,, a n ) mod n alle verschieden sind.

20 8. Hashfunktionen Geburtstagsparadoxon Fragen - Wie schwierig ist es, zu einem gegebenen Hashwert die Nachricht zu finden, die diesen Hashwert bildet? - Wie schwierig ist es, zwei Nachrichten zu finden, die den gleichen Hashwert liefern? Beispiel Wie viele Menschen müssen sich in einem Raum befinden, so dass die Wahrscheinlichkeit, dass mindestens zwei Menschen am gleichen Tag Geburtstag haben, bei 50 % liegt? Bei 23 Menschen ist die Wahrscheinlichkeit bereits 50 %.

21 Komplexität von Angriffen

22 9. HMAC Problem Mittels Hashfunktion kann man die Integrität von Nachrichten sicherstellen. Was ist aber, wenn derjenige, der die Nachricht verändert einfach einen neuen Hashwert berechnet und den alten ersetzt? Lösung Eine höhere Sicherheit wird durch Einbeziehen eines geheimen Schlüssels K bei der Berechnung des Hashwertes erreicht. Die Konstanten opad und ipad sind in der HMAC-Spezifikation festgelegt.

23 10. Authentifizierung mit Username / Passwort Bedrohungen Angriff auf Benutzer - Ausspionieren des Benutzers mittels Keylogger. - Unvorsichtiger Umgang mit Passworten. - Virus. Angriff auf Übermittlung - Mitlesen der Nachrichten im Netzwerk. Angriff auf Passworttabelle

24 11. Übermittlung von Passworten Klartext Sicherheit nur durch Sicherung des Übertragungsweges z.b. direkte Verkabelung. Problem Der Einsatz in lokalen Netzen wie Ethernet ist gefährlich, da hier die Datenpakete per Broadcast an alle angeschlossenen Stationen gesendet werden. Ein Angreifer müsste lediglich die Datenpakete abfangen und käme so an das Passwort. Beispiel - Telnet (Terminalemulation) Challenge-Response Beweis der Identität Anstelle des Sendens des Passwortes wird hier ein Hashwert gesendet, der über das Passwort gebildet wird. Somit lässt sich der Benutzer eindeutig identifizieren und das Passwort wird nicht übertragen. Problem Ein Angreifer könnte den Hashwert abfangen und ein Reply machen. Lösung Server erstellt bei Anfrage eine Zufallszahl (Challenge genannt), die er an den User schickt. Dieser bildet dann einen Hashwert aus Passwort + Zufallszahl. Da diese Zufallszahl immer verschieden ist und der Server diesen Hashwert nur einmal akzeptiert, sind Reply-Attacken nicht möglich.

25 Einmal-Passworte SecureID Token von RSA Seed Für jeden Teilnehmer generiert der Server eine Zufallszahl (seed). Diese wird in einer Datenbank zusammen mit der Ausstellungszeit (tb) gespeichert. Der Benutzer bekommt ein Hardware Token, welches diese Daten gespeichert hat. Server und Token besitzen interne Uhren, welche alle 30 oder 60 Sekunden ticken. Anmeldevorgang beim User Der Hardware Token berechnet einen Hashwert P über den seed-wert und der Anzahl der Zeitintervalle (ct), die seit der Erstellung des seed-wertes vergangen sind. Aus P wird dann nochmals zusammen mit einer PIN ein Hashwert M gebildet, welcher an den Server geschickt wird. Anmeldevorgang beim Server Der Server berechnet ebenfalls einen Hashwert P mittels des seed-wertes aus seiner Datenbank und der Anzahl der Zeitintervalle, die seit Erstellung des seed- Wertes vergangen sind. Zudem wird über P und der in der Datenbank gespeicherten PIN ein Hash M gebildet, der dann mit dem empfangenen M verglichen wird. Synchronisierungsprobleme Weil dieses Verfahren von Zeit abhängig ist, müssen die Uhren synchron sein. Da aber die Uhren nicht exakt laufen, werden folgende Ansätze verwendet, dieses Problem zu beheben: - Der Server verwendet auch die Zeitintervalle direkt vor und nach dem aktuellen Intervall.

26 - Wenn der Server feststellt, dass seine Zeit von der des Tokens abweicht, dann korrigiert er die Zeit des Benutzers in der Benutzertabelle. Sicherheit vor Replay-Attacken Pro Zeitintervall kann man sich nur einmal anmelden, um Reply-Attacken zu vermeiden.

27 12. Speicherung von Passworten Passwörter dürfen nicht im Klartext in der Tabelle gespeichert werden, da diese sonst für den Angreifer sofort lesbar wären. Außerdem sollen die Passwörter dem Administrator verborgen bleiben. Daher werden die Passwörter in einer Passworttabelle mit einer nicht umkehrbaren Funktion verschlüsselt. Hashfunktionen eignen sich hierfür. Dictionary-Attack Aufbau einer Liste Angreifer erzeugt eine Liste mit gängigen Worten. Für jedes erzeugt er den Hashwert. Angriff Nun vergleicht der Angreifer seine gebildeten Hashwerte aus seiner Liste mit den Hashwerten der Passworttabelle und erhält somit die Benutzer, die ein Passwort verwendet haben, das in der vom Angreifer erzeugten Liste steht. Trefferrate Die Trefferrate ist meist größer als 50 %! Salt Erschwerung eines Dictionary oder Bruteforce Angriffs Durch hinzugeben von Salz (eine Zufallszahl) bei der Erzeugung des Hashwertes aus dem Passwort, wird ein Angriff aufwändiger. Die Zufallszahl wird mit der BenutzerID und dem Hashwert in der Tabelle abgespeichert. Der Angreifer müsste in seiner Liste mit möglichen Passworten für jedes Passwort den Hashwert für jeden möglichen salt -Wert berechnen.

28 crypt(3) Unix-Passwort besteht aus 8 Zeichen. crypt(3) verwendet modifizierten DES-Algorithmus. crypt(3) erstellt aus Salt und Passwort einen 11 Byte langen Chiffretext. Salt-Wert wird aus Uhrzeit abgeleitet. o Doppelte Passwörter werden nicht sichtbar o Beim Aufbau einer Dictionary-Attack-Liste muss für jedes Passwort 4096-mal crypt(3) gemacht werden. o Einsatz von DES-Hardwarecrackern wird verhindert. 25 Durchgänge von modifiziertem DES:

29 13. HTTP Basic Authentication Digest Authentication

30 14. Kerberos Vorüberlegung / Authentication Server Wenn ein Client Dienste von mehreren Servern in Anspruch nimmt, dann ist es lästig sich ständig anzumelden. Es wäre günstiger, wenn diese Aufgabe von einem Authentication- Server übernommen wird. Dieser authentifiziert den Client und stellt ihm ein Ticket aus, mit dem er auf den Server V zugreifen kann: o Ticket - Das Ticket kann nur von AS und V gelesen werden. - Das Ticket enthält als Information die IP des Clients, der es angefordert hat. o Probleme - Senden des Passwortes im Klartext - Für jeden weiteren Server müsste ein neues Ticket erzeugt werden

31 Ticket Granting Server / verbessertes Protokoll Der Client fordert hier ein Ticket-Granting-Ticket für den TGS an, indem er nur seine ID und die des TGS übermittelt (1. Verbesserung). Der AS antwortet mit dem verschlüsselten TGT, das der Client durch Eingabe seines Passwortes entschlüsseln kann. Mit diesem Ticket kann sich der Client dann die Service-Granting-Tickets für die gewünschten Server vom TGS holen, ohne dass er erneut sein Passwort eingeben muss (2. Verbesserung). o Probleme 1. Wiederverwendung von Tickets: Replay der Service-Granting-Tickets und Ticket-Granting-Tickets. (z.b. durch Einstellen der gleichen IP am PC des Angreifers) 2. Keine Authentifizierung der Server.

32 Kerberos Version 4 In Kerberos 4 werden die vorher genannten Probleme behoben: 1. Lösung Problem 1: Damit der Client beweisen kann, dass ein Ticket nur für ihn ausgestellt wurde, verteilt der AS außer dem Ticket noch eine geheime Information (Authenticator) an den Client und den TGS. Der TGS akzeptiert dann nur das Ticket, wenn der Authenticator übereinstimmt. Zum verschlüsselten Übertragen des Authenticators wird ein Session-Key verwendet. Der Session-Key wird bei jeder Authentifizierung vom AS neu bestimmt und (mit dem Passwort des Clients verschlüsselt) an den Client und (mit dem geheimen Schlüssel des TGS eingepackt in das TGT) an den TGS verteilt. Der Authenticator hat eine sehr kurze Lebensdauer und kann nur einmal verwendet werden. Will der Client ein Ticket innerhalb dessen Lebensdauer mehrmals benutzen, dann muss er sich den Authenticator neu erzeugen und ihn mit dem Ticket zum TGS schicken. Der TGS kann dann feststellen, dass der Authenticator vom authorisierten Client stammen muss, weil nur dieser den geheimen Session- Key kennen kann. Ein Angreifer kann mit einem gestohlenen Ticket nichts anfangen, weil er keinen passenden Authenticator erstellen kann. Ein gestohlener Authenticator ist nutzlos, da dieser eine sehr kurze Lebensdauer hat. Das gleiche Verfahren wird auch mit Service-Granting-Tickets angewendet.

33 2. Lösung Problem 2: Die Authentifizierung eines Servers lässt sich dadurch erreichen, dass der Server den Timestamp des Authenticators um 1 erhöht und diesen mit dem geheimen Session-Key verschlüsselt an den Client zurückschickt. Dadurch kann der Client erkennen, dass diese Antwort nur von dem Server stammen kann, der das Ticket und den Authenticator entschlüsseln konnte.

34 15. SSL (Secure Socket Layer) Eines der am weitesten verbreiteten Protokolle zur sicheren Datenübertragung im Internet. Verwendung eines Trust Centers Ein Trust Center stellt einen öffentlichen Schlüssel, einen privaten Schlüssel und ein Zertifikat zur Verfügung: Browser Viele Browser haben bereits Zertifikate von Trust Centern eingebunden: Server Auch der Server erhält ein Zertifikat. Dieses enthält seinen öffentlichen Schlüssel. Das Zertifikat wird mit dem privaten Schlüssel des Trust Centers unterschrieben: Aufbau der Verbindung 1. Handshake Client Hello -> Server Hello 2. Zertifikat Der Server schickt sein Zertifikat an Client.

35 3. Prüfung Der Client prüft das Zertifikat indem er es mit dem öffentlichen Schlüssel des Trust Centers entschlüsselt. 4. Session Key Der Client erzeugt einen Session Key und verschlüsselt diesen mit dem öffentlichen Schlüssel des Servers: 5. Verschicken des Session Keys Der Client schickt den verschlüsselten Session Key an den Server, der diesen mit seinem privaten Schlüssel entschlüsselt. 6. Aufbau einer symmetrischen Verschlüsselung mit dem Session Key.