Anwendung kryptographischer Verfahren für eine vertrauenswürdige Internet- Kommunikation oder Wie unterschreibt ein Computer?

Transkript

1 Anwendung kryptographischer Verfahren für eine vertrauenswürdige Internet- Kommunikation oder Wie unterschreibt ein Computer? Birgit Gersbeck-Schierholz, RRZN

2 Prolog: Die Unzulänglichkeiten der Internet- Kommunikation Mitlesen Verändern Fälschen Abstreiten Quelle der Grafiken: CryptMail User's Guide, Copyright 1994 Utimaco Belgium Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 2

3 Inhalt Einführung Kryptographische Techniken Definitionen Klassische Kryptographie und Kryptoanalyse Moderne Kryptographie Praktische Anwendung kryptographischer Techniken Hybride Verschlüsselungsverfahren Vertrauen in öffentliche Schlüssel PGP Web of Trust PKI Hierarchische Zertifizierungsstrukturen Beispiel-PKI: PKI des Deutschen Forschungsnetzes (DFN) Elektronische Signatur Rechtliche Rahmenbedingungen Keystores und externe Crypto-Token Literatur Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 3

4 Inhalt Einführung Kryptographische Techniken Definitionen Klassische Kryptographie und Kryptoanalyse Moderne Kryptographie Praktische Anwendung kryptographischer Techniken Hybride Verschlüsselungsverfahren Vertrauen in öffentliche Schlüssel PGP Web of Trust PKI Hierarchische Zertifizierungsstrukturen Beispiel-PKI: PKI des Deutschen Forschungsnetzes (DFN) Elektronische Signatur Rechtliche Rahmenbedingungen Keystores und externe Crypto-Token Literatur Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 4

5 Einführung Der normale Postweg wird mehr und mehr durch die elektronische Abwicklung der Kommunikation ersetzt. Nicht nur allgemeine Informationen werden dem Datennetz anvertraut, sondern auch wichtige Verträge und weit reichende Vereinbarungen. Immer dringlicher wird der Ruf nach mehr Sicherheit, die Forderung nach mehr Vertrauenswürdigkeit und Verbindlichkeit. Ein normaler Brief erhält seine Verbindlichkeit durch eine handschriftliche Unterschrift, wie wird ein elektronischer Brief vertrauenswürdig? Eine eingescannte Unterschrift kann jeder einfach fälschen Farce. Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 5

6 Einführung Die elektronische Unterschrift unterscheidet sich grundsätzlich von der Handunterschrift Höhere Fälschungssicherheit als die Handunterschrift Der Text wird in die Signatur einbezogen jede spätere Änderung würde bemerkt Bei jedem neuen Text ergibt sich ein neues Bitmuster der Signatur die digitale Signatur ist nicht nachahmbar Die Echtheit (Authentizität) des Absenders ist eindeutig nachweisbar Die Unterschriftsprüfung erfolgt rationell und eindeutig Neben dem Unterschreiben ist das Verfahren auch geeignet zum Signieren von geistigem Eigentum und Urheberrechten (Bilder, Töne, Software) Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 6

7 Einführung weitere Anwendungsbereiche kryptographischer Verfahren sichere Internet-Verbindungen (z.b. SSL/TLS, HTTPS) sichere (z.b. S/MIME) sicherer Zahlungsverkehr (z.b. SET, EDIFACT) Unterschreiben von elektronischen Formularen Bankanwendungen (z.b. HBCI / online Brokerage) Urheberschutz / digitale Wasserzeichen sicherer Daten-Transfer Virtual Private Networks (z.b. IPSec) Mobile Commerce (M-Commerce) Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 7

8 Einführung Beispiele für den praktischen Einsatz kryptographischer Verfahren (1) S/MIME Zertifikate Persönliches Zertifikat zum Unterschreiben (signieren) und Verschlüsseln von Code Signing Gewährleistet Authentizität und Integrität von Programm-Code (z.b. Office- Macros) Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 8

9 Einführung Beispiele für den praktischen Einsatz kryptographischer Verfahren (2) SSL Server-Zertifikate Ermöglicht gesicherten Datenaustausch nach einer Server-Authentifizierung Gewährleistet damit Vertraulichkeit, Integrität, einseitige Authentifizierung SSL Client-Zertifikate Ermöglicht gesicherten Datenaustausch nach Authentifizierung beider Kommunikationspartner Gewährleistet damit Vertraulichkeit, Integrität, beidseitige Authentifizierung Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 9

10 Einführung Beispiel: Mail (PGP) Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 10

11 Einführung Beispiel: Mail (S/MIME) Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 11

12 Einführung Beispiel: PDF-Dokument Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 12

13 Inhalt Einführung Kryptographische Techniken Definitionen Klassische Kryptographie und Kryptoanalyse Moderne Kryptographie Praktische Anwendung kryptographischer Techniken Hybride Verschlüsselungsverfahren Vertrauen in öffentliche Schlüssel PGP Web of Trust PKI Hierarchische Zertifizierungsstrukturen Beispiel-PKI: PKI des Deutschen Forschungsnetzes (DFN) Elektronische Signatur Rechtliche Rahmenbedingungen Keystores und externe Crypto-Token Literatur Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 13

14 Kryptographische Techniken Definitionen Kryptologie, Wissenschaft, deren Aufgabe die Entwicklung von Methoden zur Verschlüsselung (Chiffrierung) von (geheimen) Informationen (Kryptographie) und deren math. Absicherung gegen unberechtigte Entschlüsselung (Dechiffrierung) ist (Kryptoanalyse).... Chiffriermethoden dienen dazu, eine zu übertragende Nachricht (Klartext, Plaintext) so zu verschlüsseln, dass sie nur mithilfe einer entsprechenden Vorschrift (Schlüssel, Key) vom Empfänger rekonstruiert werden kann. Das Verschlüsselungsverfahren (Kryptoalgorithmus, Cipher) beruht auf einer Verschlüsselungsfunktion V, die jedem Klartext einen verschlüsselten Text (Schlüsseltext, Ciphertext) zuordnet, und eine Entschlüsselungsfunktion E, die umgekehrt Schlüsseltexte in Klartext überführt. Den Funktionen V und E liegt eine Vorschrift zugrunde, wie einzelne Zeichen zu ver- und entschlüsseln sind. Verfahren bei denen Sender und Empfänger den gleichen Schlüssel verwenden, nennt man symmetrische Schlüsselverfahren. Asymmetrische Schlüsselverfahren verwenden math. Zusammenhängende Schlüsselpaare, bei denen ein geheimer Schlüssel unausforschbar gespeichert wird und ein öffentlicher Schlüssel allg. verfügbar ist (sog. Public-Key-Kryptosysteme). Aus Meyers Großes Taschenlexikon, 2006 Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 14

15 Kryptographische Techniken Klassische Kryptographie und Kryptoanalyse Solange für die Kryptographie noch keine elektronischen Rechner eingesetzt wurden, ersetzte man bei der Verschlüsselung immer vollständige Buchstaben oder Buchstabengruppen. Transposition Neu-Anordnen der Buchstaben Substitutionsverfahren Ersetzen der Buchstaben durch einen anderen Buchstaben oder ein Symbol Monoalphabetische Substitution: Verschlüsselungsverfahren, bei dem jeder Buchstabe oder jedes Zeichen durch ein anderes Zeichen nach Vorgabe eines einzigen Alphabets ersetzt wird. Polyalphabetischen Substitutionen: Zur Verschlüsselung werden mehrere (viele) verschiedene Alphabete verwendet. Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 15

16 Kryptographische Techniken Klassische Kryptographie und Kryptoanalyse 1. Transposition Neu-Anordnen der Buchstaben Beispiel: Skytale In der Antike wurde die Skytale von den Griechen und Spartanern in kriegerischen Auseinandersetzungen zur geheimen Kommunikation eingesetzt. Ein Leder- oder Papierstreifen wurde um einen Zylinder gewickelt und dann beschrieben. Der abgewickelte Streifen wurde überbracht, für Dritte nicht lesbar. Der Empfänger benutzt zum dechiffrieren einen Stab mit gleichem Durchmesser, der zuvor für die Geheimkorrespondenz definiert wurde. Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 16

17 Kryptographische Techniken Klassische Kryptographie und Kryptoanalyse Transposition Neu-Anordnen der Buchstaben Beispiel: Skytale The dispatch-scroll is of the following character. When the ephors send out an admiral or a general, they make two round pieces of wood exactly alike in length and thickness, so that each corresponds to the other in its dimensions, and keep one themselves, while they give the other to their envoy. These pieces of wood they call scytalae. Whenever, then, they wish to send some secret and important message, they make a scroll of parchment long and narrow, like a leathern strap, and wind it round their scytale, leaving no vacant space thereon, but covering its surface all round with the parchment. After doing this, they write what they wish on the parchment, just as it lies wrapped about the scytale; and when they have written their message, they take the parchment off and send it, without the piece of wood, to the commander. He, when he has received it, cannot otherwise get any meaning out of it,--since the letters have no connection, but are disarranged,--unless he takes his own scytale and winds the strip of parchment about it, so that, when its spiral course is restored perfectly, and that which follows is joined to that which precedes, he reads around the staff, and so discovers the continuity of the message. And the parchment, like the staff, is called scytale, as the thing measured bears the name of the measure. Plutarch, Lives (Lysander 19), ed. Bernadotte Perrin. Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 17

18 Kryptographische Techniken Klassische Kryptographie und Kryptoanalyse 2. Substitutionsverfahren Monoalphabetische Substitution Ersetzen der Buchstaben durch einen anderen Buchstaben oder ein Symbol Beispiel: Caesar-Code Austauschen der Buchstaben mit dem Buchstaben einige Positionen weiter hinten im Alphabet nur 25 verschiedene Schlüssel möglich. Hier mit Schlüssel C, also Verschiebung um 3 Zeichen If he had anything confidential to say, he wrote it in cipher, that is, by so changing the order of the letters of the alphabet, that not a word could be made out. If anyone wishes to decipher these, and get at their meaning, he must substitute the fourth letter of the alphabet, namely D, for A, and so with the others. Suetonius, Life of Julius Caesar 56 Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 18

19 Kryptographische Techniken Klassische Kryptographie und Kryptoanalyse Beispiel: Das Babington-Komplott - Maria Stuart (1) Monoalphabetische Substitution (zusätzlich Symbole für ganze Wörter und Füllsymbole) Die Babington-Verschwörung (auch Babington-Komplott) hat ihren Namen von Anthony Babington, der im Jahr 1586 gemeinsam mit einer Gruppe von befreundeten Katholiken eine Verschwörung plante, mit dem Ziel die protestantische englische Königin Elisabeth I. zu ermorden und Maria Stuart aus dem Gefängnis in Chartley Hall zu befreien, um sie auf den englischen Thron zu bringen. Maria erhielt Briefe von ihren Anhängern, die im ausgehöhlten Spund eines Fasses versteckt und mit einem Nomenklator verschlüsselt waren. Zum Unglück für die Verschwörer war der Überbringer der Botschaften Gilbert Gifford ein Spion der englischen Königin Elisabeth, der dafür sorgte, dass alle Briefe zu Francis Walsingham, dem Sicherheitsminister von Elisabeth, kamen. Da die Briefe verschlüsselt waren, stellte Walsingham den erfahrenen Codeknacker Thomas Phelippes als Geheimsekretär ein, dem die Entzifferung der Nachrichten mit Hilfe der Häufigkeitsanalyse gelang. Durch die Briefe kam die Nachricht über den geplanten Mord an Elisabeth ans Tageslicht. Walsingham wartete aber noch ab, denn er wollte die Namen aller Beteiligten erfahren. Um das zu erreichen, gab er Phelippes den Auftrag, die Briefe von und für Maria zu fälschen und diese mit einem anderem Text zu ergänzen. Am 17. Juli 1586 antwortete Maria den Verschwörern und unterschrieb damit ihr eigenes Todesurteil. Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 19

20 Kryptographische Techniken Klassische Kryptographie und Kryptoanalyse Beispiel: Das Babington-Komplott - Maria Stuart (2) Eine schwache Verschlüsselung kann folgenschwerer sein als gar keine, denn das Vertrauen in die eigene Geheimschrift wiegt Sender und Empfänger in einem trügerischen Sicherheitsgefühl! Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 20

21 Kryptographische Techniken Klassische Kryptographie und Kryptoanalyse Kryptoanalyse mittels Häufigkeitsanalyse Nutzt statistische Eigenschaften der Sprache Die unterschiedlichen Häufigkeiten der Buchstaben in Texten wurden ausgewertet um Geheimschriften zu entschlüsseln Erste schriftl. Erwähnung im 9. Jahrh. von dem arabischen Gelehrten Al-Kindi Die Kenntnis der verwendeten Sprache ist entscheidend für das erfolgreiche Knacken des Codes Wurde eingesetzt um mittels monoalphabetischer Substitution chiffrierte Texte zu entschlüsseln Spanisch Englisch Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 21

22 Kryptographische Techniken Klassische Kryptographie und Kryptoanalyse Edgar Allan Poe war Schriftsteller und leidenschaftlicher Codeknacker. Als er für den Alexander Weekly Messenger in Philadelphia schrieb, forderte er seine Leser mit der Behauptung heraus, er könne jede monoalphabetische Geheimschrift entschlüsseln. Hunderte von Lesern schickten ihm ihre Kryptogramme, und Poe gelang es sie allesamt zu entziffern. Obwohl er dazu nichts weiter als die Häufigkeitsanalyse benötigte,... (aus S. Singh, Geheime Botschaften, 2000) Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 22

23 Kryptographische Techniken Klassische Kryptographie und Kryptoanalyse Polyalphabetische Substitution Die einfache monoalphabetische Verschlüsselung hatte Jahrhunderte lang ausreichend Sicherheit gewährt. Durch die Entwicklung der Häufigkeitsanalyse wurde sie zu schwach entwickelte der Florentiner Mathematiker Leon Batista Alberti die Verschlüsselung anhand mehrerer Geheimtextalphabete, die polyalphabetische Substitution. Bei der polyalphabetischen Substitution wird für die Verschlüsselung eines Buchstaben zwischen mehreren Geheimtextalphabeten hin und her gesprungen, sodass eine einfache Häufigkeitsanalyse nicht mehr zur Entschlüsselung ausreicht. Die einzelnen Alphabete leiten sich aus der Caesar-Substitution ab. Ein ausgereiftes polyalphabetisches Verschlüsselungssystem wurde Ende des 16. Jahrh. von Blaise de Vigenère entwickelt (Vigenère Verschlüsselung). Ein geheimes Schlüsselwort legt fest, zwischen welchen der insgesamt 26 Alphabete für die Verschlüsselung der Botschaft hin und her gesprungen werden soll. Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 23

24 Kryptographische Techniken Klassische Kryptographie und Kryptoanalyse Polyalphabetische Substitution Beispiel: Vigenère Verschlüsselung Klartext: Geheimnis Schlüssel, der die zu verwendenden Alphabete festlegt: AKEY Vier Caesar-Substitutionen verschlüsseln den Text: Die erste Substitution ist eine Caesar- Verschlüsselung mit dem Schlüssel A. A ist der erste Buchstabe im Alphabet. Er verschiebt den ersten Buchstaben des zu verschlüsselnden Textes, das g, um 0 Stellen, es bleibt G. Der zweite Buchstabe des Schlüssels, das K, ist der elfte Buchstabe im Alphabet, er verschiebt das zweite Zeichen des Textes, das e, um zehn Zeichen. Aus e wird ein O (siehe Tabelle). Das dritte Zeichen des Schlüssels ( E ) verschiebt um 4, Y verschiebt um 24 Stellen. Die Verschiebung des nächsten Buchstabens des Textes beginnt wieder bei A, dem ersten Buchstaben des Schlüssels. Ergebnis: Text: GEHEIMNIS Schlüssel: AKEYAKEYA Chiffrat: GOLCIWRGS Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 24

25 Kryptographische Techniken Klassische Kryptographie und Kryptoanalyse Polyalphabetische Substitution One-Time-Pad Hochsicheres Verfahren Schlüssel wird nur einmal zur Verschlüsselung verwendet Schlüssels hat (mindestens) die gleiche Länge wie die zu verschlüsselnde Nachricht Jedes Zeichen des Klartextes kann mit einem anderen Zeichen des Schlüssels kombiniert werden Allein mit Kenntnis des Schlüssels kann der Geheimtext entschlüsselt werden Findet heute noch Anwendung bei extrem geheimer diplomatischer Kommunikation Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 25

26 Kryptographische Techniken Moderne Kryptographie Grundlage sind nicht ganze Buchstaben, sondern die einzelnen Bits der Daten Erhebliche Erweiterung des Umfangs an möglichen Transformationen Ermöglicht die Verarbeitung von Daten, die keinen Text repräsentieren Man unterscheidet symmetrische und asymmetrische Verschlüsselungsverfahren Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 26

27 Kryptographische Techniken Moderne Kryptographie Symmetrische Verschlüsselung Der gleiche Schlüssel wird für das Chiffrieren und Dechiffrieren der Daten verwendet (analog der klassischen Kryptoverfahren) Sichere, von aktuellen Applikationen verwendete symmetrische Verschlüsselungsverfahren: 3DES, IDEA, Blowfish, AES usw. (Schlüssellänge derzeit Bit) Alice Bob */+A q~!* ew* 9x= Symbols by: OCAL/ Vorteil: Sicheres Verfahren mit guter Performance aufgrund relativ geringer Schlüssellängen Nachteil: der Schlüsselaustausch ist nur über ein persönliches Treffen oder einen Kurier zu realisieren (sichere Verbindung zum Schlüsseltausch notwendig) Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 27

28 Kryptographische Techniken Moderne Kryptographie Symmetrische Verschlüsselung Beispiel: Data Encryption Standard (DES) (1) Als Standard zertifiziert von 1976 bis 1998, Nachfolger AES (Advanced Encryption Standard) DES wird bis heute international vielfach eingesetzt obwohl DES aufgrund der verwendeten Schlüssellänge von nur 56 Bit für viele Anwendungen als nicht mehr ausreichend sicher gilt DES ist in viele kommerzielle Produkte integriert, vor allem im Bankenumfeld Problematik hat teilweise dazu geführt die sicherere Variante Triple-DES (3DES) einzusetzen: Chipkartenanwendungen von Banken 3DES: Vergößern der Schlüssellänge durch Mehrfachanwendung des DES Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 28

29 Kryptographische Techniken Moderne Kryptographie Symmetrische Verschlüsselung Beispiel: Data Encryption Standard (DES) (2) Blockchiffre: Der Text wird in Blöcke unterteilt und jeder Block unter Verwendung des Schlüssels einzeln chiffriert Daten werden in 16 Runden (Iterationen) von Substitutionen und Transpositionen verwürfelt Blockgröße: 64 Bits (ein 64-Bit-Block Klartext wird in einen 64-Bit- Block Chiffretext transformiert) Schlüssellänge: 64 Bit Einschränkung: Von diesen 64 Bit stehen nur 56 Bit zur Verfügung; die übrigen 8 Bit (jeweils ein Bit aus jedem Byte) werden zum Paritäts- Check benötigt. Die effektive Schlüssellänge beträgt demnach 56 Bit. Die Wiederherstellung des Klartextes erfolgt dadurch, dass die einzelnen Runden in umgekehrter Reihenfolge entschlüsselt werden Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 29

30 Kryptographische Techniken Moderne Kryptographie Symmetrische Verschlüsselung Advanced Encryption Standard (AES) Rijndael Verfahren Symmetrische Blockchiffre mit variabler Schlüssellänge Das Rijndael Verfahren wurde von den Belgiern Joan Daemen und Victor Rijmen entwickelt und ist seit Mai 2002 der offizielle Advanced Encryption Standard (AES) Schlüssellänge von 128, 192, 256 Bit Einfach zu implementieren Gute Performance Wenig Speicherbedarf Trotz der sehr guten Eigenschaften wird AES nur sehr langsam in Anwendungen implementiert Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 30

31 Kryptographische Techniken Moderne Kryptographie Asymmetrische Verschlüsselung 1976 von Whitfield Diffie, Martin Hellmann und Ralph Merkle veröffentlicht Zwei verschiedene Schlüssel zum Ver- und Entschlüsseln Besonderheit: Die Kommunikationspartner müssen sich nicht mehr treffen, um einen Schlüssel auszutauschen Basiert auf Einwegfunktionen (Primzahlen, diskrete Logarithmen, elliptische Kurven) Eine Einwegfunktion ist z.b. auch das Vermischen von gelber und blauer Farbe zu grüner Farbe, nicht reversibel Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 31

32 Kryptographische Techniken Moderne Kryptographie Asymmetrische Verschlüsselung Jeder Kommunikationspartner verfügt über ein Schlüsselpaar, dieses besteht aus 2 unterschiedlichen Schlüsseln: 1. Privater Schlüssel - private key (muss sicher verwahrt werden, nur für mich) 2. Öffentlicher Schlüssel - public key (für alle anderen) Was mit dem öffentlichen Schlüssel verschlüsselt wurde, kann nur mit dem privaten Schlüssel lesbar gemacht werden und umgekehrt! Alice Bob s öffentlicher Schlüssel Bob s privater Schlüssel Bob Symbols by: OCAL/ Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 32

33 Kryptographische Techniken Moderne Kryptographie Asymmetrische Verschlüsselung Aktuelle Verfahren: 1976 Diffie-Hellmann (Schlüsseltausch) Diskrete Logarithmen 1977 RSA Rivest, Shamir, Adleman Primzahlen El Gamal Diskrete Logarithmen 1985 Elliptische Kurven (ECC) 1994 DAS Digital Signature Algorithm Modifikation des El Gamal-Verfahrens Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 33

34 Kryptographische Techniken Moderne Kryptographie Asymmetrische Verschlüsselung RSA (Rivest, Shamir, Adleman) Ronald Rivest Adi Shamir Basiert im Wesentlichen auf der Schwierigkeit der Primfaktorzerlegung, stark vereinfacht lässt sich das folgendermaßen darstellen: Leonard Adleman N = p x q p und q sind sehr große Primzahlen Öffentlicher Schlüssel Privater Schlüssel Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 34

35 Kryptographische Techniken Moderne Kryptographie Asymmetrische Verschlüsselung RSA (Rivest, Shamir, Adleman) Mathematische Funktionsbeschreibung (Anwendung der Modul-Arithmetik) 1. Wähle Primzahlen p, q N = pq (Primfaktorzerlegung) 2. Wähle d so, dass ggt((p-1)(q-1), d) = 1 3. Wähle e mit ed = 1 mod ((p-1)(q-1)) (e, N) öffentlicher Schlüssel; (d, N) privater (geheimer) Schlüssel Verschlüsselung RSA(M) = M e mod N = C Entschlüsselung RSA (C) = C d mod N = M Dabei ist M die Klartext-Botschaft als Dezimalzahl und C der Geheimtext Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 35

36 Kryptographische Techniken Moderne Kryptographie Asymmetrische Verschlüsselung Technische Sicherheit asymmetrischer Kryptographie: Bei Auswahl hinreichend großer Primzahlen können p und q nicht ermittelt werden! The RSA Factoring Challenge RSA-640 (640 Bit, 193 Stellen) N= wurde am 2. November 2005 faktorisiert und zwar in: p= q= US-Dollar Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 36

37 Kryptographische Techniken Moderne Kryptographie Asymmetrische Verschlüsselung The RSA Factoring Challenge Neue Herausforderung: RSA US-Dollar (Wurde nicht mehr gelöst, da RSA den Challenge 2007 eingestellt hat) Die aktuell für RSA-Verschlüsselungsverfahren empfohlenen Schlüssellängen von 2048 Bit können mit praktikablen Mitteln nicht entschlüsselt werden! Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 37

38 Kryptographische Techniken Moderne Kryptographie Prüfsummen/Hashverfahren (Hashkomprimierung) Verschlüsselung ohne Schlüssel Erzeugen eines Hash-Wertes anhand der Verrechnung der Daten über einen vorgegebenen mathematischen Algorithmus: Verkürzung des Objektes auf einen Identifikator digitaler Fingerabdruck (Fingerprint) eines Objektes Vorgang ist nicht reversibel Any change to a message will, with a very high probability, result in a different message digest. Aktuelle Verfahren HAVAL (basierend auf MD5) HMAC MD2, MD4, MD5 RIPEMD-160 SHA-1 (basierend auf MD4) SHA-256 (basierend auf MD4) SHA-512 (basierend auf MD4) SNEFRU Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 38

39 Kryptographische Techniken Moderne Kryptographie Prüfsummen/Hashverfahren (Hashkomprimierung) MD5 und SHA-1 sind die in Standardanwendungen am häufigsten integrierten Hashverfahren MD5 (Message-Digest algorithm 5) Entwickelt von Ronald Rivest, 1991 Internet-Standard (RFC 1321) Länge 128 Bit Applikationen (einige Beispiele): PGP, Integritätsprüfung von Dateien in z.b. Linux Distributionen, sowie verschlüsselte Speicherung von Passwörtern SHA-1 (Secure Hash Algorithm -1) Entwickelt von der National Security Agency (NSA), basierend auf MD4 Als Standard veröffentlicht vom amerikanischen National Institute of Standards and Technology (NIST), 1993 Länge 160 Bit Applikationen (einige Beispiele): TLS, SSL, PGP, SSH, S/MIME, IPsec Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 39

40 Kryptographische Techniken Moderne Kryptographie Prüfsummen/Hashverfahren (Hashkomprimierung) Mögliches Sicherheitsproblem: Auftreten von Kollisionen Zwei Dateien haben den gleichen Hash-Wert Eindeutige Charakterisierung eines Objektes zur Integritätsprüfung wird durch Kollisionen in Frage gestellt Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 40

41 Kryptographische Techniken Moderne Kryptographie Prüfsummen/Hashverfahren (Hashkomprimierung) Mögliches Sicherheitsproblem: Auftreten von Kollisionen Geburtstagsangriff (birthday attack) Ausgangspunkt ist das sog. Geburtstagsparadoxon: Wieviele Personen müssen in einem Raum sein, damit die Wahrscheinlichkeit größer als 0,5 ist, dass zwei Personen aus der Gruppe am gleichen Tag Geburtstag haben? >>>>Es genügen bereits 23 Personen! Wieviele Personen müssen in einem Raum sein, damit die Wahrscheinlichkeit größer als 0,5 ist, dass eine Person aus der Gruppe am gleichen Tag wie der Gastgeber Geburtstag hat? >>>>Mindestens 183 Personen sind erforderlich! Übertragen auf die Hashfunktionen entsprechen die übereinstimmenden Geburtstage einer Kollision, da die Anzahl der Texteingaben den Personen und die jeweils errechneten Hashfunktionen den Geburtstagen an sich entsprechen. Für den Angriff ergibt sich daraus der Vorteil, dass z.b. nur ein Aufwand in der Größenordnung von 2³² statt 2 64 erforderlich ist, um zu einem 64-Bit Hashwert eine Kollision zu finden. Kryptographisch sichere Hash-Funktionen müssen auch diesen Angriffen standhalten. Dazu sollte die Länge des Hashwertes hinreichend groß gewählt werden. Für elektronische Unterschriften etwa sind derzeit 128 Bit (MD5) oder 160 Bit gebräuchlich (SHA-1). Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 41

42 Kryptographische Techniken Moderne Kryptographie Prüfsummen/Hashverfahren (Hashkomprimierung) Sicherheitsbemerkung zu MD5 (Heise Security Newsmeldung vom ) MD5 galt schon seit längerem als unsicherer im Vergleich zu SHA-1. Das MD5CRK-Projekt versuchte durch den Zusammenschluss vieler Rechner über das Internet (ähnlich und das Berechnen von Kollisionen dies zu beweisen.... Allen Angriffen auf die Algorithmen zum Trotz ist es aber weiterhin sehr schwierig, zwei sinnvolle -- und nicht irgendwelche beliebigen -- Zeichenketten zu finden, die denselben Hash-Wert erzeugen. So dürfte es immensen Aufwand erfordern, in einen Sourcecode eine Backdoor derart einzubauen, dass der gleiche Hash herauskommt wie bei der Sourcecode Version ohne Backdoor. Gleiches gilt für digitale Zertifikate und PGP-Fingerprints. Allerdings hat sich in der Vergangenheit immer wieder gezeigt, dass eine kleine Lücke schnell zu einem großen Loch aufgerissen wird. Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 42

43 Kryptographische Techniken Moderne Kryptographie Prüfsummen/Hashverfahren (Hashkomprimierung) Sicherheitsbemerkungen zu SHA-1 Am 15. Februar 2005 meldete der Kryptographieexperte Bruce Schneier in seinem Blog, dass die Wissenschaftler Xiaoyun Wang, Yiqun Lisa Yin und Hongbo Yu an der Shandong University in China erfolgreich SHA-1 gebrochen hätten. Ihnen sei es gelungen, den Aufwand zur Kollisionsberechnung von 280 auf 269 zu verringern. 269 Berechnungen könnten eventuell mit Hochleistungsrechnern durchgeführt werden. Kurze Zeit später, am 17. August 2005, wurde von Xiaoyun Wang, Andrew Yao und Frances Yao auf der Konferenz CRYPTO 2005 ein weiterer, effizienterer Kollisionsangriff auf SHA-1 vorgestellt, welcher den Berechnungsaufwand auf 263 reduziert. Im August 2006 wurde auf der CRYPTO 2006 ein weiterer, wesentlich schwerwiegenderer Angriff gegen SHA-1 präsentiert, der möglicherweise auch in der Praxis Auswirkungen zeigen kann. Bei diesem Angriff kann ein Teil der gefälschten Nachricht (derzeit bis zu 25%) im Inhalt frei gewählt werden. Bei den bisherigen Kollisionsangriffen wurden die so genannten Hash-Zwillinge lediglich mit sinnlosen Buchstabenkombinationen des Klartextes gebildet und waren damit leicht zu erkennen. Ein kritisches Angriffsszenario setzt aber voraus, dass der Angreifer eine zweite zumindest in Teilen sinnvolle Variante eines Dokuments erzeugen kann, die den gleichen SHA-1-Wert und damit auch die gleiche Signatur ergibt. Die bei der neuen Angriffsmethode derzeit verbleibenden 75% sinnloser Buchstabenkombinationen (also Datenmüll) können vor den Augen eines ungeschulten Betrachters ggfs. technisch leicht verborgen werden. Der Angreifer kann daher behaupten, die gefälschte Variante sei an Stelle der originalen Variante signiert worden. Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 43

44 Inhalt Einführung Kryptographische Techniken Definitionen Klassische Kryptographie und Kryptoanalyse Moderne Kryptographie Praktische Anwendung kryptographischer Techniken Hybride Verschlüsselungsverfahren Vertrauen in öffentliche Schlüssel PGP Web of Trust PKI Hierarchische Zertifizierungsstrukturen Beispiel-PKI: PKI des Deutschen Forschungsnetzes (DFN) Elektronische Signatur Rechtliche Rahmenbedingungen Keystores und externe Crypto-Token Literatur Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 44

45 Praktische Anwendung kryptographischer Techniken Hybride Verschlüsselungsverfahren 1. SSL-Handshake Secure Sockets Layer (SSL), Transport Layer Security (TLS) TLS 1.0, 1.1 und 1.2 sind die standardisierten Weiterentwicklungen von SSL 3.0 (TLS 1.0 steht neu für SSL 3.1) ->SSL wird unter dem Namen TLS weiterentwickelt Nebenstehende Abbildung zeigt das Verfahren schematisch: Asymmetric Encryption Hash Function Symmetric Encryption Encrypted data exchange Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 45

46 Praktische Anwendung kryptographischer Techniken Hybride Verschlüsselungsverfahren 2. Digitale Signatur (digitale Unterschrift) Alice Bob Hash- Komprimierung (MD5, SHA1) Hash-Wert des Dokuments Hash-Wert des Dokuments Alice verschlüsselt den Hash-Wert des Dokuments mit ihrem privaten Schlüssel Bob entschlüsselt den Hash-Wert des Dokuments mit Alice s öffentlichem Schlüssel Symbols by: OCAL/ Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 46

47 Praktische Anwendung kryptographischer Techniken Hybride Verschlüsselungsverfahren Verschlüsseln der Daten und Digitale Signatur (digitale Unterschrift) im Vergleich Daten verschlüsseln: Vertraulichkeit Alice Bob Öffentlicher Schlüssel von Bob Privater Schlüssel von Bob Daten signieren (digital unterschreiben): Authentizität, Integrität, Verbindlichkeit Bob Alice Privater Schlüssel von Bob Öffentlicher Schlüssel von Bob Prüfergebnis Symbols by: OCAL/ Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 47

48 Praktische Anwendung kryptographischer Techniken Verschlüsseln der Daten und Digitale Signatur (digitale Unterschrift) Nutzer verfügt in der Regel über mehrere (viele) öffentliche Schlüssel (jeweils einen pro Kommunikationspartner) einen privaten Schlüssel Alice Bob Bob Ken Linda Peter Achim Alice Joel Chris Linda Sara Symbols by: OCAL/ Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 48

49 Praktische Anwendung kryptographischer Techniken Digitale Zertifikate Software (1) Schlüsselmanagment im Browser und Mailklienten am Beispiel Thunderbird Öffentliche Schlüssel der Kommunikationspartner Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 49

50 Praktische Anwendung kryptographischer Techniken Digitale Zertifikate - Software (2) Signieren und Verschlüsseln der am Beispiel Thunderbird Verfahren wählen: Darstellung beim Empfänger: Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 50

51 Inhalt Einführung Kryptographische Techniken Definitionen Klassische Kryptographie und Kryptoanalyse Moderne Kryptographie Praktische Anwendung kryptographischer Techniken Hybride Verschlüsselungsverfahren Vertrauen in öffentliche Schlüssel PGP Web of Trust PKI Hierarchische Zertifizierungsstrukturen Beispiel-PKI: PKI des Deutschen Forschungsnetzes (DFN) Elektronische Signatur Rechtliche Rahmenbedingungen Keystores und externe Crypto-Token Literatur Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 51

52 Vertrauen in öffentliche Schlüssel Wie kann ich erkennen, wem ein öffentlicher Schlüssel wirklich gehört oder ob ich schon eine Fälschung besitze? Dies ist nur dann kein Problem, wenn man den Schlüssel persönlich vom Eigentümer bekommen hat (Vorteil der Schlüsselverteilung gegenüber der symmetrischen Verschlüsselung wäre damit hinfällig). Mathematische Sicherheit allein reicht nicht aus, wichtig ist die eindeutige Zuordnung des Schlüsselpaares zum Inhaber! Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 52

53 Vertrauen in öffentliche Schlüssel PGP Web of Trust Pretty Good Privacy (PGP) Web of Trust (1) Public-Key Verfahren 1991 von Phil Zimmermann veröffentlicht Transitive Vertrauensbeziehungen: Alice signiert den Schlüssel von Bob, Bob signiert den Schlüssel von Carl, somit vertraut Alice dem Schlüssel von Carl. Anders ausgedrückt: Ich vertraue jedem, dem jemand vertraut, dem ich vertraue. Und umgekehrt: Jeder, der jemandem vertraut, der mir vertraut, vertraut auch mir. RFC 2440 beschreibt ein Verfahren, wie diese Zertifikate mit dem Schlüssel verbunden und mit einer Wertung versehen werden. Das Zertifikat wird mit dem Schlüssel auf einen weltweiten Verbund von Schlüsselservern (keyserver) hochgeladen und kann so von jedermann abgerufen werden. Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 53

54 Vertrauen in öffentliche Schlüssel PGP Web of Trust Pretty Good Privacy (PGP) Web of Trust (2) Initiative des BSI: Gpg4win -Sicherheitspaket für Windows GnuPG und Mozilla PlugIn Enigmail Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 54

55 Vertrauen in öffentliche Schlüssel PKI Hierarchische Zertifizierungsstrukturen Public Key Infrastructure (PKI) Eine Beglaubigungsinstanz kann mittels einer Urkunde/Zertifikat den öffentlichen Schlüssel beglaubigen Zertifikate stellen die eindeutige, zweifelsfreie Zuordnung zwischen einem Schlüsselpaar und einer Person oder einem Rechner her Dabei wird die reale Identität an die digitale Identität gebunden Nach Prüfung von Identität und öffentlichem Schlüssel, stellt die Zertifizierungsinstanz, CA ( Certification Authority) das Zertifikat aus Man unterscheidet: 1. Beglaubigungsinstanzen: bestätigt, dass der öffentliche tatsächlich einer bestimmten Person gehört Stellen kein Sicherheitsrisiko dar 2. Trusted Third Parties (Vertrauenswürdige Dritte), Trustcenter: generieren u.a. die privaten Schlüssel und halten sie vor Umstritten, da Missbrauch des privaten Schlüssels möglich ist Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 55

56 Vertrauen in öffentliche Schlüssel PKI Hierarchische Zertifizierungsstrukturen Aufbau und Betrieb einer Public Key Infrastructure (PKI) Jede Organisation oder jedes Unternehmen, das seinen internen und/oder externen Datenaustausch sicher gestalten möchte und sich entscheidet, mit Zertifikaten zu arbeiten, kann seine eigene PKI aufbauen und einsetzen. Zur Kommunikation mit anderen PKI bieten sich folgende Möglichkeiten: Eine gemeinsame Wurzelinstanz (Root) stellt sicher, dass Teilnehmer der nachgeordneten CAs direkt miteinander sicher kommunizieren können (hierarchisches Modell). Über Cross-Zertifizierung können zunächst unabhängig aufgebaute PKIen nachträglich durch gegenseitige Anerkennung miteinander verbunden werden. Die gegenseitige Anerkennung unterschiedlicher PKIen kann über eine Bridge- CA vereinfacht werden. Dabei entfällt die individuelle Vereinbarung der Cross- Zertifizierung der Partner untereinander. Sie wird durch Vereinbarungen der einzelnen PKI mit der Bridge-CA ersetzt. Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 56

57 Vertrauen in öffentliche Schlüssel PKI Hierarchische Zertifizierungsstrukturen ein Zertifikat nach dem Standard X.509v3 besteht im Wesentlichen aus 4 Teilen: Öffentlicher Schlüssel 00:ab:77:e0:53:4a:4a:6b:42:8b:e0:4b:91:14:6f: df:e7:28:4f:58:e5:43:b5:01:71:fa:24:2f:6c:4e: 39:04:62:2f:fd:20:4a:a3:d0:00:78:c8:e7:44:7a Angaben über den Schlüsselinhaber (Distinguished Name (DN) nach X.509v3) Attribute wie Seriennummer und Gültigkeitsdauer Beglaubigung (digitale Signatur) der CA, dass die Angaben stimmen C=DE, O=Universitaet Hannover, OU=RRZN, CN=Birgit Gersbeck- Schierholz/serialNumber=3 Serial Number: 3 (0x3) Signature Algorithm: sha1withrsaencryption Validity Not Before: May 26 15:42: GMT Not After : May 26 15:42: GMT Signature Algorithm: sha1withrsaencryption 30:40:02:1e:45:2e:de:8a:20:61:44:54:64:29:40:c1:41:81: 39:29:5e:4c:90:4f:27:ed:ec:ac:48:25:44:39:a7:4e:02:1e: 3b:78:fe:5c:42:f1:d1:5e:d8:cb:46:d2:13:2b:1f:7a:53:ce: 37:39:c3:3b:18:b6:c2:bd:cc:1a:9d:08 Digitale Signatur: Verschlüsselung mit dem private key der CA, dies lässt sich mit dem public key der CA überprüfen Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 57

58 Vertrauen in öffentliche Schlüssel PKI Hierarchische Zertifizierungsstrukturen X.509v3 Hierarchie Aufbau einer Zertifikatkette Dadurch, dass die CA wiederum von einer übergeordneten Zertifizierungsstelle beglaubigt wird, entsteht eine Hierarchie des Vertrauens Die Aussteller-Signatur in einem Zertifikat ist jeweils mit dem privaten Schlüssel des Ausstellers verschlüsselt worden Mit dem im Zertifikat enthaltenen öffentlichen Schlüssel kann das in der Hierarchie darüber liegende Zertifikat verifiziert werden Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 58

59 Vertrauen in öffentliche Schlüssel PKI Hierarchische Zertifizierungsstrukturen Zertifikat / Zertifikatkette : Angaben im Browser und Mailklienten CA Zertifikat Zertifikatnehmer Zertifizierungsstelle Gültigkeitszeitraum Fingerabdruck, Hashfunktionen MD5 und SHA1 Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 59

60 Vertrauen in öffentliche Schlüssel PKI Hierarchische Zertifizierungsstrukturen Zertifikat / Zertifikatkette : Angaben im Browser und Mailklienten Nutzer Zertifikat Zertifikatnehmer Zertifizierungsstelle Gültigkeitszeitraum Fingerabdruck, Hashfunktionen MD5 und SHA1 Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 60

61 Vertrauen in öffentliche Schlüssel PKI Hierarchische Zertifizierungsstrukturen Digitale Signatur der ausstellenden CA, mit deren geheimen Schlüssel verschlüsselt Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 61

62 Relevante Daten eines Zertifikates (1) X.509 Version Eindeutige, von der CA vergebene Serien-Nummer Name des Zertifikats-Eigentümers des Zertifikats-Eigentümers Eindeutiger Name, Distinghuished Name (DN) des Zertifikats- Eigentümers Eindeutige Kennung für einen Schlüssel, die über eine Hash-Funktion (MD5) aus bestimmten Teilen der Schlüsseldaten errechnet wird. Eindeutiger Name (DN) des Zertifikats-Ausstellers Gültigkeitszeitraum des Zertifikats Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 62

63 Relevante Daten eines Zertifikates (2) Sperrliste der CA Zertifikatstyp: SSL Client (https, ftps, imaps, etc., sichere per S/MIME Zertifikatstyp: Benutzerzertifikat der UH Sperrliste der CA Schlüssel-ID (Hashwert des öffentl. Schlüssels der UHtopCA)und DN des Ausstellers Basisbeschränkungen: der Zertifikatseigentümer ist keine CA Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 63

64 Relevante Daten eines Zertifikates (3) Ort, an dem die UH-CA monatl. Eine neue Sperrliste zur Verfügung stellt Adresse des Ausstellers als alternativer Name Verwendungszweck: digitale Signatur, Unabstreitbarkeit, Verschlüsselung Adresse des Zertifikatseigentümers als alternativer Name Schlüssel-ID: Hashwert des öffentlichen Schlüssels des Zertifikatseigentümers Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 64

65 PKI - Digitale Signatur (digitale Unterschrift) CA Prüfung der Identität Erstellung und Verbreitung des Zertifikats Zertifikat Antrag auf Zertifizierung Validierung der Zertifikatkette Asymmetrisches Schlüsselpaar Zertifikat Zertifikat Symbols by: OCAL/ Zertifikat Prüfung auf Rückruf bzw. Sperrung Prüfung auf Gültigkeit Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 65

66 Vertrauen in öffentliche Schlüssel Beispiel-PKI: PKI des Deutschen Forschungsnetzes (DFN) Zertifizierungsstelle der Universität Hannover seit Mai 2004 Benutzerschnittstelle: Zertifiziert öffentliche Schlüssel für Nutzer und Server UH-CA Zertifikate für Mitglieder der Universität Hannover Integriert in die PKI (Public Key Infrastructure) des Deutschen Forschungsnetzes Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 66

67 Vertrauen in öffentliche Schlüssel Beispiel-PKI: PKI des Deutschen Forschungsnetzes (DFN) Zertifizierungsrichtlinien zum Betrieb der UH-CA Definiert die Sicherheitsanforderungen als Basis für das Vertrauen in die Zertifizierungsinstanz Besteht aus 3 Dokumenten: Policy Zertifizierungsrichtlinie der DFN-PKI - Sicherheitsniveaus: Global, Classic, Basic - Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der DFN-PKI - Sicherheitsniveaus: Global, Classic, Basic Erklärung zum Zertifizierungsbetrieb der UH-CA in der DFN-PKI - Sicherheitsniveau: Global Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 67

68 Vertrauen in öffentliche Schlüssel Beispiel-PKI: PKI des Deutschen Forschungsnetzes (DFN) Bearbeitung von Zertifizierungsanträgen (RA, Registration Authority): Online-Antrag Schriftliche Teilnehmererklärung Persönliche Identifizierung Beratung, Support, WebInformationen RRZN, Leibniz Universität Hannover DFN-PKI, DFN-CERT GmbH Aufgaben Ausstellen von Zertifikaten Verwalten und Verteilen von Zertifikaten Verzeichnisdienst Bereitstellung über die Webschnittstelle Benachrichtigung der Zertifikatnehmer (Ausstellung, Sperrung, Gültigkeit) Backup Sperrung von Zertifikaten, z.b. bei Kompromittierung oder Schlüsselverlust Regelmäßige Veröffentlichung von Sperrlisten Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 68

69 Vertrauen in öffentliche Schlüssel Beispiel-PKI: PKI des Deutschen Forschungsnetzes (DFN) CA CA CA CA Uni Uni Uni Uni Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 69

70 Vertrauen in öffentliche Schlüssel Beispiel-PKI: PKI des Deutschen Forschungsnetzes (DFN) Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 70

71 Vertrauen in öffentliche Schlüssel Beispiel-PKI: PKI des Deutschen Forschungsnetzes (DFN) Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 71

72 Vertrauen in öffentliche Schlüssel Beispiel-PKI: PKI des Deutschen Forschungsnetzes (DFN) Antrag auf ein persönliches -Zertifikat Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 72

73 Vertrauen in öffentliche Schlüssel Beispiel-PKI: PKI des Deutschen Forschungsnetzes (DFN) Antrag auf ein persönliches -Zertifikat Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 73

74 Vertrauen in öffentliche Schlüssel Beispiel-PKI: PKI des Deutschen Forschungsnetzes (DFN) Antrag auf ein persönliches -Zertifikat Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 74

75 Vertrauen in öffentliche Schlüssel Beispiel-PKI: PKI des Deutschen Forschungsnetzes (DFN) Antrag auf ein persönliches -Zertifikat Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 75

76 Vertrauen in öffentliche Schlüssel Beispiel-PKI: PKI des Deutschen Forschungsnetzes (DFN) Registration Authority (RA) Antrag auf ein persönliches -Zertifikat Persönliche Identifizierung und Entgegennahme des schriftlichen Teilnahmeantrages Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 76

77 Inhalt Einführung Kryptographische Techniken Definitionen Klassische Kryptographie und Kryptoanalyse Moderne Kryptographie Praktische Anwendung kryptographischer Techniken Hybride Verschlüsselungsverfahren Vertrauen in öffentliche Schlüssel PGP Web of Trust PKI Hierarchische Zertifizierungsstrukturen Beispiel-PKI: PKI des Deutschen Forschungsnetzes (DFN) Elektronische Signatur Rechtliche Rahmenbedingungen Keystores und externe Crypto-Token Literatur Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 77

78 Elektronische Signatur Rechtliche Rahmenbedingungen Das Deutsche Signaturgesetz (SigG) unterscheidet einfache, fortgeschrittene und qualifizierte Signaturen, entsprechend der EU- Richtlinie für elektronische Signaturen. Im Sinne dieses Gesetzes sind 1. (einfache) elektronische Signaturen Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen, 2. fortgeschrittene elektronische Signaturen" elektronische Signaturen nach Nummer 1, die a) ausschließlich dem Signaturschlüssel-Inhaber zugeordnet sind, b) die Identifizierung des Signaturschlüssel-Inhabers ermöglichen, c) mit Mitteln erzeugt werden, die der Signaturschlüssel- Inhaber unter seiner alleinigen Kontrolle halten kann, und d) mit den Daten, auf die sie sich beziehen, so verknüpft sind, dass eine nachträgliche Veränderung der Daten erkannt werden kann, 3. qualifizierte elektronische Signaturen" elektronische Signaturen nach Nummer 2, die a) auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruhen und b) mit einer sicheren Signaturerstellungseinheit erzeugt werden, Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 78

79 Elektronische Signatur Rechtliche Rahmenbedingungen Digitale Zertifikate der UH-CA Alle gesetzlichen Anforderungen an fortgeschrittene elektronische Signaturen sind erfüllt. Darüber hinaus muss sich jeder Antragsteller mit einem amtlichen Ausweispapier mit Lichtbild persönlich identifizieren. Damit wird bei der Zuverlässigkeit der Identifikation zum Erhalt eines persönlichen Zertifikats in der DFN-PKI ein vergleichbares Sicherheitsniveau erreicht wie bei der Identifikation zum Erhalt eines Zertifikats zur Ausstellung von qualifizierten elektronischen Signaturen (Vgl. 5 Abs. 1 S. 1 SigG) (s. auch Dennoch ersetzen sie nicht die handschriftliche Unterschrift, denn dies ist nach SigG 2 Nr. 7 nur mit qualifizierten Zertifikaten möglich Höchste mathematische Sicherheit ist gegeben Die digitalen Zertifikate der UH-CA dienen in erster Linie dazu die authentische und vertrauliche Kommunikation im Internet zu fördern Nicht ausreichend für den Status qualifizierter Zertifikate sind die organisatorischen Rahmenbedingungen der UH-CA (z.b. besondere räumliche Voraussetzungen für die CA, sowie die generelle Anforderung, dass qualifizierte Zertifikate den externen Kryptospeicher nicht verlassen dürfen) Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 79

80 Elektronische Signatur Rechtliche Rahmenbedingungen Deutsches Bundesamt für Sicherheit in der Informationstechnik (BSI) Publikationen Rechtliche Rahmenbedingungen für die elektronische Signatur Der rechtliche Rahmen der elektronischen Signatur in Deutschland ist durch das Signaturgesetz [SigG] und die Signaturverordnung [SigV] definiert. SigG: SigV: Grundlagen der elektronischen Signatur Umfassende Publikation des BSI zum Thema Kryptoalgorithmen Übersicht über die Eignung von Algorithmen für qualifizierte elektronische Signaturen nach dem Signaturgesetz (SigG) Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 80

81 Elektronische Signatur Rechtliche Rahmenbedingungen Bundeseinrichtungen in Deutschland Bundesnetzagentur - Elektronische Signatur Die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen ist die zuständige Behörde gemäß 3 des Signaturgesetzes (SigG) Verordnung über den elektronischen Rechtsverkehr beim Bundesgerichtshof und Bundespatentamt (24.August 2007) Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 81

82 Elektronische Signatur Rechtliche Rahmenbedingungen Europa EU Richtlinie für elektronische Signaturen [1999/93/EG] Voraussetzung für das EU-weite Wachstum des elektronischen Geschäftsverkehrs Legt Harmonisierungsmaßnahmen zur Gewährleistung von Vertrauen in elektronische Transaktionen fest esignatures Standardisation survey The final study report should be available by November 2007 Birgit B. Gersbeck-Schierholz Digitale Krypto/PKI Zertifikate 2010 Folie 82