Freie wissenschaftliche Arbeit zur Erlangung des akademischen Grades eines Diplom-Wirtschaftsinformatikers (FH) über das Thema

Größe: px
Ab Seite anzeigen:

Download "Freie wissenschaftliche Arbeit zur Erlangung des akademischen Grades eines Diplom-Wirtschaftsinformatikers (FH) über das Thema"

Transkript

1 Fachhochschule für Technik und Wirtschaft Berlin Freie wissenschaftliche Arbeit zur Erlangung des akademischen Grades eines Diplom-Wirtschaftsinformatikers (FH) über das Thema PKI ( Public Key Infrastruktur ) für Netzwerkdienste in der Diameterumgebung Diplomarbeit im Fachgebiet Wirtschaftsinformatik eingereicht im Fachbereich 4, Studiengang Wirtschaftsinformatik der Fachhochschule für Technik und Wirtschaft Berlin Themensteller: Zweitbetreuer: Prof. B. Messer Prof. H. Theel vorgelegt von: Holger Grauenhorst, Matrikel-Nr.: Marksburgstrasse Berlin Abgabetermin: Abgabeort: Berlin

2 II Danksagung Die vorliegende Arbeit wurde bei der T-Systems Nova GmbH Berkom, Abteilung Innovative Internet Produkte und Projekte angefertigt. Ich möchte mich bei Herrn Prof. B. Messer bedanken, der es mir ermöglichte, diese Arbeit extern durchzuführen und mir mit seinen vielen Anregungen zur Seite stand. Dank gilt meinem Betreuer Herrn Wolfgang Steigerwald für die Unterstützung während der Arbeit. Ihm, sowie Jörg Heuer danke ich für die Überlassung des Themas. Weiterhin danke ich Axel Nennker und Moritz Kulbach für die zahlreichen Diskussionen und inhaltlichen Hilfestellungen. Bei allen weiteren Mitarbeitern der T-Systems Nova bedanke ich mich für das gute Arbeitsklima. Für die Unterstützung während des gesamten Studiums möchte ich mich an dieser Stelle bei meinen Eltern und meiner Freundin bedanken.

3 III Inhaltsverzeichnis Inhaltsverzeichnis...III Abbildungsverzeichnis...V Tabellenverzeichnis... VI Abkürzungsverzeichnis... VII 1 Zusammenfassung Einleitung AAA ( Authentisierung, Autorisierung, Accounting ) Was ist eine AAA-Infrastruktur? Pull Sequence Push Sequence Agent Sequence Anforderungen an ein AAA-Protokoll Roaming Roaming Gateway PKI Public-Key-Verschlüsselung Digitale Signatur Zertifikat Was ist eine Public Key Infrastructure ( PKI )? Zertifizierungspfade Anforderungen an eine PKI PKI Architekturmodell anhand der PKIX Spezifikation X.509 Public Key Infrastructure Architekturmodell nach der PKIX-Spezifikation DIAMETER als Nachfolger des RADIUS-Protokolls DIAMETER Basis-Protokoll Unterstützte Dienste Roaming Support Strong Security Erweiterung NASREQ Erweiterung MobileIP Erweiterung OCSP ( Online-Certificate-Status-Protocol ) Konzeption eines PKI-Architekturmodells für den Netzwerkdienst Roaming Vorraussetzungen für die Authentisierung Mithilfe von Zertifikaten Genereller Ablauf Detailablauf Verwendete Verschlüsselungsalgorithmen FQDN ( Fully Qualified Domain Name ) Zertifikatserstellung über RA ( Registration Authority ) Schlüsselwiederherstellung...48

4 IV 8.8 Managementprotokoll OCSP-Anbindung Zugriff des OCSP-Responders auf Statusinformation OCSP mit CRLs OCSP Direktzugriff auf die Revokationsdaten Zertifikat des OCSP-Responders Authority-Revocation-Lists Optimierung der Zertifikatsstatusabfragen Sicherheitsrisiken Alternative SSL Ausblick / Bewertung...69 Literaturverzeichnis...72 Anhang...74

5 V Abbildungsverzeichnis Abb. 1: Systemarchitektur eines allgemeinen, applikationsunabhängigen AAA-Systems...6 Abb. 2: Schema der Pull-Sequence Abb. 3: Schema der Push-Sequence..10 Abb. 4: Schema der Agent-Sequence...11 Abb. 5: Domänen-Übersicht...13 Abb. 6: Prinzip des Roaming...14 Abb. 7: Beispiel für eine Public-Key-Verschlüsselung...18 Abb. 8: X.509 Version3 Zertifikat...20 Abb. 9: Beispiel einer Zertifizierungshierarchie nach dem X.509 Standard...26 Abb.10: Architekturmodell nach der PKIX-Spezifikation...28 Abb.11: Diameter Mobile-IP Szenario Abb.12: Revokationsstatusabfrage Abb.13: Architekturmodell für den Netzwerkdienst Roaming...40 Abb.14: Struktur OCSP-Requests Abb.15: Struktur OCSP-Response...54 Abb.16: Zugriffsmethoden auf Revokationsdaten...60 Abb.17: Sicherheitsrisiken im Architekturmodell...65 Abb.18: SSL-Überblick...67

6 VI Tabellenverzeichnis Tabelle 1: Distinguished Name Attribut-Wert-Paare...21 Tabelle 2: Ergebnismeldungen des OCSP-Responders...55 Tabelle 3: Revokationsstatus des OCSP-Responders

7 VII Abkürzungsverzeichnis AAA ARL ASM ASN AVP CA CMP CMS CRL DoS DSA FQDN IETF IP IPRA IPSec ISP LAN LDAP NASREQ OCSP PCA PKI Authentication, Authorization und Accounting Authority-Revocation-List Application Specific Module Abstract-Syntax-Notation Attribut-Value-Pair Certification Authority Certificate Management Protokoll Cryptographic Message Syntax Certificate Revocation List Denial-of-Service Diameter Security Association Fully Qualified Domain Name Internet Enforcement Task Force Internet Protocol Policy Registration Authority IP Security Internet Service Provider Local Area Network Lightweight Directory Access Protocol Network Access Server Requirements Online-Certificate-Status-Protocol Policy Certification Authority Public Key Infrastructure

8 VIII RA RADIUS RFC ROAMOPS RSA SCTP SIP SQL SSL TCP TLS TTL UDP URL WG WLAN Registration Authority Remote Authentication Dial In User Service Request For Comments Roaming Operations Nach Erfinder Ronald Rivest, Adi Shamir und Leonard Adleman benannt Stream Control Transmission Protocol Session Internet Protocol Structured Query Language Secure Sockets Layer Transmission Control Protocol Tansport Layer Security Time to Live User Datagram Protocol Uniform Resource Locator Working Group Wireless Local Area Network

9 1 1 Zusammenfassung In dieser Arbeit wird ein Architekturmodell für die Integration einer X.509-basierten Public-Key-Infrastruktur in eine Diameter-Roaming-Umgebung erarbeitet. Für die Anbindung einer Zertifikatsstruktur an eine Diameter-Roaming-Umgebung wird die CMS ( Cryptographic Message Syntax ) Diameter-Applikation verwendet. Alternativ wird die Sicherung der Verbindung zwischen den Roaming-Gateways über SSL diskutiert. Es wird analysiert, wie der Zertifikatsstatus der Roaming-Gateways über ein OCSP- Responder abgefragt werden muss, um eine Sicherheitsbeziehung zwischen den Roaming-Gateways etablieren zu können. Die Diskussion über die Verwendung von Revokationslisten oder OCSP-Abfragen um Zertifikatsstatusabfragen zu realisieren, führt zu dem Schluss, dass OCSP-Abfragen über ein OCSP-Responder für häufige und zeitkritische Prozesse favorisiert werden können. Das entworfene Architekturmodell kann ebenfalls Anwendung im Mobile-IP Szenario finden.

10 2 2 Einleitung Mit zunehmender Globalisierung unserer Kommunikationswelt, erfahren wir auch eine Ausweitung des Mobilitätsbedürfnisses. Die globale Vernetzung und die Internettechnologie kennen keine geografischen Grenzen. Fast alle Firmen, Institutionen oder selbständige Unternehmer nutzen auf die eine oder andere Weise die Möglichkeiten der weltweiten und lokalen Kommunikation. Lokale und flächendeckende Netze werden häufig für den Zugriff auf entfernte Computer, Mail, Buchungssysteme, Informationssysteme oder Prozessautomatisierung eingesetzt. Beispielsweise kann sich ein Internetnutzer bei einem Auslandsaufenthalt über einen lokalen Provider in das Heimatnetz einwählen. Somit kann der Nutzer an jedem beliebigen Ort der Welt auf Dienstleistungen des Heimatproviders zugreifen. Über WLAN-Hot-Spots kann der Nutzer mit dem Laptop ins Internet kommen, E- Mails oder direkten Zugriff auf das Firmennetz erhalten. Hot-Spots sind öffentliche Access Points die per Wireless LAN einen Internetzugang bereitstellen. Diese Hot-Spots können an wichtigen Plätzen wie Flughäfen und Hotels installiert werden. Da diese Netze von lokalen Betreibern unterhalten werden können, wird für diese Netzwerkwerkarchitektur eine Roaming-Umgebung benötigt. Eine Roaming-Umgebung besteht aus zwei Roaming-Gateways der betreffenden Provider, über die der Nutzer authentifiziert und autorisiert wird. E-Business und E-Commerce sind inzwischen nicht zu unterschätzende Wirtschaftsbereiche. Um diesen Umständen Rechnung zu tragen benötigt man Mechanismen, die es ermöglichen, angebotene Dienste vor Missbrauch zu schützen. Mit zunehmender Kommerzialisierung und Abwicklung von Geschäftsprozessen über das Internet wächst auch die Anforderung an Vertraulichkeit und Echtheit dieser Informationen. Aber die Sicherheit im Internet stellt noch immer ein Problem dar, da es wenig ausreichende Sicherheitsmechanismen gibt bzw. bestehende Mechanismen nicht vollständig oder gar nicht angewandt werden. Eine Methode um Datensicherheit und eine Identifizierung von Kommunikationsteilnehmern zu erreichen, ist das Einsetzen einer Public Key Infrastruktur ( PKI ). Eine PKI kombiniert Software und Services für die Ausgabe, Verwaltung, Verifizierung und Beglaubigung von elektronischen Schlüsseln (Public/Private Key) und Zertifikaten. Dies ermöglicht den Einsatz digitaler Signaturen und einen vertraulichen Datenaustausch in

11 3 ungesicherten Netzen. Dadurch bietet die PKI die Grundlage für sicheres und zuverlässiges e-business aber auch sichere -Kommunikation und Benutzeridentifizierung. Die vorliegende Arbeit beschäftigt sich mit dem Problem der Integration einer X.509- basierten Public-Key-Infrastruktur in eine Diameter-Roaming-Umgebung. Eine Roaming-Umgebung ermöglicht es einem Internet Service Provider über ein Roaming Gateway eine Verbindung zu einem anderen Roaming Gateway eines anderen ISPs herzustellen, um Authentisierungsdaten, Autorisierungsdaten und Accountingdaten zu übertragen. Über diese Verbindung können sich die Internetnutzer im Ausland über einen ortsansässigen Provider einwählen und auf Dienste des lokalen Providers zugreifen. Hierbei sind zwei Provider an dem Roaming-Szenario beteiligt. Da auf der Verbindungsstrecke zwischen den Roaming Gateways sicherheitsrelevante Daten übertragen werden, muss diese Interdomainstrecke sehr stark vor Angriffen gesichert werden. Die Strecke zwischen User und dem lokalem Provider muss ebenfalls gesichert werden. Zu einer Roaming-Umgebung gehören immer zwei Service-Provider. Ein Service-Provider bei dem der Nutzer sich lokal einwählt und der Heimat-Service- Provider des Internetnutzers bei dem er Netzwerkdienste nutzt. Die Sicherung der Verbindung zwischen den Roaming-Gateways geschieht derzeit nur über symmetrische Verschlüsselungsverfahren. Dabei wird ein geheimer Schlüssel festgelegt, der über andere Kommunikationswege, wie zum Beispiel das Telefon ausgetauscht wird. Über diesen privaten Schlüssel ver- und entschlüsseln die Roaming- Gateways die zu versendenden Nachrichten. Eine Alternative wäre hier eine Mischung aus asymmetrischer und symmetrischer Verschlüsselung, um das Sicherheitsrisiko zu minimieren. In dieser Arbeit beschreibe ich zunächst die Komponenten eines AAA-Systems. Die Abkürzung AAA steht für Authentifizierung, Autorisierung und Accounting. Dieses stellt den Kern der Nutzerauthentifizierung und Autorisierung bei Internet Service Providern dar. Anschließend werden das Diameter-Protokoll, das OCSP-Protokoll, sowie die einzelnen Komponenten einer Public Key Infrastruktur näher analysiert. Danach wird ein Konzept für ein PKI-Architekturmodell für den Netzwerkdienst Roaming erarbeitet. Hierfür wird die CMS (Cryptographic Message Syntax) Diameter Applikation

12 4 verwendet. Die CMS stellt eine optionale Erweiterung des Diameter-Basis Protokolls dar. Mit dieser soll eine Sicherheitsbeziehung zwischen den Roaming-Gateways etabliert werden. Dies geschieht mit Hilfe von Zertifikatsstatusabfragen der Roaming- Gateways über eine CA (Certification Authority).Es werden anschließend die Sicherheitsrisiken des Architekturmodells erläutert und eine Alternativlösung für eine sichere Verbindung der Diameter-Gateways über SSL besprochen. SSL ist ein standardisiertes Sicherheitsprotokoll. Es gewährleistet Datensicherheit zwischen dem Dienstprotokoll (z.b. Diameter, HTTP, SMTP, Telnet) und TCP/IP. SSL ermöglicht verschlüsselte Verbindungen, Echtheitsbestätigungen mit Zertifikaten sowie die Sicherstellung der Nachrichtenintegrität. Abschließend wird ein Ausblick auf andere Einsatzgebiete des erstellten Architekturmodells gegeben.

13 5 3 AAA ( Authentisierung, Autorisierung, Accounting ) Die Abkürzung AAA steht für Authentifizierung, Autorisierung und Accounting. Authentifizierung ist der Prozess der Überprüfung einer angegebenen Identität. 1 Einerseits bedeutet dies, sicher zu stellen, dass man tatsächlich mit der Instanz kommuniziert, die sie vorgibt zu sein. Das bezeichnet man auch als authentication of the channel end point. Andererseits heißt dies, dass sich der Initiator der Nachricht zusätzlich gegenüber dem Empfänger ausweisen muss. Beispielsweise darf ein Dienst nur dann freigeschaltet werden, wenn sicher festgestellt worden ist, dass die Instanz, mit der kommuniziert wird, auch die richtige ist. Dies bezeichnet man auch als authentication of the message originator. Authentifizierung kann auf verschiedenste Arten und Weisen stattfinden. Die gebräuchlichste Methode ist die Kombination aus Benutzername und Passwort. Sicherere Methoden sind z.b. die Verwendung von Public-Key-Kryptografie oder Challenge-Response-Schemata. Beim Challenge-Response-Schemata verschlüsselt der Sender eine Zufallszahl mit dem öffentlichen Schlüssel und erwartet diese übertragene Zahl unverschlüsselt zurück. Dazu gehört der Schutz vor Man-In-The- Middle und Replay Attacken. Bei der Man-in-The-Middle Attacke steht der Angreifer zwischen zwei miteinander kommunizierenden Rechnern. Von hier aus kann er alle Daten abfangen und verändert an den Adressaten weitergeben, der glaubt, sie vom ursprünglichen Absender zu erhalten. So gibt sich der Angreifer zu jeder Seite als die jeweils andere Seite aus. Bei einer Replay-Attacke hört der Angreifer ein authentifiziertes Paket ab und sendet es später (mehrmals) zum Ziel. Mit dem Autorisierungsvorgang werden die ( Zugriffs-) Rechte an einem authentifizierten Benutzer vergeben oder verweigert. 2 Dabei kann es sich z.b. um Zugriffsrechte für Netzwerkdrucker handeln. Ein Autorisierungsvorgang ist gleichbedeutend mit der Frage, ob ein Benutzer ausreichende Rechte besitzt, eine angeforderte Ressource zugeteilt zu bekommen. Eine Autorisierung erfolgt als direkte Folge nach einer bereits erfolgreich durchgeführten Authentifizierung. 1 [RFC 2903], Generic AAA Architecture, Kap. 2 2 [RFC 3169], Criteria for Evaluating Network Access Server Protocols, Kap.3

14 6 Das dritte A in einem AAA-System steht für Accounting. Accounting umfasst den Prozess der Datensammlung bzgl. Ressourcenverbrauch für Abrechnungszwecke, Kapazitätsplanungen und Statistiken. Es werden aufgrund der Messdaten die angefallenen Kosten (charging) eines Internetnutzers ermittelt und eine Rechnung pro Nutzer (billing) erstellt. 3.1 Was ist eine AAA-Infrastruktur? Eine AAA-Infrastruktur ist ein AAA-System, welches zur Identifizierung, Autorisierung und das Accounting von Clients dient. Ein AAA-System wird vorwiegend von Internet Service Providern betrieben, um Nutzern (Clients) den Zugang zum Internet zu ermöglichen. Eine typische AAA-Infrastruktur besteht aus AAA-Servern und AAA- Clients. 1 Abb. 1: Systemarchitektur eines allgemeinen, applikationsunabhängigen AAA-Systems 1 [RFC 2903], Generic AAA Architecture, Kap 2.2

15 7 Der AAA-Server hat die Aufgabe Clientanfragen zu analysieren und Authentifizierungs-/Autorisierungsentscheidungen zu treffen. Hierfür besitzt er Regeln und mehrere Hilfskomponenten, die die notwendigen Informationen liefern. Das ASM (Application Specific Module) stellt die Schnittstelle zu den applikationsspezifischen Informationen dar. Das ASM verwaltet die Ressourcen und konfiguriert die Dienste, die für einen autorisierten Benutzer zur Verfügung stehen. 1 Das Event Repository ist eine Datenbank, in der alle aufgetretenen Ereignisse des AAA- Systems chronologisch gespeichert werden. 2 Ein Beispiel ist die Authentifizierung eines Internetnutzers, die im Event Repository eingetragen wird. Diese Informationen können auch Autorisierungsentscheidungen als Grundlage dienen. Es kann eine Autorisierung nur dann stattfinden, wenn ein anderes Ereignis in der Vergangenheit bereits gespeichert wurde. Beispielsweise können einem Internetnutzer nur bestimmte Rechte für einen FTP-Server gegeben werden, wenn dieser sich zuvor korrekt authentifiziert hat. Das Policy (Richtlinie) Repository ist eine Datenbank, die die verfügbaren Dienste verwaltet und Auskünfte darüber erteilt, welche Autorisierungsfälle entschieden werden können. Zudem hat es Kenntnis darüber, welche Regeln einer Autorisierungsentscheidung zugrunde liegen müssen. 3 Am Beispiel bedeutet dies, dass der Internetnutzer nur für den FTP-Server-Zugriff autorisiert ist, wenn die Richtlinien der Policy-Datenbank dies vorgeben. Der Ablauf einer Autorisierungsanfrage des Clients in der allgemeinen Systemarchitektur ist nachfolgend dargestellt: 4 1. Ein Benutzer stellt eine Autorisierungsanfrage an den Server. 2. Der AAA-Server überprüft die Anfrage, stellt fest, welche Art der Autorisation benötigt wird, erhält eine Regel aus dem Policy Repository und führt eine der folgenden Aktionen aus: a) Weiterleitung der Anfrage an das ASM zum Zweck der Evaluierung. 1 [RFC 2903], Generic AAA Architecture, Kap [RFC 2903], Generic AAA Architecture, Kap 5 3 [RFC 2904], AAA Authorization Framework, Kap. 4 4 [RFC 2904], AAA Authorization Framework, Kap. 3

16 8 b) Autorisierungsentscheidung auf Grundlage der Daten aus dem Policy Repository und dem Event Log. c) Weiterleitung der Anfrage an einen anderen AAA-Server. Der AAA-Server muss auf die Antwort des angefragten Servers warten. In den Fällen a und b sendet der AAA-Server anschließend die Antwort an den Client oder AAA-Server. Diese Antwort enthält erfolgreich autorisiert (Autorisierung ist erfolgt) oder nicht erfolgreich autorisiert. Welche Autorisierungsmechanismen für ein AAA-System existieren, werden in den folgenden Unterpunkten dargestellt. Ein Nutzer eines AAA-Systems kann sich über verschiedene Arten von Autorisierungssequenzen autorisieren. Es existieren drei Autorisierungssequenzen: agent, push und pull. Diese werden in den folgenden Kapiteln dargestellt.

17 Pull Sequence Die Pull Sequence ist die gebräuchlichste Form der Autorisierung. Sie wird bei der Einwahl eines Internetnutzers in das Internet über ein Internet Service Provider benutzt. Der Ablauf dieser Autorisierungsart ist in dem folgenden Schema dargestellt. Abb. 2: Schema der Pull-Sequence In der Pull-Sequence stellt der Benutzer seine Anfrage nach einem gewünschten Dienst direkt an das Service-Equipment. (1) Das Service-Equipment ist die Schnittstelle zu den einzelnen Diensten eines ISPs. Dies kann z.b. der Network-Access-Server (NAS) eines Internet Service Providers sein, der seinen Kunden einen Modem-Einwahlpool zur Verfügung stellt. Das Service-Equipment sendet die Anfrage zur Entscheidung an den AAA-Server (2). Der AAA-Server entscheidet auf Grundlage seiner Informationen und teilt dem Service- Equipment anschließend mit, den Dienst zu starten oder nicht (3). Der Service-Equipment startet den Dienst, wenn die Autorisierungsprozedur

18 10 erfolgreich war und meldet dem Benutzer, dass der Dienst nun zur Verfügung steht (4) 1. Ein Beispiel ist, wie oben beschrieben, die Einwahl eines Internetnutzers, der sich authentifiziert, gemäß der Pull-Sequence autorisiert und danach der Dienst (z.b. ein FTP- Server) zur Nutzung zur Verfügung steht Push Sequence In der Push-Sequence ist der Benutzer selber die Schnittstelle zwischen AAA-Server und Service-Equipment. In der folgenden Abbildung wird der Zusammenhang dargestellt. Abb. 3: Schema der Push-Sequence Der Benutzer fragt den AAA-Server an, ob er autorisiert ist den gewünschten Dienst zu benutzen (1). Besteht er diese Prüfung, bekommt er vom AAA-Server ein Ticket ausgestellt (2). Dieses Ticket (oder Zertifikat) weist den Nutzer aus, einen bestimmten Dienst in einer vorgeschriebenen Zeit nutzen zu dürfen. Dieses Ticket soll laut Spezifikation vom AAA-Server verschlüsselt werden. Genauere Angaben hierzu sind in der Spezifi- 1 [RFC 2904], AAA Authorization Framework,, Kap

19 11 kation 1 nicht dargestellt. Mit diesem Ticket ausgestattet wendet er sich nun an das Service-Equipment und bittet es den Dienst zu starten (3). Wenn der Dienst bereitsteht, meldet das Service-Equipment dies an den Benutzer (4) Agent Sequence In der Agent-Sequence fungiert der AAA-Server als Schnittstelle zwischen dem Benutzer und dem Service-Equipment, das den Dienst zur Verfügung stellt 3. Abb. 4: Schema der Agent Sequence Der Benutzer fragt den AAA-Server an, ob er autorisiert ist den gewünschten Dienst zu benutzen (1). Besteht er diese Prüfung, leitet der AAA-Server die Anfrage weiter an das Service-Equipment (2). Das Service-Equipment meldet dem AAA-Server zurück ob der Dienst gestartet wurde (3). Wenn der Dienst bereitsteht, meldet der AAA-Server dies an den Benutzer (4). 1 [RFC 2904],AAA Authorization Framework, 2 [RFC 2904],AAA Authorization Framework, Kap [RFC 2904],AAA Authorization Framework, Kap

20 12 In der Praxis wird je nach Anwendungsgebiet und Internet Service Provider zwischen diesen Autorisierungssequenzen variiert. Der Autorisierungsmechanismus wird den Erfordernissen der jeweiligen Provider-AAA-Struktur angepasst. 3.2 Anforderungen an ein AAA-Protokoll Die Anforderungen an ein AAA-Protokoll in AAA-Systemen lassen sich in den folgenden Punkten darstellen: 1 Ein AAA-Protokoll sollte Authentifizierungs- und Autorisierungs- Nachrichten unterstützen. Ein AAA-Protokoll sollte die Kombination aus Authentifizierungs- und Autorisierungs-Nachrichten unterstützen, da es in einer AAA-Umgebung notwendig ist, nach der Nutzerauthentifizierung diesem Nutzer bestimmte Rechte zu geben. (z.b. das Recht eine bestimmte Bandbreite nutzen zu können) Ein AAA-Protokoll muss verschiedene Verschlüsselungsmethoden nutzen können, um die sicherheitsrelevanten Daten gesichert übertragen zu können. Accountingdaten müssen zeitnah und sicher übertragen werden, damit der Internetnutzer seine Abrechnung für die genutzten Dienste schnell und vollständig erhält. Frühzeitiges Erkennen von fehlerhaften und unstabilen Verbindungen. Ein AAA-Protokoll sollte Fehlererkennungsmechanismen beinhalten, um die Qualität der Verbindung überprüfen zu können. Somit wäre es möglich, frühzeitig auf Fehler zu reagieren und diese zu beseitigen. 1 [RFC 2903], Generic AAA Architecture, Kap. 2 und [RFC 3169] Criteria for Evaluating Network Access Server Protocols, Kap. 3

21 Roaming In der Welt existieren viele Domänen, die physikalisch und örtlich aufgeteilt sind. Die Domäne in der ein Internetnutzer zuhause ist, wird als Home Domain bezeichnet. Aus Sicht dieses Internetnutzers sind alle anderen Domänen Fremdnetze. Diese Fremdnetze werden auch Foreign Domains genannt. Diesen Zusammenhang verdeutlicht folgende Abbildung. Abb.5: Domänenübersicht Roaming ist die Möglichkeit sich in fremden Netzen einzuwählen, bei der die Authentifizierung in der Home Domain stattfindet.

22 14 Dieses Szenario ist in der folgenden Abbildung dargestellt. Abb. 6: Prinzip des Roamings Roaming ermöglicht es Nutzern von Internet Service Providern bei einem Auslandsaufenthalt durch die Einwahl bei einem ausländischen Internetprovider, Zugang zum Internet zu bekommen. Roaming findet auch dann eine Anwendung, wenn eine andere Zugangsart gewählt wird, z.b. bei der Einwahl eines Notebooks in das Internet über ein WLAN 1 im Bereich eines Flughafens oder Bahnhofs. Da hier der Zugang zum Internet von einem anderen Betreiber angeboten werden kann, ist hier ein entsprechendes Roamingabkommen zwischen dem dortigen Betreiber und dem ISP des Internetnutzers notwendig. Es wird ein schriftlicher Roamingvertrag geschlossen, in dem die unterstützten Dienste und Konditionen der Provider festgehalten werden. Erst nachdem dieser Vertrag zustande gekommen ist, können Nutzer die Möglichkeiten des Roamings für diese Provider nutzen. Realisiert wird das Internet Roaming dadurch, dass die Authentifizierungsdaten des Roaming-Nutzers von der Foreign Domain 2 zur Home Domain 3 weitergeleitet werden. 1 Abkürzung für Wireless LAN, gemeint ist ein kabelloses Netzwerk 2 Eine Foreign Domain ist die Domain des Roaming-Nutzers, über die er eine Verbindung ins Internet bekommt und in der er nicht registriert ist 3 Die Home Domain, ist die Domain in der der Internetnutzer registriert ist

23 15 Dazu wählt sich der Nutzer bei dem fremden Provider ein. Wie in obiger Abbildung dargestellt, werden die Nutzerdaten zum Roaming-Gateway des fremden Providers über ein Proxy-Server weitergeleitet. Dies geschieht nur dann, wenn der Proxy-Server erkennt, dass der Benutzer nicht zur eigenen Domäne gehört. In diesem Fall werden die User- und Accounting-Datenbank des fremden Providers nicht benötigt, da diese nur für die eigenen Providernutzer benötigt werden. In der Home Domain wird der Nutzer authentifiziert und autorisiert. Dazu werden die entsprechenden Datenbanken durchsucht. Das Ergebnis wird zurück zur Foreign Domain gesendet. Die Accounting Daten des Nutzers werden vom Foreign-ISP zum Accounting Server 1 des Home-ISPs geschickt. Roaming funktioniert nur unter entsprechenden Voraussetzungen. Wenn bestimmte Dienste vom Fremd-Provider nicht unterstützt werden, so sind die entsprechenden Dienste des Home-Providers auch nicht nutzbar. Beispielsweise kann der T-Onlinenutzer, der zuhause mit DSL-Geschwindigkeit surft, über einen fremden Provider in Spanien nur mit 56Kbit surfen, wenn dieser Provider in Spanien nur eine Modemeinwahl mit 56Kbit zur Verfügung stellt. 3.4 Roaming Gateway Das Roaming Gateway stellt den Zugang zu der Domäne des jeweiligen ISPs dar und ist der End- bzw. der Anfangspunkt der Interdomainstrecke. 2 Das Roaming Gateway stellt sicher, dass die übertragenden Informationen die richtige Form haben und ist für eine sichere Verbindung zum Roaming Gateway des anderen ISPs verantwortlich. Interdomainstrecke Die Interdomainstrecke ist die Verbindungsstrecke zwischen den beiden Roaming Gateways. Diese Verbindungsstrecke verläuft aus Kostengründen in der Regel über das öffentliche Internet. Da über diese Strecke wichtige Nutzerinformationen gesendet werden, muss hier eine Sicherheitsbeziehung zwischen fremden und Heimat-Provider aufgebaut werden. Die Provider haben zwar einen Roamingvertrag miteinander, allerdings 1 ein Accounting Server ist ein System, dass die Abrechnungsdaten für ein Internetnutzer bereithält und die Dienstenutzung des Nutzers überwacht. 2 [RFC2904], AAA Authorization Framework, Kap. 3.2

24 16 gibt es keine internen Leitungen oder andere Verbindungen, den die Provider vertrauen. Deshalb muss sichergestellt werden, dass bei einer Verbindung der beiden Gateways jeder eindeutig authentifiziert und identifiziert werden kann. Für die Verbindung zwischen den beiden Roaming Gateways existiert eine reine end-toend Verbindung. Um eine Sicherheitsbeziehung zwischen diesen Peers herzustellen, gibt es verschiedene Möglichkeiten. Eine Möglichkeit wäre eine Verschlüsselung auf Transportebene. Hierzu kann das SSL/ TLS 1 -Sicherheitsprotokoll eingesetzt werden. TLS ist eine Weiterentwicklung von SSL. Eine nähere Erläuterung zu SSL wird unter Kapitel 8.11 gegeben. Für alle Diameter-Server ist die Unterstützung von TLS laut Diameter-Spezifikation 2 vorgeschrieben. Die Verbindung könnte ebenfalls mit IPsec, einem anderem Sicherheitsprotokoll, abgesichert werden. Hierbei findet eine Verschlüsselung auf IP-Ebene statt. [Hawkins, D., S.25, 2000] Eine dritte Möglichkeit zur Sicherung dieser Verbindung ist das Benutzen der CMS (Cryptographic Message Syntax) 3. Die Cryptographic Message Syntax spezifiziert ein Format für verschlüsselte und/oder signierte Nachrichten bzw. Dateien. Sie wurde auch für die digitale Unterzeichnung, Verarbeitung und Authentisierung von Nachrichten entwickelt. Die Anwendung dieser Syntax in einer Roaming-Umgebung wird im Kapitel 8 näher erläutert. Mit allen drei Möglichkeiten der Verbindungssicherung kann eine Public Key Infrastruktur (PKI) kombiniert werden. Was eine PKI im Detail darstellt, wird im folgenden Kapitel beschrieben. 1 Transport Layer Security, Nachfolger von SSL, dient zum verschlüsseln einer Netzwerkverbindung 2 [RFC 2904], AAA Authorization Framework 3 [RFC 2630], Cryptographic Message Syntax

25 17 4 PKI 4.1 Public-Key-Verschlüsselung Die Public-Key-Verschlüsselung wurde 1975 von Whitfield Diffie und Martin Hellman erfunden. Es ist das Ziel, eine Vertraulichkeit der Daten, eine Authentifizierung und Beweisbarkeit (Nonrepudiation) zu schaffen. Der Vorteil dieser Verschlüsselungsmethode besteht darin, dass nicht erst geheime Schlüssel ausgetauscht werden müssen, wie es in der Private-Key-Verschlüsselung der Fall ist. [Ruland, C.,1993, S ] Der öffentliche Schlüssel kann beispielsweise für -Signaturen verwendet werden. Ein weiterer Vorteil der Public-Key-Verschlüsselung ist die Tatsache, dass sie die Grundlage zur Verfügung stellt, die für digitale Signaturen, digitale Zertifikate und die Schlüsselverwaltung verwendet wird. Das Konzept der Public-Key-Verschlüsselung beinhaltet die Verwendung zweier verschiedener, aber mathematisch abhängiger Schlüssel. Der erste Schlüssel, der öffentliche Schlüssel (Public Key), ist nicht geheim und kann mit allen anderen Kommunikationsteilnehmern gemeinsam benutzt werden. Dieser Schlüssel wird verwendet, um Daten zu verschlüsseln, die für den Besitzer des zweiten Schlüssels gedacht sind. Der andere Schlüssel in dieser Verschlüsselungsmethode ist ein geheimer Schlüssel, der benutzt wird, um alle mit dem öffentlichen Schlüssel verschlüsselten Nachrichten zu entschlüsseln. Abbildung 7 stellt diesen Prozess dar, der auch in die andere Richtung funktioniert.

26 18 Abb. 7: Beispiel für eine Public-Key-Verschlüsselung 1 Nachrichten, die mit dem geheimen Schlüssel verschlüsselt wurden, muss mit dem öffentlichen Schlüssel entschlüsselt werden. Nachrichten, die mit Hilfe des öffentlichen Schlüssels verschlüsselt wurden, können dagegen nicht mit diesem gleichen Schlüssel entschlüsselt werden. Das ist der Unterschied zur Private-Key-Verschlüsselung. Der öffentliche und der private Schlüssel, die in der Public-Key-Verschlüsselung benutzt werden, werden als Schlüsselpaar bezeichnet. Das zugrundeliegende Prinzip dieser Verschlüsselungsmethode ist die Tatsache, dass der öffentliche und der geheime Schlüssel mathematisch abhängig sind. 1 [Ruland, C., 1993, S ]

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

Diameter. KM-/VS-Seminar. Wintersemester 2002/2003. schulze_diameter.ppt Christian Schulze_03-Februar-07

Diameter. KM-/VS-Seminar. Wintersemester 2002/2003. schulze_diameter.ppt Christian Schulze_03-Februar-07 Diameter KM-/VS-Seminar Wintersemester 2002/2003 Betreuer: Martin Gutbrod 1 Übersicht Einleitung AAA Szenarien Remote dial-in Mobile dial-in Mobile telephony Design von Diameter Ausblick Features Protokoll

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

IT-Sicherheit Kapitel 3 Public Key Kryptographie

IT-Sicherheit Kapitel 3 Public Key Kryptographie IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure)

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Unterrichtseinheit 5: Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Verschlüsselung mit öffentlichen Schlüsseln ist eine bedeutende Technologie für E- Commerce, Intranets,

Mehr

Internet Security: Verfahren & Protokolle

Internet Security: Verfahren & Protokolle Internet Security: Verfahren & Protokolle 39 20 13 Vorlesung im Grundstudium NWI (auch MGS) im Sommersemester 2003 2 SWS, Freitag 10-12, H10 Peter Koch pk@techfak.uni-bielefeld.de 30.05.2003 Internet Security:

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

Denn es geht um ihr Geld:

Denn es geht um ihr Geld: Denn es geht um ihr Geld: [A]symmetrische Verschlüsselung, Hashing, Zertifikate, SSL/TLS Warum Verschlüsselung? Austausch sensibler Daten über das Netz: Adressen, Passwörter, Bankdaten, PINs,... Gefahr

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

SSL Algorithmen und Anwendung

SSL Algorithmen und Anwendung SSL Algorithmen und Anwendung Stefan Pfab sisspfab@stud.uni-erlangen.de Abstract Viele Anwendungen erfordern nicht nur eine eindeutige und zuverlässige Identifizierung der an einer Kommunikation beteiligten

Mehr

Secure Socket Layer v. 3.0

Secure Socket Layer v. 3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer v. 3.0 (SSLv3) Zheng Yao 05.07.2004-1 - 1. Was ist SSL? SSL steht für Secure Socket Layer, ein Protokoll zur Übertragung

Mehr

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS Digitale Signatur Digitale Signatur kombiniert Hash Funktion und Signatur M, SIGK(HASH(M)) wichtige Frage: Wie wird der Bithaufen M interpretiert Struktur von M muss klar definiert sein Wie weiss ich,

Mehr

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106 Radius Server Bericht im Studiengang Computerengineering an der HS-Furtwangen Student: Alphonse Nana Hoessi Martikelnr.:227106 Student: Daniel Lukac Martikelnr.: 227244 Student: Dominik Bacher Martikelnr.:

Mehr

Verschlüsselung der Kommunikation zwischen Rechnern

Verschlüsselung der Kommunikation zwischen Rechnern Verschlüsselung der Kommunikation zwischen Rechnern Stand: 11. Mai 2007 Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com

Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com 1 Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com 2 Baltimore auf einen Blick Weltmarktführer für e security Produkte, Service, und Lösungen Weltweite Niederlassungen

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

Web Service Security

Web Service Security Hochschule für Angewandte Wissenschaften Hamburg Fachbereich Elektrotechnik und Informatik SS 2005 Masterstudiengang Anwendungen I Kai von Luck Web Service Security Thies Rubarth rubart_t@informatik.haw-hamburg.de

Mehr

Allgemeine Erläuterungen zu

Allgemeine Erläuterungen zu en zu persönliche Zertifikate Wurzelzertifikate Zertifikatssperrliste/Widerrufsliste (CRL) Public Key Infrastructure (PKI) Signierung und Verschlüsselung mit S/MIME 1. zum Thema Zertifikate Zertifikate

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

Sichere Identitäten in Smart Grids

Sichere Identitäten in Smart Grids Informationstag "IT-Sicherheit im Smart Grid" Berlin, 23.05.2012 Sichere Identitäten in Smart Grids Dr. Thomas Störtkuhl, Agenda 1 2 Beispiele für Kommunikationen Digitale Zertifikate: Basis für Authentifizierung

Mehr

Secure Socket Layer V.3.0

Secure Socket Layer V.3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer V.3.0 (SSLv3) Zheng Yao 05.07.2004 1 Überblick 1.Was ist SSL? Bestandteile von SSL-Protokoll, Verbindungherstellung

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

Digital Signature and Public Key Infrastructure

Digital Signature and Public Key Infrastructure E-Governement-Seminar am Institut für Informatik an der Universität Freiburg (CH) Unter der Leitung von Prof. Dr. Andreas Meier Digital Signature and Public Key Infrastructure Von Düdingen, im Januar 2004

Mehr

Einführung in die symmetrische und asymmetrische Verschlüsselung

Einführung in die symmetrische und asymmetrische Verschlüsselung Einführung in die symmetrische und asymmetrische Verschlüsselung Enigmail Andreas Grupp grupp@elektronikschule.de Download der Präsentation unter http://grupp-web.de by A. Grupp, 2007-2010. Dieses Werk

Mehr

IT-Sicherheit Kapitel 11 SSL/TLS

IT-Sicherheit Kapitel 11 SSL/TLS IT-Sicherheit Kapitel 11 SSL/TLS Dr. Christian Rathgeb Sommersemester 2014 1 Einführung SSL/TLS im TCP/IP-Stack: SSL/TLS bietet (1) Server-Authentifizierung oder Server und Client- Authentifizierung (2)

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

Netzsicherheit Architekturen und Protokolle Grundlagen PKI/PMI

Netzsicherheit Architekturen und Protokolle Grundlagen PKI/PMI Grundlagen PKI/PMI 1 Motivation 2 Digitale Zertifikate 3 Infrastrukturen 4 PKI (Bausteine) 5 Vertrauensmodelle Wiederholung Kryptographie Symmetrische Kryptographie 1 Schlüssel für Ver- und Entschlüsselung

Mehr

Seminar Internet-Technologie

Seminar Internet-Technologie Seminar Internet-Technologie Zertifikate, SSL, SSH, HTTPS Christian Kothe Wintersemester 2008 / 2009 Inhalt Asymmetrisches Kryptosystem Digitale Zertifikate Zertifikatsformat X.509 Extended-Validation-Zertifikat

Mehr

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Ein Großteil der heutigen Kommunikation geschieht per email. Kaum ein anderes Medium ist schneller und effizienter. Allerdings

Mehr

IT-Sicherheitsmanagement Teil 8: Einführung in die Kryptographie

IT-Sicherheitsmanagement Teil 8: Einführung in die Kryptographie IT-Sicherheitsmanagement Teil 8: Einführung in die Kryptographie 28.04.15 1 Literatur I mit ein paar Kommentaren [8-1] Burnett, Steve; Paine, Spephen: Kryptographie. RSA Security s Official Guide. RSA

Mehr

Verteilte Systeme. Sicherheit. Prof. Dr. Oliver Haase

Verteilte Systeme. Sicherheit. Prof. Dr. Oliver Haase Verteilte Systeme Sicherheit Prof. Dr. Oliver Haase 1 Einführung weitere Anforderung neben Verlässlichkeit (zur Erinnerung: Verfügbarkeit, Zuverlässigkeit, Funktionssicherheit (Safety) und Wartbarkeit)

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com Merkblatt: HSM Version 1.01 Systemvoraussetzungen, Setup und Trouble Shooting Kontakt: pdfsupport@pdf-tools.com Besitzer: PDF Tools AG Kasernenstrasse 1 8184 Bachenbülach Schweiz www.pdf-tools.com Copyright

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

KYPTOGRAPHIE und Verschlüsselungsverfahren

KYPTOGRAPHIE und Verschlüsselungsverfahren KYPTOGRAPHIE und Verschlüsselungsverfahren 1 Kryptographie Abgeleitet von zwei griechischen Wörtern: kryptós - verborgen Gráphein - schreiben Was verstehen Sie unter Kryptographie bzw. was verbinden Sie

Mehr

OFTP2 - Checkliste für die Implementierung

OFTP2 - Checkliste für die Implementierung connect. move. share. Whitepaper OFTP2 - Checkliste für die Implementierung Die reibungslose Integration des neuen Odette-Standards OFTP2 in den Datenaustausch- Workflow setzt einige Anpassungen der Systemumgebung

Mehr

Public Key Infrastructures

Public Key Infrastructures Public Key Infrastructures Eine Basistechnologie für sichere Kommunikation Autor: Jan Grell Herausgeber: grell-netz.de computer services Jan Grell Auf dem Damm 36 53501 Grafschaft http://www.grell-netz.de

Mehr

1 Was ist SSL? 3 1.1 SSL im OSI-Modell... 3 1.2 Der SSL-Verbindungsaufbau... 3

1 Was ist SSL? 3 1.1 SSL im OSI-Modell... 3 1.2 Der SSL-Verbindungsaufbau... 3 SSL und Zertifikate INHALTSVERZEICHNIS INHALTSVERZEICHNIS Inhaltsverzeichnis 1 Was ist SSL? 3 1.1 SSL im OSI-Modell.................................... 3 1.2 Der SSL-Verbindungsaufbau...............................

Mehr

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub 1 Praktikum Protokolle SS2007 Fachhochschule OOW VPN Dokumentation 1 2 Praktikum Protokolle SS2007 Fachhochschule OOW Inhaltsverzeichnis Thema Seite 1. Einleitung 3 2. Unsere Aufbaustruktur 3 3. Installation

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Kundenleitfaden Secure E-Mail

Kundenleitfaden Secure E-Mail Vorwort Wir leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von E-Mails. Neben den großen Vorteilen, die uns elektronische

Mehr

Problem: keine sichere Verbindung zwischen öffentlichen Schlüssel und der tatsächlichen Identität des Erstellers der Signatur.

Problem: keine sichere Verbindung zwischen öffentlichen Schlüssel und der tatsächlichen Identität des Erstellers der Signatur. Referat im Proseminar Electronic Commerce Thema: Anwendungen von Kryptographie für E-Commerce Betreuer: Michael Galler Stoffsammlung/Grobgliederung Problem der Sicherheit des E-Commerce - nötig für Sicherheitsgarantie:

Mehr

Vorwort. Sichere E-Mail bietet. Kundenleitfaden Sichere E-Mail

Vorwort. Sichere E-Mail bietet. Kundenleitfaden Sichere E-Mail Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von E-Mails. Neben den großen Vorteilen, die uns

Mehr

Public-Key-Infrastrukturen

Public-Key-Infrastrukturen TECHNISCHE UNIVERSITÄT DARMSTADT FACHGEBIET THEORETISCHE INFORMATIK PROF. DR. J. BUCHMANN DR. A. WIESMAIER 9. Übung zur Vorlesung Public-Key-Infrastrukturen Sommersemester 2011 Aufgabe 1: Indirekte CRL

Mehr

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID

Mehr

> Verteilte Systeme Übung 10 Deadlocks, Fehler, Security Philipp Kegel Sommersemester 2012

> Verteilte Systeme Übung 10 Deadlocks, Fehler, Security Philipp Kegel Sommersemester 2012 > Verteilte Systeme Übung 10 Deadlocks, Fehler, Security Philipp Kegel Sommersemester 2012 Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster

Mehr

E-Mails versenden aber sicher! Secure E-Mail. Kundenleitfaden. Sparkasse Landshut

E-Mails versenden aber sicher! Secure E-Mail. Kundenleitfaden. Sparkasse Landshut E-Mails versenden aber sicher! Secure E-Mail Kundenleitfaden S Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie

Mehr

LDAPS (LDAP Secure) Internet Architektur, Protokolle, Management 3 (SS2004) Jens Festag (Jens.Festag@FH-Worms.de)

LDAPS (LDAP Secure) Internet Architektur, Protokolle, Management 3 (SS2004) Jens Festag (Jens.Festag@FH-Worms.de) LDAPS (LDAP Secure) Internet Architektur, Protokolle, Management 3 (SS2004) Jens Festag (Jens.Festag@FH-Worms.de) 25.05.2004 Inhaltsverzeichnis 1 Grundlagen Kryptologie 2 1.1 Allgemeines...............................

Mehr

Zertifizierungsrichtlinien

Zertifizierungsrichtlinien Zertifizierungsrichtlinien Certification Practice Statement (CPS) Migros Corporate PKI NG-PKI 2014 Interne CA Hierarchie keyon AG Schlüsselstrasse 6 8645 Jona Tel +41 55 220 64 00 www.keyon.ch Switzerland

Mehr

1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12)

1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12) 1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12) 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPSec-Verbindung mit IKEv2 von einem Windows 7 Rechner zum bintec IPSec-Gateway

Mehr

VPN / Tunneling. 1. Erläuterung

VPN / Tunneling. 1. Erläuterung 1. Erläuterung VPN / Tunneling Ein virtuelles privates Netzwerk (VPN) verbindet die Komponenten eines Netzwerkes über ein anderes Netzwerk. Zu diesem Zweck ermöglicht das VPN dem Benutzer, einen Tunnel

Mehr

Public Key Infrastruktur

Public Key Infrastruktur Public Key Infrastruktur Stand: 11 Mai 2007 Ausgegeben von: Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung 4 2 Aufbau

Mehr

E-Mails versenden aber sicher! Secure E-Mail

E-Mails versenden aber sicher! Secure E-Mail E-Mails versenden aber sicher! Secure E-Mail Leitfaden S Kreisparkasse Verden 1 Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische

Mehr

Sichere Abwicklung von Geschäftsvorgängen im Internet

Sichere Abwicklung von Geschäftsvorgängen im Internet Sichere Abwicklung von Geschäftsvorgängen im Internet Diplomarbeit von Peter Hild Theoretische Grundlagen der Kryptologie Vorhandene Sicherheitskonzepte für das WWW Bewertung dieser Konzepte Simulation

Mehr

PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser

PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser Theoretische Informatik Prof. Johannes Buchmann Technische Universität Darmstadt Graduiertenkolleg Enabling Technologies for Electronic Commerce

Mehr

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Multicast Security Group Key Management Architecture (MSEC GKMArch) Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen

Mehr

UH-CA: Zertifikate für digitale Signaturen und Verschlüsselung an der Universität Hannover

UH-CA: Zertifikate für digitale Signaturen und Verschlüsselung an der Universität Hannover UH-CA: Zertifikate für digitale Signaturen und Verschlüsselung an der Universität Hannover Sicherheitstage WS 04/05 Birgit Gersbeck-Schierholz, RRZN Einleitung und Überblick Warum werden digitale Signaturen

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

Ich hab doch nichts zu verbergen... Der gläserne Bürger: Wieviel Daten braucht der Staat?

Ich hab doch nichts zu verbergen... Der gläserne Bürger: Wieviel Daten braucht der Staat? 1 / 32 Veranstaltungsreihe Ich hab doch nichts zu verbergen... Der gläserne Bürger: Wieviel Daten braucht der Staat? Veranstalter sind: 15. Mai bis 3. Juli 2008 der Arbeitskreis Vorratsdatenspeicherung

Mehr

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 2: Zertifikate, X.509, PKI Dr.

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 2: Zertifikate, X.509, PKI Dr. Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009 IT-Security Teil 2: Zertifikate, X.509, PKI Dr. Erwin Hoffmann E-Mail: it-security@fehcom.de Einsatz von Zertifikaten Ein Zertifikat

Mehr

Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr

Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr p Eine Open Source SSL VPN Lösung Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr Inhaltsverzeichnis Simon Singh über die Verschlüsslungen Facts about OpenVPN Hintergrund Funktionsweise inkl.

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten Versuch: Eigenschaften einer Unterhaltung Instant Messaging Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten welche Rollen gibt es in einem IM-System? Analysieren

Mehr

Emailverschlüsselung mit Thunderbird

Emailverschlüsselung mit Thunderbird Emailverschlüsselung mit Thunderbird mit einer kurzen Einführung zu PGP und S/MIME Helmut Schweinzer 3.11.12 6. Erlanger Linuxtag Übersicht Warum Signieren/Verschlüsseln Email-Transport Verschlüsselung

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Mehr Sicherheit durch PKI-Technologie

Mehr Sicherheit durch PKI-Technologie Mehr Sicherheit durch PKI-Technologie Verschlüsselung allgemein Die 4 wichtigsten Bedingungen Bei einer Übertragung von sensiblen Daten über unsichere Netze müssen folgende Bedingungen erfüllt sein: Vertraulichkeit

Mehr

Zertifikate Exchange Server / WLAN. Referent: Marc Grote

Zertifikate Exchange Server / WLAN. Referent: Marc Grote Zertifikate Exchange Server / WLAN Referent: Marc Grote Agenda Verwendungszweck von Zertifikaten Krytografiegrundlagen Symmetrische / Asymmetrische Verschluesselungsverfahren Windows Zertifizierungsstellen

Mehr

Verschlüsselungsverfahren

Verschlüsselungsverfahren Verschlüsselungsverfahren Herrn Breder hat es nach dem Studium nach München verschlagen. Seine Studienkollegin Frau Ahrend wohnt in Heidelberg. Da beide beruflich sehr stark einspannt sind, gibt es keine

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10

Mehr

Vorlesung Kryptographie

Vorlesung Kryptographie Vorlesung Kryptographie Teil 2 Dr. Jan Vorbrüggen Übersicht Teil 1 (Nicht-) Ziele Steganographie vs. Kryptographie Historie Annahmen Diffie-Hellman Angriffe Teil 2 Symmetrische Verfahren Asymmetrische

Mehr

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Dr. Volker Scheidemann Digitale Zertifikate Public Key Infrastrukturen (PKI) Sicherheitsprozesse Seite: 2 Gefahr bei PKC: Die Man in the Middle-Attacke

Mehr

Secure Messaging. Ihnen? Stephan Wappler IT Security. IT-Sicherheitstag. Sicherheitstag,, Ahaus 16.11.2004

Secure Messaging. Ihnen? Stephan Wappler IT Security. IT-Sicherheitstag. Sicherheitstag,, Ahaus 16.11.2004 Secure Messaging Stephan Wappler IT Security Welche Lösung L passt zu Ihnen? IT-Sicherheitstag Sicherheitstag,, Ahaus 16.11.2004 Agenda Einleitung in die Thematik Secure E-Mail To-End To-Site Zusammenfassung

Mehr

Datenempfang von crossinx

Datenempfang von crossinx Datenempfang von crossinx Datenempfang.doc Seite 1 von 6 Inhaltsverzeichnis 1 Einführung... 3 2 AS2... 3 3 SFTP... 3 4 FTP (via VPN)... 4 5 FTPS... 4 6 Email (ggf. verschlüsselt)... 5 7 Portalzugang über

Mehr

Einsatz von Public Key Infrastrukturen in großen heterogenen Organisationen. Christoph Thiel

Einsatz von Public Key Infrastrukturen in großen heterogenen Organisationen. Christoph Thiel Einsatz von Public Key Infrastrukturen in großen heterogenen Organisationen Christoph Thiel Stuttgart, 4. November 2014 Das extented enterprise SSL E-Mail Grundlegende Sicherheitsanforderungen Authentisierung

Mehr

Daten-Kommunikation mit crossinx

Daten-Kommunikation mit crossinx Daten-Kommunikation mit Datenübertragung.doc Seite 1 von 8 Inhaltsverzeichnis 1 Einführung... 3 1.1 Datenübertragung an... 3 1.2 Datenversand durch... 3 2 X.400... 4 3 AS2... 4 4 SFTP (mit fester Sender

Mehr

X.509-Zertifikate mit OpenSSL Mario Lorenz mailto:ml@vdazone.org. 18. November 2002

X.509-Zertifikate mit OpenSSL Mario Lorenz mailto:ml@vdazone.org. 18. November 2002 X.509-Zertifikate mit OpenSSL Mario Lorenz mailto:ml@vdazone.org 18. November 2002 1 Grundlagen Wir nehmen an, dass mathematische Algorithmen zur sicheren Verschlüsselung und zur Signatur verfügbar seien

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage. RAM empfohlen. RAM maximal

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage. RAM empfohlen. RAM maximal 1. HANDLUNGSSCHRITT Aufgabe 13 Betriebssystem Prozessortakt RAM empfohlen RAM maximal Installationsgröße SMP Anzahl Prozessoren Windows 7 Ultimate 2008 Web 2008 Standard 2008 Enterprise 2008 Datacenter

Mehr

Seminar Neue Techologien in Internet und WWW

Seminar Neue Techologien in Internet und WWW Seminar Neue Techologien in Internet und WWW Sicherheit auf der Anwendungsschicht: HTTP mit SSL, TLS und dabei verwendete Verfahren Christian Raschka chrisra@informatik.uni-jena.de Seminar Neue Internettechnologien

Mehr

Literatur. ISM SS 2015 - Teil 18/PKI-2

Literatur. ISM SS 2015 - Teil 18/PKI-2 Literatur [18-1] Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile http://tools.ietf.org/html/rfc5280 [18-2] Verifikation digitaler Signaturen http://www.informatik.tu-darmstadt.de/

Mehr

E-Mails versenden aber sicher!

E-Mails versenden aber sicher! E-Mails versenden aber sicher! Sichere E-Mail mit Secure E-Mail - Kundenleitfaden - S Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen D-TRUST GmbH Kommandantenstraße 15 10969 Berlin für den Zertifizierungsdienst D-TRUST SSL Class 3 CA 1 EV

Mehr

Informationen zur sicheren E-Mail-Kommunikation. Unternehmensgruppe ALDI SÜD

Informationen zur sicheren E-Mail-Kommunikation. Unternehmensgruppe ALDI SÜD Informationen zur sicheren E-Mail-Kommunikation Unternehmensgruppe ALDI SÜD Sichere E-Mail-Kommunikation Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch

Mehr

Anlage 3. EBICS- Anbindung. Folgende Legitimations- und Sicherungsverfahren werden in der EBICS-Anbindung eingesetzt:

Anlage 3. EBICS- Anbindung. Folgende Legitimations- und Sicherungsverfahren werden in der EBICS-Anbindung eingesetzt: Anlage 3 EBICS- Anbindung 1. Legitimations- und Sicherungsverfahren Der Kunde (Kontoinhaber) benennt dem Kreditinstitut die Teilnehmer und deren Berechtigungen im Rahmen der Datenfernübertragung auf dem

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

Service-Orientierte Architekturen

Service-Orientierte Architekturen Hochschule Bonn-Rhein-Sieg Service-Orientierte Architekturen Kapitel 7: Web Services IV Exkurs über Sicherheitsanforderungen Vorlesung im Masterstudiengang Informatik Sommersemester 2010 Prof. Dr. Sascha

Mehr

Henning Mohren 2005-7-6. Zertifikatsserver der Certification Authority (CA) Technische Spezifikation. Version 4.0. c 2005 FernUniversität in Hagen

Henning Mohren 2005-7-6. Zertifikatsserver der Certification Authority (CA) Technische Spezifikation. Version 4.0. c 2005 FernUniversität in Hagen Henning Mohren 2005-7-6 Zertifikatsserver der Certification Authority (CA) Technische Spezifikation Version 4.0 c 2005 FernUniversität in Hagen Inhaltsverzeichnis 1 Allgemeines 3 2 Leistungsumfang 4 3

Mehr

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep-2011. Tatjana Heuser: Systemverwaltung

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep-2011. Tatjana Heuser: Systemverwaltung Systemverwaltung Tatjana Heuser Sep-2011 Anmeldung über Netz Secure Socket Layer Secure Shell Intro Client-Server SSH 1 Verbindungsaufbau SSH 2 Verbindungsaufbau Konfiguration Serverseite ssh Configuration

Mehr

Anforderungen an elektronische Signaturen. Michel Messerschmidt

Anforderungen an elektronische Signaturen. Michel Messerschmidt Anforderungen an elektronische Signaturen Michel Messerschmidt Übersicht Kryptographische Grundlagen Rechtliche Grundlagen Praxis Michel Messerschmidt, 2006-03-16 2 Kryptographische Grundlagen Verschlüsselung

Mehr

Stephan Groth (Bereichsleiter IT-Security) 03.05.2007. CIO Solutions. Zentrale E-Mail-Verschlüsselung und Signatur

Stephan Groth (Bereichsleiter IT-Security) 03.05.2007. CIO Solutions. Zentrale E-Mail-Verschlüsselung und Signatur Stephan Groth (Bereichsleiter IT-Security) 03.05.2007 CIO Solutions Zentrale E-Mail-Verschlüsselung und Signatur 2 Wir stellen uns vor Gegründet 2002 Sitz in Berlin und Frankfurt a. M. Beratung, Entwicklung

Mehr