Benutzer- und Datensicherheit. Ralf Abramowitsch Vector Informatik GmbH

Transkript

1 Benutzer- und Datensicherheit Ralf Abramowitsch Vector Informatik GmbH

2 Authentifizierung vs. Autorisierung IIdentity vs. IPrincipal Verschlüsseln und Entschlüsseln von Daten Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Berechnung von Hashwerten

3

4 Schnittstelle IIdentity WindowsIdentity-Klasse Repräsentiert einen Windows-Benutzer GenericIdentity-Klasse Repräsentiert einen generischen Benutzer Eigene Implementierung möglich

5 WindowsIdentity Repräsentiert einen Windows-Benutzer GetAnonymous() anonymer Benutzer GetCurrent() aktueller Benutzer Impersonate() bestimmter Benutzer im System

6 WindowsIdentity Eigenschaften AuthenticationType (z.b. NTLM) IsAnonymous IsAuthenticated IsGuest IsSystem Name (z.b. DOMAIN\Benutzername ) Token (Authentifizierungstoken, int-wert)

7 IPrincipal WindowsPrincipal GenericPrincipal Eigene Principal-Implementierung möglich Beispiel: Abbilden von Hierarchien

8 WindowsPrincipal Zugriff auf Gruppenzugehörigkeit des Benutzers Zum Erzeugen wird WindowsIdentity benötigt: Codebeispiel: WindowsIdentity identity = WindowsIdentity.GetCurrent(); WindowsPrincipal principal = new WindowsPrincipal(identity);

9 WindowsPrincipal IsInRole() Gruppenzugehörigkeit prüfen WindowsIdentity aktuelleidentitaet = WindowsIdentity.GetCurrent(); WindowsPrincipal principal = new WindowsPrincipal(aktuelleIdentitaet); if (principal.isinrole(windowsbuiltinrole.administrator)) { Console.WriteLine("Benutzer ist in der Gruppe Administratoren."); } // Prüfen, ob der Benutzer in der Domäne MEINEDOMÄNE der Gruppe // Entwickler zugewiesen ist if (principal.isinrole(@"meinedomäne\entwickler")) { Console.WriteLine("Benutzer ist in der Gruppe Entwickler"); }

10 Erstellen eines Programms, das die Gruppenzugehörigkeit des aktuellen Benutzers ausgibt. Ausgabe: Name des Benutzers Authentifizierungstype des Benutzers Gruppen des Benutzers

11 PrincipalPermission und PrincipalPermissionAttribute Authenticated Name Role Lösen SecurityException aus, wenn Principal nicht den Anforderungen entspricht

12 PrincipalPermission [PrincipalPermission(SecurityAction.Demand, Role = "Admin")] static bool ResetPasswords() { Console.WriteLine("Kennwörter zurücksetzen:"); // hier passiert noch irgendwas mit den Kennwörtern return true; }

13 Symmetrische Verschlüsselung Ein Schlüssel zum Ver- und Entschlüsseln Algorithmen AES (Advanced Encryption Standard: Rijndael) Bits RC2 (Rivest Cipher) Variable Schlüssellänge DES (Data Encryption Standard) 56 Bits TripleDES (3xDES ) 156 Bits

14 Symmetrische Verschlüsselung

15 SymmetricAlgorithm Wichtige Eigenschaften Eigenschaft Blocksize IV Key KeySize Beschreibung Blockgröße der kryptografischen Operation Setzt den Initialisierungsvektor oder gibt ihn zurück. Setzt den geheimen Schlüssel des symmetrischen Algorithmus oder ruft ihn ab. (falls keiner angegeben wird, wird er generiert) Setzt die Länge des geheimen Schlüssels oder ruft ihn an.

16 SymmetricAlgorithm Wichtige Methoden Methode CreateDecryptor CreateEncryptor GenerateIV GenerateKey Beschreibung Erstellt aus den aktuellen Schlüssel und Initialisierungsvektor ein symmetrisches Decryptor-Objekt vom Typ ICryptoTransform zur Entschlüsselung des CryptoStreams. Erstellt aus dem aktuellen Schlüssel und Initialisierungsvektor ein symmetrisches Encryptor-Objekt vom Typ ICryptoTransform. Generiert einen zufälligen Initialisierungsvektor. Generiert einen zufälligen Schlüssel.

17 Erzeugen eines Kennworts Benutzereingaben können selten verwendet werden Einschränkung des Algorithmus (z.b. Schlüssellänge) Verwendung von Klassen zum Erzeugen von Schlüsseln nach RFC2898 (Passwortbasierte Kryptographie)

18 Rfc2898DerivedBytes-Klasse Salt Initialisierungsvektor Zahl der Iterationen Passwort

19 Rfc2898DerivedBytes-Klasse string password = "Mein geheimes Passwort"; byte[] salt = Encoding.Unicode.GetBytes("Mein cooler Salt"); int nriterations = 10; Rfc2898DeriveBytes rfc2898derivebytes = new Rfc2898DeriveBytes( password, salt, nriterations); byte[] passwordbytes = rfc2898derivebytes.getbytes(keysizeinbyte);

20 Symmetrische Verschlüsselung Anleitung 1. Anlegen eines Stream-Objekts aus dem die unverschlüsselten Daten gelesen werden 2. Anlegen eines Objekts vom Typ SymmetricAlgorithm (z.b. RijndaelManaged) 3. Anlegen eines Schlüssels und des Initialisierungsvektors (siehe oben) 4. Aufrufen der Methode CreateEncryptor (zum Verschlüsseln) bzw. CreateDecryptor (zum Entschlüsseln), um ein ICryptoTransform-Objekt anzulegen 5. Anlegen eines CryptoStream-Objekts Dem Konstruktor des CryptoStream-Objekts wird dabei ein Stream übergeben, in den die verschlüsselten Daten geschrieben werden sollen, sowie das ICryptoTransform-Objekt und ein Wert der Enumeration CryptoStreamMode (CryptoStreamMode.Write). 6. Schreiben in das CryptoStream-Objekt

21 Codebeispiel

22 Schreiben eines Kommandozeilen- Programms: Encryptor.exe [Mode] [Input] [Output] [Passwort] Mode = Encrypt Decrypt Passwort = Password Input = Eingabe-Datei Output = Verschlüsselte Datei (Mode = Encrypt)

23 Asymmetrische Verschlüsselung Privater und öffentlicher Schlüssel (Public Key)

24 Asymmetrische Verschlüsselung

25 AsymmetricAlgorithm besitzt keine direkt nutzbare Funktionalität RSACryptoServiceProvider Asymmetrische Verschlüsselung über RSA- Algorithmus DSACryptoServiceProvider Digitales Signieren von Daten

26 RSACryptoServiceProvider Eigenschaften Eigenschaft PersistKeyInCsp UseMachineKey Store Beschreibung Ermittelt oder ändert den Wert der festlegt, ob der Schlüssel im CSP (Cryptographic Service Provider) dauerhaft gespeichert wird. Schlüssel im Benutzerprofil oder im Schlüsselspeicher des Computers speichern

27 RSACryptoServiceProvider Methoden Methode Decrypt Encrypt ExportParameters ImportParameters FromXmlString ToXmlString SignData SignHash Beschreibung Entschlüsselt Daten mit dem RSA-Algorithmus Verschlüsselt Daten mit dem RSA-Algorithmus Exportiert die RSAParameters-Struktur, die das Schlüsselpaar des Algorithmus definiert. Importiert einen öffentlichen Schlüssel oder ein Schlüsselpaar aus einem RSAParameters-Objekt Importiert ein Schlüsselpaar aus einem XML-String. Exportiert ein Schlüsselpaar in einen XML-String. Berechnet den Hashwert über die angegebenen Daten und speichert die Signatur im Byte-Array. Berechnet die Signatur über einen angegebenen Hashwert, indem der Wert mit dem privaten Schlüssel verschlüsselt wird.

28 Abstrakte Implementierung Beschreibung Klasse MD5 MD5CryptoServiceProvi der MD steht für den Message Digest Algorithmus. Die Hashgröße beträgt 128 Bits. RIPEMD160 RIPEMD160Managed Verwendet den MD160-Algorithmus. Die Hashgröße beträgt 160 Bits. SHA1 SHA1CryptoServiceProv ider SHA steht für Secure Hash Algorithm. Die Hashgröße beträgt 160 Bits. SHA256 SHA256Managed Die Hashgröße beträgt 256 Bits. SHA384 SHA384Managed Die Hashgröße beträgt 384 Bits. SHA512 SHA512Managed Die Hashgröße beträgt 512 Bits.