Security Datenschutz
Risiken Arten: Info in falsche Hände (Kopien, Mitlesen...) Kenntnis nur wenn nötig Info unbemerkt verändern (Man in the middle) Falsche Info verbreiten (Authenzität) Punkte: Speichern, Archivierung (PC HD, Memory Stick, Server, Papierordner, CD, Backup-Tapes) Übertragung (Web, e-mail, Briefkasten, Fächli,...) Mögliche konkrete Gefahren: Wo werden Daten abgelegt (Computer, Memory Stick, Handy, CD, Server,...) Wer hat Zugriff darauf? (Administrator, Service Provider, Alle z.b. Memory Stick) Wie ist Zugriff geschützt? (Username / Password gilt als unsicher) Was passiert, wenn Notebook, PC ersetzt wird? Memory Stick liegen lassen. Notebook verloren geht (Auch nur temporär) Nachricht an falsche Person gesendet wird? email von bekannter Adresse kommt (Glauben an e-mail Adresse)? Daten auf dem Heimcomputer gespeichert werden? Wie wird gelöscht? Ordner mit Papierkopien steht offen rum.
Best Practice heute: Risiken Fehlerfall absichern nicht von krimineller Handlung der bekannten Personen ausgehen Username / Password gilt als unsicher Smartcard identifikation (Certificate) https / SSL bringen nur Sicherheit zwischen den Knoten (Abhör-Sicherheit) End to End Verschlüsselung Public-Private Key mit Certificate (ev. Key auf Smartcard auslagern) Strong encryption auf HD, Memory-Stick mit symmetrischem Key Jedes Dokument wird visiert Überprüfung der Authenzität Überprüfung der Unverfälschtheit Jedes Dokument wird für die Verteilung zusätzlich zum Visum noch mit Public-Key verschlüsselt. Was braucht es: Policies und Regeln (Richtlinien) Verschlüsselungs-Software bei jedem Kommunikationspartner (z.b. Gnu GPG ist gratis) Schlüsselverwaltung
Datenschutz Schutz von sensitiven Daten vor... anderen Personen Verlust von Datenträgern
Datenschutz bei Datenaustausch Daten können bei Übermittlung.....mitgelesen werden (Kopien)..verfälscht werden
Integrity Forge (fälschen) Modify (ändern) Spoof (schwindeln) Fake (fälschen) CIA Prinzip Fred / Max (Man in the middle) Authenticity Replay Hijack Masquerade Alice (Sender) Confidentiality, Integrity, Authenticity Bob (Empfänger Confidentiality Read Sniff Eavesdrop (Listen to a private conversation) Eve (Spy) Availability Flooding Denial of service (DoS)
Authentification Ist Absender / Empfänger wirklich die Person die ich meine? Wie erkenne ich jemanden am Telefon? Wie bin ich sicher, dass eine e-mail mit Absender Walter@Rothlin.com wirklich ER ist?
Authentification
Verschlüsselung (symmetrisch) Sender und Empfänger vereinbaren, wie verschlüsselt wird. Schlüsselaustausch ist das Sicherheitsproblem
Verschlüsselung (symmetrisch) Es benötigt pro Verbindung einen Schlüssel! n * (n-1) / 2 Schlüsselverwaltung + Schlüsselaustausch problematisch
Verschlüsselung (symmetrisch)!!!!!!!!!!
Symmetrische Verschlüsselung Geheimer Schlüssel: Niemand kann den Schlüssel erraten oder alle Möglichkeiten durchprobieren! Je mehr Bits desto mehr Kombinationen desto schwieriger zu erraten oder durchzuprobieren. Ł Heute mindestens128bit lang RC4 (Rivest s Cipher): Stream-Cipher (Bit by Bit) DES (Data Encryption Standard): Block-Cipher (64-Bit Blöcke) AES (Advanced Encryption Standards) IDEA (International Data Encryption Algorithm) CAST (Carlisle Adams and Stafford Tavares)
Verschlüsselung (asymmetrisch) Jeder Kommunikationspartner hat einen Public- und einen Private-Key Verschlüsselt wird mit dem Public-Key des Empfängers Entschlüsselt wird mit dem Private-Key des Empfängers
Verschlüsselung (asymmetrisch) Public Private Key Encryption (PPK) Public Key vom Empfänger Private Key vom Empfänger
Verschlüsselung (asymmetrisch) How tools are doing it! Symmetrische Verschlüsselung Auch für mehrer Empfänger gleichzeitig möglich
Verschlüsselung (asymmetrisch) How tools are doing it!
Visieren (Signing) Private Key kann auch für Verschlüsselung verwendet werden!
Visieren (Signing) How tools are doing it!
Visieren (Signing) Verifizieren
Visieren (Signing) Public Key vom Empfänger Private Key vom Sender Public Key vom Sender Private Key vom Empfänger
Schlüsselverwaltung Public Key: URL für Download auf Visitenkarte Attached an jedes e-mail Private Key: Auf Computer Hard-Disk (Backup im Safe) Smartcard Cryptokey Mit einem Passwort (Passphrase) geschützt
Asymmetrische Verschlüsselung RSA (Rivest-Shamir-Adleman) DH (Diffie-Hellman) ElGalmal Hash-Algorithmus MD5 (Message Digest 5) SHA (Secure Hash Algorithm Weitere Verschlüsselungsverfahren Steganography (bedeckt schreiben) z.b. in einem Bild verstecken
Weitere Verschlüsselungsverfahren
Public Key Certificate (z.b. X.509) Bindet ein Public Key mit einer Identität zusammen Name, Geburtsdatum,... ist im Certificate Certificates werden von der Ausgabenstelle elektronisch visiert Ausgabenstelle: Certificate Authority (CA) SSL: Secure Socket Layer (https)
Weitere Begriffe im Security Bereich Strichlisten SecureID Card PKI: Public Key Infrastructure GPG (GNU Privacy Guard) Open Source PGP Download for Windows http://www.gpg4win.org/index.html
Viren, Würmer, Trojaner (1) Alle drei können Daten zerstören oder Informationen weitergeben Viren hängen sich an eine Datei und werden durch Kopieren dieser Datei verbreitet. Würmer nutzen einen Dienst vom Computer (e-mail, Netzwerkfunktionen) um sich selbständig auf andere Systeme zu kopieren. Trojaner (Trojanisches Pferd) gibt etwas anderes vor, als es macht
Viren, Würmer, Trojaner (2) Anti-Virus Software aktuell halten (Serum nachladen) Vorsicht beim Download und kopieren Misstraue jeder e-mail Windows um Mehrfaches mehr gefährdet als LINUX, UNIX oder MAC
Firewall und Proxy-Server Firewall: Durch diese Gasse muss er kommen Regeln, was erlaubt ist, müssen definiert sein Genaues loggen, was passiert Proxy: Stellvertreter Regeln, was erlaubt und was verboten ist Genaues loggen aller Requests Caching möglich
Menschliche Seite Zugriff für Unberechtigte vermeiden! Aufräumen, Abschliessen, Vernichten Sich an Regeln halten und Weisungen befolgen! auch wenn immer alles problemlos ging Andere sensibilisieren, es auch zu machen Ł Wissen ist vorhanden. Am Machen scheitert es!