Aspekte der Digitalen Signatur

Transkript

1 1 Martin Alt Völklingen... Einrichtungen die den digitalen Weg eröffnet haben, müssen digital signierte Nachrichten empfangen können... Die Veröffentlichung von Adressen gilt dabei als Eröffnung wer empfangen kann, muss auch digital signieren können...

2 2

3 3 traceroute to ( ), 30 hops max, 40 byte packets 1 packet ( ) ms ms ms ip addr.teresto.net ( ) ms ms ms ip addr.teresto.net ( ) ms ms ms 4 b k4 r saargate.net ( ) ms ms ms 5 b sg r saargate.net ( ) ms ms ms ms ms ms 7 rennix.teresto.net ( ) ms ms ms traceroute to ( ), 30 hops max, 40 byte packets 1 packet ( ) ms ms ms ip addr.teresto.net ( ) ms ms ms ip addr.teresto.net ( ) ms ms ms 4 b k4 r saargate.net ( ) ms ms ms ip addr.teresto.net ( ) ms ms ms ip addr.teresto.net ( ) ms ms ms 7 teresto ffm k88 i2.c.telia.net ( ) ms ms ms 8 ffm k88 i2 geth1 2.telia.net ( ) ms ms ms 9 ffm tci i2 geth1 1.telia.net ( ) ms ms ms 10 telia.d f 4 so023.de.lambdanet.net ( ) ms ms ms 11 Strato KA.de.lambdanet.net ( ) ms ms ms ms ms ms ms ms ms 14 lb1.webmailer.de ( ) ms ms ms

4 4

5 5 Kodierungen von

6 6 From Fri Oct 24 12:37: Content Type: multipart/mixed; boundary=" " MIME Version: 1.0 Subject: Bild Aileen To: Content Type: text/plain; charset=iso ; format=flowed Content Transfer Encoding: 8bit Hier ein Bild unserer Tochter. Gruß, Martin Content Type: image/png; name="aileen s1.png" Content Transfer Encoding: base64 Content Disposition: inline; filename="aileen s1.png" ivborw0kggoaaaansuheugaaamgaaaclcaiaaacr9kelaaaacxbiwxmaaa9faaapxwhxitrj AAAAB3RJTUUH0woYChoZXrJ0PQAAIABJREFUeJw8vFmzbu1VHTbGmHO9e5/zdRKfWkBIgJBo JCOhqEU0MkiQVJFyVa6TX5BK5Y+kKtepylWuTBHHNiYUBizJBIMdE4NpEqwGkCUhAQJJX3PO ftczx8jf837c7kpzzq6937pws+yc7ej4/cef/v7/8j//twkpihkh40givzvulajfqcpfwifk WmHzxqsqVTly5OhjDxjM7P79DwrIqr333vvpfBawLG3f99773vec5jqZrWrGW1XPTx7P3zyL Xt8Vv777/ds3/HiD/saq4Lvf8vk3z+/e2594W3o48o+/trze3vhNFf72bt/BqfD5EWKQw2gA AAB9SURBVD6v7ONyPpsRvr3J56Y/D6ux2/zV33iWeOelqAnpngA8TANnd9/2njn+/u/+g5/+ +AdmM02g+LxGDk3ecbe3Rsccvjq0tc8FnfmshJuigXpr1XRUht79COp50AYq6TY7f3w0jLel elw8fvrpb+jxu3cueh7pdl39/wcctb7qrt5uqqaaaabjru5erkjggg==

7 7 MIME Kodierungen RFC 2045 bis 2049 Fünf neue Headerfelder MIME Version: Content Type: Content Transfer Encoding: Content Description: Content ID: Typ Subtyp Beschreibung Text Plain Unformatierter Text Enriched Formatierter Text Multipart Mixed Unabhängig Teile mit Ordnung Parallel... ohne Ordnung Alternative Alternative Darstellungen Digest Subtyp wird message/rfc822 Message Rfc822 Partial Fragmentierte External Body Pointer auf externes Objekt Image Jpeg Png Video Mpeg Audiio Basic Einkanal 8 Bit ISDN, 8 khz Application Postscript Adobe Postscript Octet stream Binärdaten aus 8 bit Bytes

8 8 Symmetrische Verschlüsselung

9 9 Asymmetrische Verschlüsselung

10 10 Doppelte Verschlüsselung

11 11 Kryptographische Grundlagen

12 12 Signieren Hashfunktion: kollisionsfrei, einweg (praktisch)

13 13 Zertifikat Zuordnung vom dem öffentlichen Schlüssel zu einer natürlichen Person Namen des Signatur Inhabers Signaturprüfschlüssel Bezeichnung der Algorithmen Laufende Nummer Beginn und Ende der Gültigkeit Namen des Zertifizierungsanbieter + dessen Staat Beschränkungen Angabe, dass es ein qualifiziertes Zertifikat ist Attribute des Inhabers Qualifizierte Signatur Zertifizierungsstelle: ZS, CA (Certifikation Authority) Zertifikat Standard: X.509v3

14 14 Trustcenter Verwaltet die öffentlichen Schlüssel Stellt Bezug zur natürlichen Person her Bietet Anfragemöglichkeiten, LDAP Bietet Sperrmöglichkeiten, CRL's Bietet evt. OCSP

15 Hierarchie 15

16 16 Protokoll / Trustcenter Telesec D Trust LDAP / CERT pks ldap.telesec.de directory.d trust.de LDAP /CRL pks ldap.telesec.de directory.d trust.de TTP :2030 OCSP perl cgi script TCP :2031 WEBINTERFACE trust.de

17 17

18 18 Zertifikat 1 Zertifikat 2 Zertifikat 3 Signiertes Dokument Schalen Modell Zeit Sig. gültig erstellen Signatur gültig Signatur ungültig prüfen prüfen

19 19 Zertifikat 1 Zertifikat 2 Zertifikat 3 Signiertes Dokument Zeit Ketten Modell Sig. gültig erstellen Signatur gültig prüfen

20 20 Algorithmen Zertifikat 1 Zertifikat 2 Zeit Schalen Modell Sig. gültig erstellen Signatur gültig Signatur ungültig Sig. gültig erstellen Ketten Modell Signatur gültig Sig. gültig erstellen Hybrid Modell Signatur gültig

21 21 Variante A

22 22 Variante B verfizieren dekodieren

23 23 Variante C

24 24 Gegenüberstellung A Zentrale Prüfung B Dezentral (1) C Dezentral (alle) Technik Organisation Geld Ausbildung Empfehlung: kurzfristig B mittelfristig A

25 25 Systemlandschaft

26 26 Sphinx Kontext: Test Ende Ende Sicherheit Arbeitsplätze mit Chipkartenleser + Plugin MailTrustT konform Piloteigene PKI Dezentral + zentrale Schlüsselgenerierung Ergebnisse: Jedes Quartal eine Prüfung der entspr. Software Kompatibilitäts Matrix Technische Checkliste Empfehlungen

27 27 Empfehlung des BSI Microsoft System Outlook Plugin 03/2003 Linux Ägypten (Kmail Mutt) Hersteller Produktname Version Mail Client Secude Authent MS Outlook 98 cv cryptovision cv act s/mail Lotus Notes cv cryptovision cv act s/mail MS Outlook 98 Glück & Kanja CryptoEx MS Outlook 98

28 28 Ägypten Die Freie Software Unternehmen Intevation, g10 Code und Klarälvdalens Datakonsult sind vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) beauftragt das Sphinx Protokoll für freie Mail Programme bereitzustellen. Hintergrund ist die Verfügbarkeit für freie Arbeitsplatz Systeme als Alternative zu proprietären Systemen. OpenSource Projekt Sphinx kompatible Konkreten Ergebnisse wurden bei OpenSaar 2002 vorgestellt

29 29 Ägypten Plug In für KMail und Mutt LDAP Unterstützung für Sperrlisten (Certificate Revocation Lists, CRLs) Einbau der Sphinx Protokolle in das GnuPG Framework X.509, PKCS10, PKCS11, PKCS12 und PKCS15 Unterstützung Parallele Unterstützung von OpenPGP LDAP Unterstützung für das KMail Adressbuch

30 30 Alternativen Jede CA bietet kostengünstig Software an In der Regel nicht kompatibel zu anderen CA's Installiert für jede CA die entsprechende Software auf einem Rechner und bastelt, z.b. Gerva (Datev), secure Signtrust (Signtrust),... Einsatz eines End Server Produkts Utimaco SecureE Mail Gateway S/MIME nach RFC 2633 OpenPGP nach RFC 2440, 3156 Bonelabs

31 31 Überblick Struktur Ägypten

32 32 PKCS# 1 RSA Standard ( + Hybrid) 3 Diffie Hellmann Schlüsseltausch 5 Password Based Cryptography Standad 6 Extended Certificate Syntax Standard 7 Cryptographic Message Syntax Format S/MIME Erweiterung 8 Private Key Information Syntax Standard 9 Selected Attribute Type 10 Certification Request Syntax Standard 11 Cryptographic Token Interface Standard 12 Personal Information Exchange Syntax Standard Übertragung der Schlüssel Type Subtype Unterobjekte Multipart Signed Klartext pkcs 7 signature Application pkcs 7 mime Signed data

33 33 Anschaffung von Signaturkarten Natürliche Personen Wie viele und wer? Attributzertifikate im Namen der Stadt (notarieller Akt) Selbstbeschränkung Sperrung Haftung Verbreitungsgrad?

34 34 Was zu tun? Einrichten eines Zertifizierungsplatzes (Internet, Firewall, Virenscanner, geschützte Umgebung (PSE),...) Schulen der Mitarbeiter Impressum auf Webauftritt Bestellen der Signaturkarten Anschaffen der Lesegeräte

35 35 Fazit: nicht triviales Thema Viele Definitionen, Standards, Software Zeitstempeldienst Einbettung in angelsächsisches Framework? keine (kurzfristige) allgemeingültige Lösung Gewisse Fachkompetenz in den Kommunen oder nahe bei den Kommunen SMTP nun unklar, wie siehts denn mit HTTP aus? Bürger übermittelt rohe Daten (Diskette) Kooperation notwendig!