Systeme II. Christian Schindelhauer Sommersemester Vorlesung

Ähnliche Dokumente
Systeme II. 10. Vorlesungswoche

Systeme II. Christian Schindelhauer Sommersemester Vorlesung

Peer-to-Peer- Netzwerke

Systeme II 4. Die Vermittlungsschicht

Systeme II 4. Die Vermittlungsschicht

Systeme II. Christian Schindelhauer Sommersemester Vorlesung

Nachrichtenintegrität

IPsec. Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science

Peer-to-Peer- Netzwerke

NAT Network Adress Translation

VP WAP Kryptographie

VI.3 RSA. - RSA benannt nach seinen Erfindern R. Rivest, A. Shamir und L. Adleman. - vorgestellt erstes Public-Key Verschlüsselungsverfahren

Firewalls Hager Björn Wegenast Jakob Zagovic Vahid

Netzsicherheit 9: Das Internet und Public-Key-Infrastrukturen

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

Systemsicherheit 8: Das Internet und Public-Key-Infratrukturen

WS 2013/14. Diskrete Strukturen

Internet-Praktikum II Lab 3: Virtual Private Networks (VPN)

3.2 Vermittlungsschicht

Kryptographie. ein erprobter Lehrgang. AG-Tagung Informatik, April 2011 Alfred Nussbaumer, LSR für NÖ. LSR für NÖ, 28. April 2011 Alfred Nussbaumer

Denn es geh t um ihr Geld: Kryptographie

IPsec Hintergrund 1 Überblick

Diskrete Strukturen Kapitel 5: Algebraische Strukturen (RSA-Verfahren)

WS 2009/10. Diskrete Strukturen

Modul 4: IPsec Teil 1

Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Kryptographie. Nachricht

Vorlesung Sicherheit

Systeme II 11. Woche DNS, und Sicherheit

Kurs 1866 Sicherheit im Internet

Vorlesung Sicherheit

Kryptographie - eine mathematische Einführung

Asymmetrische Algorithmen

6.3 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen. die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde

Digitale Signaturen. Andreas Spillner. Kryptografie, SS 2018

Netzwerktechnologien 3 VO

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Peer-to-Peer- Netzwerke

Das RSA-Verfahren. Proseminar Kryptographische Protokolle SS Armin Litzel

IRF2000 Application Note Port - Weiterleitung

Verschlüsselung durch Exponentiation (Pohlig, Hellman, 1976)

Sicherheit im Internet

KRYPTOSYSTEME & RSA IM SPEZIELLEN

- Gliederung - 1. Motivation. 2. Grundlagen der IP-Sicherheit. 3. Die Funktionalität von IPSec. 4. Selektoren, SPI, SPD

VPN über IPSec. Internet. AK Nord EDV- Vertriebsges. mbh Stormstr Itzehoe. Tel.: +49 (0) Fax:: +49 (0)

Aufgabe der Kryptografie

Lernprogramm IT-Sicherheit in Unternehmen und im Privatbereich

Inhaltsverzeichnis. I Grundlagen der Datensicherheitstechnik 1

IPSec. Markus Weiten Lehrstuhl für Informatik 4 Verteilte Systeme und Betriebssysteme Universität Erlangen-Nürnberg

Kryptographie und IT-Sicherheit

NCP Secure Entry macos Client Release Notes

IPSEC Gruppenarbeit im Fach Kryptografie HTA Horw

Übungen zur Vorlesung Systemsicherheit

Public Key Kryptographie mit dem RSA Schema. Karsten Fischer, Sven Kauer

Gestaltung von virtuellen privaten Netzwerken (VPN) - Tunneling und Encryption

Sicherheit in Pervasiven Systemen. Peter Langendörfer & Zoya Dyka

Virtual Private Networks Hohe Sicherheit wird bezahlbar

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

2.7 Digitale Signatur (3) 2.7 Digitale Signatur (4) Bedeutung der digitalen Signatur. Bedeutung der digitalen Signatur (fortges.)

8.2 Vermittlungsschicht

Methoden der Kryptographie

IPSec und IKE. Richard Wonka 23. Mai 2003

Wiederholung. Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES

Proseminar Bakkalaureat TM 2008/2009 Datensicherheit und Versicherungsmathematik Public-Key-Kryptosystem

HOBLink VPN Anywhere Client

Regine Schreier

Systeme II 9. Woche Vermittlungsschicht. Christian Schindelhauer Technische Fakultät Rechnernetze und Telematik Albert-Ludwigs-Universität Freiburg

Public-Key-Kryptographie

Themen. Vermittlungsschicht. Routing-Algorithmen. IP-Adressierung ARP, RARP, BOOTP, DHCP

Public Key Kryptographie

Virtual Private Networks

Sicherheit von PDF-Dateien

EINIGE GRUNDLAGEN DER KRYPTOGRAPHIE

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine)

Firewalls. Krypto Christian Kawalar, Tim Ungerhofer. June 9, 2017

Einführung in die Kryptographie ,

Systeme II 4. Die Vermittlungsschicht

Sicherheit in Netzen und verteilten Systemen

Public-Key Kryptographie mit dem RSA Schema. Torsten Büchner

VIII. Digitale Signaturen

Inhaltsverzeichnis. Wolfgang Ertel. Angewandte Kryptographie. ISBN (Buch): ISBN (E-Book):

$Id: ring.tex,v /05/03 15:13:26 hk Exp $

6: Public-Key Kryptographie (Grundidee)

Kryptographische Protokolle

Algorithmen und Datenstrukturen (für ET/IT)

Kryptographie und Komplexität

VPN Virtual Private Network

Modul 5: Mechanismen Schlüssel/asymmetrische Kryptographie

IPSec-VPN site-to-site. Zyxel USG Firewall-Serie ab Firmware-Version Knowledge Base KB-3514 September Zyxel Communication Corp.

Linux-Netzwerke. Aufbau, Administration, Sicherung. Dr. Stefan Fischer, Ulrich Walther. SuSE PRESS

Firewall - Techniken & Architekturen

12 Kryptologie. ... immer wichtiger. Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce

FAQ zur Kommunikation

Sicherheitsaspekte im Internet

Domain Name Service (DNS)

Fachbereich Medienproduktion

Sicheres en. PING e.v. Sicherheit -Angriffspunkte Was kann ich tun?

Transkript:

Systeme II Christian Schindelhauer Sommersemester 2006 21. Vorlesung 19.07.2006 schindel@informatik.uni-freiburg.de 1

Verschlüsselungsmethoden Symmetrische Verschlüsselungsverfahren z.b. Cäsars Code Enigma DES (Digital Encryption Standard) AES (Advanced Encryption Standard) Kryptografische Hash-Funktion SHA-1, SHA-2, MD5 Asymmetrische Verschlüsselungsverfahren RSA (Rivest, Shamir, Adleman) Diffie-Helman Digitale Unterschriften (Elektronische Signature) PGP (Phil Zimmermann), RSA Systeme-II 21. Vorlesung - 2

Symmetrische Verschlüsselungsverfahren z.b. Cäsars Code, DES, AES Es gibt Funktion f,g, so dass Verschlüsselung: f(schlüssel,text) = code Entschlüsselung: g(schlüssel,code) = text Der Schlüssel muss geheim bleiben dem Sender und Empfänger zur Verfügung stehen Systeme-II 21. Vorlesung - 3

Kryptografische Hash- Funktion z.b. SHA-1, SHA-2, MD5 Ein kryptografische Hash-Funktion h bildet einen Text auf einen Code fester Länge so ab, h(text) = code dass es unmöglich ist einen anderen Text zu finden mit: h(text ) = h(text) und text text Mögliche Lösung: Verwendung einer symmetrischen Kryptografie-Methode Systeme-II 21. Vorlesung - 4

Asymmetrische Verschlüsselungsverfahren z.b. RSA, Ronald Rivest, Adi Shamir, Lenard Adleman, 1977 Diffie-Hellman, PGP Geheimer Schlüssel privat kennt nur der Empfänger der Nachricht Öffentlichen Schlüssel offen Ist allen Teilnehmern bekannt Wird erzeugt durch Funktion keygen(privat) = offen Verschlüsselungsfunktion f und Entschlüsselungsfunktion g sind auch allen bekannt Verschlüsselung f(offen,text) = code kann jeder berechnen Entschlüsselung g(privat,code) = text nur vom Empfänger Systeme-II 21. Vorlesung - 5

Beispiel: RSA Verfahren beruht auf der Schwierigkeit der Primfaktorzerlegung 1. Beispiel: 15 =? *? 15 = 3 * 5 2. Beispiel: 3865818645841127319129567277348359557444790410289933586483552047443 = 1234567890123456789012345678900209 * 3131313131313131313131313131300227 Bis heute ist kein effizientes Verfahren zur Primfaktorzerlegung bekannt Aber das Produkt von Primzahlen kann effizent bestimmt werden Primzahlen können ebenfalls effizient bestimmt werden Primzahlen kommen sehr häufig vor Systeme-II 21. Vorlesung - 6

Das RSA-Schema Geheimer Schlüssel: zwei große Primzahlen p,q eine Zahl d, sodass e d = 1 mod φ (n) mit φ(n) = (p-1)(q-1) Entschlüsselung: message = code d mod n Öffentlicher Schlüssel: n = p q eine Zahl e Verschlüsselung: code = message e mod n Kleiner Satz von Fermat: Für alle m 0: m φ(n) = 1 mod n Korrektheit: (message e mod n) d mod n = message e d mod n = message e d mod φ(n) mod n = message mod n Systeme-II 21. Vorlesung - 7

RSA Beispiel Geheimer Schlüssel: zwei große Primzahlen 7,11 eine Zahl d = 43, sodass e * d = 1 mod φ (n) mit φ(n) = (p-1)(q-1) = 60 Entschlüsselung: message = code 43 mod 77 Öffentlicher Schlüssel: n = 77 eine Zahl e = 7 Verschlüsselung: code = message 7 mod 77 message = 5 code = 5 7 mod 77 = 47 47 43 mod 77 =... = 5 = message Systeme-II 21. Vorlesung - 8

Elektronische Unterschriften auch bekannt als digitale Signaturen Unterzeichner besitzt einen geheimen Schlüssel Dokument wird mit geheimen Schlüssel unterschrieben und kann mit einem öffentlichen Schlüssel verifiziert werden Öffentlicher Schlüssel ist allen bekannt Beispiel eines Signaturschemas m: Nachricht Unterzeichner berechnet h(text) mit kryptographischer Hashfunktion und veröffentlicht m und signatur = g(privat, h(text)), für die Entschüsselungsfunktion g Kontrolleur berechnet h(text) und überprüft f(offen, signatur) = h(text), für die asymmetrische Verschlüsselungsfunktion g Systeme-II 21. Vorlesung - 9

IPsec (RFC 2401) Schutz für Replay-Attacken IKE (Internet Key Exchange) Protokoll Vereinbarung einer Security Association Idientifikation, Festlegung von Schlüsseln, Netzwerke, Erneuerungszeiträume für Authentffizierung und IPsec Schlüssel Erzeugung einer SA im Schnellmodus (Nach Etablieriung) Encapsulating Security Payload (ESP) IP-Kopf unverschlüsselt, Nutzdaten verschlüsselt, mit Authentifizierung IPsec im Transportmodus (für direkte Verbindungen) IPsec Header zwischen IP-Header und Nutzdaten Überprüfung in den IP-Routern (dort muss IPsec vorhanden sein) IPsec im Tunnelmodus (falls mindestens ein Router dazwischen ist) Das komplette IP-Paket wird verschlüsselt und mit dem IPsec-Header in einen neuen IP-Header verpackt Nur an den Enden muss IPsec vorhanden sein. IPsec ist Bestandteil von IPv6 Rückportierungen nach IPv4 existieren Systeme-II 21. Vorlesung - 10

Firewalls Typen von Firewalls Host-Firewall Netzwerk-Firewall Netzwerk-Firewall unterscheidet Host-Firewall Externes Netz (Internetfeindselig) Internes Netz (LANvertrauenswürdig) Demilitarisierte Zone (vom externen Netz erreichbare Server) z.b. Personal Firewall kontrolliert den gesamten Datenverkehr eines Rechners Schutz vor Attacken von außerhalb und von innen (Trojanern) Methoden Paketfilter Sperren von Ports oder IP- Adressen Content-Filter Filtern von SPAM-Mails, Viren, ActiveX oder JavaScript aus HTML-Seiten Proxy Transparente (extern sichtbare) Hosts Kanalisierung der Kommunikation und möglicher Attacken auf gesicherte Rechner NAT, PAT Network Address Translation Bastion Host Proxy Systeme-II 21. Vorlesung - 11

Firewalls: Begriffe (Network) Firewall beschränkt den Zugriff auf ein geschütztes Netzwerk aus dem Internet Paket-Filter wählen Pakete aus dem Datenfluss in oder aus dem Netzwerk aus Zweck des Eingangsfilter: z.b. Verletzung der Zugriffskontrolle Zweck des Ausgangsfilter: z.b. Trojaner Bastion Host ist ein Rechner an der Peripherie, der besonderen Gefahren ausgesetzt ist und daher besonders geschützt ist Dual-homed host Normaler Rechner mit zwei Interfaces (verbindet zwei Netzwerke) Systeme-II 21. Vorlesung - 12

Firewalls: Begriffe Proxy (Stellvertreter) Spezieller Rechner, über den Anfragen umgeleitet werden Anfragen und Antworten werden über den Proxy geleitet Vorteil Nur dort müssen Abwehrmaßnahmen getroffen werden Network Address Translation (NAT): siehe folgende Folie Perimeter Network: Ein Teilnetzwerk, das zwischen gesicherter und ungesichter Zone eine zusätzliche Schutzschicht bietet Synonym demilitarisierte Zone (DMZ) Systeme-II 21. Vorlesung - 13

NAT und PAT NAT (Network Address Translation) Basic NAT (Static NAT) Jede interne IP wird durch eine externe IP ersetzt Hiding NAT = PAT (Port Address Translation) = NAPT (Network Address Port Translation) Das Socket-Paar (IP-Addresse und Port-Nummer) wird umkodiert Verfahren Die verschiedenen lokalen Rechner werden in den Ports kodiert Diese werden im Router an der Verbindung zum WAN dann geeignet kodiert Bei ausgehenden Paketen wird die LAN-IP-Adresse und ein kodierter Port als Quelle angegeben Bei eingehenden Paketen (mit der LAN-IP-Adresse als Ziel), kann dann aus dem kodierten Port der lokale Rechner und der passende Port aus einer Tabelle zurückgerechnet werden Sicherheitsvorteile Rechner im lokalen Netzwerk können nicht direkt angesprochen werden Löst auch das Problem knapper IPv4-Adressen Lokale Rechner können nicht als Server dienen DHCP (Dynamic Host Configuration Protocol) bringt ähnliche Vorteile Systeme-II 21. Vorlesung - 14

Firewall-Architektur Einfacher Paketfilter Realisiert durch Eine Standard-Workstation (e.g. Linux PC) mit zwei Netzwerk-Interfaces und Filter-Software oder Spezielles Router-Gerät mit Filterfähigkeiten Firewall Internet Packet Filtering Router verhinderte Nachrichten erlaubte Nachrichten Systeme-II 21. Vorlesung - 15

Firewall-Architektur Screened Host Screened Host Der Paketfilter erlaubt nur Verkehr zwischen Internet und dem Bastion Host und Bastion Host und geschützten Netzwerk Der Screened Host bietet sich als Proxy an Der Proxy Host hat die Fähigkeiten selbst Angriffe abzuwehren Firewall Internet Bastion Host Systeme-II 21. Vorlesung - 16

Firewall-Architektur Screened Subnet Perimeter network zwischen Paketfiltern Der innere Paketfilter schützt das innere Netzwerk, falls das Perimeter- Network in Schwierigkeiten kommt Ein gehackter Bastion Host kann so das Netzwerk nicht ausspionieren Perimeter Netzwerke sind besonders geeignet für die Bereitstellung öffentlicher Dienste, z.b. FTP, oder WWW-Server Firewall Internet Bastion Host Systeme-II 21. Vorlesung - 17

Firewall und Paketfilter Fähigkeiten von Paketfilter Erkennung von Typ möglich (Demultiplexing-Information) Verkehrskontrolle durch Source IP Address Destination IP Address Transport protocol Source/destination application port Grenzen von Paketfiltern (und Firewalls) Tunnel-Algorithmen sind aber mitunter nicht erkennbar Möglich ist aber auch Eindringen über andere Verbindungen z.b. Laptops, UMTS, GSM, Memory Sticks Systeme-II 21. Vorlesung - 18

Ende der 21. Vorlesung Systeme II Christian Schindelhauer schindel@informatik.uni-freiburg.de 19

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback