Workshop Sicherheit mit PKI und PGP. © by md service 10. Juni 200101.06.2015 Themenübersicht Grundlagen: Kryptographie – was ist das? Begriffliches

WorkshopWorkshop

Sicherheit mit PKI und PGP

© by md service 10. Juni 200126.04.23

Themenübersicht Themenübersicht

1. Grundlagen:(1) Kryptographie – was ist das?(2) Begriffliches (3) Überblick über die Verschlüsselungsverfahren(4) Warum braucht man Kryptographie ?(5) Anwendungsmöglichkeiten von PGP(6) Funktionsweise und Bestandteile von PGP (7) Risiken beim Einsatz von PGP

2. Public-Key-Infrastrukturen:(1) Definition und Zweck der PKI(2) PKI-Architektur(3) „PGPcertsrv“ als Beispiel für eine PKI(4) „IIS“ als Beispiel für eine PKI (CA)

3. Praktische Anwendung:(1) Emailverschlüsselung mit PGP und Outlook 2000(2) VPN mit PGPnet(3) SSL mit IE und IIS

4. Weitere Informationen:5. Praxis:


Warum braucht man „Sicherheit“?Warum braucht man „Sicherheit“?


1.1 Kryptographie: Was ist das ?1.1 Kryptographie: Was ist das ?

...ist die Wissenschaft der Veränderung von Klartext in verschlüsselten Text und wieder zurück mittels mathe-matischer VerfahrenEs werden dabei unterschiedlich starke KryptographischeVerfahren unterschieden:

abhängig von dem Algorithmus (DES, RSA, DH) abhängig von der Schlüsselstärke (40 bit, 128 bit, 4096

bit)


1.2 Begriffliches1.2 Begriffliches

OSI-Referenzmodell Modell der Netzwerkschichten 7 Schichten (von oben)

• Verarbeitung (FTP, TELNET, SMTP, DNS)• Darstellung• Sitzung• Transport (TCP, UDP)• Vermittlung (IP)• Sicherung (Frame Relay, Ethernet,

TokenRing)• Bitübertragung (Glasfaser, Twisted Pair,

BNC)



SMTP-Protokoll TCP-IP-Protokoll zur Emailübertragung Klartextprotokoll Port 25


Begriffliches SMTPBegriffliches SMTP



SMTP-Protokoll TCP-IP-Protokoll zur Emailübertragung Klartextprotokoll Port 25

Schlüssel Dient der Sicherung von Daten gegen

unauthorisierten Zugriff Digitale Unterschrift

Dient der elektronischen Authentifizierung einer Person mittels public key

Passphrase Passwort oder beliebiger Text, der in

einen zufälligen Schlüssel umgewandelt, Zugang zu Daten erlaubt


1.3 Überblick über die 1.3 Überblick über die VerschlüsselungsverfahrenVerschlüsselungsverfahren

Verschlüsseln von Daten und Inhalten S/MIME PEM Public Key

Verschlüsseln von Verbindungen PPTP IPSec PublicKey (VPN / SSL)

Authentifikation von Benutzern PublicKey (SSL)


1.3 Überblick über die Verschlüsselungsverfahren:1.3 Überblick über die Verschlüsselungsverfahren: Konventionelle KryptographieKonventionelle Kryptographie

... Für Verschlüsselung und Entschlüsselung wird derselbe Schlüssel verwendet. Dies nennt man symmetrische Verschlüsselung.Vorteil: Nachteil:

nur ein Schlüssel nötig einfache Anwendung schnelles Verfahren

Schlüssel muss auch dem Empfänger bekannt sein Schlüssel wird ebenfalls übertragen aufwendige Schlüsselverteilung


1.3 Überblick über die 1.3 Überblick über die Verschlüsselungsverfahren:Verschlüsselungsverfahren: Kryptographie mit Kryptographie mit öffentlichen Schlüsselnöffentlichen Schlüsseln

... Für Verschlüsselung wird ein öffentlicher Schlüsselund für Entschlüsselung wird der private Schlüsselverwendet. Dies nennt man asymmetrische Verschlüsselung.Vorteil: Nachteil:

sichere Übertragung der Nachrichten Schlüssel bleibt geheim und wird nicht übertragen

Schlüsselpaar nötig grosse Datenmengen relativ langsam PKI nötig


1.3 Überblick über die 1.3 Überblick über die Verschlüsselungsverfahren:Verschlüsselungsverfahren: Digitale Signatur Digitale Signatur

Der Hashwert einer Datei wird mit dem privaten Schlüssel Verschlüsselt und kann mit dem öffentlichen Schlüssel Wieder entschlüsselt werden.Auf diese Weise kann die Gültigkeit des öffentlichenSchlüssels geprüft werden und es wird bestätigt, dass die Daten auch wirklich vom Absender stammen


ATTACK

1.4 Warum braucht man 1.4 Warum braucht man „Kryptographie“?„Kryptographie“?


ATTACK

1.4 Warum braucht man 1.4 Warum braucht man „Kryptographie“?„Kryptographie“?

Kopieren von Daten

Fälschen von Daten

Vortäuschen / Fälschen einer Identität

Abhören von Verbindungen

gezielter Einbruch in Systeme


1.5 Anwendungsmöglichkeiten von PGP1.5 Anwendungsmöglichkeiten von PGP

...wurde von Phil Zimmermann entwickelt nutzt bekannte Algorithmen zur Schlüsselerzeugung

und kombiniert konventionelle und public-key Verschlüsselung und basiert auf einem RFC (!)

ist ein frei verfügbares (Freeware) Softwarepaket zur Datenverschlüsselung (Daten, Email, Datenträger) Verbindungsverschlüsselung (VPN) Benutzerauthentifikation (digitale Zertifikate)


1.6 Funktionsweise und Bestandteile von PGP1.6 Funktionsweise und Bestandteile von PGP

PGPNetzur Verschlüsselung von Netzwerkverbindungen (VPN)

PGPKeyszur Erzeugung und Verwaltung von Schlüsselpaaren und Distribution von public-keys (Kernapplikation)

PGPDiskzur Verschlüsselung und Entschlüsselung von Datenträgern

PGPToolszur einfachen Anwendung der PGP-Bestandteile per Mausclick

PGPTrayzur Shell-Integration


PGP lässt sich nahtlos in viele bekannte Emailprogramme integrieren(Outlook, Lotus Notes, Eudora)

Es existiert Software von Drittanbietern für Email-verschlüsselung ohne Benutzereingriff(mail essentials)

1.6 Funktionsweise und Bestandteile von PGP1.6 Funktionsweise und Bestandteile von PGP


1.6 Funktionsweise und Bestandteile von PGP 1.6 Funktionsweise und Bestandteile von PGP


1.7 Risiken beim Einsatz von PGP1.7 Risiken beim Einsatz von PGP


1.7 Risiken beim Einsatz von PGP1.7 Risiken beim Einsatz von PGPIst Verschlüsselungssoftware LEGAL?Ist Verschlüsselungssoftware LEGAL?

„Das Briefgeheimnis sowie das Post- und Fernmeldegehimnis sind unverletzlich“GG ART.10, Absatz 1

KeyEscrow VerfahrenKeyEscrow Verfahren

SchlüsselbegrenzungSchlüsselbegrenzung

KeyRecovery VerfahrenKeyRecovery Verfahren

Verbot von VerschlüsselungVerbot von VerschlüsselungUSA: „Kryptographie = Waffe. Export verbotem“FRANKREICH: „Starke Kryprographie genehmigungs-

pflichtig >40bit“DEUTSCHLAND: „keine Beschränkungen“UK: „Bestrebungen für KeyRecovery –Verplichtung

zur Key-Herausgabe an Justiz“CHINA: „Nutzung genehmigungspflichtig“SÜD-KOREA: „Export ist kontrolliert für Hardware-

Verschlüsselung, Nutzung soll kontrolliert werden“

WWW: WWW: http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm

http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm













„Es existiert kein absolut sicheres System - PGP kannauf verschiedene Weisen umgangen werden“

komprommitierte Passphrasefalscher öffentlicher SchlüsselKryptologischer AngriffEinbruch in die Privatsphärenicht gelöschte DateienViren und trojanische PferdeSabotage der SoftwareSabotage beteiligter Systeme



„Es existiert kein absolut sicheres System - PGP kann

auf verschiedene Weisen umgangen werden“

komprommitierte Passphrase falscher öffentlicher Schlüssel Kryptologischer Angriff Einbruch in die Privatsphäre nicht gelöschte Dateien Viren und trojanische Pferde Sabotage der Software Sabotage beteiligter Systeme

Es ist unb

edingt not

wendig,

Es ist unb

edingt not

wendig,

die Gültig

keit eines

öffentlic

hen Schlüs

sels zu pr

üfen !!

die Gültig

keit eines

öffentlic

hen Schlüs

sels zu pr

üfen !!



1. Grundlagen:(1) Kryptographie – was ist das?(2) Begriffliches (3) Überblick über die Verschlüsselungsverfahren(4) Warum braucht man Kryptographie ?(5) Anwendungsmöglichkeiten(6) Funktionsweise und Bestandteile von PGP (7) Risiken beim Einsatz von PGP

2. Public-Key-Infrastrukturen:(1) Definition und Zweck der PKI(2) PKI-Architektur(3) „ PGPcertsrv“ als Beispiel für eine PKI(4) „IIS“ als Beispiel für eine CA




2.1 Definition, Zweck und 2.1 Definition, Zweck und Anwendungsmöglichkeiten der PKIAnwendungsmöglichkeiten der PKI

Definition und Zweck:

Public Key Infrastructure (PKI) ist ein Modell für die sichere Kommunikation unter Verwendung von Verschlüsselung mit Public Keys und digitalen Zertifikaten.

Eine PKI enthält die Datenbank für die Zertifikate und entsprechende Administrationsfunktionen zur Abwicklung. Sie wird auch als CA („certification Authority“) bezeichnet und ist mir der Passausgabe einer Regierung vergleichbar.

Eine CA ist das Herz der PKI und dient dazu, die Schlüssel und Signaturen zu beglaubigen.

AusgabeZurücknahmeSpeicherung digitaler SignaturenBeglaubigungVerteilung


Anwendungsmöglichkeiten: E-commerce Online-Finanzdienste E-Mail und Messaging „Business-to-Business“ (B2B) „Business-to-Consumer“ (B2C)

Ähnlich wichtig: Webbbrowser, Webserver Anwendungen,

bei denen mit Protokollen wie S/MIME, SSL und IPSEC gesicherte Transaktionen über das Internet oder in VPNs durchgeführt werden.

2.1 Definition, Zweck und 2.1 Definition, Zweck und Anwendungsmöglichkeiten der PKIAnwendungsmöglichkeiten der PKI


2.2 PKI-Architektur2.2 PKI-Architektur

user User = CA user user

user user

IPRA

PCA PCA PCA

CA CA CA CA


2.2 PKI-Architektur 2.2 PKI-Architektur IPRA

PCA PCA PCA

CA CA CA CA

user User = CA user user

user user


2.3 „ PGPcertsrv“ als Beispiel für eine 2.3 „ PGPcertsrv“ als Beispiel für eine PKIPKI

PGPcertsrv = „Keyserver für PGP“ Freie Software (Freeware) für Windows-OS Wird als Binary distributiert Merkmale:

Keyserver für PGP HTTP-Interface LDAP-Interface Datenbank für Key-Aufbewahrung Syncronisationsmöglichkeit mit

anderen Keyservern


2.3 „ 2.3 „ PGPcertsrvPGPcertsrv“ als Beispiel für eine PKI “ als Beispiel für eine PKI

Dokumentation Manual als PDF

Hardwareanforderungen Abhängig von der Anzahl der zu

verwaltenden Keys und der Menge eingehender Requests

Minimalinstallation:• Datenbankserver auf Port 389 (standard)

Administration Wartung ist kaum nötig:

• Manuelle Pflege der Datenbank (löschen von Keys)

• Überwachung der Replikation• Backup und Restore


2.3 „ 2.3 „ PGPcertsrvPGPcertsrv“ als Beispiel für eine PKI “ als Beispiel für eine PKI ::

Installation: Download des Archivs von

http://www.pgp.com Entpacken des Archivs Installation Starten der Konsole und:

• Erzeugen der Datenbank• Starten des Keyservers• Aktivieren der Replikation

Der Keyserver läuft als Dienst unter NT4!


2.3 „ 2.3 „ PGPcertsrvPGPcertsrv“ als Beispiel für eine PKI “ als Beispiel für eine PKI

LDAP

Replication

Port 389

Port 5000

WWWPort 80


2.4 „IIS“ als Beispiel für eine PKI (CA)2.4 „IIS“ als Beispiel für eine PKI (CA)

„Internet Information Server“ (IIS) ist Bestandteil des Option Pack für NT 4.0 Server / Workstation Webserver FTP Server SMTP Server News Server

Mit dem „Certificate Server“ ist eine eigene Zertifizierungsinstanz Bestandteil des Option Pack

Die CA dient der Erstellung und Verwaltung digitaler Zertifikate für Websites bei Verwendung der SSL-Verschlüsselung

Installation aller Komponenten mittels grafischem Setup


2.4 „IIS“ als Beispiel für eine CA 2.4 „IIS“ als Beispiel für eine CA

Mit der MMC werden der IIS und die CA verwaltet

Bei der Installation wird das Root-Zertifikat erzeugt

Anschliessend können beliebige Zertifikate für einzelne Instanzen des Webservers erzeugt werden (Bindung an IP-Adressen und Port-nummern)

Das Zertifikat der Root-CA steht zum Download auf den Client zur Verfügung




2. Public-Key-Infrastrukturen:(1) Definition und Zweck der PKI(2) PKI-Architektur(3) „PGPcertsrv“ als Beispiel für eine PKI(4) „IIS“ als Beispiel für eine CA


4. Weitere Informationen:5. Praxis


3. Praktische Anwendung:3. Praktische Anwendung:



3.1 Emailverschlüsselung mitPGP und MS Outlook 2000


3.1 Emailverschlüsselung am Beispiel PGP und 3.1 Emailverschlüsselung am Beispiel PGP und Outlook 2000Outlook 2000

Voraussetzungen: Outlook Express oder Outlook bzw.

anderes unterstütztes Programm *1

(Internet-) zugang zu einer PKI *2

PGP mit den Komponenten• Key Management• PGP Plugin für Outlook

*1 Es kann auch manuell verschlüsselter Text als Attachment versendet werden*2 Keys können auch manuell distributiert werden


1. Email versenden: Email schreiben Empfängeradresse auswählen Option zum Verschlüsseln wählen

3.1 Emailverschlüsselung am Beispiel PGP und Outlook 3.1 Emailverschlüsselung am Beispiel PGP und Outlook


1. Email versenden (Fortsetzung): Auf „senden“ clicken Den Schlüssel des Empfängers ggf. von

der PKI herunterladen, auswählen und verifizieren



1. Email versenden (Fortsetzung): Den Key ggf. importieren Und die Passphrase für den eigenen

„private key“ eingeben



2. Email empfangen: Email öffnen Passphrase für den eigenen Private Key

eingeben



2. Email empfangen: Email lesen




3.2 VPN mit PGPnet


3.2 VPN mit PGPnet3.2 VPN mit PGPnet

Voraussetzungen: Netzwerkkarte oder DFÜ-Netzwerk *1

(Internet-) zugang zu einer PKI *2

PGP mit den Komponenten• Key Management• PGPnet VPN/FW

*1 Es kann wahlweise NIC oder DFÜ oder beides gemeinsam genutz werden*2 Keys können auch manuell distributiert werden


3.2 VPN mit PGPnet 3.2 VPN mit PGPnet

Vorbereitung: Option wählen (DFÜ / NIC) VPN-Option aktivieren



Vorbereitung (Fortsetzung): Mit dem Wizard einen neuen Host

eintragen Optionen konfigurieren Key ggf. herunterladen und auswählen



Vorbereitung (Fortsetzung): Key ggf. herunterladen und auswählen Key signieren und trusten Mit dem Host verbinden



3.3 SSL mit IE und IIS


3.3 SSL mit IE und IIS3.3 SSL mit IE und IIS


3.3 SSL mit IE und IIS 3.3 SSL mit IE und IIS












4. Weitere Informationen4. Weitere Informationen

Im Internet:

Adobe Acrobat-Dokument

www.pgpi.org www.openssl.org

www.pgp.com www.openkeyserver.org

www.nai.com www.linux.org

In Fachliteratur:„Cryptography for the Internet“ Philip R. Zimmerman. Scientific American,Oktober 1998.„Privacy on the Line“Whitfield Diffie und Susan Eva Landau. MIT Press; ISBN: 0262041677.„The Codebreakers“David Kahn. Scribner; ISBN: 0684831309. „Network Security: Private Communication in a Public World“Charlie Kaufman, Radia Perlman und Mike Spencer. Prentice Hall; ISBN:0-13-061466-1.

In der Online-Dokumentation von PGP:

IntroToCrypto

http://www.pgpi.org/





http://www.openssl.org/





http://www.pgp.com/

http://www.pgp.com/

http://www.pgp.com/

http://www.pgp.com/

http://www.pgp.com/

http://www.openkeyserver.org/





http://www.nai.com/

http://www.nai.com/

http://www.nai.com/

http://www.nai.com/

http://www.nai.com/


5. Praxis...5. Praxis...

Vorschläge für praktische Übungen Installation eines weiteren Clients

mit PGP Benutzung von PGP:

• Schlüssel erstellen• Upload / Download von Schlüsseln• Prüfung von Schlüssels• Zurückziehen von Schlüsseln (CRL)• Fehlersuche

Verschlüsselte Email senden und empfangen

VPN zwischen zwei Clients installieren SSL Zugriff auf einen Webserver

durchführen


ThemenübersichtThemenübersicht


2. Public-Key-Infrastrukturen:(1) Definition und Zweck der PKI(2) PKI-Architektur(3) „PGPcertsrv“ als Beispiel für eine PKI(4) „IIS“ als Beispiel für eine CA



Documents

Workshop Sicherheit mit PKI und PGP. © by md service 10. Juni 200101.06.2015 Themenübersicht Grundlagen: Kryptographie – was ist das? Begriffliches