Key Infrastructures - PKI PKI Was soll das? K ennt jemand eine nette G rafik z u PKI s? LugBE 23. März 2006 Markus Wernig Einleitung Symmetrisch vs. asymmetrisch Trusted Third Party Hierarchisches Modell Web of Trust Links
Key Infrastructures - PKI Einleitung PKI ( Key Infrastructure) sind kryptografische Systeme, die die Ausstellung, Verteilung und Prüfung von digitalen Identitätsausweisen ermöglichen. CA (Certificate Authority) sind Hilfsdienste einer PKI, die die Authentizität von digitalen Identitätsausweisen bescheinigen. PKI sind Software, umgeben von einer strikten Regelkette von Prozessen.
Key Infrastructures - PKI Symmetrisch vs. asymmetrisch Symmetrische Verschlüsselungsverfahren verwenden auf beiden Seiten der Leitung den selben Schlüssel. Gesamtzahl der Schlüssel: 1 1 st Party 2 nd Party Verschlüsseln (mit Secret) Problem: Schlüsselaustausch, Authentizität Beispiele: 3DES, AES, Blowfish
1 st Party LugBE Key Infrastructures - PKI Symmetrisch vs. asymmetrisch Asymmetrische Verfahren verwenden auf jeder Seite je einen öffentlichen und einen geheimen Schlüssel. Gesamtzahl der Schlüssel: 4 2 nd Party Verschlüsseln (mit Key des Partners) 1 st Party HASH c133e0c 3%14a clear tet COMPARE c133e0c c133e0c HASH 3%&14a 2 nd Party Signieren (= Verschlüsseln mit eigenem Key) Problem: Authentizität, Performance Beispiele: RSA
Key Infrastructures - PKI Symmetrisch vs. asymmetrisch Hybrides Verfahren: Schlüsselaustausch und -verhandlung asymmetrisch, Verschlüsselung selbst symmetrisch. 1 st Party 2 nd Party Key Exchange, Phase 1 Asymmetrisch 02uujnf w092jj% 02uujnf w092jj% Encryption, Phase 2 Symmetrisch Es bleibt das Problem: Authentizität. Wie stelle ich sicher, dass der öffentliche Schlüssel wirklich zu dem Partner gehört, mit dem ich kommunizieren will?
Key Infrastructures - PKI Trusted Third Party Die Lösung: Beide Seiten vertrauen einer Trusted Third Party, die bestätigt, dass der Schlüssel wirklich demjenigen gehört, auf den er ausgestellt ist. Die wichtigste Eigenschaft einer solchen 3 rd Party ist, dass sie gewissenhaft die Identität des Schlüsseleigners überprüft.
Key Infrastructures - PKI Trusted Third Party Die Bestätigung erfolgt mittels einer digitalen Signatur, d.h. Verschlüsselung mit dem 3 rd Party Key. Dieser Key muss absolut sicher sein! Gesamtzahl der Schlüssel: 6 Die signierten Keys enthalten die Angaben, die von der 3 rd Party überprüft wurden (E-Mail-Adresse, Host-/Domainname...) 1 st Party Trusted 3 rd Party 2 nd Party CHECK CA PUBLISH CA Key Key COMPARE Key Key Key Certificate Certificate
Key Infrastructures - PKI Hierarchisches Modell Trusted 3 rd Parties nehmen also eine zentrale Rolle in PKIs ein. Wie aber wird ihre eigene Legitimität sichergestellt? Das Hierarchische Modell (z.b. x.509: Verisign etc.): Wird legitimiert per Dekret. Signiert eigenen Key. Authority Trust! Die Mutter aller Zertifikate CA CA SIGN CA Certificate PUBLISH sdlfkj4 wrtqwt 3563134 Trust?
Key Infrastructures - PKI Hierarchisches Modell CAs können die Keys anderer CAs signieren. Die dabei entstehende Kette nennt man Trust Chain. Die Kette endet bei der obersten, der Root CA. Authority Trust! RootCA Die Mutter aller Zertifikate RootCA SIGN RootCA Certificate PUBLISH SIGN DelegateCA DelegateCA SIGN Asdf8asd asdfi383 DelegateCA Certificate Trust? sdlfkj4 wrtqwt 3563134
Key Infrastructures - PKI Web of Trust Web of Trust (z.b. PGP) Im Web of Trust ist jeder Teilnehmer eine CA oder Trusted 3 rd Party. Wird legitimiert durch die Anzahl Signaturen. Key durch andere Teilnehmer signiert. 3563134 3563134 SIGN PUBLISH Trust? asfasdf rwet435 asfasdf rwet435
Key Infrastructures - PKI Links Lust auf mehr? http://cacert.org http://openssl.org http://lugbe.ch/projects/wot/ http://www.nissle.ch/ssl/pki-openssl.pdf http://www.google.ch/search?q=pki+howto http://de.wikipedia.org/wiki/pki