Freie wissenschaftliche Arbeit zur Erlangung des akademischen Grades eines Diplom-Wirtschaftsinformatikers (FH) über das Thema

Größe: px
Ab Seite anzeigen:

Download "Freie wissenschaftliche Arbeit zur Erlangung des akademischen Grades eines Diplom-Wirtschaftsinformatikers (FH) über das Thema"

Transkript

1 Fachhochschule für Technik und Wirtschaft Berlin Freie wissenschaftliche Arbeit zur Erlangung des akademischen Grades eines Diplom-Wirtschaftsinformatikers (FH) über das Thema PKI ( Public Key Infrastruktur ) für Netzwerkdienste in der Diameterumgebung Diplomarbeit im Fachgebiet Wirtschaftsinformatik eingereicht im Fachbereich 4, Studiengang Wirtschaftsinformatik der Fachhochschule für Technik und Wirtschaft Berlin Themensteller: Zweitbetreuer: Prof. B. Messer Prof. H. Theel vorgelegt von: Holger Grauenhorst, Matrikel-Nr.: Marksburgstrasse Berlin Abgabetermin: Abgabeort: Berlin

2 II Danksagung Die vorliegende Arbeit wurde bei der T-Systems Nova GmbH Berkom, Abteilung Innovative Internet Produkte und Projekte angefertigt. Ich möchte mich bei Herrn Prof. B. Messer bedanken, der es mir ermöglichte, diese Arbeit extern durchzuführen und mir mit seinen vielen Anregungen zur Seite stand. Dank gilt meinem Betreuer Herrn Wolfgang Steigerwald für die Unterstützung während der Arbeit. Ihm, sowie Jörg Heuer danke ich für die Überlassung des Themas. Weiterhin danke ich Axel Nennker und Moritz Kulbach für die zahlreichen Diskussionen und inhaltlichen Hilfestellungen. Bei allen weiteren Mitarbeitern der T-Systems Nova bedanke ich mich für das gute Arbeitsklima. Für die Unterstützung während des gesamten Studiums möchte ich mich an dieser Stelle bei meinen Eltern und meiner Freundin bedanken.

3 III Inhaltsverzeichnis Inhaltsverzeichnis...III Abbildungsverzeichnis...V Tabellenverzeichnis... VI Abkürzungsverzeichnis... VII 1 Zusammenfassung Einleitung AAA ( Authentisierung, Autorisierung, Accounting ) Was ist eine AAA-Infrastruktur? Pull Sequence Push Sequence Agent Sequence Anforderungen an ein AAA-Protokoll Roaming Roaming Gateway PKI Public-Key-Verschlüsselung Digitale Signatur Zertifikat Was ist eine Public Key Infrastructure ( PKI )? Zertifizierungspfade Anforderungen an eine PKI PKI Architekturmodell anhand der PKIX Spezifikation X.509 Public Key Infrastructure Architekturmodell nach der PKIX-Spezifikation DIAMETER als Nachfolger des RADIUS-Protokolls DIAMETER Basis-Protokoll Unterstützte Dienste Roaming Support Strong Security Erweiterung NASREQ Erweiterung MobileIP Erweiterung OCSP ( Online-Certificate-Status-Protocol ) Konzeption eines PKI-Architekturmodells für den Netzwerkdienst Roaming Vorraussetzungen für die Authentisierung Mithilfe von Zertifikaten Genereller Ablauf Detailablauf Verwendete Verschlüsselungsalgorithmen FQDN ( Fully Qualified Domain Name ) Zertifikatserstellung über RA ( Registration Authority ) Schlüsselwiederherstellung...48

4 IV 8.8 Managementprotokoll OCSP-Anbindung Zugriff des OCSP-Responders auf Statusinformation OCSP mit CRLs OCSP Direktzugriff auf die Revokationsdaten Zertifikat des OCSP-Responders Authority-Revocation-Lists Optimierung der Zertifikatsstatusabfragen Sicherheitsrisiken Alternative SSL Ausblick / Bewertung...69 Literaturverzeichnis...72 Anhang...74

5 V Abbildungsverzeichnis Abb. 1: Systemarchitektur eines allgemeinen, applikationsunabhängigen AAA-Systems...6 Abb. 2: Schema der Pull-Sequence Abb. 3: Schema der Push-Sequence..10 Abb. 4: Schema der Agent-Sequence...11 Abb. 5: Domänen-Übersicht...13 Abb. 6: Prinzip des Roaming...14 Abb. 7: Beispiel für eine Public-Key-Verschlüsselung...18 Abb. 8: X.509 Version3 Zertifikat...20 Abb. 9: Beispiel einer Zertifizierungshierarchie nach dem X.509 Standard...26 Abb.10: Architekturmodell nach der PKIX-Spezifikation...28 Abb.11: Diameter Mobile-IP Szenario Abb.12: Revokationsstatusabfrage Abb.13: Architekturmodell für den Netzwerkdienst Roaming...40 Abb.14: Struktur OCSP-Requests Abb.15: Struktur OCSP-Response...54 Abb.16: Zugriffsmethoden auf Revokationsdaten...60 Abb.17: Sicherheitsrisiken im Architekturmodell...65 Abb.18: SSL-Überblick...67

6 VI Tabellenverzeichnis Tabelle 1: Distinguished Name Attribut-Wert-Paare...21 Tabelle 2: Ergebnismeldungen des OCSP-Responders...55 Tabelle 3: Revokationsstatus des OCSP-Responders

7 VII Abkürzungsverzeichnis AAA ARL ASM ASN AVP CA CMP CMS CRL DoS DSA FQDN IETF IP IPRA IPSec ISP LAN LDAP NASREQ OCSP PCA PKI Authentication, Authorization und Accounting Authority-Revocation-List Application Specific Module Abstract-Syntax-Notation Attribut-Value-Pair Certification Authority Certificate Management Protokoll Cryptographic Message Syntax Certificate Revocation List Denial-of-Service Diameter Security Association Fully Qualified Domain Name Internet Enforcement Task Force Internet Protocol Policy Registration Authority IP Security Internet Service Provider Local Area Network Lightweight Directory Access Protocol Network Access Server Requirements Online-Certificate-Status-Protocol Policy Certification Authority Public Key Infrastructure

8 VIII RA RADIUS RFC ROAMOPS RSA SCTP SIP SQL SSL TCP TLS TTL UDP URL WG WLAN Registration Authority Remote Authentication Dial In User Service Request For Comments Roaming Operations Nach Erfinder Ronald Rivest, Adi Shamir und Leonard Adleman benannt Stream Control Transmission Protocol Session Internet Protocol Structured Query Language Secure Sockets Layer Transmission Control Protocol Tansport Layer Security Time to Live User Datagram Protocol Uniform Resource Locator Working Group Wireless Local Area Network

9 1 1 Zusammenfassung In dieser Arbeit wird ein Architekturmodell für die Integration einer X.509-basierten Public-Key-Infrastruktur in eine Diameter-Roaming-Umgebung erarbeitet. Für die Anbindung einer Zertifikatsstruktur an eine Diameter-Roaming-Umgebung wird die CMS ( Cryptographic Message Syntax ) Diameter-Applikation verwendet. Alternativ wird die Sicherung der Verbindung zwischen den Roaming-Gateways über SSL diskutiert. Es wird analysiert, wie der Zertifikatsstatus der Roaming-Gateways über ein OCSP- Responder abgefragt werden muss, um eine Sicherheitsbeziehung zwischen den Roaming-Gateways etablieren zu können. Die Diskussion über die Verwendung von Revokationslisten oder OCSP-Abfragen um Zertifikatsstatusabfragen zu realisieren, führt zu dem Schluss, dass OCSP-Abfragen über ein OCSP-Responder für häufige und zeitkritische Prozesse favorisiert werden können. Das entworfene Architekturmodell kann ebenfalls Anwendung im Mobile-IP Szenario finden.

10 2 2 Einleitung Mit zunehmender Globalisierung unserer Kommunikationswelt, erfahren wir auch eine Ausweitung des Mobilitätsbedürfnisses. Die globale Vernetzung und die Internettechnologie kennen keine geografischen Grenzen. Fast alle Firmen, Institutionen oder selbständige Unternehmer nutzen auf die eine oder andere Weise die Möglichkeiten der weltweiten und lokalen Kommunikation. Lokale und flächendeckende Netze werden häufig für den Zugriff auf entfernte Computer, Mail, Buchungssysteme, Informationssysteme oder Prozessautomatisierung eingesetzt. Beispielsweise kann sich ein Internetnutzer bei einem Auslandsaufenthalt über einen lokalen Provider in das Heimatnetz einwählen. Somit kann der Nutzer an jedem beliebigen Ort der Welt auf Dienstleistungen des Heimatproviders zugreifen. Über WLAN-Hot-Spots kann der Nutzer mit dem Laptop ins Internet kommen, E- Mails oder direkten Zugriff auf das Firmennetz erhalten. Hot-Spots sind öffentliche Access Points die per Wireless LAN einen Internetzugang bereitstellen. Diese Hot-Spots können an wichtigen Plätzen wie Flughäfen und Hotels installiert werden. Da diese Netze von lokalen Betreibern unterhalten werden können, wird für diese Netzwerkwerkarchitektur eine Roaming-Umgebung benötigt. Eine Roaming-Umgebung besteht aus zwei Roaming-Gateways der betreffenden Provider, über die der Nutzer authentifiziert und autorisiert wird. E-Business und E-Commerce sind inzwischen nicht zu unterschätzende Wirtschaftsbereiche. Um diesen Umständen Rechnung zu tragen benötigt man Mechanismen, die es ermöglichen, angebotene Dienste vor Missbrauch zu schützen. Mit zunehmender Kommerzialisierung und Abwicklung von Geschäftsprozessen über das Internet wächst auch die Anforderung an Vertraulichkeit und Echtheit dieser Informationen. Aber die Sicherheit im Internet stellt noch immer ein Problem dar, da es wenig ausreichende Sicherheitsmechanismen gibt bzw. bestehende Mechanismen nicht vollständig oder gar nicht angewandt werden. Eine Methode um Datensicherheit und eine Identifizierung von Kommunikationsteilnehmern zu erreichen, ist das Einsetzen einer Public Key Infrastruktur ( PKI ). Eine PKI kombiniert Software und Services für die Ausgabe, Verwaltung, Verifizierung und Beglaubigung von elektronischen Schlüsseln (Public/Private Key) und Zertifikaten. Dies ermöglicht den Einsatz digitaler Signaturen und einen vertraulichen Datenaustausch in

11 3 ungesicherten Netzen. Dadurch bietet die PKI die Grundlage für sicheres und zuverlässiges e-business aber auch sichere -Kommunikation und Benutzeridentifizierung. Die vorliegende Arbeit beschäftigt sich mit dem Problem der Integration einer X.509- basierten Public-Key-Infrastruktur in eine Diameter-Roaming-Umgebung. Eine Roaming-Umgebung ermöglicht es einem Internet Service Provider über ein Roaming Gateway eine Verbindung zu einem anderen Roaming Gateway eines anderen ISPs herzustellen, um Authentisierungsdaten, Autorisierungsdaten und Accountingdaten zu übertragen. Über diese Verbindung können sich die Internetnutzer im Ausland über einen ortsansässigen Provider einwählen und auf Dienste des lokalen Providers zugreifen. Hierbei sind zwei Provider an dem Roaming-Szenario beteiligt. Da auf der Verbindungsstrecke zwischen den Roaming Gateways sicherheitsrelevante Daten übertragen werden, muss diese Interdomainstrecke sehr stark vor Angriffen gesichert werden. Die Strecke zwischen User und dem lokalem Provider muss ebenfalls gesichert werden. Zu einer Roaming-Umgebung gehören immer zwei Service-Provider. Ein Service-Provider bei dem der Nutzer sich lokal einwählt und der Heimat-Service- Provider des Internetnutzers bei dem er Netzwerkdienste nutzt. Die Sicherung der Verbindung zwischen den Roaming-Gateways geschieht derzeit nur über symmetrische Verschlüsselungsverfahren. Dabei wird ein geheimer Schlüssel festgelegt, der über andere Kommunikationswege, wie zum Beispiel das Telefon ausgetauscht wird. Über diesen privaten Schlüssel ver- und entschlüsseln die Roaming- Gateways die zu versendenden Nachrichten. Eine Alternative wäre hier eine Mischung aus asymmetrischer und symmetrischer Verschlüsselung, um das Sicherheitsrisiko zu minimieren. In dieser Arbeit beschreibe ich zunächst die Komponenten eines AAA-Systems. Die Abkürzung AAA steht für Authentifizierung, Autorisierung und Accounting. Dieses stellt den Kern der Nutzerauthentifizierung und Autorisierung bei Internet Service Providern dar. Anschließend werden das Diameter-Protokoll, das OCSP-Protokoll, sowie die einzelnen Komponenten einer Public Key Infrastruktur näher analysiert. Danach wird ein Konzept für ein PKI-Architekturmodell für den Netzwerkdienst Roaming erarbeitet. Hierfür wird die CMS (Cryptographic Message Syntax) Diameter Applikation

12 4 verwendet. Die CMS stellt eine optionale Erweiterung des Diameter-Basis Protokolls dar. Mit dieser soll eine Sicherheitsbeziehung zwischen den Roaming-Gateways etabliert werden. Dies geschieht mit Hilfe von Zertifikatsstatusabfragen der Roaming- Gateways über eine CA (Certification Authority).Es werden anschließend die Sicherheitsrisiken des Architekturmodells erläutert und eine Alternativlösung für eine sichere Verbindung der Diameter-Gateways über SSL besprochen. SSL ist ein standardisiertes Sicherheitsprotokoll. Es gewährleistet Datensicherheit zwischen dem Dienstprotokoll (z.b. Diameter, HTTP, SMTP, Telnet) und TCP/IP. SSL ermöglicht verschlüsselte Verbindungen, Echtheitsbestätigungen mit Zertifikaten sowie die Sicherstellung der Nachrichtenintegrität. Abschließend wird ein Ausblick auf andere Einsatzgebiete des erstellten Architekturmodells gegeben.

13 5 3 AAA ( Authentisierung, Autorisierung, Accounting ) Die Abkürzung AAA steht für Authentifizierung, Autorisierung und Accounting. Authentifizierung ist der Prozess der Überprüfung einer angegebenen Identität. 1 Einerseits bedeutet dies, sicher zu stellen, dass man tatsächlich mit der Instanz kommuniziert, die sie vorgibt zu sein. Das bezeichnet man auch als authentication of the channel end point. Andererseits heißt dies, dass sich der Initiator der Nachricht zusätzlich gegenüber dem Empfänger ausweisen muss. Beispielsweise darf ein Dienst nur dann freigeschaltet werden, wenn sicher festgestellt worden ist, dass die Instanz, mit der kommuniziert wird, auch die richtige ist. Dies bezeichnet man auch als authentication of the message originator. Authentifizierung kann auf verschiedenste Arten und Weisen stattfinden. Die gebräuchlichste Methode ist die Kombination aus Benutzername und Passwort. Sicherere Methoden sind z.b. die Verwendung von Public-Key-Kryptografie oder Challenge-Response-Schemata. Beim Challenge-Response-Schemata verschlüsselt der Sender eine Zufallszahl mit dem öffentlichen Schlüssel und erwartet diese übertragene Zahl unverschlüsselt zurück. Dazu gehört der Schutz vor Man-In-The- Middle und Replay Attacken. Bei der Man-in-The-Middle Attacke steht der Angreifer zwischen zwei miteinander kommunizierenden Rechnern. Von hier aus kann er alle Daten abfangen und verändert an den Adressaten weitergeben, der glaubt, sie vom ursprünglichen Absender zu erhalten. So gibt sich der Angreifer zu jeder Seite als die jeweils andere Seite aus. Bei einer Replay-Attacke hört der Angreifer ein authentifiziertes Paket ab und sendet es später (mehrmals) zum Ziel. Mit dem Autorisierungsvorgang werden die ( Zugriffs-) Rechte an einem authentifizierten Benutzer vergeben oder verweigert. 2 Dabei kann es sich z.b. um Zugriffsrechte für Netzwerkdrucker handeln. Ein Autorisierungsvorgang ist gleichbedeutend mit der Frage, ob ein Benutzer ausreichende Rechte besitzt, eine angeforderte Ressource zugeteilt zu bekommen. Eine Autorisierung erfolgt als direkte Folge nach einer bereits erfolgreich durchgeführten Authentifizierung. 1 [RFC 2903], Generic AAA Architecture, Kap. 2 2 [RFC 3169], Criteria for Evaluating Network Access Server Protocols, Kap.3

14 6 Das dritte A in einem AAA-System steht für Accounting. Accounting umfasst den Prozess der Datensammlung bzgl. Ressourcenverbrauch für Abrechnungszwecke, Kapazitätsplanungen und Statistiken. Es werden aufgrund der Messdaten die angefallenen Kosten (charging) eines Internetnutzers ermittelt und eine Rechnung pro Nutzer (billing) erstellt. 3.1 Was ist eine AAA-Infrastruktur? Eine AAA-Infrastruktur ist ein AAA-System, welches zur Identifizierung, Autorisierung und das Accounting von Clients dient. Ein AAA-System wird vorwiegend von Internet Service Providern betrieben, um Nutzern (Clients) den Zugang zum Internet zu ermöglichen. Eine typische AAA-Infrastruktur besteht aus AAA-Servern und AAA- Clients. 1 Abb. 1: Systemarchitektur eines allgemeinen, applikationsunabhängigen AAA-Systems 1 [RFC 2903], Generic AAA Architecture, Kap 2.2

15 7 Der AAA-Server hat die Aufgabe Clientanfragen zu analysieren und Authentifizierungs-/Autorisierungsentscheidungen zu treffen. Hierfür besitzt er Regeln und mehrere Hilfskomponenten, die die notwendigen Informationen liefern. Das ASM (Application Specific Module) stellt die Schnittstelle zu den applikationsspezifischen Informationen dar. Das ASM verwaltet die Ressourcen und konfiguriert die Dienste, die für einen autorisierten Benutzer zur Verfügung stehen. 1 Das Event Repository ist eine Datenbank, in der alle aufgetretenen Ereignisse des AAA- Systems chronologisch gespeichert werden. 2 Ein Beispiel ist die Authentifizierung eines Internetnutzers, die im Event Repository eingetragen wird. Diese Informationen können auch Autorisierungsentscheidungen als Grundlage dienen. Es kann eine Autorisierung nur dann stattfinden, wenn ein anderes Ereignis in der Vergangenheit bereits gespeichert wurde. Beispielsweise können einem Internetnutzer nur bestimmte Rechte für einen FTP-Server gegeben werden, wenn dieser sich zuvor korrekt authentifiziert hat. Das Policy (Richtlinie) Repository ist eine Datenbank, die die verfügbaren Dienste verwaltet und Auskünfte darüber erteilt, welche Autorisierungsfälle entschieden werden können. Zudem hat es Kenntnis darüber, welche Regeln einer Autorisierungsentscheidung zugrunde liegen müssen. 3 Am Beispiel bedeutet dies, dass der Internetnutzer nur für den FTP-Server-Zugriff autorisiert ist, wenn die Richtlinien der Policy-Datenbank dies vorgeben. Der Ablauf einer Autorisierungsanfrage des Clients in der allgemeinen Systemarchitektur ist nachfolgend dargestellt: 4 1. Ein Benutzer stellt eine Autorisierungsanfrage an den Server. 2. Der AAA-Server überprüft die Anfrage, stellt fest, welche Art der Autorisation benötigt wird, erhält eine Regel aus dem Policy Repository und führt eine der folgenden Aktionen aus: a) Weiterleitung der Anfrage an das ASM zum Zweck der Evaluierung. 1 [RFC 2903], Generic AAA Architecture, Kap [RFC 2903], Generic AAA Architecture, Kap 5 3 [RFC 2904], AAA Authorization Framework, Kap. 4 4 [RFC 2904], AAA Authorization Framework, Kap. 3

16 8 b) Autorisierungsentscheidung auf Grundlage der Daten aus dem Policy Repository und dem Event Log. c) Weiterleitung der Anfrage an einen anderen AAA-Server. Der AAA-Server muss auf die Antwort des angefragten Servers warten. In den Fällen a und b sendet der AAA-Server anschließend die Antwort an den Client oder AAA-Server. Diese Antwort enthält erfolgreich autorisiert (Autorisierung ist erfolgt) oder nicht erfolgreich autorisiert. Welche Autorisierungsmechanismen für ein AAA-System existieren, werden in den folgenden Unterpunkten dargestellt. Ein Nutzer eines AAA-Systems kann sich über verschiedene Arten von Autorisierungssequenzen autorisieren. Es existieren drei Autorisierungssequenzen: agent, push und pull. Diese werden in den folgenden Kapiteln dargestellt.

17 Pull Sequence Die Pull Sequence ist die gebräuchlichste Form der Autorisierung. Sie wird bei der Einwahl eines Internetnutzers in das Internet über ein Internet Service Provider benutzt. Der Ablauf dieser Autorisierungsart ist in dem folgenden Schema dargestellt. Abb. 2: Schema der Pull-Sequence In der Pull-Sequence stellt der Benutzer seine Anfrage nach einem gewünschten Dienst direkt an das Service-Equipment. (1) Das Service-Equipment ist die Schnittstelle zu den einzelnen Diensten eines ISPs. Dies kann z.b. der Network-Access-Server (NAS) eines Internet Service Providers sein, der seinen Kunden einen Modem-Einwahlpool zur Verfügung stellt. Das Service-Equipment sendet die Anfrage zur Entscheidung an den AAA-Server (2). Der AAA-Server entscheidet auf Grundlage seiner Informationen und teilt dem Service- Equipment anschließend mit, den Dienst zu starten oder nicht (3). Der Service-Equipment startet den Dienst, wenn die Autorisierungsprozedur

18 10 erfolgreich war und meldet dem Benutzer, dass der Dienst nun zur Verfügung steht (4) 1. Ein Beispiel ist, wie oben beschrieben, die Einwahl eines Internetnutzers, der sich authentifiziert, gemäß der Pull-Sequence autorisiert und danach der Dienst (z.b. ein FTP- Server) zur Nutzung zur Verfügung steht Push Sequence In der Push-Sequence ist der Benutzer selber die Schnittstelle zwischen AAA-Server und Service-Equipment. In der folgenden Abbildung wird der Zusammenhang dargestellt. Abb. 3: Schema der Push-Sequence Der Benutzer fragt den AAA-Server an, ob er autorisiert ist den gewünschten Dienst zu benutzen (1). Besteht er diese Prüfung, bekommt er vom AAA-Server ein Ticket ausgestellt (2). Dieses Ticket (oder Zertifikat) weist den Nutzer aus, einen bestimmten Dienst in einer vorgeschriebenen Zeit nutzen zu dürfen. Dieses Ticket soll laut Spezifikation vom AAA-Server verschlüsselt werden. Genauere Angaben hierzu sind in der Spezifi- 1 [RFC 2904], AAA Authorization Framework,, Kap

19 11 kation 1 nicht dargestellt. Mit diesem Ticket ausgestattet wendet er sich nun an das Service-Equipment und bittet es den Dienst zu starten (3). Wenn der Dienst bereitsteht, meldet das Service-Equipment dies an den Benutzer (4) Agent Sequence In der Agent-Sequence fungiert der AAA-Server als Schnittstelle zwischen dem Benutzer und dem Service-Equipment, das den Dienst zur Verfügung stellt 3. Abb. 4: Schema der Agent Sequence Der Benutzer fragt den AAA-Server an, ob er autorisiert ist den gewünschten Dienst zu benutzen (1). Besteht er diese Prüfung, leitet der AAA-Server die Anfrage weiter an das Service-Equipment (2). Das Service-Equipment meldet dem AAA-Server zurück ob der Dienst gestartet wurde (3). Wenn der Dienst bereitsteht, meldet der AAA-Server dies an den Benutzer (4). 1 [RFC 2904],AAA Authorization Framework, 2 [RFC 2904],AAA Authorization Framework, Kap [RFC 2904],AAA Authorization Framework, Kap

20 12 In der Praxis wird je nach Anwendungsgebiet und Internet Service Provider zwischen diesen Autorisierungssequenzen variiert. Der Autorisierungsmechanismus wird den Erfordernissen der jeweiligen Provider-AAA-Struktur angepasst. 3.2 Anforderungen an ein AAA-Protokoll Die Anforderungen an ein AAA-Protokoll in AAA-Systemen lassen sich in den folgenden Punkten darstellen: 1 Ein AAA-Protokoll sollte Authentifizierungs- und Autorisierungs- Nachrichten unterstützen. Ein AAA-Protokoll sollte die Kombination aus Authentifizierungs- und Autorisierungs-Nachrichten unterstützen, da es in einer AAA-Umgebung notwendig ist, nach der Nutzerauthentifizierung diesem Nutzer bestimmte Rechte zu geben. (z.b. das Recht eine bestimmte Bandbreite nutzen zu können) Ein AAA-Protokoll muss verschiedene Verschlüsselungsmethoden nutzen können, um die sicherheitsrelevanten Daten gesichert übertragen zu können. Accountingdaten müssen zeitnah und sicher übertragen werden, damit der Internetnutzer seine Abrechnung für die genutzten Dienste schnell und vollständig erhält. Frühzeitiges Erkennen von fehlerhaften und unstabilen Verbindungen. Ein AAA-Protokoll sollte Fehlererkennungsmechanismen beinhalten, um die Qualität der Verbindung überprüfen zu können. Somit wäre es möglich, frühzeitig auf Fehler zu reagieren und diese zu beseitigen. 1 [RFC 2903], Generic AAA Architecture, Kap. 2 und [RFC 3169] Criteria for Evaluating Network Access Server Protocols, Kap. 3

21 Roaming In der Welt existieren viele Domänen, die physikalisch und örtlich aufgeteilt sind. Die Domäne in der ein Internetnutzer zuhause ist, wird als Home Domain bezeichnet. Aus Sicht dieses Internetnutzers sind alle anderen Domänen Fremdnetze. Diese Fremdnetze werden auch Foreign Domains genannt. Diesen Zusammenhang verdeutlicht folgende Abbildung. Abb.5: Domänenübersicht Roaming ist die Möglichkeit sich in fremden Netzen einzuwählen, bei der die Authentifizierung in der Home Domain stattfindet.

22 14 Dieses Szenario ist in der folgenden Abbildung dargestellt. Abb. 6: Prinzip des Roamings Roaming ermöglicht es Nutzern von Internet Service Providern bei einem Auslandsaufenthalt durch die Einwahl bei einem ausländischen Internetprovider, Zugang zum Internet zu bekommen. Roaming findet auch dann eine Anwendung, wenn eine andere Zugangsart gewählt wird, z.b. bei der Einwahl eines Notebooks in das Internet über ein WLAN 1 im Bereich eines Flughafens oder Bahnhofs. Da hier der Zugang zum Internet von einem anderen Betreiber angeboten werden kann, ist hier ein entsprechendes Roamingabkommen zwischen dem dortigen Betreiber und dem ISP des Internetnutzers notwendig. Es wird ein schriftlicher Roamingvertrag geschlossen, in dem die unterstützten Dienste und Konditionen der Provider festgehalten werden. Erst nachdem dieser Vertrag zustande gekommen ist, können Nutzer die Möglichkeiten des Roamings für diese Provider nutzen. Realisiert wird das Internet Roaming dadurch, dass die Authentifizierungsdaten des Roaming-Nutzers von der Foreign Domain 2 zur Home Domain 3 weitergeleitet werden. 1 Abkürzung für Wireless LAN, gemeint ist ein kabelloses Netzwerk 2 Eine Foreign Domain ist die Domain des Roaming-Nutzers, über die er eine Verbindung ins Internet bekommt und in der er nicht registriert ist 3 Die Home Domain, ist die Domain in der der Internetnutzer registriert ist

23 15 Dazu wählt sich der Nutzer bei dem fremden Provider ein. Wie in obiger Abbildung dargestellt, werden die Nutzerdaten zum Roaming-Gateway des fremden Providers über ein Proxy-Server weitergeleitet. Dies geschieht nur dann, wenn der Proxy-Server erkennt, dass der Benutzer nicht zur eigenen Domäne gehört. In diesem Fall werden die User- und Accounting-Datenbank des fremden Providers nicht benötigt, da diese nur für die eigenen Providernutzer benötigt werden. In der Home Domain wird der Nutzer authentifiziert und autorisiert. Dazu werden die entsprechenden Datenbanken durchsucht. Das Ergebnis wird zurück zur Foreign Domain gesendet. Die Accounting Daten des Nutzers werden vom Foreign-ISP zum Accounting Server 1 des Home-ISPs geschickt. Roaming funktioniert nur unter entsprechenden Voraussetzungen. Wenn bestimmte Dienste vom Fremd-Provider nicht unterstützt werden, so sind die entsprechenden Dienste des Home-Providers auch nicht nutzbar. Beispielsweise kann der T-Onlinenutzer, der zuhause mit DSL-Geschwindigkeit surft, über einen fremden Provider in Spanien nur mit 56Kbit surfen, wenn dieser Provider in Spanien nur eine Modemeinwahl mit 56Kbit zur Verfügung stellt. 3.4 Roaming Gateway Das Roaming Gateway stellt den Zugang zu der Domäne des jeweiligen ISPs dar und ist der End- bzw. der Anfangspunkt der Interdomainstrecke. 2 Das Roaming Gateway stellt sicher, dass die übertragenden Informationen die richtige Form haben und ist für eine sichere Verbindung zum Roaming Gateway des anderen ISPs verantwortlich. Interdomainstrecke Die Interdomainstrecke ist die Verbindungsstrecke zwischen den beiden Roaming Gateways. Diese Verbindungsstrecke verläuft aus Kostengründen in der Regel über das öffentliche Internet. Da über diese Strecke wichtige Nutzerinformationen gesendet werden, muss hier eine Sicherheitsbeziehung zwischen fremden und Heimat-Provider aufgebaut werden. Die Provider haben zwar einen Roamingvertrag miteinander, allerdings 1 ein Accounting Server ist ein System, dass die Abrechnungsdaten für ein Internetnutzer bereithält und die Dienstenutzung des Nutzers überwacht. 2 [RFC2904], AAA Authorization Framework, Kap. 3.2

24 16 gibt es keine internen Leitungen oder andere Verbindungen, den die Provider vertrauen. Deshalb muss sichergestellt werden, dass bei einer Verbindung der beiden Gateways jeder eindeutig authentifiziert und identifiziert werden kann. Für die Verbindung zwischen den beiden Roaming Gateways existiert eine reine end-toend Verbindung. Um eine Sicherheitsbeziehung zwischen diesen Peers herzustellen, gibt es verschiedene Möglichkeiten. Eine Möglichkeit wäre eine Verschlüsselung auf Transportebene. Hierzu kann das SSL/ TLS 1 -Sicherheitsprotokoll eingesetzt werden. TLS ist eine Weiterentwicklung von SSL. Eine nähere Erläuterung zu SSL wird unter Kapitel 8.11 gegeben. Für alle Diameter-Server ist die Unterstützung von TLS laut Diameter-Spezifikation 2 vorgeschrieben. Die Verbindung könnte ebenfalls mit IPsec, einem anderem Sicherheitsprotokoll, abgesichert werden. Hierbei findet eine Verschlüsselung auf IP-Ebene statt. [Hawkins, D., S.25, 2000] Eine dritte Möglichkeit zur Sicherung dieser Verbindung ist das Benutzen der CMS (Cryptographic Message Syntax) 3. Die Cryptographic Message Syntax spezifiziert ein Format für verschlüsselte und/oder signierte Nachrichten bzw. Dateien. Sie wurde auch für die digitale Unterzeichnung, Verarbeitung und Authentisierung von Nachrichten entwickelt. Die Anwendung dieser Syntax in einer Roaming-Umgebung wird im Kapitel 8 näher erläutert. Mit allen drei Möglichkeiten der Verbindungssicherung kann eine Public Key Infrastruktur (PKI) kombiniert werden. Was eine PKI im Detail darstellt, wird im folgenden Kapitel beschrieben. 1 Transport Layer Security, Nachfolger von SSL, dient zum verschlüsseln einer Netzwerkverbindung 2 [RFC 2904], AAA Authorization Framework 3 [RFC 2630], Cryptographic Message Syntax

25 17 4 PKI 4.1 Public-Key-Verschlüsselung Die Public-Key-Verschlüsselung wurde 1975 von Whitfield Diffie und Martin Hellman erfunden. Es ist das Ziel, eine Vertraulichkeit der Daten, eine Authentifizierung und Beweisbarkeit (Nonrepudiation) zu schaffen. Der Vorteil dieser Verschlüsselungsmethode besteht darin, dass nicht erst geheime Schlüssel ausgetauscht werden müssen, wie es in der Private-Key-Verschlüsselung der Fall ist. [Ruland, C.,1993, S ] Der öffentliche Schlüssel kann beispielsweise für -Signaturen verwendet werden. Ein weiterer Vorteil der Public-Key-Verschlüsselung ist die Tatsache, dass sie die Grundlage zur Verfügung stellt, die für digitale Signaturen, digitale Zertifikate und die Schlüsselverwaltung verwendet wird. Das Konzept der Public-Key-Verschlüsselung beinhaltet die Verwendung zweier verschiedener, aber mathematisch abhängiger Schlüssel. Der erste Schlüssel, der öffentliche Schlüssel (Public Key), ist nicht geheim und kann mit allen anderen Kommunikationsteilnehmern gemeinsam benutzt werden. Dieser Schlüssel wird verwendet, um Daten zu verschlüsseln, die für den Besitzer des zweiten Schlüssels gedacht sind. Der andere Schlüssel in dieser Verschlüsselungsmethode ist ein geheimer Schlüssel, der benutzt wird, um alle mit dem öffentlichen Schlüssel verschlüsselten Nachrichten zu entschlüsseln. Abbildung 7 stellt diesen Prozess dar, der auch in die andere Richtung funktioniert.

26 18 Abb. 7: Beispiel für eine Public-Key-Verschlüsselung 1 Nachrichten, die mit dem geheimen Schlüssel verschlüsselt wurden, muss mit dem öffentlichen Schlüssel entschlüsselt werden. Nachrichten, die mit Hilfe des öffentlichen Schlüssels verschlüsselt wurden, können dagegen nicht mit diesem gleichen Schlüssel entschlüsselt werden. Das ist der Unterschied zur Private-Key-Verschlüsselung. Der öffentliche und der private Schlüssel, die in der Public-Key-Verschlüsselung benutzt werden, werden als Schlüsselpaar bezeichnet. Das zugrundeliegende Prinzip dieser Verschlüsselungsmethode ist die Tatsache, dass der öffentliche und der geheime Schlüssel mathematisch abhängig sind. 1 [Ruland, C., 1993, S ]

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

IT-Sicherheit Kapitel 5 Public Key Infrastructure

IT-Sicherheit Kapitel 5 Public Key Infrastructure IT-Sicherheit Kapitel 5 Public Key Infrastructure Dr. Christian Rathgeb Sommersemester 2014 1 Einführung Problembetrachtung: Alice bezieht den Public Key von Bob aus einem öffentlichen Verzeichnis, verschlüsselt

Mehr

Diameter. KM-/VS-Seminar. Wintersemester 2002/2003. schulze_diameter.ppt Christian Schulze_03-Februar-07

Diameter. KM-/VS-Seminar. Wintersemester 2002/2003. schulze_diameter.ppt Christian Schulze_03-Februar-07 Diameter KM-/VS-Seminar Wintersemester 2002/2003 Betreuer: Martin Gutbrod 1 Übersicht Einleitung AAA Szenarien Remote dial-in Mobile dial-in Mobile telephony Design von Diameter Ausblick Features Protokoll

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure)

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Unterrichtseinheit 5: Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Verschlüsselung mit öffentlichen Schlüsseln ist eine bedeutende Technologie für E- Commerce, Intranets,

Mehr

IT-Sicherheit Kapitel 3 Public Key Kryptographie

IT-Sicherheit Kapitel 3 Public Key Kryptographie IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer

Mehr

Public Key Infrastruktur. Georg Gruber & Georg Refenner 26.Jänner 2009 ITTK 09

Public Key Infrastruktur. Georg Gruber & Georg Refenner 26.Jänner 2009 ITTK 09 Public Key Infrastruktur Georg Gruber & Georg Refenner 26.Jänner 2009 ITTK 09 Grundlagen Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Hybridverschlüsselung Hashverfahren/Digitale Signaturen

Mehr

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel Bernd Blümel 2001 Verschlüsselung Gliederung 1. Symetrische Verschlüsselung 2. Asymetrische Verschlüsselung 3. Hybride Verfahren 4. SSL 5. pgp Verschlüsselung 111101111100001110000111000011 1100110 111101111100001110000111000011

Mehr

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013 Sicherheit in Netzwerken Leonard Claus, WS 2012 / 2013 Inhalt 1 Definition eines Sicherheitsbegriffs 2 Einführung in die Kryptografie 3 Netzwerksicherheit 3.1 E-Mail-Sicherheit 3.2 Sicherheit im Web 4

Mehr

SSL Secure Socket Layer Algorithmen und Anwendung

SSL Secure Socket Layer Algorithmen und Anwendung SSL Secure Socket Layer Algorithmen und Anwendung Präsentation vom 03.06.2002 Stefan Pfab 2002 Stefan Pfab 1 Überblick Motivation SSL-Architektur Verbindungsaufbau Zertifikate, Certification Authorities

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106 Radius Server Bericht im Studiengang Computerengineering an der HS-Furtwangen Student: Alphonse Nana Hoessi Martikelnr.:227106 Student: Daniel Lukac Martikelnr.: 227244 Student: Dominik Bacher Martikelnr.:

Mehr

Betriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere E-Mail

Betriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere E-Mail Betriebssysteme und Sicherheit Sicherheit Signaturen, Zertifikate, Sichere E-Mail Frage Public-Key Verschlüsselung stellt Vertraulichkeit sicher Kann man auch Integrität und Authentizität mit Public-Key

Mehr

Symmetrische und Asymmetrische Kryptographie. Technik Seminar 2012

Symmetrische und Asymmetrische Kryptographie. Technik Seminar 2012 Symmetrische und Asymmetrische Kryptographie Technik Seminar 2012 Inhalt Symmetrische Kryptographie Transpositionchiffre Substitutionchiffre Aktuelle Verfahren zur Verschlüsselung Hash-Funktionen Message

Mehr

Allgemeine Erläuterungen zu

Allgemeine Erläuterungen zu en zu persönliche Zertifikate Wurzelzertifikate Zertifikatssperrliste/Widerrufsliste (CRL) Public Key Infrastructure (PKI) Signierung und Verschlüsselung mit S/MIME 1. zum Thema Zertifikate Zertifikate

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS Digitale Signatur Digitale Signatur kombiniert Hash Funktion und Signatur M, SIGK(HASH(M)) wichtige Frage: Wie wird der Bithaufen M interpretiert Struktur von M muss klar definiert sein Wie weiss ich,

Mehr

Vorwort. Sichere E-Mail bietet. Kundenleitfaden Sichere E-Mail

Vorwort. Sichere E-Mail bietet. Kundenleitfaden Sichere E-Mail Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von E-Mails. Neben den großen Vorteilen, die uns

Mehr

Mobility Support by HIP

Mobility Support by HIP Mobile Systems Seminar Mobility Support by HIP Universität Zürich Institut für Informatik Professor Dr. Burkhard Stiller Betreuer Peter Racz 8 Mai 2008 Svetlana Gerster 01-728-880 1 Gliederung OSI und

Mehr

Kundenleitfaden Secure E-Mail

Kundenleitfaden Secure E-Mail Vorwort Wir leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von E-Mails. Neben den großen Vorteilen, die uns elektronische

Mehr

Public Key Infrastrukturen (PKI)

Public Key Infrastrukturen (PKI) IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Public Key Infrastrukturen (PKI) safuat.hamdy@secorvo.de Seite1 Inhalt Komponenten einer PKI Zertifikate PKI-Anwendungen Zusammenfassung Seite2

Mehr

E-Mails versenden aber sicher! Secure E-Mail. Kundenleitfaden. Sparkasse Landshut

E-Mails versenden aber sicher! Secure E-Mail. Kundenleitfaden. Sparkasse Landshut E-Mails versenden aber sicher! Secure E-Mail Kundenleitfaden S Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie

Mehr

Internet Security: Verfahren & Protokolle

Internet Security: Verfahren & Protokolle Internet Security: Verfahren & Protokolle 39 20 13 Vorlesung im Grundstudium NWI (auch MGS) im Sommersemester 2003 2 SWS, Freitag 10-12, H10 Peter Koch pk@techfak.uni-bielefeld.de 30.05.2003 Internet Security:

Mehr

Secure Socket Layer v. 3.0

Secure Socket Layer v. 3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer v. 3.0 (SSLv3) Zheng Yao 05.07.2004-1 - 1. Was ist SSL? SSL steht für Secure Socket Layer, ein Protokoll zur Übertragung

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

smis_secure mail in der srg / pflichtenheft /

smis_secure mail in der srg / pflichtenheft / smis_secure mail in der srg / pflichtenheft / Dok.-Nr: Version: 1.1 PH.002 Status: Klassifizierung: Autor: Verteiler: Draft Erik Mulder, Thanh Diep Erik Mulder, Thanh Diep Pflichtenheft, Seite 2 / 2 Änderungskontrolle

Mehr

SSL Algorithmen und Anwendung

SSL Algorithmen und Anwendung SSL Algorithmen und Anwendung Stefan Pfab sisspfab@stud.uni-erlangen.de Abstract Viele Anwendungen erfordern nicht nur eine eindeutige und zuverlässige Identifizierung der an einer Kommunikation beteiligten

Mehr

Verschlüsselte E-Mails: Wie sicher ist sicher?

Verschlüsselte E-Mails: Wie sicher ist sicher? Verschlüsselte E-Mails: Wie sicher ist sicher? Mein Name ist Jörg Reinhardt Linux-Administrator und Support-Mitarbeiter bei der JPBerlin JPBerlin ist ein alteingesessener Provider mit zwei Dutzend Mitarbeitern

Mehr

Secure Socket Layer V.3.0

Secure Socket Layer V.3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer V.3.0 (SSLv3) Zheng Yao 05.07.2004 1 Überblick 1.Was ist SSL? Bestandteile von SSL-Protokoll, Verbindungherstellung

Mehr

Web Service Security

Web Service Security Hochschule für Angewandte Wissenschaften Hamburg Fachbereich Elektrotechnik und Informatik SS 2005 Masterstudiengang Anwendungen I Kai von Luck Web Service Security Thies Rubarth rubart_t@informatik.haw-hamburg.de

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

IT-Sicherheitsmanagement Teil 6: Einführung in die Kryptographie

IT-Sicherheitsmanagement Teil 6: Einführung in die Kryptographie IT-Sicherheitsmanagement Teil 6: Einführung in die Kryptographie 26.10.15 1 Literatur I mit ein paar Kommentaren [6-1] Burnett, Steve; Paine, Spephen: Kryptographie. RSA Security s Official Guide. RSA

Mehr

Konzepte von Betriebssystem-Komponenten Schwerpunkt Authentifizierung. Das Kerberos-Protokoll

Konzepte von Betriebssystem-Komponenten Schwerpunkt Authentifizierung. Das Kerberos-Protokoll Konzepte von Betriebssystem-Komponenten Schwerpunkt Authentifizierung Das Kerberos-Protokoll Guido Söldner guido@netlogix.de. Überblick über das Kerberos-Protokoll Ein Standardvorgang in der Computersicherheit

Mehr

Sichere Identitäten in Smart Grids

Sichere Identitäten in Smart Grids Informationstag "IT-Sicherheit im Smart Grid" Berlin, 23.05.2012 Sichere Identitäten in Smart Grids Dr. Thomas Störtkuhl, Agenda 1 2 Beispiele für Kommunikationen Digitale Zertifikate: Basis für Authentifizierung

Mehr

Verschlüsselung der Kommunikation zwischen Rechnern

Verschlüsselung der Kommunikation zwischen Rechnern Verschlüsselung der Kommunikation zwischen Rechnern Stand: 11. Mai 2007 Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung

Mehr

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com Merkblatt: HSM Version 1.01 Systemvoraussetzungen, Setup und Trouble Shooting Kontakt: pdfsupport@pdf-tools.com Besitzer: PDF Tools AG Kasernenstrasse 1 8184 Bachenbülach Schweiz www.pdf-tools.com Copyright

Mehr

Problem: keine sichere Verbindung zwischen öffentlichen Schlüssel und der tatsächlichen Identität des Erstellers der Signatur.

Problem: keine sichere Verbindung zwischen öffentlichen Schlüssel und der tatsächlichen Identität des Erstellers der Signatur. Referat im Proseminar Electronic Commerce Thema: Anwendungen von Kryptographie für E-Commerce Betreuer: Michael Galler Stoffsammlung/Grobgliederung Problem der Sicherheit des E-Commerce - nötig für Sicherheitsgarantie:

Mehr

E-Mail-Verschlüsselung

E-Mail-Verschlüsselung E-Mail-Verschlüsselung In der Böllhoff Gruppe Informationen für unsere Geschäftspartner Inhaltsverzeichnis 1 E-Mail-Verschlüsselung generell... 1 1.1 S/MIME... 1 1.2 PGP... 1 2 Korrespondenz mit Böllhoff...

Mehr

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID

Mehr

Denn es geht um ihr Geld:

Denn es geht um ihr Geld: Denn es geht um ihr Geld: [A]symmetrische Verschlüsselung, Hashing, Zertifikate, SSL/TLS Warum Verschlüsselung? Austausch sensibler Daten über das Netz: Adressen, Passwörter, Bankdaten, PINs,... Gefahr

Mehr

Datenempfang von crossinx

Datenempfang von crossinx Datenempfang von crossinx Datenempfang.doc Seite 1 von 6 Inhaltsverzeichnis 1 Einführung... 3 2 AS2... 3 3 SFTP... 3 4 FTP (via VPN)... 4 5 FTPS... 4 6 Email (ggf. verschlüsselt)... 5 7 Portalzugang über

Mehr

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Multicast Security Group Key Management Architecture (MSEC GKMArch) Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen

Mehr

OFTP2 - Checkliste für die Implementierung

OFTP2 - Checkliste für die Implementierung connect. move. share. Whitepaper OFTP2 - Checkliste für die Implementierung Die reibungslose Integration des neuen Odette-Standards OFTP2 in den Datenaustausch- Workflow setzt einige Anpassungen der Systemumgebung

Mehr

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009 Netzsicherheit I, WS 2008/2009 Übung 12 Prof. Dr. Jörg Schwenk 20.01.2009 Aufgabe 1 1 Zertifikate im Allgemeinen a) Was versteht man unter folgenden Begriffen? i. X.509 X.509 ist ein Standard (Zertifikatsstandard)

Mehr

Seminar Internet-Technologie

Seminar Internet-Technologie Seminar Internet-Technologie Zertifikate, SSL, SSH, HTTPS Christian Kothe Wintersemester 2008 / 2009 Inhalt Asymmetrisches Kryptosystem Digitale Zertifikate Zertifikatsformat X.509 Extended-Validation-Zertifikat

Mehr

Zertifizierungsrichtlinie der BTU Root CA

Zertifizierungsrichtlinie der BTU Root CA Brandenburgische Technische Universität Universitätsrechenzentrum BTU Root CA Konrad-Wachsmann-Allee 1 03046 Cottbus Tel.: 0355 69 3573 0355 69 2874 der BTU Root CA Vorbemerkung Dies ist die Version 1.3

Mehr

IT-Sicherheit Kapitel 13. Email Sicherheit

IT-Sicherheit Kapitel 13. Email Sicherheit IT-Sicherheit Kapitel 13 Email Sicherheit Dr. Christian Rathgeb Sommersemester 2013 IT-Sicherheit Kapitel 13 Email-Sicherheit 1 Einführung Internet Mail: Der bekannteste Standard zum Übertragen von Emails

Mehr

Informatik für Ökonomen II HS 09

Informatik für Ökonomen II HS 09 Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und

Mehr

Kundeninformation zu Secure E-Mail

Kundeninformation zu Secure E-Mail Kundeninformation zu Secure E-Mail Einleitung Das sogenannte Sniffen, Ausspähen von E-Mailinhalten und Authentifizierungs-dateien sowie das E-Mail Spoofing, das Erstellen einer E-Mail mit gefälschtem Absender,

Mehr

IT-Sicherheit Kapitel 11 SSL/TLS

IT-Sicherheit Kapitel 11 SSL/TLS IT-Sicherheit Kapitel 11 SSL/TLS Dr. Christian Rathgeb Sommersemester 2014 1 Einführung SSL/TLS im TCP/IP-Stack: SSL/TLS bietet (1) Server-Authentifizierung oder Server und Client- Authentifizierung (2)

Mehr

Betriebssysteme und Sicherheit

Betriebssysteme und Sicherheit Betriebssysteme und Sicherheit Signatursysteme WS 2013/2014 Dr.-Ing. Elke Franz Elke.Franz@tu-dresden.de 1 Überblick 1 Prinzip digitaler Signatursysteme 2 Vergleich symmetrische / asymmetrische Authentikation

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

Modul 8 Kerberos. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Fachhochschule Bonn-Rhein-Sieg

Modul 8 Kerberos. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Fachhochschule Bonn-Rhein-Sieg Modul 8 Kerberos M. Leischner Sicherheit in Netzen Folie 1 Steckbrief Kerberos Woher kommt der Name "Kerberos" aus der griechischen Mythologie - dreiköpfiger Hund, der den Eingang des Hades bewacht. Wagt

Mehr

Kryptographie oder Verschlüsselungstechniken

Kryptographie oder Verschlüsselungstechniken Kryptographie oder Verschlüsselungstechniken Dortmund, Dezember 1999 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX:

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10

Mehr

Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com

Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com 1 Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com 2 Baltimore auf einen Blick Weltmarktführer für e security Produkte, Service, und Lösungen Weltweite Niederlassungen

Mehr

Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird.

Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird. Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird. Auch die Unternehmensgruppe ALDI Nord steht mit einer Vielzahl

Mehr

Modul 8 Kerberos. Fachhochschule Bonn-Rhein-Sieg. Prof. Dr. Martin Leischner Fachbereich Informatik

Modul 8 Kerberos. Fachhochschule Bonn-Rhein-Sieg. Prof. Dr. Martin Leischner Fachbereich Informatik Modul 8 Kerberos M. Leischner Sicherheit in Netzen Folie 1 Steckbrief Kerberos Woher kommt der Name "Kerberos" aus der griechischen Mythologie - dreiköpfiger Hund, der den Eingang des Hades bewacht. Wagt

Mehr

Digitale Identitäten in der Industrieautomation

Digitale Identitäten in der Industrieautomation Digitale Identitäten in der Industrieautomation Basis für die IT Security Dr. Thomas Störtkuhl TÜV SÜD AG, Embedded Systems 1 Agenda Kommunikationen: Vision, Beispiele Digitale Zertifikate: Basis für Authentifizierung

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

Sichere Abwicklung von Geschäftsvorgängen im Internet

Sichere Abwicklung von Geschäftsvorgängen im Internet Sichere Abwicklung von Geschäftsvorgängen im Internet Diplomarbeit von Peter Hild Theoretische Grundlagen der Kryptologie Vorhandene Sicherheitskonzepte für das WWW Bewertung dieser Konzepte Simulation

Mehr

Secure E-Mail Ausführliche Kundeninformation. Sparkasse Herford. Secure E-Mail Sparkasse Herford Seite 1

Secure E-Mail Ausführliche Kundeninformation. Sparkasse Herford. Secure E-Mail Sparkasse Herford Seite 1 Secure E-Mail Ausführliche Kundeninformation Sparkasse Herford Secure E-Mail Sparkasse Herford Seite 1 Secure E-Mail Ausführliche Kundeninformation Inhalt Einleitung Seite 2 Notwendigkeit Seite 2 Anforderungen

Mehr

Kryptographische Anonymisierung bei Verkehrsflussanalysen

Kryptographische Anonymisierung bei Verkehrsflussanalysen Kryptographische Anonymisierung bei Verkehrsflussanalysen Autor: Andreas Grinschgl copyright c.c.com GmbH 2010 Das System besteht aus folgenden Hauptkomponenten: Sensorstationen Datenbankserver Anonymisierungsserver

Mehr

Betriebskonzept E-Mail Einrichtung

Betriebskonzept E-Mail Einrichtung Betriebskonzept E-Mail Einrichtung www.bolken.ch Klassifizierung öffentlich - wird an die E-Mail Benutzer abgegeben Versionenkontrolle Version Status Verantwortlich Datum 4.0 Genehmigt Gemeinderat 25.03.2015

Mehr

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten Versuch: Eigenschaften einer Unterhaltung Instant Messaging Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten welche Rollen gibt es in einem IM-System? Analysieren

Mehr

Verschlüsselungsverfahren

Verschlüsselungsverfahren Verschlüsselungsverfahren Herrn Breder hat es nach dem Studium nach München verschlagen. Seine Studienkollegin Frau Ahrend wohnt in Heidelberg. Da beide beruflich sehr stark einspannt sind, gibt es keine

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Facharbeit Informatik Public Key Verschlüsselung Speziell: PGP Ole Mallow Basiskurs Informatik

Facharbeit Informatik Public Key Verschlüsselung Speziell: PGP Ole Mallow Basiskurs Informatik Facharbeit Informatik Public Key Verschlüsselung Speziell: PGP Ole Mallow Basiskurs Informatik Seite 1 von 9 Inhaltsverzeichnis Inhaltsverzeichnis...2 1. Allgemein...3 1.1 Was ist Public Key Verschlüsselung?...3

Mehr

Elektronische Signaturen. LANDRATSAMT BAUTZEN Innerer Service EDV

Elektronische Signaturen. LANDRATSAMT BAUTZEN Innerer Service EDV Elektronische Signaturen Rechtsrahmen Signaturgesetz (SigG) Signaturverordnung (SigV) Bürgerliches Gesetzbuch (BGB), 125 ff. über die Formen von Rechtsgeschäften Verwaltungsverfahrensgesetz (VwVfG), 3a

Mehr

Rechneranmeldung mit Smartcard oder USB-Token

Rechneranmeldung mit Smartcard oder USB-Token Rechneranmeldung mit Smartcard oder USB-Token Verfahren zur Authentifizierung am Rechnersystem und angebotenen Diensten, SS2005 1 Inhalt: 1. Systemanmeldung 2. Grundlagen 3. Technik (letzte Woche) 4. Standards

Mehr

Kundeninformation zu Secure E-Mail

Kundeninformation zu Secure E-Mail S Sparkasse Höxter Kundeninformation zu Secure E-Mail,,Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste Sicherheitstechnologie

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen D-TRUST GmbH Kommandantenstraße 15 10969 Berlin für den Zertifizierungsdienst D-TRUST SSL Class 3 CA die Erfüllung

Mehr

S Sparkasse Markgräflerland. Secure E-Mail: Sicher kommunizieren per E-Mail. Kundeninformation. Sparkassen-Finanzgruppe

S Sparkasse Markgräflerland. Secure E-Mail: Sicher kommunizieren per E-Mail. Kundeninformation. Sparkassen-Finanzgruppe S Sparkasse Markgräflerland Secure E-Mail: Sicher kommunizieren per E-Mail. Kundeninformation Sparkassen-Finanzgruppe Gute Gründe für Secure E-Mail Mit Secure E-Mail reagiert die Sparkasse Markgräflerland

Mehr

Netzwerksicherheit mit Hilfe von IPSec

Netzwerksicherheit mit Hilfe von IPSec Unterrichtseinheit 6: Netzwerksicherheit mit Hilfe von IPSec Bei IPSec (Internet Protocol Security) handelt es sich um ein Gerüst offener Standards, um eine sichere, private Kommunikation über IP-Netzwerke

Mehr

Kundeninformation zu Secure E-Mail

Kundeninformation zu Secure E-Mail S Stadtsparkasse Felsberg Kundeninformation zu Secure E-Mail Einleitung Das sogenannte Sniffen, Ausspähen von E-Mailinhalten und Authentifizierungsdateien sowie das E-Mail Spoofing, das Erstellen einer

Mehr

Schlüssel und Zertifikate

Schlüssel und Zertifikate Schlüssel und Zertifikate Bei der asymmetrischen Verschlüsselung wird ein Schlüsselpaar bestehend aus einem öffentlichen und einem privaten Schlüssel verwendet. Daten, die mit dem privaten Schlüssel verschlüsselt

Mehr

Kundeninformation zu Sichere E-Mail

Kundeninformation zu Sichere E-Mail Kundeninformation zu Sichere E-Mail Einleitung Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste Sicherheitstechnologien bieten

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

Erste Vorlesung Kryptographie

Erste Vorlesung Kryptographie Erste Vorlesung Kryptographie Andre Chatzistamatiou October 14, 2013 Anwendungen der Kryptographie: geheime Datenübertragung Authentifizierung (für uns = Authentisierung) Daten Authentifizierung/Integritätsprüfung

Mehr

Kundeninformation für den sicheren E-Mail-Verkehr mit Ihrer Sparkasse Grünberg

Kundeninformation für den sicheren E-Mail-Verkehr mit Ihrer Sparkasse Grünberg Secure E-Mail S Kundeninformation für den sicheren E-Mail-Verkehr mit Ihrer Sparkasse Grünberg Einleitung Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend

Mehr

Einführung in die symmetrische und asymmetrische Verschlüsselung

Einführung in die symmetrische und asymmetrische Verschlüsselung Einführung in die symmetrische und asymmetrische Verschlüsselung Enigmail Andreas Grupp grupp@elektronikschule.de Download der Präsentation unter http://grupp-web.de by A. Grupp, 2007-2010. Dieses Werk

Mehr

PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser

PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser Theoretische Informatik Prof. Johannes Buchmann Technische Universität Darmstadt Graduiertenkolleg Enabling Technologies for Electronic Commerce

Mehr

Henning Mohren 2005-7-6. Zertifikatsserver der Certification Authority (CA) Technische Spezifikation. Version 4.0. c 2005 FernUniversität in Hagen

Henning Mohren 2005-7-6. Zertifikatsserver der Certification Authority (CA) Technische Spezifikation. Version 4.0. c 2005 FernUniversität in Hagen Henning Mohren 2005-7-6 Zertifikatsserver der Certification Authority (CA) Technische Spezifikation Version 4.0 c 2005 FernUniversität in Hagen Inhaltsverzeichnis 1 Allgemeines 3 2 Leistungsumfang 4 3

Mehr

Digital Signature and Public Key Infrastructure

Digital Signature and Public Key Infrastructure E-Governement-Seminar am Institut für Informatik an der Universität Freiburg (CH) Unter der Leitung von Prof. Dr. Andreas Meier Digital Signature and Public Key Infrastructure Von Düdingen, im Januar 2004

Mehr

E-Mails versenden aber sicher! Secure E-Mail

E-Mails versenden aber sicher! Secure E-Mail E-Mails versenden aber sicher! Secure E-Mail Leitfaden S Kreisparkasse Verden 1 Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische

Mehr

Informationen zur sicheren E-Mail-Kommunikation. Unternehmensgruppe ALDI SÜD

Informationen zur sicheren E-Mail-Kommunikation. Unternehmensgruppe ALDI SÜD Informationen zur sicheren E-Mail-Kommunikation Unternehmensgruppe ALDI SÜD Sichere E-Mail-Kommunikation Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch

Mehr

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt.

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt. Netzwerk Ein Netzwerk wird gebildet, wenn mehrere Geräte an einem Switch mit Netzwerkkabeln angeschlossen werden. Dabei können die einzelnen Geräte miteinander kommunizieren und über ein Netzwerkprotokoll

Mehr

Bei falscher Zuordnung: Verlust der Vertraulichkeit. Bei falscher Zuordnung: Verlust der Datenauthentizität

Bei falscher Zuordnung: Verlust der Vertraulichkeit. Bei falscher Zuordnung: Verlust der Datenauthentizität Vorlesung am 12.05.2014 7 Vertrauensmodelle Problem: Zuordnung eines Schlüssels zum Schlüsselinhaber Beispiel 1: Verschlüsselung mit pk, Entschlüsselung mit sk: Bei falscher Zuordnung: Verlust der Vertraulichkeit

Mehr

Public Key Infrastructure (PKI) Funktion und Organisation einer PKI

Public Key Infrastructure (PKI) Funktion und Organisation einer PKI Public Key Infrastructure (PKI) Funktion und Organisation einer PKI Übersicht Einleitung Begriffe Vertrauensmodelle Zertifikatswiderruf Verzeichnisse Inhalt eines Zertifikats 29.10.2003 Prof. Dr. P. Trommler

Mehr

Community Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate

Community Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate Community Zertifizierungsstelle für Digitale Identität & Privatsphäre SSL / S/MIME Zertifikate www.cacert.org 2010 / ab OSS an Schulen, Zürich, 2010-05-29, Folie 1 Agenda Identität und Vertrauen WoT und

Mehr

Kundeninformation zu Secure E-Mail

Kundeninformation zu Secure E-Mail Kundeninformation zu Secure E-Mail Das sogenannte Sniffen, Ausspähen von E-Mail-Inhalten und Authentifizierungsdateien sowie das E-Mail Spoofing, das Erstellen einer E-Mail mit gefälschtem Absender, sind

Mehr

Public-Key-Infrastrukturen

Public-Key-Infrastrukturen TECHNISCHE UNIVERSITÄT DARMSTADT FACHGEBIET THEORETISCHE INFORMATIK PROF. DR. J. BUCHMANN DR. A. WIESMAIER 9. Übung zur Vorlesung Public-Key-Infrastrukturen Sommersemester 2011 Aufgabe 1: Indirekte CRL

Mehr