Erhöhte Sicherheit durch Anwendung von Zertifikaten

Transkript

1 Erhöhte Sicherheit durch Anwendung von Zertifikaten!" # $!%!&' ()*++,,,(' -.('

2 Inhaltsverzeichnis Digitale Zertifikate Allgemeine Ausgangslage Kryptografische Grundlagen Technische Funktionalität Rechtliche Erfordernisse Marktübliche Realisierung Praktischer Umgang 2

3 Globale Unternehmenseinflüsse Markt Globalisierung Konvergenz Sicherheit Wirtschaftlichkeit Präsenz Mobilität Offene Standards Investmentschutz und Kostenmanagement 3

4 Wie reagieren? Kostenbewußtsein IT als Servicedienstleistung im Unternehmen Homogenisieren der Infrastruktur Vereinfachung der Administration Erweiterung der Nutzbarkeit Ausnutzung aller Ressourcen Nutzung vorhandener technischer Möglichkeiten effektivere Gestaltung von Prozessen Das Netzwerk entwickelt sich zur wichtigsten, gemeinsamen Kommunikationsplattform 4

5 IP-Sicherheit Firmeninterne weltweite Netze Aufbau eines firmeninternen LAN-Verbundes Benutzung der Internet-Technologie TCP/IP Routing LAN-Kopplung analog dem Internetzugang Mitarbeitereinwahl analog dem privaten Internetzugang bei ISPs Benutzung von Internet Informationssystemen: WWW, USENET News, , FTP u.a.m. Aufsetzen der gesamten Firmenkommunikation auf Internet-Technologien 5

6 Infrastrukturen Entwicklung der LANs + WANs Forderungen: Zugang für Wartung direkte Einwahl langsam, Tor von hinten Zugang für Mitarbeiter direkte Einwahl langsam, wenig Kontrollmöglichkeit Internet-Zugang Jede Filiale mit extra Lösung? Welcher Schutz vor Hacks, DoS, Viren & Würmer? Wie Zugriffe authentifizieren? Zentrales Management Einheitlichkeit der Plattformen und Geräte Einfache Administration mit Standardmitteln 6

7 Definition: Authentifizierung Durch die Authentifizierung wird die wahre Identität eines Nutzers/Person/Programms an Hand eines bestimmten Merkmals, z.b. dem Fingerabdruck, überprüft. Authentifizierung kann auf vier verschiedenen Wegen erfolgen: man hat etwas / something you have / (Beispiel: Schlüssel, Karte) man weiß etwas / something you know / (Beispiel: Passwort) man ist etwas / something you are / (Beispiel: Biometrische Merkmale) man ist an einem Ort / somewhere you are / (Beispiel: ein bestimmter Rechner) 7

8 Problematik Ist der vermeintliche Absender von Dokumenten oder Daten auch tatsächlich der, für den er sich ausgibt? Sind die Daten von Absender zu Empfänger unversehrt vollständig nicht modifiziert 8

9 Sicherheit? 1 Home Office, 1 23'4 /' /' 9

10 IPsec 1 Überblick IP hat keine inhärenten Sicherheitsmechanismen Es gibt keine Garantie, daß ein IP-Datagramm vom angegebenen Absender stammt die ursprünglichen Daten enthalten sind keine andere Person die Daten angeschaut hat RFC 2041 definiert IPsec-Architektur: Authentifizierung der Datenquelle und Datenintegrität vertraulicher Dateninhalt Schutz vor wiederholter Sendung begrenzte Verkehrsflußvertraulichkeit 10

11 IPsec 2 Datenintegrität Sicherstellen, daß Daten während der Übertragung nicht verändert wurden Authentizität der Herkunft Empfänger kann die Herkunft der Daten verifizieren ist eng an die Integrität der Daten gebunden Vertraulichkeit der Daten Verschlüsselung von Informationen Anti-Replay Empfänger kann duplizierte / mehrfach gesendete Pakete erkennen und zurückweisen 11

12 VPN 1 Virtual Private Network (VPN) Es verbreitet sich zunehmend der Ansatz, das Internet als einen Einwahlmechanismus in private Netze zu betrachten, so wie Modem oder ISDN --> Tunneling durch das Internet Da dem Internet weniger vertraut wird als klassischen Carriern wird hier von vornherein eine Verschlüsselung vorgesehen Tunneling + Kryptographie = VPN 12

13 Internet als Standardbasis Eine Idee zu WAN im Wandel: ISDN- Netz Ersetzt durch Internet ISDN- Netz Router Carrier L2-Netz Router LAN Zentrale LAN Filiale 1 Internet Internet 13

14 VPN 2 VPN-Varianten Access VPN Remotezugriff via Dial In (analog / ISDN /DSL etc.) zur Anbindung mobiler Nutzer, SOHOs Intranet VPN Nutzung Festverbindungen in öffentliche Netze Verknüpfung örtlich getrennter LANs Filialen Zugriff nur für firmeninterne Mitarbeiter Extranet VPN wie Intranet VPN, aber: Zugriff für Kunden, Zulieferer, Partner etc. 14

15 Einführung Kryptografie Verschlüsselung - Nachrichten für Unbeteiligte unlesbar und unmanipulierbar machen Kryptografie ist Wissenschaft von der Verschlüsselung von Informationen Es geht also um den Schutz vor Eindringlingen Passiver Eindringling (hört nur zu) Aktiver Eindringling (kann Nachrichten ändern) Ziel: Erzeugung von Weißem Rauschen 15

16 Public Key Kryptographie 1 Asymmetrische Verfahren ermöglichen Public Key Kryptographie Schlüssel 1 (K1) geheimgehalten (private key) Schlüssel 2 (K2) veröffentlicht (public key) Will P1 an P2 eine verschlüsselte Nachricht senden, wird diese mit dem public key K2 von P2 kodiert Da nur P2 den zu K2 passenden private key K1 kennt, kann nur P2 die Nachricht entschlüsseln Selbst P1 kann die Nachricht nicht mehr entschlüsseln! 16

17 Public Key Kryptographie 2 Asymmetrische Verschlüsselungsverfahren 1) Jede Person generiert ein Schlüsselpaar was mit einem Schlüssel verschlüsselt wird, kann mit dem anderen wieder entschlüsselt werden 2) Eine Hälfte wird bekannt gemacht ( Public Key ) 3) Andere Hälfte geheim gehalten ( Private Key ) Verschlüsselung Authentisierung Jeder kann Daten mit Public-Key für mich verschlüsseln Ich kann mit dem Private-Key Daten zertifizieren 17

18 Hybride Verfahren 1 Viele symmetrische Verfahren sind sehr performant und teilweise in Hardware implementierbar Die bekannten asymmetrischen Verfahren sind extrem aufwendig (ca. drei Größenordnungen langsamer als symmetrische) Man will Public Key Kryptographie mit der Performance der symmetrischen Verfahren Man will eine Nachricht für mehr als einen Empfänger verschlüsseln können Die Lösung: Hybride Verfahren 18

19 Hybride Verfahren 2 Die Verschlüsselung der eigentlichen Nachricht erfolgt symmetrisch mit einem zufällig erzeugten Session Key KS Der Session Key wird seinerseits mit dem public key des Empfängers verschlüsselt und der Nachricht beigelegt Der Empfänger entschlüsselt KS mit seinem private key und dann den Text mit KS Eine Nachricht an mehrere Empfänger enthält einfach das Chiffrat von KS mit jedem der public keys der Empfänger (und evtl. des Absenders) 19

20 Probleme Public Key Kryptographie 3 nur ein Paar aus private und public key je Kommunikationspartner benötigt Angriffspunkt: Unterschieben eines falschen public key durch einen Angreifer Hauptproblem: Schlüssellogistik aufbauen, die den Angriffspunkt ausräumt Lösung: Public Key Infrastructure (PKI) Glücklicher Umstand: Asymmetrische Verfahren ermöglichen nicht nur Verschlüsselung, sondern auch Authentisierung, d.h. digitale Signaturen und Zertifikate 20

21 Authentisierung Public Key Kryptographie 4 Gilt sowohl D K2 (E K1 (P)) = P als auch D K1 (E K2 (P)) = P dann ist das Kryptosystem für Authentisierung geeignet P1 verschlüsselt eine Nachricht mit ihrem private key P2 versucht, die Nachricht mit dem public key von P1 zu entschlüsseln Gelingt die Entschlüsselung, ist der Text authentisch von P1, da nur P1 den private key besitzt, der zu diesem Chiffrat führte 21

22 Message Digests Dritte Klasse von Verfahren der Kryptographie Auch bekannt als Secure Hash oder kryptographische Prüfsumme Ein Message Digest (MD) erzeugt aus einem beliebigen Text eine Art Fingerabdruck des Textes in Form eines kurzen Bitvektors fester Länge (typisch 128 Bit) Unmöglich, zu einem MD den (einen) Text zu finden, der dazu geführt hat 22

23 Digitale Signaturen 1 Die erfolgreiche Entschlüsselung eines asymmetrischen Chiffrats mit dem public key einer Person authentisiert diese Wie soll erfolgreiche Entschlüsselung aber automatisch getestet werden? P1 erzeugt zunächst aus der Nachricht mit einem secure hash H das message digest M P1 verschlüsselt M mit seinem private key und erhält so die digitale Signatur S und verschickt beides Empfänger erzeugt seinerseits aus der Nachricht M, entschlüsselt S mit P1s public key und vergleicht das Ergebnis mit M 23

24 Digitale Signaturen 2 Ablauf der Erzeugung digitaler Signaturen k1 - privater Schlüssel k2 - öffentlicher Schlüssel 1. Erzeugen eines Message Digest zum Plaintext MD Plaintext 2. Verschlüsseln des Message Digest mit k1 k1(md) Plaintext 3. Jeder kann das Message Digest mit k2 entschlüsseln und bilden eines neuen Message Digest k2(md) Plaintext 4. Bei Identität stammt der Text authentisch vom Eigentümer von k1 24

25 Digitale Signaturen 3 Message Digest gleich dekodierte Signatur? Die Nachricht ist authentisch vom Absender Die Nachricht wurde nicht manipuliert Anforderungen erfüllt: Die Signatur ist abhängig vom Unterzeichner und der unterzeichneten Nachricht Die Signatur konnte nur vom Unterzeichner stammen Jeder (autorisierte) kann sie verifizieren Der Pferdefuß: Die Authentizität der Signatur steht und fällt mit der Authentizität der öffentlichen Schlüssel 25

26 Zertifikate 3 Wege der Prüfung von Schlüsseln Out-of-Band check Fingerprint des Schlüssels über alternativen Kommunikationskanal gegenchecken Web of Trust (PGP) Mehrere Personen bestätigen durch Zertifikat die Authentizität eines Schlüssels CA - Certificate Authority zentrale Zertifizierungsinstanz ITU X.509 Standard für Zertifikat-System (S/MIME, SSL, Secure HTTP, Secure FTP,...) 26

27 Zertifikate Unfälschbare Bereitstellung von public keys Zertifikat: digitale Signatur an einem public key Der Signierende bestätigt damit die Authentizität des public key Das Problem verlagert sich so auf die Authentizität des public key des Signierenden PKI soll das Dilemma ausräumen, zwei Ansätze: Certificate Authority (CA): Zentral, hierarchisch, der public key der CA ist so öffentlich, dass er kaum gefälscht werden kann Web of Trust: Dezentral, anarchisch, viele Nutzer bestätigen sich gegenseitig auf einem level of trust 27

28 Public Key Infrastruktur (PKI) Sicherheit im Netz Die Voraussetzung für Sicherheit im Netz ist eine Public Key Infrastructure (PKI), die jeder Kunde benötigt. Definition: Eine PKI umfaßt alle Funktionen und Dienste, die die effiziente Benutzung und das Management von Public Key Kryptografie und Zertifikaten ermöglichen und ist eine wichtige Grundlage für nahezu alle IT-Security- Services und Lösungen, die auf Public-Key-Verfahren aufbauen. 28

29 PKI im Netzwerk Schlüsselpaar generiert von einem Teil des OS oder von einem Netzwerkgerät Private Key wird nie veröffentlicht oder verteilt Public Key des Nutzers wird im Certificate Request an die Registrierungskomponente der zuständigen CA gesandt Administrator genehmigt den Request CA generiert das User Zertifikat Nutzer erhält das Zertifikat und installiert es lokal Zertifikat auch in Netzwerkkomponenten Datenaustausch im gesicherten Netzwerk wird möglich 29

30 Webservices Problem bei unbekannten Gegenstellen wer garantiert Authentizität und Vertraulichkeit? SSL-Zertifikate von Trustcentern 30

31 T-TeleSec - erstes zertifiziertes Trustcenter T-Telesec - von der RegTP zertifiziertes Trustcenter seit 1994 einzige Autorisierungsstelle Deutschlands zur Ausgabe von Zertifikaten gemäß dem deutschen Signaturgesetz (nach DIN/ISO 9002 und ISO 9001:2000 zertifiziert) bis heute über 2 Millionen Zertifikate ausgegeben unabhängige und neutrale Instanz 31

32 CA Certificate Authority: prüft das antragstellende Unternehmen prüft die antragstellende Person prüft das Nutzerrecht, wenn SSL-Zertifikat Registriert und verwaltet das ausgestellte Zertifikat bearbeitet Revocations von Zertifikaten entweder öffentlich (Telesec, Verisign, Thawte...) oder interne CA (Windows2003-Server...) 32

33 Zertifikate Ausgestellte Zertifikate mit Personalausweis vergleichbar mit Personalausweis und Unterschrift Gültigkeit von Angaben im Beisein eines Empfängers bestätigt bei digitaler Kommunikation stehen Sie dem Empfänger nicht persönlich, sondern durch Ihren Internet Browser gegenüber statt geprüfter handschriftlicher Unterschrift leisten jetzt digitale oder elektronische Signatur 33

34 Digitales Zertifikat Format Digitaler Zertifikate Name des Eigentümers Public Key des Eigentümers Eindeutiger Name der Ausgabestelle (CA) Signatur der Ausgabestelle Bestandteile eines digitalen Zertifikats 34

35 +, % -%, -&,, & ', -,. -&,, ( Das Zertifikat nach ITU X.509 v3 Digitaler Personalausweis Personendaten Public Key zugehöriger Verschlüsselungsalgorithmus laufende Zertifikatnummer Beginn und Ende der Gültigkeit Name der Zertifizierungsstelle Angaben über Beschränkungen Beglaubigung Zertifikat! " # # $ % & ' ( ) # * " * + 35

36 Inhalt digitaler Zertifikate O = IBH hierarchisch organisierte, konkrete Informationen zu Inhaber, Organisation usw. OU = TECHNIK OU = LEITUNG CN = Andre Beck CN = Thomas Horn 36

37 SSL-Zertifikat 37

38 T-TeleSec ServerPass Sicherer Online-Datenaustausch Mit dem T-Telesec-ServerPass geben Sie Ihrem Server eine Authentizität Das Zertifikat identifiziert Ihren Server wie eine digitale Signatur Der Client kann das Zertifikat beim Telekom-Trustcenter überprüfen Benutzer Ihres Servers können danach Daten verschlüsselt austauschen (SSL - Secure Socket Layer) Das Zertifikat hat eine Gültigkeit von 2 Jahren Es kann von Ihnen jederzeit gesperrt werden 38

39 Digitale Signatur Digitale Signatur mit Schlüsselpaar öffentlicher Schlüssel (Public Key) und privater Schlüssel (Private Key) öffentliche Schlüssel wie abgelichtete Kopie des Personalausweis Schlüssel kann ohne Bedenken der Öffentlichkeit bekannt sein geheime Schlüssel wie persönliche Unterschrift im Beisein von Personen wird an einem geheimen Platz gespeichert/aufbewahrt und nicht an andere Personen herausgegeben. Mit Kombination beider Schlüssel unterschreiben" Sie eigenhändig digitale Dokumente 39

40 T-TeleSec OneTimePass Authentisierung mittels Chipkarte Sicherheit durch Einmalpasswörter auf Chipkarte Produktpaket aus T-TeleSec Chipkarte und Chipkartenleser Ausgabe der Chipkarte durch Trust Center (Certification Authority) Zum Zugang/Zugriff identifiziert sich jeder Benutzer mit Checkkarte und PIN. Chipkartenleser generiert ein 8-stelliges Passwort, das beim Trustcenter geprüft werden kann 2 0!3 1 Prüfung / 0 40

41 Anwendung der T-TeleSec-Karten Anwendungsbeispiele 41

42 Recht Rechtliche Erfordernisse: Formerfordernisse Die deutschen Gesetze verlangen in mehreren Fällen Formerfordernisse Beweiswert z.b. Schriftform gem. 126 Bürgerliches Gesetzbuch (BGB) Begriff Urkunde des 416 Zivilprozeßordnung (ZPO) nur wenn vertrauenswürdiger Dritter - Trusted Third Party (TTP) - die digitale oder auch elektronische Signatur prüft, wird Rechtssicherheit der digitalen Signatur dem der eigenhändigen Unterschrift gleichgesetzt 42

43 Zukunftsaussichten 43

44 Wer realisiert? IBH hilft managen... Internet-Services Wege, Dienste und Funktionen Security-Services Zertifikate VPN-Tunnel Zugangsschutz/Ressourcenmanagement Beratung, Beschaffung SSL für WWW-Server PKI für authentifizierte VPNs Management / Monitoring 44

45 Es ist Ihre Wahl... für einen zuverlässigen Partner alle Dienste aus einer Hand durch Partnerschaften ergänztes, gut abgestimmtes Portfolio Engagiertes, gut zusammenarbeitendes Team von Support, Services & Sales direkter Kontakt zu den richtigen Leuten jahrelange Erfahrung Lassen Sie uns gemeinsam Ihr Netzwerk sicher gestalten! 45

46 46

47 Vielen Dank! Fragen Sie! Wir antworten.