Crypto-Security JLU Gießen SS 2018 Lukas Schick M.Sc. Vorlesung zur Wirtschaftsinformatik im Master-Studium 17. Mai 2018 Master-Vorlesung Electronic Business SS 2018 17. Mai 2018 Schick 1 Literatur zum Thema Literatur und Quellen: u Bundesamt für Sicherheit in der Informationstechnik: https://www.bsi.bund.de u Kuketz IT-Security: https://www.kuketz-blog.de u Bundesministerium für Wirtschaft und Energie: https://www.bmwi.de/navigation/de/themen/themen.html?cl2categorie s_leadkeyword=it-sicherheit u Deutschland sicher im Netz: https://www.sicher-im-netz.de u Datenschutzbeauftragter Informationen zum Datenschutz: https://www.datenschutzbeauftragter-info.de/ u Schneier, Bruce: Angewandte Kryptographie Protokolle, Algorithmen und Sourcecode in C (Informationssicherheit), 5. Auflage, Bonn: Addison-Wesley 1996 Master-Vorlesung Electronic Business SS 2018 17. Mai 2018 Schick 2
Gliederung A Grundlagen und Relevanz von Kryptographie B Arten von kryptographischen Verfahren C Anwendung von Kryptographie Master-Vorlesung Electronic Business SS 2018 17. Mai 2018 Schick 3 Kryptographie u Wissenschaft der Verschlüsselung von Informationen u Geheimschrift u Erzeugung, Betrachtung u. Beschreibung von Verschlüsselungsverfahren u Crypto-Security = Sicherheit durch Kryptographie u Ziel: Geheimhaltung und Vertraulichkeit durch Verschlüsselung Steganographie A. Grundlagen und Relevanz von Kryptographie u Wissenschaft der verborgenen Speicherung und Übermittlung von Informationen u Ziel: Geheimhaltung und Vertraulichkeit durch Verbergen Kryptographie als Teilgebiet der IT-Sicherheit u IT-Sicherheit als Teilmenge der Informationssicherheit u Kryptographie hilft, einige Prinzipien der IT-Sicherheit sicherzustellen u Authentizität, Vertraulichkeit, Verfügbarkeit, Integrität Master-Vorlesung Electronic Business SS 2018 17. Mai 2018 Schick 4
A. Grundlagen und Relevanz von Kryptographie Verschlüsselung als ein Bestandteil der Kryptographie u Verschlüsseln = Umwandeln von Klartext in Geheimtext u Entschlüsseln = Umwandeln von Geheimtext in Klartext Abgrenzung wesentlicher Begriffe u Verschlüsselungsverfahren = Verfahren zur Ver- und Entschlüsselung von Informationen u Verschlüsselungsalgorithmus = Konkrete Umwandlungsregeln zur Ver- und Entschlüsselung u Verschlüsselungsprotokoll = Netzwerkprotokoll für eine verschlüsselte Übertragung Master-Vorlesung Electronic Business SS 2018 17. Mai 2018 Schick 5 A. Grundlagen und Relevanz von Kryptographie Geschichte der Kryptographie (Ausschnitt) u Ca. 600 v. Chr.: In Palästina mit einer Substitutions-Chiffre (Atbash) u Ca. 500 v. Chr.: Spartanern verschlüsseln in Griechenland (Skytale) u Ca. 100-44 v. Chr.: Julius Cäsar (Caesar-Code) u Ca. 500-1400 n. Chr.: Dunkle Zeitalter der Kryptographie u 1918: The Index of Coincidence and its Application in Cryptography u 1923/26: Deutscher Ingenieur Arthur Scherbius stellt ENIGMA vor u 1967: The Codebreakers u 1975: Public-Key-Kryptographie, Entwicklung DES u 1990: erste Version von PGP durch Phil Zimmermann Master-Vorlesung Electronic Business SS 2018 17. Mai 2018 Schick 6
A. Grundlagen und Relevanz von Kryptographie Relevanz im Alltag u Absicherung jeder Art von Datenverbindungen u Signieren und Verschlüsseln von digitalen Gütern Beispiele aus der Praxis u Betriebswirtschaft: Intranet und Extranet (ERP, SCM, Web Shops) u Alltag: Surfen, Banking, Shopping, E-Mail, Kurznachrichten, Backups, Synchronisieren von Adressbücher-, Aufgaben- und Kalenderdaten, Video- und Musik-Streaming, Crypto-Währungen, etc. u Behörden: Polizei, Ämter, Geheimdienste, Universitäten etc. u Viele weitere Anwendungsfälle! * Master-Vorlesung Electronic Business SS 2018 17. Mai 2018 Schick 7 Gliederung A Grundlagen und Relevanz von Kryptographie B Arten von kryptographischen Verfahren C Anwendung von Kryptographie Master-Vorlesung Electronic Business SS 2018 17. Mai 2018 Schick 8
B. Arten von kryptographischen Verfahren Arten von kryptographischen Verfahren (1/2) u Symmetrische Verschlüsselungsverfahren u Einzelner Schlüssel (Bsp.: Caesar-Methode o. Passwort) u Vorteil: Nur geringe Rechenleistung erforderlich u Nachteil: Schwieriger Schlüsselaustausch u. Anzahl der Schlüssel u Beispiele: Haustür, Tresor, (DES) u Asymmetrische Verschlüsselungsverfahren (Public-Key-Verfahren) u Zwei Schlüssel (Bsp.: öffentlicher und privater Schlüssel) u Nachteil: Hohe Rechenleistung erforderlich u Vorteil: Sicherer Schlüsselaustausch u Beispiele: Whatsapp, Signal, Tresor mit zwei Schlüsseln, (RSA) Master-Vorlesung Electronic Business SS 2018 17. Mai 2018 Schick 9 B. Arten von kryptographischen Verfahren Arten von kryptographischen Verfahren (2/2) u Hybride Verschlüsselungsverfahren u Verwendung symmetrischer und asymmetrischer Schlüssel Verschlüsselung der zu schützenden Informationen (Nachrichtentext) mit symmetrischem Schlüssel Verschlüsselung des symmetrischen Schlüssels mit asymmetrischem Schlüssel u Kombination der Vorteile von symmetrischer und asymmetrischer Verschlüsselung Reduzierung des hohen Rechenaufwands Sichere Übertragung der Schlüssel u Beispiel: https im World Wide Web Master-Vorlesung Electronic Business SS 2018 17. Mai 2018 Schick 10
B. Arten von kryptographischen Verfahren Symmetrische Verschlüsselung u Bob + Alice verfügen über den gleichen Schlüssel u Beispiel: Caesar-Verschlüsselung u Problem: Schlüsselaustausch Master-Vorlesung Electronic Business SS 2018 17. Mai 2018 Schick 11 B. Arten von kryptographischen Verfahren Asymmetrische Verschlüsselung Zertifizierungsstelle u Bob + Alice besitzen je ein eigenes Schlüsselpaar (öffentl. + priv.) u Kein Schlüsselaustauschproblem u Vertrauen basierend auf Zertifizierung (Bsp.: D, USA) Master-Vorlesung Electronic Business SS 2018 17. Mai 2018 Schick 12
B. Arten von kryptographischen Verfahren Was kann verschlüsselt werden? u Transport (Verschlüsselung des Transportweges) Bsp.: Mithilfe von SSL/ TLS (Transport Layer Security) u Inhalt (Verschlüsselung des Inhalts der zu übertragenden Daten) Bsp.: Mithilfe von S/MIME/ PGP (Pretty Good Privacy) u Auflösung von Suchanfragen Bsp.: Mithilfe von DNS-over-TLS (Domain Name Service over Transport Layer Security) Was wird (meist) nicht verschlüsselt? u Metadaten (Zeit, Standort, Kommunikationspartner etc.) bleiben mit wenigen Ausnahmen unverschlüsselt u DNS (mit Ausnahme von DNS-over-TLS) u Verbindungen, die über nicht gesicherte Protokolle erfolgen (ftp, http etc.) Master-Vorlesung Electronic Business SS 2018 17. Mai 2018 Schick 13 Gliederung A Grundlagen und Relevanz von Kryptographie B Arten von kryptographischen Verfahren C Anwendung von Kryptographie Master-Vorlesung Electronic Business SS 2018 17. Mai 2018 Schick 14
Anwendung: Dateien verschlüsseln u Unter Windows z. B. mithilfe von Gpg4win u Unter Unix (macos und Linux) z. B. mithilfe von GnuPG (GPGSuite) u Diverse Tools für alle Plattformen (GUI und Command Line) Master-Vorlesung Electronic Business SS 2018 17. Mai 2018 Schick 15 Anwendung: Dateien verschlüsseln Master-Vorlesung Electronic Business SS 2018 17. Mai 2018 Schick 16
Anwendung: E-Mails verschlüsseln u Unter Windows z. B. mithilfe von Gpg4win + Thunderbird o. Outlook u Unter Unix (macos und Linux) z. B. mithilfe der GPGSuite + Thunderbird o. Apple Mail Verschlüsselung aktiviert! Master-Vorlesung Electronic Business SS 2018 17. Mai 2018 Schick 17 Anwendung: Webshop im World Wide Web u Sichere Verbindungen zu Web Sites mithilfe von https statt http u https = Verbindungen zwischen Besucher der Web Site und Web Site Betreiber werden verschlüsselt. Dritte können weniger spionieren. u https = Hybride Verschlüsselung über die Protokolle SSL/ TLS u Zusätzliche Absicherung von https notwendig Master-Vorlesung Electronic Business SS 2018 17. Mai 2018 Schick 18
Anwendung im Web u Verbindungen über https statt http (mithilfe von SSL bzw. TLS) u Aktivitäten im Web Browser u. a. Shopping, Banking, Web-Mail, etc. Anwendung in Apps u Verbindungen über https statt http, sftp statt ftp, webdavs statt webdav, imaps statt imap, smtps statt smtp (mithilfe von SSL bzw. TLS) u Aktivitäten in und um Apps: Chats, Telefonie, E-Mail, Backups, Cloud- Speicher, etc. Anwendung in verschiedensten Aufgabenbereichen u Datenübertragungen im Allg., digitale Signaturen (MD5, SHA-1), Zertifikate, WLAN- und VPN-Verbindungen, Fernadministration/ Public-Key- Authentifizierung, Datei- und E-Mail-Verschlüsselung, Smart Cards, etc. u Verschlüsselte Protokolle: WPA, IPsec, OpenVPN, rsync, SSH, SFTP, HTTPS (SSL/ TLS), SMTP (TLS) etc. u Protokolle werden über Ports (443, 993, 587, 22, 1194) angesprochen Master-Vorlesung Electronic Business SS 2018 17. Mai 2018 Schick 19 Kryptographie ist kein Alltagsthema? u Nicht sichtbar u Komplexität in Thematik und Anwendung (Installation, Nutzung, Schlüsselmanagement, Backups etc.) u Kein sichtbarer Vorteil für Alltagsanwender Kryptographie ist ein Alltagsthema! u Erfüllung der IT-Sicherheits-(Schutz)Prinzipien (Authentizität, Vertraulichkeit, Verfügbarkeit, Integrität) u Einhaltung der Compliance (Kundendaten, Geschäftserfolg, gesetzliche Vorgaben, Regularien DSGVO) u Grundrechte, Privatsphäre, Geschäftsgeheimnisse etc. u Schadensfälle, PR Kryptographie allgegenwärtig und nicht zu vernachlässigen u Kryptographie und Verschlüsselung finden bei (fast) allen technischen Systemen Anwendung und sind nicht mehr wegzudenken. Master-Vorlesung Electronic Business SS 2018 17. Mai 2018 Schick 20