Client/Server-Systeme
|
|
- Michaela Walter
- vor 8 Jahren
- Abrufe
Transkript
1 Client/Server-Systeme Prof. Dr.-Ing. Wilhelm G. Spruth WS 2008/2009 Teil 5 Authentifizierung css0601 ww6 sch 10-96
2 Aufgaben der Darstellungsschicht (presentation Layer, Schicht 6) Einheitliche Datenstrukturen Datenkomprimierung Verschlüsselung Authentifizierung Sicherheit Namens/Directory - Dienste Zeitdienste cs 0416u ww6 wgs 07-99
3 Elektronische Unterschrift Verwendet asymetrisches Chiffriervervahren, z.b. RSA. Normalerweise wird mit dem öffentlichen Schlüssel verschlüsselt und mit dem privaten Schlüssel entschlüsselt. Es ist aber genauso möglich, mit dem privaten Schlüssel zu verschlüsseln und mit dem öffentlichen Schlüssel zu entschlüsseln. Personen (Sender) werden durch ihren allgemein zugänglichen öffentlichen Schlüssel eindeutig identifiziert (z.b. durch ein Feld auf ihrer WWW Homepage). Wenn jemand eine Nachricht empfängt, die mit diesem öffentlichen Schlüssel dechiffriert werden kann, dann kann der Absender nur derjenige sein, der den dazugehörigen geheimen Schlüssel besitzt. Im Zweifelsfall muß sich der Sender nachsagen lassen, daß nur er die verschlüsselte Nachricht hat senden können, die mit seinem öffentlichen Schlüssel dechiffriert werden konnte. Der Empfänger hebt als Beweismittel die Nachricht in dechiffrierter und chiffrierter Form auf. cs 0606 ww6 wgs 01-98
4 Elektronische (Digitale) Unterschrift Empfänger kann die angebliche Identität des Senders verifizieren. Späteres Nichtanerkennen der Nachricht durch den Sender ist ausgeschlossen Realisierung mit asymmetrischen Verfahren mit den beiden Verschlüsselungsalgorithmen D (geheim) und E (öffentlich) möglich, wenn M = D(E(M)) und M = E(D(M)) Rechner 1 Rechner 2 Kd f(kd) Ke C = D Kd (M) M D E M = D Kd (C) Jeder, der Ke besitzt, kann M dechiffrieren keine Geheimhaltung Nur wer Kd kennt, kann M generiert haben Authentizität Empfänger speichert C - Beweis für den Empfang cs0617 ww6 wgs 09-98
5 Sender Empfänger Ke f(kd) Kd C = E Ke (M) M E D M = D Kd (C) Asymetrische Verschlüsselung Sender Empfänger Kd f(kd) Ke C = D Kd (M) M D E M = E Ke (C) Digitale Unterschrift M = D(E(M)) und M = E(D(M)) cs 0654 ww6 wgs 10-01
6 Asymmetisches Chiffrierverfahren Mit dem öffentlichen Schlüssel wird chiffriert Mit dem geheimen Schlüssel wird dechiffriert Empfänger (normalerweise Server) gibt öffentlichen Schlüssel Ke be bekannt. Sender (normalerweise Klient) verschlüsselt mit öffentlichen Schlüssel, nur Empfänger kann Geheimtext mit privaten Schlüssel Kd entschlüsseln. Elektronische Unterschrift Mit dem geheimen Schlüssel wird chiffriert Mit dem öffentlichen Schlüssel wird dechiffriert Sender gibt öffentlichen Schlüssel Ke bekannt, verschlüsselt mit geheimen Schlüssel Kd. Jeder kann Geheimtext entschlüsseln. Die Nachricht muß von demjenigen stammen, der den öffentlichen Schlüssel Ke generiert hat. cs0618 ww6 wgs 09-98
7 Elektronische Unterschrift Sender Empfänger 1. berechnet öffentlichen und geheimen Schlüssel 2. gibt öffentlichen Schlüssel bekannt 3. sendet Nachricht, die mit dem geheimen Schlüssel chiffriert wurde 4. dechiffriert Nachricht mit öffentlichem Schlüssel Wer immer einen öffentlichen Schlüssel bekannt gibt, ist als Absender einer Nachricht, die damit dechiffriert werden kann, eindeutig identifiziert. cs 0604 ww6 wgs 01-98
8 Probleme mit der digitalen Unterschrift 1. Digitale Unterschrift besteht aus der verschlüsselten Nachricht (z.b. 50 MByte) plus öffentlichen Schlüssel (z.b. 256 Byte). Unhandlich. Normale Unterschrift unter ein 50 MByte langen Vertrag ist nur wenige Byte lang. Lösung: Secure Hash Funktion. 2. Wie stellt man sicher, dass ein öffentlicher Schlüssel tatsächlich Herrn Fritz Müller und nicht einem Eindringling gehört? Lösung: Trust Center, Certification Authority. cs 0573 ww6 wgs 11-03
9 Digitale Unterschrift M A Kd Message Autor geheimer Schlüssel des Autors Sende M, A, D Kd (M) Falls D Kd (M) zu lang, verwende Message Digest Funktion D(M), auch "secure hash function" genannt. D(M) ist ein aus M leicht berechenbarer Wert. Es muß sichergestellt sein, daß D(M) D(M') für alle realistischen unterschiedlichen Paare M und M'. cs 0560 ww6 wgs 06-94
10 Message M Hash Funktion H Hashwert Message Digest h A hash function H is a transformation that takes an input message m and returns a fixed-size string, which is called the hash value h. Using mathematical notation for functions, we express this as h=h(m).
11 Hashing Ein einfaches Beispiel: Nachricht Hashwert Beispiel: Nachricht in gleichlange Teile zerlegen Teile mit Exclusive Oder verknüpfen Es ist leicht, eine andere Nachricht mit dem gleichen Hashwert zu erzeugen Ein weit verbreitetes Verfahren ist der Cyclic Redundancy Check. (CRC), z.b. Ethernet Rahmen 8 Byte 6 Byte 6 Byte 2 B B. 4 Byte Präambel Empfänger Sender Typ Daten CRC Adresse Adresse
12
13
14
15 cs 0575 ww6 wgs 12-04
16 Secure Hash Funktion Message Digest Function Hash Funktionen erzeugen von längeren Nachrichten einen digitalen Fingerabdruck (Hashwert, Message Digest). Sie bilden einen unbeschränkten Wertebereich ( alle möglichen Nachrichten ) in einen endlichen Wertebereich ab. Sichere Hash Funktionen sind unumkehrbar und kollisionsfrei. Eine Hash Funktion H(M) ist unumkehrbar, wenn es praktisch unmöglich ist, für einen vorgegebenen Hash Wert eine sinnvolle Nachricht zu finden. Es sit nicht machbar, für einen Haschwert h eine sinnvolle Nachricht M mit H(M) = h zu finden. Eine Hash Funktion ist zusätzlich kollisionsfrei, wenn es praktisch nicht möglich ist,. für eine gegebene Nachricht eine zweite Nachricht zu finden, die den gleichen message digest erzeugt. Es ist praktisch nicht möglich, zu einer gegebenen Nachricht M eine zweite Nachricht M zu berechnen mit H(M) = H(M ). Ein derartiger Hashwert wird als digitale Unterschrift (digital Signature) bezeichnet. Der Algorithmus ist bekannt. Jeder kann aus einer beliebigen Nachricht den Hashwert (digitalen Fingerabdruck) erzeugen. Niemand kann aus einen gegebenen Hashwert eine vernünftige Nachricht erzeugen. cs0518 ww6 wgs 09-98
17 Beispiele für sichere Hash Funktionen Bekannte Hash Funktionen sind: MD5 128 Bit Hash Wert. Wird u. A. von PGP eingesetzt. SHA-1 (Secure Hash Algorithm) Vom USA Geheimdienst entwickelt. 160 Bit Hash Wert RIPE-MD160 Europäische Entwicklung, für PGP vorgesehen. 160 Bit Hash Wert MD5 Beispiel: M = There is $1500 in the blue box H(M) = 05f8cfc03f4e58cbee731aa4a14b3f03 M = There is $1100 in the blue box H(M) = d6dee11aae89661a45eb9d21e30d34cd
18 Sender AAA Krypto Hash Funkt. Digital Signature Digital verschlüsseln Signature Internet AAA s privater Schlüssel Empfänger BBB Krypto Hash Funkt. Digital Signature entschlüsseln AAA s Compare öffentlicher Schlüssel Message Digest als elektronische Unterschrift cs0557 ww6 wgs 09-98
19 Sender AAA BBB s öffentlicher Schlüssel verschlüsseln Krypto Hash Funkt. verschlüsseln Digital Signature Digital Signature AAA s privater Schlüssel Internet Krypto Hash Funkt. Digital Signature entschlüsseln entschlüsseln BBB s privater Schlüssel AAA s Compare öffentlicher Schlüssel Empfänger BBB cs0539 ww6 wgs 09-98
20 Digest als Digitale Unterschrift PGP Verfahren 1. Hash Verfahren MD5 erzeugt Digest des Dokumentes (MD5) stellt sicher, daß aus dem Digest der Ursprungstext nicht ermittelt werden kann). 2. Digest wird mit privatem Schlüssel des Senders verschlüsselt. 3. Empfänger entschlüsselt Digest mit öffentlichen Schlüssel und verifiziert Übereinstimmung mit dem Dokument. 4. Empfänger weiß nun, daß das Dokument von demjenigen kommen muß, von dem er den öffentlichen Schlüssel erhalten hat. Der Sender kann nicht leugnen, daß er das Dokument geschickt hat, da nur er den Digest mit seinem privaten Schlüssel verschlüsselt haben kann. Problem : Der Sender streitet ab, daß der öffentliche Schlüssel von ihm stammt. Lösung: die öffentlichen Schlüsel werden in einem Trust Center hinterlegt. cs0525 ww6 wgs 09-98
21 Sicherheit von MD5 und SHA und 2005 wurden erfolgreiche Angriffe für MD5 und SHA-1 bekannt. Betreffen Kollisionen, (noch) nicht Unumkehrbarkeit. Zunächst noch kein Problem für digitale Unterschriften. SHA-2 mit Digest-Längen von 224, 256, 384 und 512 Bit standatdisiert in Andere Bezeichnungen sind SHA-224, SHA-256, SHA-384, SHA-512. Keine bekannten Angriffe. SHA-224 angepasst an Triple-DES (112 Bit Schlüssel).
22 Verifizierung von gespeicherten Daten Mit Hilfe einer Secure Hash Funktion kann überprüft werden, ob gespeicherte Daten böswillig oder auf Grund eines Fehlers verändert wurden. Hierfür existiert ein Command Line Public Domain Programm, das unter Linux oder Windows benutzt werden kann. Es generiert und verifiziert Nachrichten unter Benutzung des MD5 Algorithmus.
23 Certification Authority (CA) Trust Center (TC) Wie verifiziert der Empfänger, daß der für die elektronische Unterschrift verwendete öffentliche Schlüssel Ke tatsächlich von dem richtigen Sender stammt? Die Certification Authority garantiert, daß ein öffentlicher Schlüssel zu einer bestimmten Person gehört. Ein Trust Center im EU-Sinne verlangt gleichzeitig die Hinterlegung des privaten Schlüssels. Eine Certification Authority verlangt dies nicht. Zur Authentifizierung eines Kommunikationspartners wendet sich ein Interessent an eine CA. Von dort erhält der Interessent ein mit deren privatem Schlüssel der CA signiertes Zertifikat, was mit dem öffentlichen Schlüssel der CA entschlüsselt werden kann. Im Netscape Browser sind hierfür die öffentlichen Schlüssel verschiedener CA s hinterlegt. Das Certifikat bestätigt den öffentlichen Schlüssel des Kommunikationspartners. Woher weiß man, daß die CA selbst vertrauenswürdig ist? Der X.509 Standard spezifiziert eine Public Key Infrastruktur, die aus einer Hierarchie von CA s besteht. In Deutschland ist die Wurzel dieses Baums die Regierungsbehörde für Telekommunikation und Post. Secure Socket Layer (SSL) arbeitet mit den X.509 Standard. cs0537 ww6 wgs 09-98
24 Trust Center (TC) Certification Authority (CA) Annahme: der Kommunikationspartner hat sich zu einem früheren Zeitpunkt zertifizieren lassen. Er hat sich persönlich identifiziert und eine Kopie seines öffentlichen Schlüssels hinterlegt. 2 3 TC/ CA 1 Interessent 4 Kommunikationspartner 1. Interessent erfragt vom Kommunikationspartner dessen öffentlichen Schlüssel 2. Anfrage an TC/CA: Ist der Kommunikationspartner derjenige, der er vorgibt zu sein 3. Bestätigung durch TC/CA mit signiertem Zertifikat 4. Transaktion mit elektronischen Unterschriften cs0538 ww6 wgs 09-98
25 Problem: Den öffentlichen Schlüssel zuverlässig einer Person zuordnen Fritz Müller generiert seinen eigenen öffentlichen und privaten Schlüssel Name Fritz Müller öffentlicher Schlüssel 3F817D... Fritz Müller geht zu seiner Bankfiliale und weist sich mit seinem Personalausweis aus. Die Bank hinterlegt seinen öffentlichen Schlüssel beim TRUST CENTER cs 0564 wgs 11-02
26 Auf der Home Page von Fritz Müller steht sein öffentlicherschlüssel Name Fritz Müller öffentlicher Schlüssel 3F817D... Der Empfänger erfragt beim TRUST CENTER den öffentlichen Schlüssel von Fritz Müller Die Antwort ist verschlüsselt mit dem privaten Schlüssel des TRUST CENTER Certificate wird vom Empfänger mit dem (allseits bekannten) öffentlichen Schlüssel des TRUST CENTER entschlüsselt Jawohl, 3F817D... ist der öffentliche Schüssel von Fritz Müller cs 0563 wgs 11-02
27
28 Zertifikat Version Serien Nr. Trust Center Name Gültig bis Subject Subject Public Key Signatur Algorithmus Hash Algorithmus MD5/SHA-1 Hashwert Verschlüsselung mit dem privaten Schlüssel des Trust Centers Signature Aufbau eines X.509 Zertifikates Definiert in der Abstract Syntay Notation One (ASN.1) Derzeitiger Standard (2003) ist Version X.509 v 3 cs 0566 wgs 11-02
29 Signatur des Trust Centers Certificate: Data: Version: 1 (0x0) Serial Number: 7829 (0x1e95) Signature Algorithm: md5withrsaencryption Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Server CA/ =server-certs@thawte.com Validity Not Before: Jul 9 16:04: GMT Not After : Jul 9 16:04: GMT Subject:C=US, ST=Maryland, L=Pasadena, O=Brent Baccala, OU=FreeSoft, CN= Subject Public Key Info: Algorithmus Public Key Algorithm: rsaencryption des Trust RSA Public Key: (1024 bit) Centers für die Modulus (1024 bit): Signatur Public Key des Subjects 00:b4:31:98:0a:c4:bc:62:c1:88:aa:dc:b0:c8:bb: 33:35:19:d5:0c:64:b9:3d:41:b2:96:fc:f3:31:e1: 66:36:d0:8e:56:12:44:ba:75:eb:e8:1c:9c:5b:66: 70:33:52:14:c9:ec:4f:91:51:70:39:de:53:85:17: 16:94:6e:ee:f4:d5:6f:d5:ca:b3:47:5e:1b:0c:7b: c5:cc:2b:6b:c1:90:c3:16:31:0d:bf:7a:c7:47:77: 8f:a0:21:c7:4c:d0:16:65:00:c1:0f:d7:b8:80:e3: d2:75:6b:c1:ea:9e:5c:5c:ea:7d:c1:a1:10:bc:b8: e8:35:1c:9e:27:52:7e:41:8f Exponent: (0x10001) Signature Algorithm: md5withrsaencryption 93:5f:8f:5f:c5:af:bf:0a:ab:a5:6d:fb:24:5f:b6:59:5d:9d: 92:2e:4a:1b:8b:ac:7d:99:17:5d:cd:19:f6:ad:ef:63:2f:92: ab:2f:4b:cf:0a:13:90:ee:2c:0e:43:03:be:f6:ea:8e:9c:67: d0:a2:40:03:f7:ef:6a:15:09:79:a9:46:ed:b7:16:1b:41:72: 0d:19:aa:ad:dd:9a:df:ab:97:50:65:f5:5e:85:a6:ef:19:d1: 5a:de:9d:ea:63:cd:cb:cc:6d:5d:01:85:b5:6d:c8:f3:d9:f7: 8f:0e:fc:ba:1f:34:e9:96:6e:6c:cf:f2:ef:9b:bf:de:b5:22: 68:9f X.509 Certificate Beispiel
30 Bekannte internationale Certification Authorities sind: Verisign Entrust Xcert Certificate Authentication Service speichert Certificates und andere verwandte Information in einem LDAP Verzeichnis unter Benutzung der PKI. LDAP Zwichenschicht und Schnittstelle. Krypto Kampagne der Zeitschrift c t ( etwa Schlüssel ), kostenlose Zertifizierung gegen Vorlage des Personalausweises. Vor Gericht nicht ausreichend.
31 Regulierungsbehörde für Telekommunikation und Post (RegTP) TC TrustCenter AG Telesec Signtrust andere Signaturgesetz der Bundesregierung Deutschland erfordert X509 Certificate eines authorisierten Trust Centers. Ein authorisiertes Trust Center kann weitere Trust Center authorisieren.
32 Beispiel: Die Hamburger TC TrustCenter AG ist durch die Regulierungsbehörde für Telekommunikation und Post (RegTP) als Zertifizierungsstelle für digitale Signaturen gemäß dem deutschen Signaturgesetz akkreditiert. Dies ist zusätzlich zu internationalen Gütestandards wie Identrus und SET. TC TrustCenter AG plant gemeinsam mit der HypoVereinsbank eine multifunktionale EC-Karte zur Anwendung der digitalen Signatur an Privatkunden ausgeben. cs0558 ww6 wgs 01-02
33 cs 0572 ww6 wgs 11-03
34 Signaturangebot für Kleinunternehmen Mit der Deutschen Post AG bietet das dritte deutsche Unternehmen Kleinunternehmen und Privatkunden ein Signaturpaket für Windows (ab 98SE) an. Es besteht aus der Software von Openlimit und einem Kartenleser der Firma Cherry. Das Signtrust-Paket kostet einmalig 139 Euro netto, in den folgenden Jahren fallen jeweils 39 Euro Verwaltungskosten an. Signtrust war früher Teil der im Jahr 2000 gegründeten Posteigenen ebusiness GmbH wollte der Konzern Signtrust zunächst auflösen, entschloss sich dann jedoch zum Weiterbetrieb des Trustcenters unter eigener Regie. Eine Zeitlang vertrieb es jedoch Zertifikate für Endkunden nur ohne Hard- und Software, während die Konkurrenten D-Trust und Telesec mit Komplettpaketen aufwarten konnten. Ähnliches gibt es von der Datev eg für Steuerberater und Rechtsanwälte. Die Firma wird jedoch 2007 den Betrieb ihres Trustcenters der Deutschen Post AG übergeben, da die Nachfrage zu gering war. Die Produkte eignen sich zum qualifizierten elektronischen Signieren von Dokumenten und zum Prüfen von Signaturen nach den Vorschriften des Signaturgesetzes. Allerdings gibt es bislang nur wenige Anwendungen für diese Unterschriften außerhalb von Großbetrieben. Für die vom Umsatzsteuergesetz vorgeschriebene qualifizierte Signatur beim elektronischen Versand von Rechnungen eignet sich das Signtrust-Paket ebenso wie die vergleichbaren Angebote der Konkurrenz nur bedingt, da es keinen automatischen Betrieb ermöglicht. Es lässt sich also nur für kleine Rechnungsmengen einsetzen. (ck/ix)
35 Aufgaben der Darstellungsschicht (presentation Layer, Schicht 6) Datenkomprimierung Einheitliche Datenstrukturen Verschlüsselung Authentifizierung Sicherheit Namens/Directory - Dienste Zeitdienste cs 0416u ww6 wgs 07-99
36 Authentifizierung Überprüfung der Identität des Benutzers authentisch ( αυϑεντικoς ) echt, den Tatsachen entsprechend und daher glaubwürdig authentifizieren (authentisch + facere) beglaubigen, die Echtheit von etwas bezeugen authentisieren (autenticare) glaubwürdig, rechtsgültig machen authenticate to prove or serve to prove the authenticity Die Authentisierung ist das Nachweisen einer Identität, die Authentifizierung deren Überprüfung. Im Englischen wird zwischen den beiden Begriffen nicht unterschieden X.509 Zertifikate sind eine Form der Authentifizierung cs 0542u ww6 wgs 10-99
37 Authentifizierung Ein-Weg-Authentifizierung (klassisch) Der Klient muß seine Identität gegenüber dem Server beweisen, aber nicht umgekehrt Zwei-Wege-Authentifizierung Auch der Server muß sich gegenüber dem Klienten ausweisen cs0533 ww6 wgs 09-98
38 Authentifizierung ist eines von drei Dingen: etwas, was Du weißt etwas, was Du hast etwas, was Du bist (ID, Paßwort) (Chip Karte) (Finger Abdruck, Retina Scan) two-factor authentication Beispiel Geldausgabeautomat Kreditkarte und PIN Nummer cs 0554 ww6 wgs 11-00
39 Ein-Weg-Mechanismus: Passwort Risiken Beim Eingeben: Über die Schulter sehen Beim Speichern im Rechner: Passwortdatei im Rechner stellt ein hohes Sicherheitsrisiko dar Verschlüsselte Speicherung: Durch Directory Guesses können Passwörter dennoch schnell geraten werden Aufbewahrung vom Benutzer: Wenn vom Benutzer gewählt - oft leicht zu erraten wenn vom System gewählt - Benutzer schreibt auf Änderungen durch den Benutzer: gefährlich, wenn nicht der gesamte Datenpfad sicher ist. cs0534 ww6 wgs 09-98
40 Biometrische Authentifizierung Physiologische Lösungen Fingerabdruck Handflächenerkennung Gesichtserkennung Iris Erkennung Retina Erkennung unauffällig sehr sicher, sehr teuer Zukünftige Physiologische Lösungen Ohr Geometrie Fingerkuppenaufbau Körpergeruch Verhaltenslösungen Spracherkennung Handschriftendynamik Akustische Erkennung der Handschrift cs0621 ww6 wgs 09-98
41 Challenges Der Server fragt beim Klienten Informationen ab, von der er weiß, dass nur der Klient über diese Informationen verfügt. Beispiel Nenne mir die Namen von 3 Schulkameraden, die mit Dir im 3. Grundschuljahr in die gleiche Klasse gingen. css0604 ww6 wgs 10-96
42
43 3 initiate Authentication Process 7 Response übertragen 8 authorise access Arbeitsplatz Rechner 2 login Zugriffs-Server Radius 7 Client PIN 4 Challenge 3 6 Response eingeben Corporate Network Secure Radius Server Token based Authentication System Challenge - Response Verfahren Radius Remote Authentication Dial-In User Service cs 0625 ww6 wgs 09-99
44 Moderne RADIUS Eingabegeräte verwenden eine eingebaute Quarzuhr, welche mit dem Radius Server synchronisiert ist. Beispiel: RSA Security SecurID Key FOB Token Zufallszahlengenerator generiert alle 60 Sekunden neue Zufallszahl. Seed Number (PIN Nummer) ist geheim, nur dem Server bekannt. Server kann jederzeit nachvollziehen, welche Ziffer der Key FOB gerade wiedergibt. Aladdin E-Token: Einmalpasswort Digitale Zertifikate
45 Biometrische Authentifizierung Physiologische Lösungen Fingerabdruck Handflächenerkennung Gesichtserkennung Iris Erkennung Retina Erkennung Sprachanalyse unauffällig sehr sicher, sehr teuer Zukünftige Physiologische Lösungen Ohr Geometrie Fingerkuppenaufbau Körpergeruch Geometrische Anordnungen der Arterien in der menschlichen Hand Verhaltenslösungen Spracherkennung Handschriftendynamik Akustische Erkennung der Handschrift cs0621 ww6 wgs 09-98
46 Biometrische Authentifizierung 1.Aufnahme von Gesicht, Iris, Fingerabdruck, oder anderem Merkmal 2.Umrechnen der Daten in ein Template 3.Vergleich des aktuellen Template mit Daten in einer Datenbank 4.Errechnen der Abweichung von gespeicherten Daten 5.Vergleich der Abweichung mit einem vorher definierten Schwellwert (Akzeptanzschwelle) 6.Erkennung (Match) oder Nichterkennung (kein Match) der Person
47
48 Sicherheitsprotokolle Ein Sicherheitsprotokoll kombiniert kryptographische Methoden, elektronische Unterschriften und/oder Authentifizierungsverfahren voll symmetrisch Kerberos asymmetrische Authentifizierung Schicht 6 SSL / TLS PGP SSH OSI Schicht 2,3 IPsec PPTP
49 Problem In einem Netz mit n Rechnern müssen (n-1) + (n-2)... 1 = 0,5 n (n-1) Schlüssel verteilt werden. Bei Verwendung eines Key-Distribution-Servers genügen n Schlüssel. für 5 Rechner sind 0,5 x 5 x 4 = 10 Schlüssel erforderlich cs 0655 ww6 wgs 01-02
50 Schüsselverteilungsserver Key Distribution Server Session Key: Schlüssel, der für die Kommunkation zwischen 2 Partnern für eine begrenzte Dauer benutzt wird. Annahme: Teilnehmer A und B haben noch nie miteinander kommuniziert. Beide verfügen über einen (individuellen) privaten Schlüssel, der nur für die Kommunikation mit einem Key Distribution Server (KDS) verwendet wird. Diese Schlüssel sind in dem KDS hinterlegt. Teilnehmer A erhält von KDS eine Kopie des Session Key, der mit dem Privaten Key von A verschlüsselt ist. Teilnehmer B erhält von KDS eine Kopie des Session Key, der mit dem Privaten Key von B verschlüsselt ist. Problem (tatsächlich vorgekommen): Mitarbeiter verkauft private Schlüssel, die in dem KDC hinterlegt sind. cs0519u ww6 wgs 09-98
51 KDS Key Distribution Server E Ka (Ks) E Kb (Ks) A E E B Klient Ka Kb Server Ks Ks M C = E Ks (M) M A E E B Klient Server Schlüsselverteilung Schlüssel werden durch Schlüsselverteilungsserver KDS verteilt. Jeder Partner hat einen eigenen Schlüssel Ka bzw. Kb, der nur zum Nachrichtenaustausch mit KDS verwendet wird. Zu Beginn einer Nachrichtenübertragung erhalten beide Partner vom KDS einen Sitzungsschlüssel Ks. Die Philosophie ist, daß es einem Eindringling nicht möglich ist, genügend viel Geheimtext zu sammeln um Ks zu entschlüsseln. cs0628u ww6 wgs 09-98
52 Zugriffsberechtigung in verteilten Systemen Kernel des Servers überprüft Zugriffsberechtigung des Klienten. Klient und Server müssen gemeinsam Passwort und kryptographischen Schlüssel kennen. Für eine erstmalige Kommunikation muss Schlüssel und Passwort auf einem sicheren Weg an beide Partner übermittelt werden. Public Key Verfahren ist unzureichend, da ein Einbrecher sich als legitimer Benutzer tarnen kann. Trennung der Authentifizierung (z.b. einmal pro Tag, Authentication Server) von der Schlüssel Vergabe für die Kommunikation zwischen zwei Partnern. Schlüsselvergabe erfolgt durch den Key Distribution Server, z.b alle 10 Minuten für den Nachrichtenaustausch zwischen wechselnden Partnern. vs1120 ww wgs 06-94
53 KDC Key Distribution Center Alle Nachrichten 1 6 müssen kryptographisch verschlüsselt sein. Dies geschieht mit Hilfe des Kerberos Protokolls.
54 Kerberos Authentifizierungs- und Schlüsselverteildienste für partizipierende Teilnehmer entwickelt am MIT als Teil des Athena Projektes. Jeder partizipierende Teilnehmer hat einen individuellen Schlüssel, der nur ihm und Kerberos bekannt ist, und der nur für den Nachrichtenaustausch mit Kerberos verwendet wird. Dieser Schlüssel geht nie über das Netz. Einmal pro Tag authentifizieren mehere Sitzungsschlüssel pro Tag anfordern Kerberos Kerberos Kerberos Authentication Ticket granting Key Service Service Distribution Center A T 1,2 3,4 C Klient 5,6 S Server cs 0631u ww wgs 06-99
55 The Kerberos system consists of three components: a client, a server, and a trusted third party, which is also known as a Key Distribution Center (KDC). KDC interacts with both a client and server to accept the client s request, authenticate its identity, and issue tickets to it. The domain served by a single KDC is referred to as a realm. A principal identifier is used to identify each client and server in a realm. The principal name is uniquely assigned for all clients and servers by the Kerberos administrator. All principals must be known to the KDC. Although the Kerberos protocol consists of several subprotocols, three exchanges are particularly interesting to most readers. The first phase exchange takes place between a client and the authentication server. In this phase, a client asks the authentication server that knows the secret keys of all clients in the realm to authenticate himself and give the client a ticket (called a ticket-granting ticket) to be used to get a secret key which is then shared with an application server the client wants to access. Upon receiving the ticket-granting ticket, the client sends a request that contains the ticket-granting ticket, for a service ticket to the ticket-granting server, and waits for a service ticket to be returned. Having the session ticket ready, the client is allowed to communicate with the server that is providing a service he wants to use.
56 Kerberos Key Distribution Center A Authentication Service T Ticket Granting Service Request for Server Ticket 3 4 Server Ticket Request for TGS Ticket 1 2 TGS Ticket Message encoding uses Abstract Syntax Notation 1 (ASN.1) Login Setup Server Session 5 Setup Service Request C/S Communication Service Response 6 Client C Service Funktion Server S Kerberos System Architektur
57 Ticket Ein von Kerberos ausgegebenes Kennwort, welches bestätigt, daß ein spezifischer Benutzer kürzlich authentifiziert wurde. Nonce Ein "Nonce" (not but once) ist ein Integer, der die Frische einer Nachricht bestätigt. Ein Nonce kann als Paar { Datum, Uhrzeit } dargestellt werden. Sitzunggsschlüssel Ein von Kerberos per Zufallszahlengenerator herausgegebener (in der Regel symmetrischer) Schlüssel, der von 2 Partnern für eine begrenzte Zeit zum kryptographischen Nachrichtenaustausch verwendet wird. vs1123 ww wgs 06-94
58 Kerberos Protokoll (2) Kerberos Authentication Service A Kerberos Ticket granting Service T 1,2 3,4 C Client 5,6 S Server C A T S K C K T K S K CT K CS Client Kerberos Authentication Service Kerberos Ticket Granting Service Server privater Schlüssel von C, geht nie über das Netz privater Schlüssel von T, geht nie über das Netz privater Schlüssel von S, geht nie über das Netz in der Lebensdauer begrenzter Schlüssel für die Kommunikation zwischen C und T in der Lebensdauer begrenzter Schlüssel für die Kommunikation zwischen C und S R ticket (x,y) n Authentication Request von C Authentication Bestätigung für die Kommunikation von x nach y nonce
59 Kerberos Protokoll (3) Kerberos Authentication Service Kerberos Ticket granting Service 1,2 3,4 Klient 5,6 Server 1. C A C, T, n 2. A C { K CT, n }K C, { ticket (C,T) }K T A T K CT 3. C.T { R }K CT, { ticket (C,T) }K T,S 4. T.C { K CS }K CT, { ticket (C,S) }K S T.S { K CS }K S 5. C.S { R }K CS, { ticket (C,S) }K S,Request, n 6. S.C { n }K CS, Response css 0636 ww6 wgs 01-98
60 Kerberos Protokoll 1. C A C, T, n A besitzt private Schlüssel von C und T. Gehen nie über das Netz. 2. A C K CT, n ticket (C,T) A T K CT 3. C T R ticket (C,T) S, n 4. T C K CS, n ticket (C,S) T S K CS 5. C S R ticket (C,S) Request, n 6. S C n Response K C K T K S K CT K CS privater Schlüssel von C privater Schlüssel von T privater Schlüssel von S Schlüssel für die Kommunikation zwischen C und T Schlüssel für die Kommunikation zwischen C und S
61 Kerberos Arbeitsweise Schritt 1 Klient sendet unverschlüsselt seinen Benutzernamen plus Nonce an den Authentication Service A des Kerberos Key Distribution Center KDC Schritt 2 KDC sendet an Klient Nachricht bestehend aus 3 Teilen: 1. Schlüssel K CT für Kommunikation mit Ticket Granting Service T 2. Nonce Bestätigung 3. Ticket welches der Authentifizierung des Benutzers gegenüber T dient Teil 1 und 2 sind mit dem Paßwort des Benutzers verschlüsselt. Teil 3 ist mit einem geheimen, dem Benutzer nicht bekannten Paßwort von T verschlüsselt. Die Nachricht von T wird als Challenge bezeichnet, weil der Klient nur bei Kenntnis des Benutzer Paßwortes damit etwas anfangen kann. Das Benutzer Paßwort selbst wird nie über das Netz übertragen. Schritt 3 Klient fordert von T ein Ticket für die Nachrichtenverbindung mit S an. Diese Nachricht ist mit K CT verschlüsselt. Schritt 4 T erstellt Schlüssel K CS für Kommunikation zwischen C und S. K CS wird nach einer begrenzten Zeit ungültig. Kerberos im Detail: Zehn Schritte zur Identität im Netz
62 Will sich ein Benutzer in einem mittels Kerberos verwalteten System beispielsweise am Mail- Server anmelden, sind drei verschiedene Rechner beteiligt: Neben dem Arbeitsplatzrechner (Client) des Benutzers sowie dem Mail-Server selbst spielt das Key Distribution Center (KDC) dabei eine zentrale Rolle. Beim KDC handelt es sich um einen besonders abgesicherten Computer innerhalb des Netzwerks, der nicht nur über sämtliche Benutzerpasswörter verfügt, sondern auch für jeden Netzwerkdienst auf jedem Server ein eigenes Passwort verwaltet. Erste Bekanntschaft mit Kerberos 1. Will der Anwender sich am Mail-System anmelden, teilt sein Client-PC dem KDC mit, dass ein bestimmter Benutzer sich authentifizieren möchte. 2. Das KDC schickt einen kryptografischen Schlüssel, Session Key 1, zurück an den Client. Genauer: Er schickt zwei Kopien dieses Schlüssels, die selbst wiederum verschlüsselt sind, die eine mit dem Passwort des Benutzers, die andere mit einem Passwort, das nur das KDC kennt. 3. Der Benutzer tippt auf dem Client-Rechner sein Passwort ein und kommt so in den Besitz von Session Key 1. Die zweite Kopie des Keys, das so genannte Ticket Granting Ticket (TGT), speichert er zur weiteren Verwendung. Anmeldung an einem Netzwerkdienst 4. Der Client schickt das TGT zurück an das KDC und teilt mit, dass der Benutzer seine Post am Mail-Server abrufen möchte. 5. Das KDC entschlüsselt das TGT mit Hilfe seines Server-Passworts und erhält so den Session Key 1 des Benutzers zurück. 6. Das KDC erzeugt einen neuen Session Key 2, speziell zum Abrufen der Post am Mail-Server. Wie-der wird der Key in zwei Kopien verschickt. Die ei-ne Kopie verschlüsselt er mit einem Passwort, das außer ihm nur der Mail-Server kennt. Für die andere verwendet er den ursprünglichen Session Key 1 aus dem TGT. Das komplette Paket mit den beiden Kopien wird auch Ticket genannt. 7. Der Client entschlüsselt mit Hilfe des ursprünglichen Session Key 1 den neuen Session Key 2 für den Mail-Server. 8. Der Client schickt die verschlüsselte zweite Kopie des Session Key 2 an den Mail-Server, um die Post des Benutzers abzurufen. 9. Der Mail-Server entschlüsselt den Session Key 2 mit Hilfe seines Server-Passworts. 10. Der Mail-Server verschlüsselt die weitere Kommunikation mit Session Key 2 und stellt so sicher, dass nur der passende Benutzer auf dem Client-Rechner sie entschlüsseln kann. Der Clou: Will sich der Benutzer für einen weiteren Netzwerkdienst anmelden, etwa an einem Web-Portal oder per ssh an einem anderen Computer, müssen lediglich die Schritte 4 bis 10 entsprechend wiederholt werden. Sie laufen völlig automatisch ab, ohne dass der Benutzer erneut sein Passwort eingeben muss jedenfalls so lange, bis der Benutzer sich ausloggt oder das TGT seine Gültigkeit verliert.
63 Windows Kerberos Compatibility Windows unterstützt Kerberos für Client Authentifizierung. Microsoft hat jedoch Kerberos erweitert. Microsoft Kerberos Server können mit non-microsoft Kerberos Klienten arbeiten, aber Microsoft Kerberos Klienten arbeiten nicht mit non- Microsoft Kerberos Servern. Die Firma Padl Software bietet "XAD" an, das aktuelle Windows-Clients von Linux aus verwalten kann. Der Linux-Server verwendet dazu Kerberos, LDAP und Samba mit PADL-eigenen Erweiterungen. XP-Clients lassen sich direkt einbinden, ohne das auf Windows-Seite noch zusätzliche Software nötig wäre. cs 0577 ww6 e:\vorles\cs\sum0405\pubs wgs 01-05
64 Probleme mit Kerberos Kerberos ist ein weit vertretetes leistungsfähiges Sicherheitsprotokoll. Schwächen: Kerberos schützt nicht gegen Änderungen im Betriebssystem des Arbeitsplatzrechners. Ein Einbrecher kann die System Software abändern, so daß jede Benutzername/Paßwort Kombination automatisch aufgezeichnet oder an eine dritte Maschine gesendet wird. Der Einbrecher kann sich so als ein legitimer Benutzer tarnen (Trojanisches Pferd). Kerberos benötigt einen sicheren Kerberos Server. Auf dem Kerberos Server sollte keine andere Anwendung laufen. Der Server muß unter Verschluß in einem physisch gesicherten Raum untergebracht werden. css0620 ww6 wgs 01-98
Client/Server-Systeme
Client/Server-Systeme Prof. Dr.-Ing. Wilhelm G. Spruth WS 2006/2007 Teil 5 Authentifizierung css0601 ww6 sch 10-96 Aufgaben der Darstellungsschicht (presentation Layer, Schicht 6) Einheitliche Datenstrukturen
MehrClient/Server-Systeme
Client/Server-Systeme Prof. Dr.-Ing. Wilhelm G. Spruth WS 2007/2008 Teil 5 Authentifizierung css0601 ww6 sch 10-96 Aufgaben der Darstellungsschicht (presentation Layer, Schicht 6) Einheitliche Datenstrukturen
MehrClient/Server-Systeme
Client/Server-Systeme Prof. Dr.-Ing. Wilhelm G. Spruth WS 2004 / 2005 Teil 5 Authentifizierung css0601 ww6 sch 10-96 Rechner 1 Rechner 2 Ke Kd f(kd) C = E Ke (M) M E D M = D Kd (C) Asymetrische Verfahren
Mehr10.6 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen
10.6 Authentizität Zur Erinnerung: Geheimhaltung: nur der Empfänger kann die Nachricht lesen Integrität: Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde Authentizität: es ist sichergestellt,
MehrBernd Blümel. Verschlüsselung. Prof. Dr. Blümel
Bernd Blümel 2001 Verschlüsselung Gliederung 1. Symetrische Verschlüsselung 2. Asymetrische Verschlüsselung 3. Hybride Verfahren 4. SSL 5. pgp Verschlüsselung 111101111100001110000111000011 1100110 111101111100001110000111000011
MehrInformatik für Ökonomen II HS 09
Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und
MehrClient/Server-Systeme
Client/Server-Systeme Prof. Dr.-Ing. Wilhelm G. Spruth WS 2003/2004 Teil 5 Authentifizierung css0601 ww6 sch 10-96 Rechner 1 Rechner 2 Ke Kd f(kd) C = E Ke (M) M E D M = D Kd (C) Asymetrische Verfahren
MehrStammtisch 04.12.2008. Zertifikate
Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate
MehrNetzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009
Netzsicherheit I, WS 2008/2009 Übung 12 Prof. Dr. Jörg Schwenk 20.01.2009 Aufgabe 1 1 Zertifikate im Allgemeinen a) Was versteht man unter folgenden Begriffen? i. X.509 X.509 ist ein Standard (Zertifikatsstandard)
MehrDas Kerberos-Protokoll
Konzepte von Betriebssystemkomponenten Schwerpunkt Authentifizierung Das Kerberos-Protokoll Referent: Guido Söldner Überblick über Kerberos Network Authentication Protocol Am MIT Mitte der 80er Jahre entwickelt
MehrProgrammiertechnik II
X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel
MehrAuthentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof
Authentifizierung Benutzerverwaltung mit Kerberos Referent: Jochen Merhof Überblick über Kerberos Entwickelt seit Mitte der 80er Jahre am MIT Netzwerk-Authentifikations-Protokoll (Needham-Schroeder) Open-Source
MehrNachrichten- Verschlüsselung Mit S/MIME
Nachrichten- Verschlüsselung Mit S/MIME Höma, watt is S/MIME?! S/MIME ist eine Methode zum signieren und verschlüsseln von Nachrichten, ähnlich wie das in der Öffentlichkeit vielleicht bekanntere PGP oder
MehrKonzepte von Betriebssystem-Komponenten Schwerpunkt Authentifizierung. Das Kerberos-Protokoll
Konzepte von Betriebssystem-Komponenten Schwerpunkt Authentifizierung Das Kerberos-Protokoll Guido Söldner guido@netlogix.de. Überblick über das Kerberos-Protokoll Ein Standardvorgang in der Computersicherheit
MehrDas RSA-Verschlüsselungsverfahren 1 Christian Vollmer
Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer Allgemein: Das RSA-Verschlüsselungsverfahren ist ein häufig benutztes Verschlüsselungsverfahren, weil es sehr sicher ist. Es gehört zu der Klasse der
MehrMail encryption Gateway
Mail encryption Gateway Anwenderdokumentation Copyright 06/2015 by arvato IT Support All rights reserved. No part of this document may be reproduced or transmitted in any form or by any means, electronic
MehrAllgemeine Erläuterungen zu
en zu persönliche Zertifikate Wurzelzertifikate Zertifikatssperrliste/Widerrufsliste (CRL) Public Key Infrastructure (PKI) Signierung und Verschlüsselung mit S/MIME 1. zum Thema Zertifikate Zertifikate
MehrErste Vorlesung Kryptographie
Erste Vorlesung Kryptographie Andre Chatzistamatiou October 14, 2013 Anwendungen der Kryptographie: geheime Datenübertragung Authentifizierung (für uns = Authentisierung) Daten Authentifizierung/Integritätsprüfung
MehrRechneranmeldung mit Smartcard oder USB-Token
Rechneranmeldung mit Smartcard oder USB-Token Verfahren zur Authentifizierung am Rechnersystem und angebotenen Diensten, SS2005 1 Inhalt: 1. Systemanmeldung 2. Grundlagen 3. Technik (letzte Woche) 4. Standards
MehrDatenempfang von crossinx
Datenempfang von crossinx Datenempfang.doc Seite 1 von 6 Inhaltsverzeichnis 1 Einführung... 3 2 AS2... 3 3 SFTP... 3 4 FTP (via VPN)... 4 5 FTPS... 4 6 Email (ggf. verschlüsselt)... 5 7 Portalzugang über
Mehr10. Kryptographie. Was ist Kryptographie?
Chr.Nelius: Zahlentheorie (SoSe 2015) 39 10. Kryptographie Was ist Kryptographie? Die Kryptographie handelt von der Verschlüsselung (Chiffrierung) von Nachrichten zum Zwecke der Geheimhaltung und von dem
MehrCCC Bremen R.M.Albrecht
CCC Bremen R.M.Albrecht Mailverschlüsselung mit GnuPG Robert M. Albrecht Vorgehensweise Grundlagen 80% Effekt Praxis 20% Aufwand Vertiefung Theorie 20% Effekt Vertiefung Praxis 80% Aufwand Agenda Was bringt
MehrHandbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von E-Mails Teil D2:
Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von E-Mails (Kerstin Ehrhardt) München 02.05.2007 1 1 Nutzung Sicherer E-Mail...
MehrKryptographische Anonymisierung bei Verkehrsflussanalysen
Kryptographische Anonymisierung bei Verkehrsflussanalysen Autor: Andreas Grinschgl copyright c.c.com GmbH 2010 Das System besteht aus folgenden Hauptkomponenten: Sensorstationen Datenbankserver Anonymisierungsserver
MehrImport des persönlichen Zertifikats in Outlook 2003
Import des persönlichen Zertifikats in Outlook 2003 1. Installation des persönlichen Zertifikats 1.1 Voraussetzungen Damit Sie das persönliche Zertifikat auf Ihren PC installieren können, benötigen Sie:
Mehr11. Das RSA Verfahren und andere Verfahren
Chr.Nelius: Kryptographie (SS 2011) 31 11. Das RSA Verfahren und andere Verfahren Eine konkrete Realisierung eines Public Key Kryptosystems ist das sog. RSA Verfahren, das im Jahre 1978 von den drei Wissenschaftlern
MehrE-Mail-Verschlüsselung
E-Mail-Verschlüsselung German Privacy Foundation e.v. Schulungsreihe»Digitales Aikido«Workshop am 15.04.2009 Jan-Kaspar Münnich (jan.muennich@dotplex.de) Übertragung von E-Mails Jede E-Mail passiert mindestens
MehrE-Mail-Verschlüsselung mit S/MIME
E-Mail-Verschlüsselung mit S/MIME 17. November 2015 Inhaltsverzeichnis 1 Zertifikat erstellen 1 2 Zertifikat speichern 4 3 Zertifikat in Thunderbird importieren 6 4 Verschlüsselte Mail senden 8 5 Verschlüsselte
MehrSichere E-Mail Kommunikation mit Ihrer Sparkasse
Ein zentrales Anliegen der Sparkasse Rottal-Inn ist die Sicherheit der Bankgeschäfte unserer Kunden. Vor dem Hintergrund zunehmender Wirtschaftskriminalität im Internet und aktueller Anforderungen des
MehrSparkasse Vogtland. Secure E-Mail Datensicherheit im Internet. Kundenleitfaden. Sparkasse Vogtland. Kundeninformation Secure E-Mail 1
Secure E-Mail Datensicherheit im Internet Sparkasse Kundenleitfaden Sparkasse Kundeninformation Secure E-Mail 1 Willkommen bei Secure E-Mail In unserem elektronischen Zeitalter ersetzen E-Mails zunehmend
MehrImport des persönlichen Zertifikats in Outlook Express
Import des persönlichen Zertifikats in Outlook Express 1.Installation des persönlichen Zertifikats 1.1 Voraussetzungen Damit Sie das persönliche Zertifikat auf Ihrem PC installieren können, benötigen
MehrHandbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von E-Mails Teil D7:
Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von E-Mails (Kerstin Ehrhardt) München 02.05.2007 1 1 Nutzung Sicherer E-Mail...
MehrSichere E-Mail Kommunikation mit Ihrer Sparkasse
Ein zentrales Anliegen der Sparkasse Freyung-Grafenau ist die Sicherheit der Bankgeschäfte unserer Kunden. Vor dem Hintergrund zunehmender Wirtschaftskriminalität im Internet und aktueller Anforderungen
MehrAnlegen eines DLRG Accounts
Anlegen eines DLRG Accounts Seite 1 von 6 Auf der Startseite des Internet Service Centers (https:\\dlrg.de) führt der Link DLRG-Account anlegen zu einer Eingabemaske, mit der sich jedes DLRG-Mitglied genau
Mehrvorab noch ein paar allgemeine informationen zur de-mail verschlüsselung:
Kurzanleitung De-Mail Verschlüsselung so nutzen sie die verschlüsselung von de-mail in vier schritten Schritt 1: Browser-Erweiterung installieren Schritt 2: Schlüsselpaar erstellen Schritt 3: Schlüsselaustausch
MehrNationale Initiative für Internet- und Informations-Sicherheit
Sichere Kommunikation im Zeitalter von PRISM? Nationale Initiative für Internet- und Informations-Sicherheit Mathias Gärtner, NIFIS e.v. zweiter Vorstand Öffentlich bestellter und vereidigter Sachverständiger
Mehrwww.internet-einrichten.de
E-Mail-Programme E-Mail Adresse einrichten Bei t-online, AOL, Compuserve, und anderen können Sie sich E-Mail-Adressen einrichten. Dies hat aber den Nachteil, dass Sie diese nur mit der entsprechenden Zugangssoftware
MehrPKI Was soll das? LugBE. Public Key Infrastructures - PKI
Key Infrastructures - PKI PKI Was soll das? K ennt jemand eine nette G rafik z u PKI s? LugBE 23. März 2006 Markus Wernig Einleitung Symmetrisch vs. asymmetrisch Trusted Third Party Hierarchisches Modell
MehrSSL-Zertifikate. ausgestellt bzw. bezogen von den Informatikdiensten. Dieter Hennig. 25. November 2009. ETH Zürich. SSL-Zertifikate.
SSL-Zertifikate ausgestellt bzw. bezogen von den Informatikdiensten ETH Zürich 25. November 2009 Was ist eigentlich ein Zertifikat? Was ist eigentlich ein Zertifikat? Abbildung: Das Zertifikat c nicht
MehrEinrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000
Folgende Anleitung beschreibt, wie Sie ein bestehendes Postfach in Outlook Express, bzw. Microsoft Outlook bis Version 2000 einrichten können. 1. Öffnen Sie im Menü die Punkte Extras und anschließend Konten
MehrHerzlich willkommen zum Kurs "MS Outlook 2003. 4.2 Verschlüsseln und digitales Signieren von Nachrichten
Herzlich willkommen zum Kurs "MS Outlook 2003 4 Sicherheit in Outlook Wenn Sie E-Mails verschicken oder empfangen, sollten Sie sich auch mit dem Thema "Sicherheit" beschäftigen. Zum Einen ist Ihr Computer
MehrEinrichtung des Cisco VPN Clients (IPSEC) in Windows7
Einrichtung des Cisco VPN Clients (IPSEC) in Windows7 Diese Verbindung muss einmalig eingerichtet werden und wird benötigt, um den Zugriff vom privaten Rechner oder der Workstation im Home Office über
MehrVerschlüsselung. Kirchstraße 18 Steinfelderstraße 53 76831 Birkweiler 76887 Bad Bergzabern. 12.10.2011 Fabian Simon Bfit09
Verschlüsselung Fabian Simon BBS Südliche Weinstraße Kirchstraße 18 Steinfelderstraße 53 76831 Birkweiler 76887 Bad Bergzabern 12.10.2011 Fabian Simon Bfit09 Inhaltsverzeichnis 1 Warum verschlüsselt man?...3
MehrPKI (public key infrastructure)
PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von
MehrVerteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen
Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten
MehrAuthentikation und digitale Signatur
TU Graz 23. Jänner 2009 Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Begriffe Alice und
MehrPrimzahlen und RSA-Verschlüsselung
Primzahlen und RSA-Verschlüsselung Michael Fütterer und Jonathan Zachhuber 1 Einiges zu Primzahlen Ein paar Definitionen: Wir bezeichnen mit Z die Menge der positiven und negativen ganzen Zahlen, also
MehrANYWHERE Zugriff von externen Arbeitsplätzen
ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5
MehrSparkasse Duisburg. E-Mail versenden aber sicher! Sichere E-Mail. Anwendungsleitfaden für Kunden
Sparkasse Duisburg E-Mail versenden aber sicher! Sichere E-Mail Anwendungsleitfaden für Kunden ,,Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität.
MehrKryptographie oder Verschlüsselungstechniken
Kryptographie oder Verschlüsselungstechniken Dortmund, Dezember 1999 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX:
MehrVerteilte Systeme. Übung 10. Jens Müller-Iden
Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten
MehrDigitale Signaturen. Sven Tabbert
Digitale Signaturen Sven Tabbert Inhalt: Digitale Signaturen 1. Einleitung 2. Erzeugung Digitaler Signaturen 3. Signaturen und Einweg Hashfunktionen 4. Digital Signature Algorithmus 5. Zusammenfassung
MehrSemantic Web Technologien. Security and Trust. Sebastian Henke. Betreuer: Mark Giereth VIS 06
Semantic Web Technologien Security and Trust Sebastian Henke Betreuer: Mark Giereth Überblick Einführung Security Trust Verschlüsselung Pre-Shared-Key-Verfahren Public-Key-Verfahren Digitale Signatur Funktionsweise
MehrFragen und Antworten zu Secure E-Mail
Fragen und Antworten zu Secure E-Mail Inhalt Secure E-Mail Sinn und Zweck Was ist Secure E-Mail? Warum führt die Suva Secure E-Mail ein? Welche E-Mails sollten verschlüsselt gesendet werden? Wie grenzt
MehrDigitale Magazine ohne eigenen Speicher
Stefan Lucks Digitale Magazine ohne eigenen Speicher 1 Digitale Magazine ohne eigenen Speicher Wie man die Integrität fremdgespeicherter Archivalien sicherstellen kann Stefan Lucks Professur für Mediensicherheit
MehrWhitepaper. EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit
Whitepaper EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit Funktionsumfang: Plattform: Verschlüsselung, Signierung und email-versand von EDIFACT-Nachrichten des deutschen Energiemarktes gemäß der
MehrSecurity Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis
Wie Interoperabel ist IPsec? Ein Erfahrungsbericht Arturo Lopez Senior Consultant März 2003 Agenda Internet Protokoll Security (IPsec) implementiert Sicherheit auf Layer 3 in OSI Modell Application Presentation
MehrFTP-Leitfaden RZ. Benutzerleitfaden
FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...
MehrImport des persönlichen Zertifikats in Outlook2007
Import des persönlichen Zertifikats in Outlook2007 1. Installation des persönlichen Zertifikats 1.1 Voraussetzungen Damit Sie das persönliche Zertifikat auf Ihren PC installieren können, benötigen Sie:
MehrE-Mail-Verschlüsselung
E-Mail-Verschlüsselung In der Böllhoff Gruppe Informationen für unsere Geschäftspartner Inhaltsverzeichnis 1 E-Mail-Verschlüsselung generell... 1 1.1 S/MIME... 1 1.2 PGP... 1 2 Korrespondenz mit Böllhoff...
MehrIst das so mit HTTPS wirklich eine gute Lösung?
SSL/TLS und PKI im Internet Erik Tews erik@datenzone.de Ist das so mit HTTPS wirklich eine gute Lösung? 21.05.2012 Erik Tews 1 Was ist PKI Asymmetrische Kryptographie ist echt praktisch Schlüssel bestehen
MehrDokumentenkontrolle Matthias Wohlgemuth Telefon 043 259 42 33 Matthias.Wohlgemuth@bvk.ch Erstellt am 26.06.2015
CITRIX DESKTOP CITRIX REMOTE ACCESS Dokumentenkontrolle Autor Matthias Wohlgemuth Telefon 043 259 42 33 E-Mail Matthias.Wohlgemuth@bvk.ch Erstellt am 26.06.2015 Status Draft Klassifizierung vertraulich
MehrSenden von strukturierten Berichten über das SFTP Häufig gestellte Fragen
Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen 1 Allgemeines Was versteht man unter SFTP? Die Abkürzung SFTP steht für SSH File Transfer Protocol oder Secure File Transfer Protocol.
MehrBenutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.
Benutzerhandbuch Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer. 1 Startseite Wenn Sie die Anwendung starten, können Sie zwischen zwei Möglichkeiten wählen 1) Sie können eine Datei für
MehrKurzanleitung SEPPmail
Eine Region Meine Bank Kurzanleitung SEPPmail (E-Mail Verschlüsselungslösung) Im folgenden Dokument wird Ihnen Schritt für Schritt die Bedienung unserer Verschlüsselungslösung SEPPmail gezeigt und alle
MehrAnleitung Thunderbird Email Verschlu sselung
Anleitung Thunderbird Email Verschlu sselung Christoph Weinandt, Darmstadt Vorbemerkung Diese Anleitung beschreibt die Einrichtung des AddOn s Enigmail für den Mailclient Thunderbird. Diese Anleitung gilt
MehrKundeninformationen zur Sicheren E-Mail
S Sparkasse der Stadt Iserlohn Kundeninformationen zur Sicheren E-Mail Informationen zur Sicheren E-Mail erhalten Sie bei Ihrem Berater, oder bei den Mitarbeiter aus dem Team ElectronicBanking unter der
MehrHelmut Kleinschmidt. Pflicht ab 31.03.2014
Pflicht ab 31.03.2014 Das Wichtigste im Überblick Das Wichtigste im Überblick Kostenlose Initiative für mehr Sicherheit Die Initiative von E-Mail @t-online.de, Freenet, GMX und WEB.DE bietet hohe Sicherheits-
MehrE-Mail-Verschlüsselung mit Geschäftspartnern
E-Mail-Verschlüsselung mit (Anleitung für Siemens Mitarbeiter) Datum: 13.07.2011 Dokumentenart: Anwenderbeschreibung Version: 3.0 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...3
MehrSecure Mail der Sparkasse Holstein - Kundenleitfaden -
Secure Mail der Sparkasse - Kundenleitfaden - Nutzung des Webmail Interface Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste
MehrBedienungsanleitung für den SecureCourier
Bedienungsanleitung für den SecureCourier Wo kann ich den SecureCourier nach der Installation auf meinem Computer finden? Den SecureCourier finden Sie dort, wo Sie mit Dateien umgehen und arbeiten. Bei
MehrThunderbird Portable + GPG/Enigmail
Thunderbird Portable + GPG/Enigmail Bedienungsanleitung für die Programmversion 17.0.2 Kann heruntergeladen werden unter https://we.riseup.net/assets/125110/versions/1/thunderbirdportablegpg17.0.2.zip
MehrBedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien
Sie haben von der VR DISKONTBANK GmbH ein signiertes PDF-Dokument (i.d.r. eine Zentralregulierungsliste mit dem Status einer offiziellen Rechnung) erhalten und möchten nun die Signatur verifizieren, um
MehrMöglichkeiten der verschlüsselten E-Mail-Kommunikation mit der AUDI AG Stand: 11/2015
Möglichkeiten der verschlüsselten E-Mail-Kommunikation mit der AUDI AG Stand: 11/2015 Möglichkeiten der verschlüsselten E-Mail-Kommunikation mit der AUDI AG Vertrauliche Informationen dürfen von und zur
MehrZeitstempel für digitale Dokumente. Ein neuer Dienst in der DFN-PKI
Zeitstempel für digitale Dokumente Ein neuer Dienst in der DFN-PKI DFN-Betriebstagung 26. Februar 2008 Gerti Foest (pki@dfn.de) Was ist ein Zeitstempel? Zeitstempel sind gemäß [ISO18014-1] digitale Daten,
Mehrmanaged PGP Gateway E-Mail Anwenderdokumentation
Gateway E-Mail Anwenderdokumentation Inhalt 1 Einleitung... 3 1.1 Funktionsprinzip... 3 1.2 Verschlüsselung vs. Signatur... 3 2 Aus der Perspektive des Absenders... 4 2.1 Eine verschlüsselte und/oder signierte
MehrZur Bestätigung wird je nach Anmeldung (Benutzer oder Administrator) eine Meldung angezeigt:
K U R Z A N L E I T U N G D A S R Z L WE B - P O R T A L D E R R Z L N E W S L E T T E R ( I N F O - M A I L ) RZL Software GmbH Riedauer Straße 15 4910 Ried im Innkreis Version: 11. Juni 2012 / mw Bitte
MehrLeitfaden zur Nutzung des System CryptShare
Leitfaden zur Nutzung des System CryptShare 1. Funktionsweise und Sicherheit 1.1 Funktionen Die Web-Anwendung CryptShare ermöglicht den einfachen und sicheren Austausch vertraulicher Informationen. Von
MehrCommunity Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate
Community Zertifizierungsstelle für Digitale Identität & Privatsphäre SSL / S/MIME Zertifikate www.cacert.org 2010 / ab OSS an Schulen, Zürich, 2010-05-29, Folie 1 Agenda Identität und Vertrauen WoT und
MehrE-Mail Adressen der BA Leipzig
E-Mail Adressen der BA Jeder Student der BA bekommt mit Beginn des Studiums eine E-Mail Adresse zugeteilt. Diese wird zur internen Kommunikation im Kurs, von der Akademie und deren Dozenten zur Verteilung
Mehriphone 4 - Einrichtung des VPN Clients (Cisco VPN Client) / Verbinden des iphones mit einem Exchange
iphone 4 - Einrichtung des VPN Clients (Cisco VPN Client) / Verbinden des iphones mit einem Exchange Die Verwendung der E-Mail- und Kalenderdienste des Exchange Servers über das iphone kann auf zwei unterschiedlichen
MehrSparkasse Gießen. Seite 1 von 11. 1 Götz Schartner, 8com GmbH,,,Sicherheit im Internet.
Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste Sicherheitstechnologie bietet dagegen oft keinen ausreichenden Schutz, denn
MehrMail-Signierung und Verschlüsselung
Mail-Signierung und Verschlüsselung ab Release-Version 2013.02, ein kostenlos zur Verfügung gestelltes Feature! Elektronische Post ist aus unserem privaten und beruflichen Leben nicht mehr wegzudenken.
MehrÜberprüfung der digital signierten E-Rechnung
Überprüfung der digital signierten E-Rechnung Aufgrund des BMF-Erlasses vom Juli 2005 (BMF-010219/0183-IV/9/2005) gelten ab 01.01.2006 nur noch jene elektronischen Rechnungen als vorsteuerabzugspflichtig,
MehrÜbersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software
FTP Übersicht Was ist FTP? Übertragungsmodi Sicherheit Öffentliche FTP-Server FTP-Software Was ist FTP? Protokoll zur Dateiübertragung Auf Schicht 7 Verwendet TCP, meist Port 21, 20 1972 spezifiziert Übertragungsmodi
Mehrwww.internet-einrichten.de
E-Mail-Programme E-Mail Adresse einrichten Bei t-online, AOL, Compuserve, und anderen können Sie sich E-Mail-Adressen einrichten. Dies hat aber den Nachteil, dass Sie diese nur mit der entsprechenden Zugangssoftware
MehrMulticast Security Group Key Management Architecture (MSEC GKMArch)
Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen
MehrWindows Server 2008 R2 und Windows 7 Stand-Alone Arbeitsplatz per VPN mit L2TP/IPSec und Zertifikaten verbinden.
Windows Server 2008 R2 und Windows 7 Stand-Alone Arbeitsplatz per VPN mit L2TP/IPSec und Zertifikaten verbinden. Inhalt Voraussetzungen in diesem Beispiel... 1 Sicherstellen dass der Domänenbenutzer sich
MehrMerkblatt: Sichere E-Mail-Kommunikation zur datenschutz cert GmbH
Version 1.3 März 2014 Merkblatt: Sichere E-Mail-Kommunikation zur datenschutz cert GmbH 1. Relevanz der Verschlüsselung E-Mails lassen sich mit geringen Kenntnissen auf dem Weg durch die elektronischen
MehrCryptoCampagne. Thomas Funke Fachbereich Informatik Universität Hamburg
CryptoCampagne Thomas Funke Fachbereich Informatik Universität Hamburg Die Tour Intro & Motivation Public Key Encryption Alice and Bob Web of Trust OpenPGP Motivation or why the hell bother Kommunikation
MehrLeichte-Sprache-Bilder
Leichte-Sprache-Bilder Reinhild Kassing Information - So geht es 1. Bilder gucken 2. anmelden für Probe-Bilder 3. Bilder bestellen 4. Rechnung bezahlen 5. Bilder runterladen 6. neue Bilder vorschlagen
MehrSteganos Secure E-Mail Schritt für Schritt-Anleitung für den Gastzugang SCHRITT 1: AKTIVIERUNG IHRES GASTZUGANGS
Steganos Secure E-Mail Schritt für Schritt-Anleitung für den Gastzugang EINLEITUNG Obwohl inzwischen immer mehr PC-Nutzer wissen, dass eine E-Mail so leicht mitzulesen ist wie eine Postkarte, wird die
MehrSSH Authentifizierung über Public Key
SSH Authentifizierung über Public Key Diese Dokumentation beschreibt die Vorgehensweise, wie man den Zugang zu einem SSH Server mit der Authentifizierung über öffentliche Schlüssel realisiert. Wer einen
MehrBusinessMail X.400 Webinterface Gruppenadministrator V2.6
V2.6 Benutzerinformation (1) In der Vergangenheit konnten Sie X.400 Mailboxen, die Ihnen als Gruppenadministrator zugeordnet sind, nur mittels strukturierten Mitteilungen verwalten. Diese Mitteilungen
MehrSparkasse Jerichower Land
Kundenleitfaden zu Secure E-Mail Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von E-Mails. Neben
MehrTHUNDERBIRD. Vorbereitende Einstellungen auf signaturportal.de für die Nutzung von Thunderbird
Seite 1 Warum sigmail.de? Der einfachste Weg PDF- Dokumente zu signieren und signierte PDF- Dokumente automatisch zu verifizieren ist die Nutzung der sigmail.de Funktion auf signaturportal.de. PDF- Dokumente
MehrAuthentisierung in Unternehmensnetzen
in Unternehmensnetzen Problemstellung und Lösungsansätze >>> Seite Martin 1 Seeger NetUSE AG, Dr.-Hell-Straße, 24017 Kiel ms@netuse.de - Agenda - Inhalt Problemstellung Was ist starke Authentisierung Biometrie
MehrSSL Secure Socket Layer Algorithmen und Anwendung
SSL Secure Socket Layer Algorithmen und Anwendung Präsentation vom 03.06.2002 Stefan Pfab 2002 Stefan Pfab 1 Überblick Motivation SSL-Architektur Verbindungsaufbau Zertifikate, Certification Authorities
MehrDigital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine)
Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen Vorlesung im Sommersemester 2010 an der Technischen Universität Ilmenau von Privatdozent Dr.-Ing. habil. Jürgen
Mehr