6. Sicherer Zugriff zu Verteilten Ressourcen

Größe: px
Ab Seite anzeigen:

Download "6. Sicherer Zugriff zu Verteilten Ressourcen"

Transkript

1 6. Sicherer Zugriff zu Verteilten Ressourcen Überblick 6.1 Grundlegendes über Sicherheit 6.2 Authentifizierungsprotokoll von Needham und Schroeder 6.3 Kerberos 6.4 SSL (Secure Socket Layer) 6.5 Virtuelle private Netzwerke und Tunneling O. Kao Systemaspekte Verteilter Systeme Grundlegendes über Sicherheit Maßnahmen zur Sicherung der Geheimhaltung, Integrität, Verfügbarkeit von Ressourcen in VS Abwehr von Lauschangriff: Kopieren von Nachrichten ohne Berechtigung Verweigerung (Denial of Service) Verwendung fremder Zugangsinformationen Wiederholung: Abgefangene Nachricht wird später nochmal gesendet, Worst-Case Szenario bei Verteilten Systemen Schnittstellen sind aus Kooperationsgründen offen Unsichere Netzwerke: Pakete können abgefangen und manipuliert werden, gefälschte Adressen, Algorithmen und Programmcode für sicherheitsrelevante Operationen sind bekannt und stehen den Angreifern zur Verfügung Zugang zu umfassenden Rechnerressourcen immer wahrscheinlicher Verbreitung der Zugangsinformationen an mehrere Teilsysteme / Standorte Minimierung der Vertrauensbasis erforderlich O. Kao Systemaspekte Verteilter Systeme 6-2

2 Kryptografie Ziel: Eine Nachricht in Klartext wird verschlüsselt und so in einen Chiffretext überführt, dass nur autorisierte Personen eine Rückgewinnung des Klartextes durchführen können Verschlüsselungsfunktion/Schlüssel zur Verschlüsselung (Encryption Key K E ) Entschlüsselungsfunktion/Schlüssel zur Entschlüsselung (Decryption Key K D ) Symmetrische Kryptografie (Secret-Key-Kryptografie) Schlüssel zur Verschlüsselung lässt sich aus dem Schlüssel zur Entschlüsselung bestimmen und umgekehrt Monoalphabetische Substition: Ersetzung von Zeichen durch andere, fest zugeordnete Zeichen Probleme mit Digrammen Es existieren auch relativ sichere symmetrische Algorithmen, die Schlüssellänge soll mindestens 128 Bit betragen Sender und Empfänger müssen im Besitz des geheimen Schlüssels sein O. Kao Systemaspekte Verteilter Systeme 6-3 DES und IDEA DES (Data Encryption Standard): entwickelt von IBM, früherer nationaler US-Standard für Regierung und Wirtschaft Abbildung von 64 Bit-Klartext auf 64-Bit-Ausgabe mit 56-Bit Schlüssel 16 schlüsselabhängige Phasen: Daten werden rotiert, transponiert, 1997 mit Brute-Force-Angriff geknackt (Master-Slave mit ca PCs) Hauptproblem: Kurzer Schlüssel Mindestens 112 Bit notwendig Bei 112 Bits: Triple-DES (3DES) = 3 Mal DES-Verschlüsselung mit 2 Schlüsseln E 3DES (K1,K2,M)=E DES (K1, E DES (K2, E DES (K1,M))) Bei 168 Bits: Verwendung von 3 Schlüsseln K1, K2, K3 IDEA (International Data Encryption Standard): Nachfolger von DES mit 128 Bit Schlüssel zur Verschlüsselung von 64 Bit Eingaben Gruppenalgebra mit 8 Stufen (XOR, Addition Modulo 2 16, Multiplikation) Bislang keine Schwächen gefunden, dreifache DES Geschwindigkeit Vorteil DES/IDEA: Verschlüsselung und Entschlüsselung mit derselben Funktion Geeignet für HW-Implementierung O. Kao Systemaspekte Verteilter Systeme 6-4

3 AES (Advanced Encryption Standard ) Offizieller Nachfolger von DES und Ersatz der Zwischenlösung 3DES Verwendeter Algorithmus Rijndael wurde im von US National Institute of Standards and Technology veranstalten Wettbewerb ermittelt Eigenschaften von AES Symmetrischer Algorithmus Verwendet mindestens 128 Bit lange Blöcke und kann Schlüssel von 128, 192 und 256 Bit Länge einsetzen Kompakte Implementierung (< 500 Zeilen C-Code) ermöglicht Einsatz auch auf Chip-Karten, im WLAN Standard i, bei SSH und IPsec Grundlegende Funktionsweise Aufteilung des Textes in Blöcke und Anwendung verschiedener Transformationen Anwendung verschiedener Teile des Schlüssels auf die Blöcke Anzahl der Iterationen ist von der Schlüssel- und Blocklänge abhängig Informationen: O. Kao Systemaspekte Verteilter Systeme 6-5 Public-Key-Kryptografie Benutzer lässt ein Schlüsselpaar (Private Key K D, Public Key K E ) so erstellen, dass K D K E (m) = K E K D (m) = m Public Key wird veröffentlicht (Webseite, Keyserver, Mail, ) Jeder mögliche Sender kann diesen Schlüssel bekommen Private Key bleibt beim Benutzer und ist geheim Ablauf Sender verschlüsselt seine Nachricht m mit dem Public Key K E (m) Der Besitzer (und nur er) kann die Nachricht mit dem Schlüssel K D entschlüsseln Unsicherheit: Kommt die Nachricht tatsächlich vom angegebenen Empfänger? Signieren der Nachricht: Besitzer verschlüsselt seine Unterschrift mit seinem geheimen Schlüssel K D und anschließend die ganze Nachricht mit dem öffentlichen Schlüssel des Empfängers K E Empfänger entschlüsselt die Nachricht mit K D und verifiziert danach die Unterschrift, indem er den öffentlichen Schlüssel K E des Senders auf die Unterschrift anwendet O. Kao Systemaspekte Verteilter Systeme 6-6

4 Einwegfunktionen und digitale Signaturen Einwegfunktionen: Wird x mit der Einwegfunktion f verschlüsselt, so ist die Bestimmung von x aus dem Ergebnis f(x) praktisch unmöglich. Anwendung bei z.b. Verschlüsselung von Passwörtern Challenge/Response Verfahren auf Chip Karten Berechungsvorschrift f muss hier geheim gehalten werden Digitale Signaturen Eindeutige Senderidentifikation (E-Commerce, juristische Dokumente, ) Bearbeitung des Dokuments mit einer Einweg-Hash-Funktion, die eine Ausgabe fester Länge erzeugt MD5 (Message Digest): 16 Byte langes Ergebnis SHA (Secure Hash Algorithm): 20 Byte langes Ergebnis Signierung des Hash-Wertes (siehe RSA) Bei Ankunft wird der Hash-Wert berechnet Signatur wird entschlüsselt und die beiden Hash-Werte verglichen Keine Übereinstimmung Text und/oder Signatur manipuliert O. Kao Systemaspekte Verteilter Systeme 6-7 Zertifikate Digitales Zertifikat = Dokument mit kurzer, signierter Aussage Sollen die Identität des Kommunikationspartners sicherstellen, selbst wenn nie zuvor ein Kontakt stattgefunden hat Ein Zertifikat kann z.b. den Namen und Kontodaten eines Bankkunden beinhalten Legitimation für Händler, von diesem Konto abzubuchen Zertifikat wird mit dem privaten Schlüssel der Bank signiert Beweis für die Echtheit des Zertifikats (verwendeter Schlüssel tatsächlich der private Bankschlüssel)? Passender öffentlicher Schlüssel wird von einer autorisierten Agentur ausgeliefert Schwierigkeiten beim Einsatz von Zertifikaten Etablierung / Ausfindigmachen einer absolut vertrauenswürdigen Instanz Entziehen von Zertifikaten für einzelne Mitglieder ist oft mit großem Aufwand verbunden, da z.b. die Zertifikate aller anderen Mitglieder ausgetauscht werden müssen Verwendung von Ablaufdatum für die Gültigkeit des Zertifikats O. Kao Systemaspekte Verteilter Systeme 6-8

5 6.2 Authentifizierungsprotokoll von Needham und Schroeder Grundlage für viele Sicherheitstechniken, u.a. Kerberos Authentifizierung zwischen Clients und Servern in Intranets von einer einzigen Verwaltungsdomäne Authentifizierung und Schlüsselverteilung basierend auf einem Authentifizerungsserver Aufgaben des Authentifizerungsservers (AS) Bereitstellung einer sicheren Methode zur Erzeugung von gemeinsamen Schlüsseln Verteilung von geheimen Schlüsseln an Clients AS verwaltet eine Tabelle mit Namen und geheimen Schlüsseln für jeden in der Verwaltungsdomäne bekannten Prinzipal Der Schlüssel dient der Identifikation des Clients beim AS und der sicheren Kommunikation zwischen AS und Client Der Schlüssel wird nie dritten offen gelegt und wird höchstens einmal bei der Erzeugung übers Netz übertragen O. Kao Systemaspekte Verteilter Systeme 6-9 N-S-Authentifizierungsprotokoll mit geheimen Schlüsseln: Szenario Protokoll basiert auf Erstellen und Übertragen von Tickets durch AS Ticket: Verschlüsselte Nachricht mit geheimem Schlüssel für A<->B Header Message Notes 1. A AS: A, B, N A A requests AS to supply a key for communication with B. 2. AS A: {N A, B, K AB, {K AB, A} K B } KA 3. A B: {K AB, A} K A sends the ticket to B. B AS returns a message encrypted in A s secret key, containing a newly generated key K AB and a ticket encrypted in B s secret key. The nonce N A demonstrates that the message was sent in response to the preceding one. A believes that AS sent the message because only AS knows A s secret key. 4. B A: {N B decrypts the ticket and uses the new key K AB to B } K AB encrypt another nonce N B. 5. A B: {N B - 1} K A demonstrates to B that it was the sender of the AB previous message by returning an agreed transformation of N B. O. Kao Systemaspekte Verteilter Systeme 6-10

6 N-S-Authentifizierungsprotokoll mit geheimen Schlüsseln (2) N A, N B Einmalstempel zum Beweis der Aktualität einer Nachricht Schwäche des Protokolls B hat keinen Grund zu glauben, dass die Nachricht Nummer 3 aktuell ist. Falls es ein Angreifer schafft, den Schlüssel K AB zu erhalten und eine Kopie des Tickets {K AB, A} K B anzulegen, kann sich später als A ausgeben Lösung durch Hinzufügen von Einmalstempeln oder Zeitstempeln {K AB, A, t} K B mit einer Ablauffrist B entschlüsselt die Nachricht und überprüft, ob t aktuell ist Realisierung in Kerberos Wurde das Protokoll erfolgreich ausgeführt, so können sowohl A als auch B sicher sein, dass alle in K AB verschlüsselten und empfangenen Nachrichten von dem jeweiligen Partner stammten und nur von A,B und AS (vertrauenswürdig) verstanden werden O. Kao Systemaspekte Verteilter Systeme Kerberos Entwicklung der MIT für Authentifizierung und Sicherheit in Intranets, Version 5 gehört zum Internetstandard Voraussetzungen bei Entwicklung Universitätsnetzwerk mit 5000 Benutzern Vertrauenswürdigkeit der Clients und des Netzwerks ist nicht sichergestellt, z.b. Manipulation der Systemsoftware möglich Gut gewählte Passwörter vorhanden Kerberos kann nur einen Teil der Sicherheitsprobleme lösen Aufgabe von Kerberos: Authentifizierung von Benutzern/Prinzipalen Server verlangen bei jedem Zugriff (Dateizugriff bei NFS/AFS, Mailversand, Anmeldungen, Druckerdienste, ) ein Ticket vom Client Passwörter sind Benutzern und dem Kerberos-Authentifizierungsdienst bekannt Dienste haben geheime Schlüssel, die nur Kerberos und den Dienst bereitstellenden Servern bekannt sind O. Kao Systemaspekte Verteilter Systeme 6-12

7 Anmeldung mit Kerberos Meldet sich ein Benutzer an einer Workstation an, sendet das Anmeldeprogramm den Benutzernamen an den Kerberos- Authentifizierungsdienst Ist der Benutzer dem Authentifizierungsdienst bekannt, kommt eine Antwort mit Sitzungsschlüssel mit Einmalstempel, verschlüsselt mit dem Passwort des Benutzers Ticket für Ticketverteilungsdienst (Ticket-Granting Service, TGS) Anmeldeprogramm versucht mittels des aktuell eingegebenen Passworts, den Inhalt der Antwort zu entschlüsseln Bei Erfolg Überprüfung des Einmalstempels und ggf. Speicherung des Sitzungsschlüssels mit dem Ticket für weitere Kommunikation mit dem Ticketverteilungsdienst TGS Jetzt wird die temporäre Kopie des Passworts gelöscht und der Anmeldevorgang beendet Passwörter werden niemals übers Netz übertragen O. Kao Systemaspekte Verteilter Systeme 6-13 Zugriff auf andere Server Bei jedem Zugriff/Dienstanforderung verlangt der betroffene Server ein Ticket vom Client Das Clientprogramm fordert ein Ticket für den entsprechenden Sever beim Ticketverteilungsdienst TGS an Das erworbene Ticket wird zusammen mit einer neuen Authentifizierung verschlüsselt mit dem geheimen Schlüssel dieses Dienstes an den Serverdienst gesendet Serverdienst entschlüsselt das Ticket, überprüft die Haltbarkeitsdauer (Ticket abgelaufen?) und extrahiert einen Sitzungsschlüssel Der Sitzungsschlüssel wird zur Entschlüsselung der Authentifizierung eingesetzt Server überprüft, ob der Schlüssel bislang unbenutzt ist Login/Passwort des Benutzers zur Anmeldung nicht mehr notwendig O. Kao Systemaspekte Verteilter Systeme 6-14

8 Kerberos Sicherheitsobjekte Kerberos arbeitet mit 3 Arten von Sicherheitsobjekten 1. Ticket: Token, das vom Dienst TGS an Clients ausgegeben wird Präsentation an Server und Beweis, dass Client durch Kerberos authentifiziert wurde Beinhaltet Sitzungsschlüssel und Ablaufdatum 2. Authentifizierung: Einmaltoken, das vom Client erzeugt wird Beweist Identität des Benutzers und Aktualität der Kommunikation Verschlüsselter (Mit Sitzungsschlüssel) Clientname und Zeitstempel 3. Sitzungsschlüssel: Geheimer Schlüssel, der von Kerberos nach dem Zufallsprinzip erzeugt wird Wird zur Kommunikation mit einem bestimmten Server benutzt Clients müssen für jeden Server ein Ticket und einen Sitzungsschlüssel besitzen, welche die Lebensdauer von einigen Stunden haben O. Kao Systemaspekte Verteilter Systeme 6-15 Kerberos-Architektur Kerberos Key Distribution Centre Step A 1. Request for TGS ticket Authentication service A Authentication database Ticketgranting service T Client C 2. TGS ticket Login session setup Server session setup DoOperation Step B 3. Request for server ticket 4. Server ticket Step C 5. Service request Request encrypted with session key Reply encrypted with session key Service function Server S O. Kao Systemaspekte Verteilter Systeme 6-16

9 Bezeichnungen Die Kerberos-Architektur wird auch als KDC (Key Distribution Center, Schlüsselverteilungszentrum) bezeichnet Authentifizierungsdienst AS (Authentification Service): authentifiziert Benutzer bei Anmeldung netzwerksichere Passwortmethode Ticketerteilungsdienst TGS (Ticket Granting Service): Vergabe von Clienttickets und Sitzungsschlüsseln Vorgehensweise nach Needham-Schroeder-Protokoll Kerberos-Ticket für Zugriff des Clients C auf Server S hat die Form {C, S, t1, t2, K CS } KS mit t1 = Ab diesem Zeitpunkt ist das Ticket gültig t2 = Zeitpunkt, an dem das Ticket abläuft K CS = Schlüssel für Kommunikation zwischen C und S Abgekürzte Schreibweise {ticket(c,s)} KS O. Kao Systemaspekte Verteilter Systeme 6-17 Kerberos Szenario Kerberos-Sitzungsschlüssel und TGS-Ticket (Einmal pro Anmeldung) Nachricht 1 (C KDC) = Anforderung an AS zur Erstellung eines gültigen Tickets für die Kommunikation mit TGS Nachricht ist nicht verschlüsselt, enthält kein Passwort, lediglich Einmalstempel n zur Überprüfung der Gültigkeit der Antwort Einmalstempel n aus Datum und Uhrzeit schützt vor wiederholter Übergabe alter Nachrichten (im Netz aufgefangen, ggf. manipuliert) sowie Wiederverwendung alter Tickets von abgemeldeten Benutzern Nachricht 2 (Challenge, KDC C) {K CT,n} KC mit TGS-Sitzungsschlüssel, Ticket Verschlüsselt mit geheimem Schlüssel von KDC basierend auf Passwort Rückgabe {ticket(c, T)} KT mit T = Name des TGS, C = Clientname Angabe des Einmalstempels zeigt, dass Nachricht vom Empfänger der Nachricht 1 stammt, der K C kennen muss Diese Informationen sind nur dann sinnvoll, wenn der Empfänger den geheimen Schlüssel des Clients C (K C ) kennt Benutzer greifen auf die erstellten Tickets durch Angabe ihres Passworts, das vom Client C verifiziert wird O. Kao Systemaspekte Verteilter Systeme 6-18

10 Kerberos-Szenario: Verwendung des Tickets AS erstellt dem Client ein gültiges TGS-Ticket Client kann mit TGS kommunizieren und beliebig oft Tickets für weitere Server anfordern, bis das TGS-Ticket abgelaufen ist Anforderung eines Tickets für Server S (einmal pro Client/Server- Sitzung) Nachricht 3 (C T) = Anforderung an TGS bzgl. Ticket für Kommunikation mit S, Einmalstempel n wird erneut erstellt und mitgesendet Verschlüsselte Authentifizierung {C,n} KCT = {auth(c)} KCT Übermittlung des Tickets {ticket(c,t)} KT für die Kommunikation mit TGS Nachricht 4 (T C) mit Ticket für den Server S T überprüft das Ticket falls gültig, erzeugt T einen neuen zufälligen Sitzungsschlüssel {K CS,n} KCT und gibt ihn zusammen mit einem Ticket {ticket(c,s)} KS für S zurück Verschlüsselung mit geheimem Schlüssel K S des Servers S Jetzt ist der Client C bereit, Anforderungen an den Server S anzusetzen O. Kao Systemaspekte Verteilter Systeme 6-19 Kerberos-Szenario: Kommunikation mit dem Server S Client setzt eine Serveranforderung mit einem Ticket ab Nachricht 5: (C S) = Anforderung an S C sendet das Ticket mit einer neu erzeugten Authentifizierung für C und einer Anforderung an S Anforderung wird mit K CS verschlüsselt, falls Geheimhaltung erwünscht Außerdem wird ein Einmalstempel mitgeschickt, der vom Server zwecks Authentizitätssicherung zurückgesendet werden soll Ticket {ticket(c,s)} KS enthält den Sitzungsschlüssel, der zur Entschlüsselung der Authentifizierung genutzt wird Nachricht 6: (S C) mit verschlüsseltem Einmalstempel {n} Kcs O. Kao Systemaspekte Verteilter Systeme 6-20

11 Implementierung von Kerberos Implementierung als Server, der auf einer sicheren Maschine ausgeführt wird Verschlüsselung mit dem DES-Algorithmus (Ersetzung möglich) Skalierbarkeitsaspekte Domänenunterteilung in Authentifizierungsautoritäten (Realms) mit eigenem Kerberos-Server, Server sind aber in allen Domänen registriert Prinzipale nur in einer Domäne bekannt, können sich aber über ihre Kerberos-Server in anderen Domänen anmelden Innerhalb einer Domäne Mehrere Authentifizierungsserver mit replizierten Kopien derselben Authentifizierungsdatenbank Sicherheit von Kerberos hängt entscheidend von der Lebensdauer der Sitzungen ab Lang genug, um unpraktische Unterbrechungen der Arbeit zu vermeiden Kurz genug, so dass Benutzer mit nachträglich reduzierten Rechten, die ursprünglichen Rechte nur eine begrenzte Zeit noch nutzen können Beschränkung der Gültigkeitsdauer von TGS-Tickets auf wenige Stunden O. Kao Systemaspekte Verteilter Systeme Sichere Sockets mit SSL SSL-Protokoll (Secure Socket Layer): Einsatz für sichere Kommunikationsschicht zwischen existierenden Protokollen (z.b. https) De-facto Standard für Applikationen, die sichere Kanäle benötigen Entwickelt von Netscape, erweiterte Version TLS (Transport Layer Security) als Internetstandard verabschiedet (RFC 2246) Unterschiedliche Client-SW Notwendigkeit für abstimmbare Verschlüsselungs-/ Authentifizierungsalgorithmen Abstimmung über die verwendeten Algorithmen während des anfänglichen Handshakes zwischen den beteiligten Partnern Falls nicht genügend Algorithmen gemeinsam sind, schlägt der Verbindungsversuch fehl Vorgehensweise Unverschlüsselter Austausch für die anfängliche Kommunikation Anschließend Verschlüsselung mit öffentlichen Schlüsseln Falls notwendig: Austausch mit vereinbartem geheimem Schlüssel Der sichere Kanal ist vollständig konfigurierbar O. Kao Systemaspekte Verteilter Systeme 6-22

12 Aufbau von SSL: Schichtenmodell SSL Record Protocol (SSL Datensatzprotokoll) Schicht Schicht auf Sitzungsebene, transparente Übertragung von Daten, deren Geheimhaltung, Integrität und Authentizität garantiert werden muss Implementiert sicheren Kanal, verschlüsselt/authentifiziert Nachrichten, die über ein verbindungsorientiertes Protokoll übertragen werden SSL Handshake, SSL Change Cipher Spec, SSL Alert Protocol richten den sicheren Kanal zwischen zwei Partnern ein Jede sichere Sitzung enthält eine ID, die von jedem Partner im Cache abgelegt werden kann reduzierter Aufwand bei Wiederaufnahme SSL Handshake protocol SSL Change Cipher Spec SSL Alert Protocol HTTP Telnet SSL SSL Record Protocol Transport layer (z.b. TCP) Network layer (z.b. IP) O. Kao Systemaspekte Verteilter Systeme 6-23 SSL Handshake Protocol ClientHello ServerHello Establish protocol version, session ID, cipher suite, compression method, exchange random values Certificate Certificate Request ServerHelloDone Optionally send server certificate and request client certificate Client Certificate Server Send client certificate response if Certificate Verify requested Change Cipher Spec Finished Change cipher suite and finish handshake Change Cipher Spec Finished O. Kao Systemaspekte Verteilter Systeme 6-24

13 SSL Handshake Protocol (2) Handshake über eine bereits existierende Verbindung Client richtet SSL-Sitzung ein, indem die abgestimmten Optionen und Parameter für Verschlüsselung/Authentifizierung ausgetauscht werden Handshake-Abfolge variiert, je nach benötigter Authentifizierung Konfigurationsoptionen für Verschlüsselungen Chiffrefolge Auswahl für jede der drei Komponenten, wobei verschiedene bekannte Chiffrefolgen mit Standard-IDs vorab geladen sind Server zeigt seine Auswahl, Client wählt falls möglich eine aus Einigung auf Komprimierungsmethode, Startwert für Funktionen Komponente Schlüsselaustauschmethode Chiffre für Transport Nachrichten-Digest-Funktion Beschreibung Methode für Austausch eines Sitzungsschlüssels Für Daten verwendete Block- oder Stream-Chiffre Erstellen von Nachrichtenauthentifizierungscodes (MACs) Beispiel RSA mit Zertifikaten IDEA SHA O. Kao Systemaspekte Verteilter Systeme 6-25 SSL Handshake Protocol (3) Gegenseitige Authentifizierung der Partner durch Austausch von Zertifikaten mit öffentlichem Schlüssel, die von einer autorisierten zentralen Instanz erhalten oder für diesen Zweck erzeugt werden Ein Partner erzeugt ein Pre-Master-Geheimnis und versendet es mit dem öffentlichen Schlüssel verschlüsselt Großer Zufallswert zur Erzeugung der Sitzungsschlüssel nach gewählten Algorithmen für Verschlüsselung/Authentifizierung der Nachrichten Bestätigung der sicheren Sitzung Einsatz von Nachrichten mit dem Protokoll ChangeCipherSpec, gefolgt von Nachrichten finished Risiko bei sog. Mann-in-der-Mitte-Angriffen Angreifer fängt die erste Clientanforderung ab und gibt sich als Server aus Client nutzt öffentlichen Schlüssel des Angreifers für weiteren Austausch Zuverlässige Überprüfung des Kommunikationspartners erforderlich, z.b. Verschlüsselung der ersten Anforderung mit öffentlichen Schlüsseln bekannter Zertifikatautoritäten O. Kao Systemaspekte Verteilter Systeme 6-26

14 SSL Record Protocol Application data abcdefghi Fragment/combine Record protocol units abc def ghi Compressed units Compress MAC Hash Encrypt Encrypted Transmit TCP packet O. Kao Systemaspekte Verteilter Systeme 6-27 SSL Record Protocol (2) Arbeitsweise des Datensatzprotokolls Zerlegung der Nachricht in Blöcke sinnvoller Größer und ggf. Komprimierung Transformation für Verschlüsselung und Nachrichtenauthentifizierung gemäß der in der Chiffrefolge vereinbarten Algorithmen Der signierte und verschlüsselte Block wird dem Partner über die zugeordnete TCP-Verbindung übermittelt Das Handshake-Protokoll kann später wieder aufgerufen werden, um die Spezifikation des sicheren Kanals zu ändern O. Kao Systemaspekte Verteilter Systeme 6-28

15 6.5 Virtuelle private Netzwerke und Tunneling Kopplungsmöglichkeiten für verschiedene Standorte eines Unternehmens Öffentliche Internetverbindungen: Daten laufen über öffentliche / fremde Router Private Netzwerkverbindung: Unternehmen mietet Leitungen zwischen Standorten, die durch unternehmenseigene Router verbunden werden O. Kao Systemaspekte Verteilter Systeme 6-29 Virtual Private/Protected Network (VPN) Vor- und Nachteile privater Netzwerkverbindungen Keine Einsicht in die Daten von unternehmensfremden Komponenten Hohe Kosten und eventuell niedrige Auslastung der gemieteten Leitungen Erwünscht: Sichere (private) Verbindung zu niedrigen Kosten Mögliche Lösung: Virtuelles privates Netzwerk Software-basierte Lösung für die Übertragung von Unternehmensdaten so, dass die Daten für Dritte unsichtbar bleiben Aufbau Verwendung der lokalen Router der Standorte und der öffentlichen Verbindungen An jedem Standort wird ein Router ausgezeichnet, der die VPN Software ausführt Konfiguration der VPN Router so, dass alle VPN Router die Standorte aller anderen VPN Router kennen O. Kao Systemaspekte Verteilter Systeme 6-30

16 Funktionsweise VPN VPN Software übernimmt die Funktion eines Paketfilters: Nächster Hop für die entsprechenden ausgehenden Datagramme muss ein anderer VPN Router am anderen Standort des Unternehmens sein Simulation der direkten Verbindung Probleme mit gefälschten Adressen und unsicheren Übertragungswegen Notwendigkeit der Verschlüsselung Zusätzliche Funktion der VPN Software ist der Aufbau von Tunnels durch Verschlüsselung O. Kao Systemaspekte Verteilter Systeme 6-31 Tunneling Verschlüsselung des gesamten Datagramms nicht sinnvoll, da Router die Header-Informationen nicht interpretieren können Übertragung der Header im Klartext Quell- und Zieladressen sind für Außenstehenden erkennbar Ableitung von Informationen möglich Lösung: IP-in-IP Tunnel Sendende VPN Software verschlüsselt das gesamte Datagramm und packt es in ein anderes Datagramm Die Quell- und Zieladresse sind die Adressen der Router Zielrouter entschlüsselt die Daten und leitet diese an Zielrechner src = X dst = Y Originaldaten (unverschlüsselt) Verschlüsselte Originaldaten und -header src = Rout1 dst = Rout2 Verschlüsselte Originaldaten und -header O. Kao Systemaspekte Verteilter Systeme 6-32

17 Tunneling: Austausch von Schlüsseln Wie einigen sich die Endpunkte auf den zu verwendenden Verschlüsselungsmechanismus \ Schlüssel \? Persönliches Meeting der Verantwortlichen und direkte Vereinbarung der Verschlüsselung und der Schlüssel vor Inbetriebnahme von Außen nicht angreifbar, aber umständlich In den meisten Fällen wird mit einer Zertifizierungsstelle (Certification Authority) gearbeitet Auflistung von Zertifikaten mit Benutzerkennung, öffentlichem Schlüssel, Ablaufdatum des Schlüssels usw. Jedes Zertifikat ist mit einer Signatur versehen Überprüfung der Echtheit des gelieferten Zertifikats möglich Zertifizierungsstelle muss eine vollständige Kontrolle der Gültigkeit von aufzunehmenden Zertifikaten durchführen Zur Verteilung von öffentlichen Schlüsseln wird eine Infrastruktur für öffentliche Schlüssel PKI (Public Key Infrastructure) genutzt O. Kao Systemaspekte Verteilter Systeme 6-33 PKI Strukturierung von Komponenten (Benutzer, Zertifizierungsstellen, Zertifikate, Verzeichnisse), Entwicklung von Standards für Protokolle Hierarchisch organisiert: Oberste Zertifizierungsstelle zertifiziert regionale Stellen (z.b. der einzelnen Länder), die wiederum weitere Unterabteilungen (z.b. Universitäten) zertifizieren Vorgehensweise 1. Schrittweise Überprüfung der Zertifikate, bis die oberste Ebene erreicht ist (oberstes Zertifikat ist allen bekannt!) 2. Zertifizierungspfad (Chain of Trust): Jeder Benutzer stellt alle Zertifikate zusammen und versendet alle an den Kommunikationspartner zur Überprüfung häufig in Praxis, da zeitsparend Probleme Einigung auf oberste Autorität schwierig, daher Aufteilung auf viele Wurzeldienste Erhöhter Aufwand für Benutzer/Anwendung Aufbewahrung der Zertifikate: Eigener Dienst basierend z.b. auf LDAP oder Verknüpfung mit DNS O. Kao Systemaspekte Verteilter Systeme 6-34

18 Verschlüsselung der Daten im Tunnel Verschlüsselung von TCP/UDP Einfach, aber andere Protokolle und somit das Gesamtsystem bleiben angreifbar Verschlüsselung auf IP Ebene mit IPsec (IP Security), das Teil von IPv6 ist aber auch für IPv4 umgesetzt wurde Verschlüsselung auf Verbindungsebene mit PPTP (Point-to-Point Tunneling Protocol), das auf PPP (Point-to-Point Protocol) basiert IPsec (RFC 2401, 2402, 2406) Verbindungsorientiert (trotz IP!), Aufbau in zwei Komponenten 1. Zwei neue Header für Sicherheitskennung, Integrität, 2. Protokoll zur Einrichtung von Schlüsseln für die Kommunikation Optional durch Verwendung eines NULL-Algorithmus (RFC 2410) Zwei Übertragungsmodi Transportmodus: Zusätzlicher Header hinter IP Header und neue Protokollnummer Tunneling Modus: IP Header und alle Daten werden verschlüsselt und durch neuen Header gekapselt (siehe Tunneling) O. Kao Systemaspekte Verteilter Systeme 6-35 SSH Tunneling SSH Tunneling (SSH Port Forwarding): Übertragung von beliebigen TCP Verbindungen über den verschlüsselten SSH Kanal Beispiel Zugang auf Webseiten, die nur für Rechner aus dem lokalen Netz frei sind, z.b. Ausgabe: Zugriff verweigert, nur intern verfügbar Falls Zugangsrecht für eine andere Maschine (hier ra.rz) in dem zugelassenen Netzwerk existiert, lässt sich SSH Tunneling einsetzen 1. Einloggen über SSH auf ra.rz, Umleiten der Port 80 Ausgabe von netinfo.rz auf Port 8080 des lokalen Rechners, wobei die Daten SSH verschlüsselt übertragen werden ssh2 L 8080:netinfo.rz.tu-clausthal.de:80 ra.rz.tu-clausthal.de l inok Passwort:***** 2. Abhören des Ports 8080 auf der lokalen Maschine, z.b. Eintragen von 3. Ausgabe der umgeleiteten Seiten O. Kao Systemaspekte Verteilter Systeme 6-36

19 SSH Tunneling (2) Weitere Beispiele bei Zugriffen zu Intranet-Diensten von außerhalb, etwa Zugang zu Mails, obwohl kein direktes Einloggen auf dem Mailserver möglich (siehe z.b. Dienste, die an durch Firewall blockierte Ports horchen, werden über den üblicherweise nicht blockierten SSH Port umgeleitet Funktionsweise 1. Aufbau der sicheren SSH Verbindung zum Rechner im Intranet (hier ra.rz) 2. SSH Client bindet den angegebenen lokalen Port (hier 8080) an die Loopback Adresse des lokalen Rechners 3. Verbindungsaufbau von lokalen Anwendung an diesen Port (8080) wird akzeptiert (localhost:8080) 4. SSH Client verwendet verschlüsselten Kanal, um den Intranetrechner (ra.rz) anzusprechen und die Anweisung für Verbindungsaufbau mit Endrechner (netinfo.rz) zu übermitteln O. Kao Systemaspekte Verteilter Systeme 6-37 Funktionsweise SSH Tunneling (3) 5. Intranetrechner entschlüsselt die Anweisung und führt sie aus dem lokalen Netz aus (Übertragung unverschlüsselt) 6. Intranetrechner (ra.rz) empfängt alle Antwortdaten des Endrechners (netinfo.rz) über die lokale Verbindung, verschlüsselt diese und leitet sie 1:1 über den SSH Kanal an den lokalen Rechner 7. Lokaler Rechner bekommt die SSH Daten, entschlüsselt diese und leitet den Klartext an den angegebenen Port (hier 8080) 8. Lokale Anwendung liest die Daten von Port 8080 und stellt sie dar O. Kao Systemaspekte Verteilter Systeme 6-38

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.

Mehr

Denn es geht um ihr Geld:

Denn es geht um ihr Geld: Denn es geht um ihr Geld: [A]symmetrische Verschlüsselung, Hashing, Zertifikate, SSL/TLS Warum Verschlüsselung? Austausch sensibler Daten über das Netz: Adressen, Passwörter, Bankdaten, PINs,... Gefahr

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

Seminar Neue Techologien in Internet und WWW

Seminar Neue Techologien in Internet und WWW Seminar Neue Techologien in Internet und WWW Sicherheit auf der Anwendungsschicht: HTTP mit SSL, TLS und dabei verwendete Verfahren Christian Raschka chrisra@informatik.uni-jena.de Seminar Neue Internettechnologien

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

IT-Sicherheit Kapitel 11 SSL/TLS

IT-Sicherheit Kapitel 11 SSL/TLS IT-Sicherheit Kapitel 11 SSL/TLS Dr. Christian Rathgeb Sommersemester 2014 1 Einführung SSL/TLS im TCP/IP-Stack: SSL/TLS bietet (1) Server-Authentifizierung oder Server und Client- Authentifizierung (2)

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Verschlüsselung der Kommunikation zwischen Rechnern

Verschlüsselung der Kommunikation zwischen Rechnern Verschlüsselung der Kommunikation zwischen Rechnern Stand: 11. Mai 2007 Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung

Mehr

Digital Signature and Public Key Infrastructure

Digital Signature and Public Key Infrastructure E-Governement-Seminar am Institut für Informatik an der Universität Freiburg (CH) Unter der Leitung von Prof. Dr. Andreas Meier Digital Signature and Public Key Infrastructure Von Düdingen, im Januar 2004

Mehr

Verteilte Systeme. Sicherheit. Prof. Dr. Oliver Haase

Verteilte Systeme. Sicherheit. Prof. Dr. Oliver Haase Verteilte Systeme Sicherheit Prof. Dr. Oliver Haase 1 Einführung weitere Anforderung neben Verlässlichkeit (zur Erinnerung: Verfügbarkeit, Zuverlässigkeit, Funktionssicherheit (Safety) und Wartbarkeit)

Mehr

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC Modul 5: IPSEC Teil 1: Transport- und Tunnelmode / Authentication Header / Encapsulating Security Payload Security Association (SAD, SPD), IPsec-Assoziationsmanagements Teil 2: Das IKE-Protokoll Folie

Mehr

Web Service Security

Web Service Security Hochschule für Angewandte Wissenschaften Hamburg Fachbereich Elektrotechnik und Informatik SS 2005 Masterstudiengang Anwendungen I Kai von Luck Web Service Security Thies Rubarth rubart_t@informatik.haw-hamburg.de

Mehr

Seminar Internet-Technologie

Seminar Internet-Technologie Seminar Internet-Technologie Zertifikate, SSL, SSH, HTTPS Christian Kothe Wintersemester 2008 / 2009 Inhalt Asymmetrisches Kryptosystem Digitale Zertifikate Zertifikatsformat X.509 Extended-Validation-Zertifikat

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

Das Kerberos-Protokoll

Das Kerberos-Protokoll Konzepte von Betriebssystemkomponenten Schwerpunkt Authentifizierung Das Kerberos-Protokoll Referent: Guido Söldner Überblick über Kerberos Network Authentication Protocol Am MIT Mitte der 80er Jahre entwickelt

Mehr

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof Authentifizierung Benutzerverwaltung mit Kerberos Referent: Jochen Merhof Überblick über Kerberos Entwickelt seit Mitte der 80er Jahre am MIT Netzwerk-Authentifikations-Protokoll (Needham-Schroeder) Open-Source

Mehr

Rosa Freund SSL/TLS 26.10.2005 SSL/TLS 26.10.2005. Institut für Mathematik, TU Berlin. Rosa Freund -- rosa@pool.math.tu-berlin.de

Rosa Freund SSL/TLS 26.10.2005 SSL/TLS 26.10.2005. Institut für Mathematik, TU Berlin. Rosa Freund -- rosa@pool.math.tu-berlin.de 1 SSL/TLS 26.10.2005 Institut für Mathematik, TU Berlin Rosa Freund -- rosa@pool.math.tu-berlin.de 2 Übersicht Einführung SSL vs. TLS SSL: Anwendung und PKI SSL Protokoll: Record Protocol und Handshake

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 4: SSL/TLS Dr. Erwin Hoffmann

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 4: SSL/TLS Dr. Erwin Hoffmann Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009 IT-Security Teil 4: SSL/TLS Dr. Erwin Hoffmann E-Mail: it-security@fehcom.de Secure Socket Layer (SSL) Tranport Layser Security (TLS)

Mehr

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme - IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 12: Netzsicherheit - Schicht 4: Transport Layer / TLS 1 Inhalt Transport Layer Funktionen Secure Socket Layer (); Transport Layer Security (TLS)

Mehr

Ausarbeitung zum Vortrag. Secure Socket Layer. von Jelle Hellmann im Rahmen der Vorlesung Sicherheit in Datennetzen von Herrn Prof.

Ausarbeitung zum Vortrag. Secure Socket Layer. von Jelle Hellmann im Rahmen der Vorlesung Sicherheit in Datennetzen von Herrn Prof. Ausarbeitung zum Vortrag Secure Socket Layer von Jelle Hellmann im Rahmen der Vorlesung Sicherheit in Datennetzen von Herrn Prof. Schäfer an der im WS 2004/2005 Inhaltsverzeichnis: INHALTSVERZEICHNIS:...

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10

Mehr

SSL Algorithmen und Anwendung

SSL Algorithmen und Anwendung SSL Algorithmen und Anwendung Stefan Pfab sisspfab@stud.uni-erlangen.de Abstract Viele Anwendungen erfordern nicht nur eine eindeutige und zuverlässige Identifizierung der an einer Kommunikation beteiligten

Mehr

Secure Socket Layer v. 3.0

Secure Socket Layer v. 3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer v. 3.0 (SSLv3) Zheng Yao 05.07.2004-1 - 1. Was ist SSL? SSL steht für Secure Socket Layer, ein Protokoll zur Übertragung

Mehr

Sichere Abwicklung von Geschäftsvorgängen im Internet

Sichere Abwicklung von Geschäftsvorgängen im Internet Sichere Abwicklung von Geschäftsvorgängen im Internet Diplomarbeit von Peter Hild Theoretische Grundlagen der Kryptologie Vorhandene Sicherheitskonzepte für das WWW Bewertung dieser Konzepte Simulation

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

> Verteilte Systeme Übung 10 Deadlocks, Fehler, Security Philipp Kegel Sommersemester 2012

> Verteilte Systeme Übung 10 Deadlocks, Fehler, Security Philipp Kegel Sommersemester 2012 > Verteilte Systeme Übung 10 Deadlocks, Fehler, Security Philipp Kegel Sommersemester 2012 Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster

Mehr

Ein Überblick über Security-Setups von E-Banking Websites

Ein Überblick über Security-Setups von E-Banking Websites Ein Überblick über Security-Setups von E-Banking Websites Stefan Huber www.sthu.org Linuxwochen Linz 2015 31. Mai 2015 Basierend auf Testergebnissen vom 28.03.2015 aus https://www.sthu.org/blog/11-tls-dnssec-ebanking/

Mehr

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis Wie Interoperabel ist IPsec? Ein Erfahrungsbericht Arturo Lopez Senior Consultant März 2003 Agenda Internet Protokoll Security (IPsec) implementiert Sicherheit auf Layer 3 in OSI Modell Application Presentation

Mehr

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS Digitale Signatur Digitale Signatur kombiniert Hash Funktion und Signatur M, SIGK(HASH(M)) wichtige Frage: Wie wird der Bithaufen M interpretiert Struktur von M muss klar definiert sein Wie weiss ich,

Mehr

IT-Sicherheitsmanagement Teil 8: Einführung in die Kryptographie

IT-Sicherheitsmanagement Teil 8: Einführung in die Kryptographie IT-Sicherheitsmanagement Teil 8: Einführung in die Kryptographie 28.04.15 1 Literatur I mit ein paar Kommentaren [8-1] Burnett, Steve; Paine, Spephen: Kryptographie. RSA Security s Official Guide. RSA

Mehr

Keynote. SSL verstehen. Prof. Dr. Peter Heinzmann

Keynote. SSL verstehen. Prof. Dr. Peter Heinzmann ASec IT Solutions AG "Secure SSL" Tagung 9. September 2005, Hotel Mövenpick Glattbrugg Keynote SSL verstehen Prof. Dr. Peter Heinzmann Institut für Internet-Technologien und Anwendungen, HSR Hochschule

Mehr

IT-Sicherheit: Übung 6

IT-Sicherheit: Übung 6 IT-Sicherheit: Übung 6 Zertifikate, Kryptographie (Diffie-Hellman), Sicherheitsprotokolle (SSL/TLS) Zertifikate! Problem: Woher weiß Bob, dass K E Alice zu Alice gehört?! Persönlicher Austausch des öffentlichen

Mehr

Emailverschlüsselung mit Thunderbird

Emailverschlüsselung mit Thunderbird Emailverschlüsselung mit Thunderbird mit einer kurzen Einführung zu PGP und S/MIME Helmut Schweinzer 3.11.12 6. Erlanger Linuxtag Übersicht Warum Signieren/Verschlüsseln Email-Transport Verschlüsselung

Mehr

Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen

Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen Digital Rights Management 4FriendsOnly.com Internet Technologies AG Vorlesung im Sommersemester an der Technischen Universität Ilmenau

Mehr

Kryptographische Verfahren. zur Datenübertragung im Internet. Patrick Schmid, Martin Sommer, Elvis Corbo

Kryptographische Verfahren. zur Datenübertragung im Internet. Patrick Schmid, Martin Sommer, Elvis Corbo Kryptographische Verfahren zur Datenübertragung im Internet Patrick Schmid, Martin Sommer, Elvis Corbo 1. Einführung Übersicht Grundlagen Verschlüsselungsarten Symmetrisch DES, AES Asymmetrisch RSA Hybrid

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage. RAM empfohlen. RAM maximal

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage. RAM empfohlen. RAM maximal 1. HANDLUNGSSCHRITT Aufgabe 13 Betriebssystem Prozessortakt RAM empfohlen RAM maximal Installationsgröße SMP Anzahl Prozessoren Windows 7 Ultimate 2008 Web 2008 Standard 2008 Enterprise 2008 Datacenter

Mehr

Vortrag Keysigning Party

Vortrag Keysigning Party Vortrag Keysigning Party Benjamin Bratkus Fingerprint: 3F67 365D EA64 7774 EA09 245B 53E8 534B 0BEA 0A13 (Certifcation Key) Fingerprint: A7C3 5294 E25B B860 DD3A B65A DE85 E555 101F 5FB6 (Working Key)

Mehr

Kryptographie praktisch erlebt

Kryptographie praktisch erlebt Kryptographie praktisch erlebt Dr. G. Weck INFODAS GmbH Köln Inhalt Klassische Kryptographie Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Digitale Signaturen Erzeugung gemeinsamer Schlüssel

Mehr

Virtual Private Network. David Greber und Michael Wäger

Virtual Private Network. David Greber und Michael Wäger Virtual Private Network David Greber und Michael Wäger Inhaltsverzeichnis 1 Technische Grundlagen...3 1.1 Was ist ein Virtual Private Network?...3 1.2 Strukturarten...3 1.2.1 Client to Client...3 1.2.2

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

Beweisbar sichere Verschlüsselung

Beweisbar sichere Verschlüsselung Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 12

Mehr

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten Versuch: Eigenschaften einer Unterhaltung Instant Messaging Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten welche Rollen gibt es in einem IM-System? Analysieren

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein

im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein VoIP-Verschlüsselung Verschlüsselung im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein Einordnung VoIP in DFNFernsprechen VoIP seit 5 Jahren im DFN verfügbar VoIP ist Teil des Fernsprechdienstes DFNFernsprechen

Mehr

Vertrauenswürdige Kommunikation in verteilten Systemen

Vertrauenswürdige Kommunikation in verteilten Systemen Vertrauenswürdige Kommunikation in verteilten Systemen Teil I Kryptographische Grundlagen Vertrauensmodelle Kerberos Teil II IPSec AH/ESP IKE Szenario Alice möchte Bob vertraulich eine Nachricht (typischerweise

Mehr

Rainbow Technologies GmbH. Bedeutung von SSL in Ihrem Unternehmen

Rainbow Technologies GmbH. Bedeutung von SSL in Ihrem Unternehmen Rainbow Technologies GmbH Markus Kahmen Bedeutung von SSL in Ihrem Unternehmen Thursday, April 19, 2001 http://europe.rainbow.com 1 Das Internet Die Internet-Ära verspricht für die nächsten 10 Jahre mehr

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Übersicht Einleitung IPSec SSL RED Gegenüberstellung Site-to-Site VPN Internet LAN LAN VPN Gateway VPN Gateway Encrypted VPN - Technologien Remote

Mehr

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine)

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine) Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen Vorlesung im Sommersemester 2010 an der Technischen Universität Ilmenau von Privatdozent Dr.-Ing. habil. Jürgen

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Sichere Netzwerke mit IPSec. Christian Bockermann

Sichere Netzwerke mit IPSec. Christian Bockermann <christian@ping.de> Sichere Netzwerke mit IPSec Christian Bockermann Überblick Gefahren, Ziele - Verschlüsselung im OSI-Modell IPSec - Architektur - Schlüssel-Management - Beispiele Unsichere Kommunikation

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

7. Sicherheit (Security) 7.1 Bedrohungen & Angriffsarten

7. Sicherheit (Security) 7.1 Bedrohungen & Angriffsarten 7. Sicherheit (Security) 7.1 Bedrohungen & Angriffsarten Bedrohungen (Threats): - unbefugter Zugriff auf Informationen und Dienste (Interception), - Beeinflussung der Leistungsfähigkeit eines Systems (Interruption):

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

Sicherheit in Netzen und verteilten Systemen Prof. Dr. Stefan Fischer. Überblick. Anordnung der Techniken

Sicherheit in Netzen und verteilten Systemen Prof. Dr. Stefan Fischer. Überblick. Anordnung der Techniken TU Braunschweig Institut für Betriebssysteme und Rechnerverbund Sicherheit in Netzen und verteilten Systemen Kapitel 6: Protokolle und Anwendungen Wintersemester 2002/2003 Überblick sec Authentisierungsanwendungen

Mehr

Seminarvortrag Secure NFS

Seminarvortrag Secure NFS Seminarvortrag Secure NFS Michael Stilkerich michael.stilkerich@informatik.stud.uni-erlangen.de am 12. Mai 2003 Einleitung Das Network File System ist ein sehr eleganter Weg, gemeinsam genutzte Dateisysteme

Mehr

HTWK Leipzig. Matthias Jauernig. Die Secure Shell

HTWK Leipzig. Matthias Jauernig. Die Secure Shell LV Kryptologie WS06/07, HTWK Leipzig Matthias Jauernig 12.12.06 SSH Die Secure Shell Inhalt 1. Motivation 2. Historie 3. Funktionsweise von SSH-2 4. Das OpenSSH Programmpaket 5. Schlussbemerkungen, Links

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

Mehr Sicherheit durch PKI-Technologie

Mehr Sicherheit durch PKI-Technologie Mehr Sicherheit durch PKI-Technologie Verschlüsselung allgemein Die 4 wichtigsten Bedingungen Bei einer Übertragung von sensiblen Daten über unsichere Netze müssen folgende Bedingungen erfüllt sein: Vertraulichkeit

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

Rechneranmeldung mit Smartcard oder USB-Token

Rechneranmeldung mit Smartcard oder USB-Token Rechneranmeldung mit Smartcard oder USB-Token Verfahren zur Authentifizierung am Rechnersystem und angebotenen Diensten, SS2005 1 Inhalt: 1. Systemanmeldung 2. Grundlagen 3. Technik (letzte Woche) 4. Standards

Mehr

Workshop: IPSec. 20. Chaos Communication Congress

Workshop: IPSec. 20. Chaos Communication Congress Cryx (cryx at h3q dot com), v1.1 Workshop: IPSec 20. Chaos Communication Congress In diesem Workshop soll ein kurzer Überblick über IPSec, seine Funktionsweise und Einsatzmöglichkeiten gegeben werden.

Mehr

Martin Vorländer PDV-SYSTEME GmbH

Martin Vorländer PDV-SYSTEME GmbH SSH - eine Einführung Martin Vorländer PDV-SYSTEME GmbH Das Problem TCP/IP-Dienste (z.b. Telnet, FTP, POP3, SMTP, r Services, X Windows) übertragen alle Daten im Klartext - auch Passwörter! Es existieren

Mehr

Secure Socket Layer V.3.0

Secure Socket Layer V.3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer V.3.0 (SSLv3) Zheng Yao 05.07.2004 1 Überblick 1.Was ist SSL? Bestandteile von SSL-Protokoll, Verbindungherstellung

Mehr

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien IPsec Vortrag im Rahmen des Seminars Neue Internet Technologien Friedrich Schiller Universität Jena Wintersemester 2003/2004 Thomas Heinze, Matrikel xxxxx Gliederung IPsec? - Motivation, Grundbegriffe,

Mehr

SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY. Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr.

SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY. Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr. SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY 1 Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr. Bernd Borchert GLIEDERUNG 1. Motivation Gründe für die Entwicklung Ideen für

Mehr

Hacken von implementierungsspezifischen! SSL-Schwachstellen

Hacken von implementierungsspezifischen! SSL-Schwachstellen Hacken von implementierungsspezifischen! SSL-Schwachstellen Basic-Constraints-Schwachstelle Null-Präfix-Attacke Thomas Konrad, FH St. Pölten, Studiengang IT Security, is072033@fhstp.ac.at Wozu SSL? Authentizität

Mehr

Vorlesung Kryptographie

Vorlesung Kryptographie Vorlesung Kryptographie Teil 2 Dr. Jan Vorbrüggen Übersicht Teil 1 (Nicht-) Ziele Steganographie vs. Kryptographie Historie Annahmen Diffie-Hellman Angriffe Teil 2 Symmetrische Verfahren Asymmetrische

Mehr

VPN (Virtual Private Network)

VPN (Virtual Private Network) VPN (Virtual Private Network) basierend auf Linux (Debian) Server Praktikum Protokolle Bei Prof. Dr. Gilbert Brands Gliederung Gliederung 1. Was ist VPN 2. VPN-Implementierungen 3. Funktionsweise von OpenVPN

Mehr

SECURE DATA DRIVE CLIENTSEITIGE VERSCHLÜSSELUNG Technical Insight, Oktober 2014 Version 1.0

SECURE DATA DRIVE CLIENTSEITIGE VERSCHLÜSSELUNG Technical Insight, Oktober 2014 Version 1.0 SECURE DATA DRIVE CLIENTSEITIGE VERSCHLÜSSELUNG Technical Insight, Oktober 2014 Version 1.0 mit den eingetragenen Materialnummern Inhalt Inhalt... 2 1 Vorwort... 3 2 Allgemeines zur Verschlüsselung...

Mehr

Kerberos: Prinzip und Umsetzung. Sascha Klopp

Kerberos: Prinzip und Umsetzung. Sascha Klopp Kerberos: Prinzip und Umsetzung Sascha Klopp Inhalt Prinzip Umsetzung Anwendungen Vor- und Nachteile Sascha Klopp, Kerberos: Prinzip und Umsetzung, 18.11.2008 Seite 2 Historie Das Kerberos-Protokoll wurde

Mehr

IT-Sicherheit Kapitel 3 Public Key Kryptographie

IT-Sicherheit Kapitel 3 Public Key Kryptographie IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

Exkurs: IPSec. <muehlber@fh-brandenburg.de> Brandenburg an der Havel, den 5. Juni 2005 Exkurs: IPSec Brandenburg an der Havel, den 5. Juni 2005 1 Gliederung 1. IPSec: Problem und Lösung 2. Übertragungsmodi 3. Encapsulating Security Payload 4. Authentication Header

Mehr

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen Immo FaUl Wehrenberg immo@ctdo.de Chaostreff Dortmund 16. Juli 2009 Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit

Mehr

Allgemeine Erläuterungen zu

Allgemeine Erläuterungen zu en zu persönliche Zertifikate Wurzelzertifikate Zertifikatssperrliste/Widerrufsliste (CRL) Public Key Infrastructure (PKI) Signierung und Verschlüsselung mit S/MIME 1. zum Thema Zertifikate Zertifikate

Mehr

Internet Security: Verfahren & Protokolle

Internet Security: Verfahren & Protokolle Internet Security: Verfahren & Protokolle 39 20 13 Vorlesung im Grundstudium NWI (auch MGS) im Sommersemester 2003 2 SWS, Freitag 10-12, H10 Peter Koch pk@techfak.uni-bielefeld.de 20.06.2003 Internet Security:

Mehr

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure)

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Unterrichtseinheit 5: Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Verschlüsselung mit öffentlichen Schlüsseln ist eine bedeutende Technologie für E- Commerce, Intranets,

Mehr

Virtuelle Private Netzwerke

Virtuelle Private Netzwerke Virtuelle Private Netzwerke VPN Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX: (0231)755-4902

Mehr

Rechnernetze II SS 2015. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404

Rechnernetze II SS 2015. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Rechnernetze II SS 2015 Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Stand: 14. Juli 2015 Betriebssysteme / verteilte Systeme Rechnernetze

Mehr

SSL/TLS: Ein Überblick

SSL/TLS: Ein Überblick SSL/TLS: Ein Überblick Wie funktioniert das sichere Internet? Dirk Geschke Linux User Group Erding 28. März 2012 Dirk Geschke (LUG-Erding) SSL/TLS 28. März 2012 1 / 26 Gliederung 1 Einleitunng 2 Verschlüsselung

Mehr

Daten-Kommunikation mit crossinx

Daten-Kommunikation mit crossinx Daten-Kommunikation mit Datenübertragung.doc Seite 1 von 8 Inhaltsverzeichnis 1 Einführung... 3 1.1 Datenübertragung an... 3 1.2 Datenversand durch... 3 2 X.400... 4 3 AS2... 4 4 SFTP (mit fester Sender

Mehr

Sicherheitskonzept und Sicherheitspru fung. Internetanbindung Befundserver MVZ Labor PD Dr. Volkmann und Kollegen GbR

Sicherheitskonzept und Sicherheitspru fung. Internetanbindung Befundserver MVZ Labor PD Dr. Volkmann und Kollegen GbR Sicherheitskonzept und Sicherheitspru fung Internetanbindung Befundserver MVZ Labor PD Dr. Volkmann und Kollegen GbR Einführung Die Firma MVZ Labor PD Dr. Volkmann und Kollegen GbR, nachstehend als Labor

Mehr

Informationen zur sicheren E-Mail-Kommunikation. Unternehmensgruppe ALDI SÜD

Informationen zur sicheren E-Mail-Kommunikation. Unternehmensgruppe ALDI SÜD Informationen zur sicheren E-Mail-Kommunikation Unternehmensgruppe ALDI SÜD Sichere E-Mail-Kommunikation Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep-2011. Tatjana Heuser: Systemverwaltung

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep-2011. Tatjana Heuser: Systemverwaltung Systemverwaltung Tatjana Heuser Sep-2011 Anmeldung über Netz Secure Socket Layer Secure Shell Intro Client-Server SSH 1 Verbindungsaufbau SSH 2 Verbindungsaufbau Konfiguration Serverseite ssh Configuration

Mehr

UH-CA: Zertifikate für digitale Signaturen und Verschlüsselung an der Universität Hannover

UH-CA: Zertifikate für digitale Signaturen und Verschlüsselung an der Universität Hannover UH-CA: Zertifikate für digitale Signaturen und Verschlüsselung an der Universität Hannover Sicherheitstage WS 04/05 Birgit Gersbeck-Schierholz, RRZN Einleitung und Überblick Warum werden digitale Signaturen

Mehr

Ich hab doch nichts zu verbergen... Der gläserne Bürger: Wieviel Daten braucht der Staat?

Ich hab doch nichts zu verbergen... Der gläserne Bürger: Wieviel Daten braucht der Staat? 1 / 32 Veranstaltungsreihe Ich hab doch nichts zu verbergen... Der gläserne Bürger: Wieviel Daten braucht der Staat? Veranstalter sind: 15. Mai bis 3. Juli 2008 der Arbeitskreis Vorratsdatenspeicherung

Mehr

9 Schlüsseleinigung, Schlüsselaustausch

9 Schlüsseleinigung, Schlüsselaustausch 9 Schlüsseleinigung, Schlüsselaustausch Ziel: Sicherer Austausch von Schlüsseln über einen unsicheren Kanal initiale Schlüsseleinigung für erste sichere Kommunikation Schlüsselerneuerung für weitere Kommunikation

Mehr

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann WS-05 / V2-20.205.1 In Zusammenarbeit mit dem CAST-Forum Dr. Wolfgang Böhmer Skript: http://www.cdc.informatik.tu-darmstadt.de/~wboehmer/

Mehr

Exkurs Kryptographie

Exkurs Kryptographie Exkurs Kryptographie Am Anfang Konventionelle Krytographie Julius Cäsar mißtraute seinen Boten Ersetzen der Buchstaben einer Nachricht durch den dritten folgenden im Alphabet z. B. ABCDEFGHIJKLMNOPQRSTUVWXYZ

Mehr

Connectivity Everywhere

Connectivity Everywhere Connectivity Everywhere Ich bin im Netz, aber wie komme ich sicher nach hause? Tricks fuer mobile Internet Nutzer Überblick Sicherheitsprobleme beim mobilen IP-Nutzer Konventionelle Loesung: IP-Tunnel

Mehr

IT-Sicherheit WS 2013/14. Übung 11. zum 30. Januar 2014

IT-Sicherheit WS 2013/14. Übung 11. zum 30. Januar 2014 Prof. Dr. C. Eckert Thomas Kittel IT-Sicherheit WS 2013/14 Übung 11 zum 30. Januar 2014 Institut für Informatik Lehrstuhl für Sicherheit in der Informatik 1 SSL/TLS in VoIP In Voice-over-IP (VoIP) Kommunikation

Mehr