Security Datenschutz

Transkript

1 Security Datenschutz

2 Risiken Arten: Info in falsche Hände (Kopien, Mitlesen...) Kenntnis nur wenn nötig Info unbemerkt verändern (Man in the middle) Falsche Info verbreiten (Authenzität) Punkte: Speichern, Archivierung (PC HD, Memory Stick, Server, Papierordner, CD, Backup-Tapes) Übertragung (Web, , Briefkasten, Fächli,...) Mögliche konkrete Gefahren: Wo werden Daten abgelegt (Computer, Memory Stick, Handy, CD, Server,...) Wer hat Zugriff darauf? (Administrator, Service Provider, Alle z.b. Memory Stick) Wie ist Zugriff geschützt? (Username / Password gilt als unsicher) Was passiert, wenn Notebook, PC ersetzt wird? Memory Stick liegen lassen. Notebook verloren geht (Auch nur temporär) Nachricht an falsche Person gesendet wird? von bekannter Adresse kommt (Glauben an Adresse)? Daten auf dem Heimcomputer gespeichert werden? Wie wird gelöscht? Ordner mit Papierkopien steht offen rum.

3 Best Practice heute: Risiken Fehlerfall absichern nicht von krimineller Handlung der bekannten Personen ausgehen Username / Password gilt als unsicher Smartcard identifikation (Certificate) https / SSL bringen nur Sicherheit zwischen den Knoten (Abhör-Sicherheit) End to End Verschlüsselung Public-Private Key mit Certificate (ev. Key auf Smartcard auslagern) Strong encryption auf HD, Memory-Stick mit symmetrischem Key Jedes Dokument wird visiert Überprüfung der Authenzität Überprüfung der Unverfälschtheit Jedes Dokument wird für die Verteilung zusätzlich zum Visum noch mit Public-Key verschlüsselt. Was braucht es: Policies und Regeln (Richtlinien) Verschlüsselungs-Software bei jedem Kommunikationspartner (z.b. Gnu GPG ist gratis) Schlüsselverwaltung

4 Datenschutz Schutz von sensitiven Daten vor... anderen Personen Verlust von Datenträgern

5 Datenschutz bei Datenaustausch Daten können bei Übermittlung.....mitgelesen werden (Kopien)..verfälscht werden

6 Integrity Forge (fälschen) Modify (ändern) Spoof (schwindeln) Fake (fälschen) CIA Prinzip Fred / Max (Man in the middle) Authenticity Replay Hijack Masquerade Alice (Sender) Confidentiality, Integrity, Authenticity Bob (Empfänger Confidentiality Read Sniff Eavesdrop (Listen to a private conversation) Eve (Spy) Availability Flooding Denial of service (DoS)

7 Authentification Ist Absender / Empfänger wirklich die Person die ich meine? Wie erkenne ich jemanden am Telefon? Wie bin ich sicher, dass eine mit Absender Walter@Rothlin.com wirklich ER ist?

8 Authentification

9 Verschlüsselung (symmetrisch) Sender und Empfänger vereinbaren, wie verschlüsselt wird. Schlüsselaustausch ist das Sicherheitsproblem

10 Verschlüsselung (symmetrisch) Es benötigt pro Verbindung einen Schlüssel! n * (n-1) / 2 Schlüsselverwaltung + Schlüsselaustausch problematisch

11 Verschlüsselung (symmetrisch)!!!!!!!!!!

12 Symmetrische Verschlüsselung Geheimer Schlüssel: Niemand kann den Schlüssel erraten oder alle Möglichkeiten durchprobieren! Je mehr Bits desto mehr Kombinationen desto schwieriger zu erraten oder durchzuprobieren. Ł Heute mindestens128bit lang RC4 (Rivest s Cipher): Stream-Cipher (Bit by Bit) DES (Data Encryption Standard): Block-Cipher (64-Bit Blöcke) AES (Advanced Encryption Standards) IDEA (International Data Encryption Algorithm) CAST (Carlisle Adams and Stafford Tavares)

13 Verschlüsselung (asymmetrisch) Jeder Kommunikationspartner hat einen Public- und einen Private-Key Verschlüsselt wird mit dem Public-Key des Empfängers Entschlüsselt wird mit dem Private-Key des Empfängers

14 Verschlüsselung (asymmetrisch) Public Private Key Encryption (PPK) Public Key vom Empfänger Private Key vom Empfänger

15 Verschlüsselung (asymmetrisch) How tools are doing it! Symmetrische Verschlüsselung Auch für mehrer Empfänger gleichzeitig möglich

16 Verschlüsselung (asymmetrisch) How tools are doing it!

17 Visieren (Signing) Private Key kann auch für Verschlüsselung verwendet werden!

18 Visieren (Signing) How tools are doing it!

19 Visieren (Signing) Verifizieren

20 Visieren (Signing) Public Key vom Empfänger Private Key vom Sender Public Key vom Sender Private Key vom Empfänger

21 Schlüsselverwaltung Public Key: URL für Download auf Visitenkarte Attached an jedes Private Key: Auf Computer Hard-Disk (Backup im Safe) Smartcard Cryptokey Mit einem Passwort (Passphrase) geschützt

22 Asymmetrische Verschlüsselung RSA (Rivest-Shamir-Adleman) DH (Diffie-Hellman) ElGalmal Hash-Algorithmus MD5 (Message Digest 5) SHA (Secure Hash Algorithm Weitere Verschlüsselungsverfahren Steganography (bedeckt schreiben) z.b. in einem Bild verstecken

23 Weitere Verschlüsselungsverfahren

24 Public Key Certificate (z.b. X.509) Bindet ein Public Key mit einer Identität zusammen Name, Geburtsdatum,... ist im Certificate Certificates werden von der Ausgabenstelle elektronisch visiert Ausgabenstelle: Certificate Authority (CA) SSL: Secure Socket Layer (https)

25 Weitere Begriffe im Security Bereich Strichlisten SecureID Card PKI: Public Key Infrastructure GPG (GNU Privacy Guard) Open Source PGP Download for Windows

26 Viren, Würmer, Trojaner (1) Alle drei können Daten zerstören oder Informationen weitergeben Viren hängen sich an eine Datei und werden durch Kopieren dieser Datei verbreitet. Würmer nutzen einen Dienst vom Computer ( , Netzwerkfunktionen) um sich selbständig auf andere Systeme zu kopieren. Trojaner (Trojanisches Pferd) gibt etwas anderes vor, als es macht

27 Viren, Würmer, Trojaner (2) Anti-Virus Software aktuell halten (Serum nachladen) Vorsicht beim Download und kopieren Misstraue jeder Windows um Mehrfaches mehr gefährdet als LINUX, UNIX oder MAC

28 Firewall und Proxy-Server Firewall: Durch diese Gasse muss er kommen Regeln, was erlaubt ist, müssen definiert sein Genaues loggen, was passiert Proxy: Stellvertreter Regeln, was erlaubt und was verboten ist Genaues loggen aller Requests Caching möglich

29 Menschliche Seite Zugriff für Unberechtigte vermeiden! Aufräumen, Abschliessen, Vernichten Sich an Regeln halten und Weisungen befolgen! auch wenn immer alles problemlos ging Andere sensibilisieren, es auch zu machen Ł Wissen ist vorhanden. Am Machen scheitert es!