Public-Key-Infrastrukturen

Transkript

1 Public-Key-Infrastrukturen

2 Wiederholung asymmetrische Verfahren mit Schlüsselpaar: öffentlicher Schlüssel geheimer Schlüssel Übermittlung der nachricht m von A an B A erfährt Bs öffentlichen Schlüssel p B A sendet e(p B, m) an A B entschlüsselt m = d(s B, e(p B, m)) Problem: Man-in-the-Middle-Angriff M ersetzt p B durch p M A sendet e(p M, m) an B, M liest mit M entschlüsselt m = d(s M, e(p M, m)) außerdem: A hält Signatur mit s M für Bs Signatur Ziel: Garantie der Authentizität öffentlicher Schlüssel

3 Public-Key-Infrastrukturen (PKI) Erzeugung Authentisierung Verteilung Überprüfung der öffentlichen Schlüssel sichere Speicherung der geheimen Schlüssel

4 Prüfung öffentlicher Schlüssel persönliche Übergabe (Speichermedien, Telefon) Fingerprint (Hashwert) des öffentlichen Schlüssels zur Überprüfung Zertifizierung durch Trustcenter (vertrauenswürdige Institution)

5 Zertifizierung öffentlicher Schlüssel Trustcenter T öffentlicher Schlüssel p T (sicher) veröffentlicht geheimer Schlüssel s T sehr sicher verwahrt Prüfung der Authentizität des Schlüsseleigentümers A Signatur des öffentlichen Schlüssels p A durch mit s T Wichtig: Echtheit von p T, vor Benutzung prüfen!

6 Sicherkeitsklassen für Zertifikate 1. ohne Überprüfung der Personalien (unsicher) 2. ohne Überprüfung der Personalien (unsicher) 3. persönliches Erscheinen bei Post, Prüfung des Personalausweises (unsicher) 4. persönliches Erscheinen beim Trustcenter, Prüfung des Personalausweises

7 Kommunikation A und B lassen ihre öffentlichen Schlüssel sicher zertifizieren A und B tauschen ihre zertifizierten öffentlichen Schlüssel A und B prüfen die Zertifikate der erhaltenen Schlüssel Kommunikation mit Verschlüsselung, Signatur Verwaltung (sichere Verwahrung, Bekanntgabe) der öffentlichen Schlüssel durch Trustcenter

8 Zertifizierungshierarchie Zertifizierung und verwaltung öffentlicher Schlüssel durch betriebliche Zertifizierungsstelle: selbst bei einem Trustcenter zertifiziert stellt Zertifikate für Mitarbeiter aus z.b. Zertifizierungsstelle der WHZ Hausaufgabe: verstehendes Lesen Vereinfachung der Zertifizierungsvorgänge erweitertes Vertrauen notwendig (in Zertifizierungsstellen von Partnern)

9 Public-Key-Systeme Austausch verschlüsselter und signierter s z.b. PGP, GnuPG, S/MIME Authentifizierung und Datenübertragung in Netzwerken z.b. SSH (secure shell) Datenübertragung in Netzwerken z.b. SSL (secure socket layer), VPN (virtual private networking)

10 Sichere Kommunikation per Verschlüsselungsstandard: OpenPGP symmetrische Verschlüsselung Schlüsseltausch durch RSA Hashfunktion MD5 digitale Signatur mit MD5 und RSA Implementierungen, z.b. PGP (Pretty Good Privacy), GPG (Gnu Privacy Guard)

11 -Kommunikation mit GnuPG Protokoll: A sendte Nachricht m an B Erzeugung eines Sitzungsschlüssels k A verschlüsselt (komprimierten) Klartext m mit Sitzungsschlüssel e(k, m) Secret-Key-Verfahren, z.b. AES, TWOFISH, Triple-DES, BLOWFISH Sitzungsschlüssel mit p B verschlüsseln e (p B, k) Public-Key-Verfahren, z.b. RSA, ElGamal A sendet e(k, m), e (p B, m) an B B entschlüsselt k = d (s B, e (p B, k)) B entschlüsselt m = d(k, e(k, m))

12 Datenübertragung in Netzwerken Funktionen von SSH: gegenseitige Authentifizierung Client, Server Benutzer-Authentifizierung auf Server (sicheres Login) Identitätsprüfung durch RSA oder DSA: 1. Server erzeugt Zufallszahl z, sendet e(p A, z) an Client A 2. A entschlüsselt z = d(s A, e(p A, z)) 3. A sendet h(z ) (MD5-Hash) an Server 4. Server vergleicht h(z) = h(z ) Verschlüsselung aller Datenübertragung symmetrische Verschlüsselung der Daten IDEA, BLOWFISH, TRIPLE-DES