anwendungen der kryptographie - fhdo-winkels.de · zkryptographie erlaubt zuverlässig das...
TRANSCRIPT
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
1Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
Anwendungen der Kryptographie
Dortmund, Oktober 2004
Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH DortmundEmil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX: (0231)755-4902
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
2Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
Inhalt
Seite
Summary 3
Begriffsabgrenzung 4
Problembeschreibung 5
Anwendungen 8
Der Staat und die Verschlüsselung 11
Sichere Internetprotokolle 18
PGP 29
GnuPG 34
Weitere Prgramme 39
Internet-Links 44
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
3Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
Summary
Kryptographie erlaubt zuverlässig das technische Schützen von übermittelten oder gespeicherten Daten vor unbefugter Kenntnisnahme.
Für den Bereich der Verschlüsselung bestehen in Deutschland nur vereinzelte Vorschriften im Recht der Telekommunikation.
Dabei darf § 8 Abs. 4 Satz 2 FÜV nicht so ausgelegt werden, dass er Betreiber von Telekommunikationsanlagen zwingt, Schlüssel der Kommunikationsteilnehmer an die Behörden auszuhändigen; es besteht lediglich eine Verpflichtung zum Aufheben nicht-teilnehmerautonomer Verschlüsselung im Einzelfall.
Beschränkungen des Einsatzes teilnehmerautonomer Kryptographie wie ein totales Verbot, ein Verbot starker Kryptographie oder ein obligatorisches Schlüsselhinterlegungsmodell (Key Recovery) wären verfassungswidrig.
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
4Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
Begriffsabgrenzung
Verschlüsselung– (Chiffrieren) transformiert einen Klartext in Abhängigkeit von
einer Zusatzinformation, die „Schlüssel“ genannt wird, in einen zugehörigen Geheimtext (Chiffrat), der für diejenigen, die den Schlüssel nicht kennen, nicht entzifferbar sein soll.
– In allen modernen Verschlüsselungsalgorithmen sind Klartexte, Geheimtexte und Schlüssel jeweils als Folgen von Bits gegeben.
Entschlüsselung– Die Umkehrtransformation - die Zurückgewinnung des
Klartextes aus dem Geheimtext - wird Entschlüsselung genannt
Verschlüsselungsprogramme– Programme, um Daten zu ver- und entschlüsseln
4
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
5Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
Problembeschreibung
Warum Verschlüsselung ?Das Internet ist ein offenes Netz. Jede Mail ist wie eine Postkarte, jeder kann sehen, was darauf geschrieben ist.
Beim Verschicken einer E-Mail hat man keinen Einfluss auf den Weg bzw. welche und wie viele Serverknoten(Zwischenstationen) die E-Mail benötigt, um den Empfänger zu erreichen
Die Datenleitung zwischen Sender und Empfänger kann angezapft werden (wire tapping)
Daten auf den Zwischenstationen können von Unbefugten gelesen, kopiert oder verändert werden
– sie können sich z.B. Kreditkartennummern oder Bankdaten aneignen
In das Internet können sehr leicht E-Mails mit vorgetäuschtem Absender eingeschleust werden (forged mail)
Daten auf der Festplatte können von Unberechtigten ohne Verschlüsselung eingesehen werden
Um dies zu verhindern, kann und sollte man E-Mails und Daten auf der Festplatte mit Hilfe von Verschlüsselungsprogrammen sichern
5
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
6Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... Problembeschreibung
Wer sollte seine Daten verschlüsseln ?
Privatleute– E-Mail, – Daten auf der Festplatte
Unternehmen– E-Mail– Daten auf der Festplatte
Staat– Militär– Nachrichtendienst, – Regierung
6
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
7Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... Problembeschreibung
Umfrage zur Anwendung von Verschlüsselung
Frage: Wieviel Prozent des Datenverkehrs in Ihrem Unternehmen sind verschlüsselt?-Prozentwerte-
5
11
17
8
15
16
29
15
18
8
12
14
25
9100%
51 - 99%
21 - 50%
11 - 20%
6-10%
Nichts
1 - 5%
WeltweitDeutschland
Quelle: PricewaterhouseCoopers/Informationweek, IT-Security 2001
7
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
8Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
Anwendungen
Die Kryptographie gilt als die absolute Schlüsseltechnologie für die Entwicklung des Internet und der Informationsgesellschaft überhaupt
Digitale SignaturDigitales GeldVerteilen eines Geheimnisses auf mehrere PersonenDatierte StempelSichere Wahlen und Anonymität
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
9Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... Anwendungen
Digitale Signatur als "elektronische Unterschrift"
Für den "elektronischen Handel" wie überhaupt für jede rechtsverbindliche Kommunikation über das Netz wird die digitale Signatur von entscheidender Bedeutung sein.
Verbindliche digitale Signaturen werden hier eines ihrer wichtigsten Einsatzfelder finden.
Über ausgeprägte Zertifizierungsstrukturen wird es möglich sein, jedem digital signierten Dokument einen Urheber zuzuordnen, so dass Verträge auch übers Netz ohne Einbuße an Beweissicherheit geschlossen werden können.
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
10Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... Anwendungen
Digitales Geld und Elektronische ZahlungssystemeMit digitalem Geld ist im Gegensatz zum elektronischen Zahlungsverkehr (Scheckkarten, Kreditkarten, Überweisungen etc.) ein System gemeint, in dem digital symbolisierte Zahlungsmittel ("Münzen„) ohne Einschaltung Dritter (wie etwa einer Bank) von einer Person an eine andere transferiert werden können.
Ideales digitales Geld sollte einige Voraussetzungen erfüllen:– Das Geld kann über Computernetze transferiert– Es kann nicht kopiert und dann wiederverwendet werden– Anonymität ist gewährleistet– Das Geld kann zu anderen Benutzern übertragen werden– Eine Einheit über einen bestimmten Betrag lässt sich in kleinere Einheiten zerlegen
Daneben ist für die Durchsetzung von digitalem Geld auch wichtig, dass es einfach zu benutzen, kostengünstig, überall einsetzbar und auf einem robusten System basierend realisiert ist.
Es existieren mittlerweile sehr komplexe kryptographische Protokolle, die viele oder alle dieser Anforderungen erfüllen und sich somit prinzipiell zur Umsetzung in die Praxis eignen.
Einige Firmen bieten digitales Geld auch schon zur Bezahlung im Internet an.
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
11Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
Der Staat und die Verschlüsselung
Der Staat sieht die Verschlüsselungstechnik mit „gemischten Gefühlen“
Die gesetzlichen und politischen Rahmenbedingungen zur Benutzung von Ver-schlüsselungssoftware sind von Land zu Land sehr unterschiedlich und stetigem Wandel unterworfen
Dies reicht von völligem Verbot von Verschlüsselungssystemen (z.B. in Russland) bis hin zu geforderten Hinterlegungen von Private-Keys bei staatlichen Behörden, um bei Verdachtsmomenten anhand der hinterlegten Schlüssel verdächtige Informationen entschlüsseln zu können.
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
12Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... Der Staat und die Verschlüsselung
Die USA und die Verschlüsselung:
Die USA sehen sehr viele Gefahren in der Verschlüsselungstechnik, nicht zuletzt nach den Ereignissen am 11. September 2000, sie möchten mögliche Gefahren und Schäden von der eigenen Nation abhalten.
Deshalb hat die US-Regierung schon frühzeitig den US-amerikanischen Verschlüsselungsunternehmen ihre eigenen Regeln auferlegt.
Verschlüsselungssoftware darf nur bis zu einer bestimmten Schlüssellänge aus den USA für die Nutzung durch Nicht-US-Amerikaner exportiert werden:
– diese maximale Schlüssellänge liegt derzeit bei 40 Bit– bis zu dieser Schlüssellänge ist die NSA in der Lage, verschlüsselte
Kommunikation bei Bedarf (schnell -> innerhalb einer Stunde) zu entschlüsseln.
Außerdem wurde Verschlüsselungssoftware als Waffenmunition definiert und unterliegt somit den strengsten Exportkontrollen.
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
13Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... Der Staat und die Verschlüsselung
Die USA und die Verschlüsselung: (Forts.)
Um die US-Verschlüsselungsanbieter weltweit konkurrenzfähig zu halten, wird es ihnen gestattet, 56 Bit-Algorithmen auf dem internationalen Markt anzubieten
– allerdings müssen diese Produkte erst bei der NSA registriert werden und einen „Technical Review“ überstehen, bevor sie exportiert werden.
– Die Vermutung liegt nahe, dass der Technical Review nur dazu dient, das Vorhandensein geeigneter Key-Recovery-Mechanismen zu überprüfen
– und somit den „dritten Schlüssel“ für die Programme zu erhalten.
Das bedeutet für deutsche Unternehmen, dass sie teilweise – wenn sie Software amerikanischer Hersteller verwenden möchten – auf den Einsatz unsicherer Verschlüsselung angewiesen sind.
Die US-Regierung macht Druck auf andere Regierungen, vor allem in Europa, damit auch diese sichere Verschlüsselungsverfahren mit Sanktionen belegen.
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
14Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... Der Staat und die Verschlüsselung
Die EU die Verschlüsselung
Die Europäische Kommission hat in den „Europäischen Richtlinien 2 für digitale Unterschriften und Verschlüsselung“ die Versuche der US-Regierung, die europäischen Staaten zu beeinflussen, kritisiert:
„Der elektronische Handel und viele andere Bereiche der Informationsgesellschaft werden nur dann wachsen und ihre wirtschaftlichen und sozialen Vorteile eröffnen, wenn Vertraulichkeit auf benutzerfreundliche und kostengünstige Weise garantiert werden kann.“
„Für eine sichere und vertrauenswürdige Umgebung seien für Unternehmen und Konsumenten Verschlüsselungstechniken entscheidend.“
„Eine Beschränkung der Verwendung von Verschlüsselungstechnologien könnte gesetzestreue Unternehmen und Bürger daran hindern, sich selbst gegen kriminelle Angriffe zu schützen, aber sie würde nicht bewirken, Kriminelle von deren Verwendung abzuhalten.“
2 Quelle: www.heise.de/tp/deutsch/inhalte/te/1300/1.html
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
15Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... Der Staat und die Verschlüsselung
Die EU die Verschlüsselung (Forts.)
Haupteinwand der Kommission ist, dass eine Begrenzung der Verschlüsselung und eine Hinterlegung der Schlüssel die bestehenden Unsicherheiten in den offenen Netzen eher verstärken und damit den elektronischen Zukunftsmarkt behindern könnten.
Die Kommission will mit ihrer Haltung den europäischen Standort sichern, da ein schneller und sicherer Datenaustausch viele Möglichkeiten für europäische Unternehmen und auch für neue Arbeitsplätze eröffnet.
Außerdem würde eine Überwachung der Kommunikation und Transaktionen von Bürgern und Unternehmen die Angst vor einer totalen Überwachung schüren und sie dazu bringen, in der anonymen Off-line Welt zu bleiben.
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
16Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... Der Staat und die Verschlüsselung
Die Bundesregierung und die Eckpunkte ihrer Kryptopolitik
Die Bundesregierung beabsichtigt nicht, die freie Verfügbarkeit von Verschlüsselungsprodukten in Deutschland einzuschränken. Sie sieht in der Anwendung sicherer Verschlüsselung eine entscheidende Voraussetzung für den Datenschutz der Bürger, für die Entwicklung des elektronischen Geschäftsverkehrs sowie für den Schutz von Unternehmensgeheimnissen. Die Bundesregierung wird deshalb die Verbreitung sicherer Verschlüsselung in Deutschland aktiv unterstützten. Dazu zählt insbesondere die Förderung des Sicherheitsbewusstseins bei den Bürgern, der Wirtschaft und der Verwaltung.
Die Bundesregierung strebt an, das Vertrauen der Nutzer in die Sicherheit der Verschlüsselung zu stärken. Sie wird deshalb Maßnahmen ergreifen, um einen Vertrauensrahmen für sichere Verschlüsselung zu schaffen, insbesondere indem sie die Überprüfbarkeit von Verschlüsselungs-produkten auf ihre Sicherheitsfunktionen verbessert und die Nutzung geprüfter Produkte empfiehlt.
Quelle: www.sicherheit-im-internet.de
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
17Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... Der Staat und die Verschlüsselung
Die Bundesregierung und die Eckpunkte ihrer Kryptopolitik (Forts.)
Die Bundesregierung hält aus Gründen der Sicherheit von Staat, Wirtschaft und Gesellschaft die Fähigkeit deutscher Hersteller zur Entwicklung und Herstellung von sicheren und leistungs-fähigen Verschlüsselungsprodukten für unverzichtbar. Sie wird Maßnahmen ergreifen, um die internationale Wettbewerbsfähigkeit dieses Sektors zu stärken.
Durch die Verbreitung starker Verschlüsselungsverfahren dürfen die gesetzlichen Befugnisse der Strafverfolgungs- und Sicherheitsbehörden zur Telekommunikationsüberwachung nicht ausgehöhlt werden. Die zuständigen Bundesministerien werden deshalb die Entwicklung weiterhin aufmerksam beobachten und nach Ablauf von zwei Jahren hierzu berichten. Unabhängig hiervon setzt sich die Bundesregierung im Rahmen ihrer Möglichkeiten für die Verbesserung der technischen Kompetenzen der Strafverfolgungs- und Sicherheitsbehörden ein.
Die Bundesregierung legt großen Wert auf die internationale Zusammenarbeit im Bereich der Verschlüsselungspolitik. Sie tritt ein für am Markt entwickelte offene Standards und interoperable Systeme und wird sich für die Stärkung der multilateralen und bilateralen Zusammenarbeit einsetzen.
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
18Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
Sichere Internetprotokolle
Sicherheitsprotokolle sind eine Kombination aus Soft- und Hardwareprodukten, die bei einem elektronischen Zahlungsverkehr gestartet werden, um die Datenübertragung automatisch zu verschlüsseln.
Wichtige Sicherheitsprotokolle für die Zahlung im Internet sind
– STT - Secure Transaction Technology– SEPP - Secure Electronic Payment Protocol– SSL - Secure Socket Layer - ist ein Programm, mit dem die Übertragung der Kreditkartendaten
von Surfern im Internet sichergestellt wird
– SET - Secure Electronic Transaction - ist der Weltstandard für sichere Zahlungen mit der Kreditkarte im Internet
– HBCI - Home Banking Computer Interface – der Standard für Geldüberweisungen per Homebanking
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
19Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... Sichere Internetprotokolle
SSL – Secure Socket Layer
1994 entwickeltes Sicherheitsprotokoll von Netscape
Wird von allen aktuellen Browsern unterstützt
Daran zu erkennen, dass– die Web-Adresse um ein „s“ erweitert ist (https://www...), – am unteren Bildschirmrand im Netscape Navigator der sonst unterbrochene Schlüssel
geschlossen ist,– im Internet Explorer das Vorhängeschloss geschlossen ist
Für die Verschlüsselung der eigentlichen Datenübertragung wird eine symmetrische und eine asymmetrische Verschlüsselung benutzt
Bei SSL wird eine Verbindung zwischen dem Browser eines Benutzers und dem Server eines Anbieters aufgebaut, über die zunächst Zertifikate mit öffentlichen Schlüsseln ausgetauscht werden. (-> Alle gängigen Browser erhalten bereits bei der Installation SSL-Zertifikate einiger Zertifizierungsstellen)
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
20Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... Sichere InternetprotokolleSSL – Secure Socket Layer (Forts.)
Bei SSL wird eine Verbindung zwischen dem Browser eines Clients und dem Server eines Anbieters aufgebaut, über die zunächst Zertifikate mit öffentlichen Schlüsseln ausgetauscht werden.
– Alle gängigen Browser erhalten bereits bei der Installation SSL-Zertifikate einiger Zertifizierungsstellen
Anschließend wird geschützt durch das asymmetrische Verschlüsselungsverfahren ein symmetrischer Schlüssel ausgetauscht.
Für die Verschlüsselung der eigentlichen Datenübertragung wird nun ein symmetrisches Verfahren benutzt, da dieses große Datenmengen schneller verschlüsseln kann.
– Eingesetzte Algorithmen: RC2, RC4, DES, Triple-DES, IDEA mit 128 Bit Schlüssellänge
In Browsern US-amerikanischer Hersteller sind aufgrund der US-Exportrestriktion teilweise nur Verschlüsselungsverfahren mit extrem kurzen Schlüssellängen (40Bit) integriert.
Trotz gesicherter Übertragung: Ist der Betreiber einer Seite unseriös, so kann er mit den Daten Missbrauch betreiben, da er den Schlüssel besitzt
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
21Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... Sicherheitsprotokolle
SET (Secure Electronic Transaction)
Allgemeines– Verschlüsselungsverfahren für Kreditkartenzahlung über das Internet– entwickelt von Visa und Mastercard / Eurocard in Zusammenarbeit mit IBM, Microsoft u.a.– Derzeit weltweit 100 Mio. Nutzer
Welche Sicherheit bietet SET?– Eindeutige Identifizierung aller an Finanztransaktion beteiligte Akteure durch Zertifikate– Zwischen den Transaktionspartnern übermittelte Daten sind unveränderbar und für Dritte unzugänglich
durch digitale Fingerabdrücke in Verbindung mit digitalen Signaturen
Beteiligte – Karteninhaber als Kunde– Händler bei dem ein SET Merchant Server installiert ist– Kartenherausgeber (Bank), der Händler zu zahlenden Betrag zusichert– Acquirer, der Zahlungen für den Händler verarbeitet und dafür vom Herausgeber authorisiert ist– Payment Gateway, das für die Kommunikation zwischen Acquirer und Händler dient– Zertifizierungsautorität, das Zertifikate für für Kunde, Händler und Payment Gateway vergibt und
verwaltet
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
22Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... Sicherheitsprotokolle
SET (Forts.) Implementierung von SET
– Händler richtet sich eine Homesite ein und erwirbt sich bei einem zugelassenen SET-Partner die erforderliche Software ( www.setco.org/cgi-bin/vsm.cgi)
– Kreditkarteninhaber muss entweder Wallet installieren (www.visa.de/ks/servise/wallet.exe) oder der Händler bietet SET-Variante MIA (Merchant Initiated Authorization)
– Kunde muss Kreditkartennummer in Wallet eingebenNummer wird auf Festplatte oder in einer Smartcard gespeichertEingabe eines Benutzerpasswort
– 3 Sicherheitsstufen3KP-Modus: alle drei Beteiligte besitzen ein Zertifikat2KP-Modus: nur Händler und Kartenherausgeber zertifiziert, Karteninhaber bleibt anonymMIA
Ablauf einer Transaktion über SET– Kunde stellt sich seinen Warenkorb zusammen– Kunde schickt seine Bestellung, die mit seiner Wallet-Software verschlüsselt wurde an das Payment
Gateway– Dort erfolgt eine Prüfung je nach Sicherheitsstufe
Keine Beanstandung: - Autorisierung der Transaktion - Händler erhält Gutschrift und Bestätigung der Lieferfreigabe- Karteninhaber erhält Quittung
Unregelmäßigkeit: Abbruch des Vorgangs und Informierung des Karteninhabers
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
23Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... Sicherheitsprotokolle
SET - Secure Electronic Transaction (Forts.)Funktionsweise
(0) (3)
(2)(1)
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
24Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... Sicherheitsprotokolle
SET (Forts.) Vorteile
– Einfach und anwenderfreundlich– SET für Abwicklung über Visa, Mastercard/Eurocard American Express und ELV verfügbar – Garantierte Zahlung an Händlerbank– Auszahlung an Händler individuell ( z.B. wöchentlich, monatlich)– Kreditnummer des Kunden von Händler nicht einsehbar– Kontinuierlicher Ausbau ( europäische Zahlungsverfahren, Geldkarte) geplant
Nachteile– Implementierung eines neuen Systems notwendig– Transaktionen kleiner Beträge nicht vorgesehen– Solange weite Kundenkreise nicht zertifiziert kann Set nicht eingesetzt werden– Momentane ausschließliche Nutzung von kreditkartenbasierten Verfahren
Software für SET-Wallets von verschiedenen Herstellern angeboten– X-Pay Java Credit Wallet (www.brokat.de)– Cyber Cash Internet Wallet (www.cybercash.de)– GlobeSet Wallet (www.globeset.com)– IBM Consumer Wallet (www.ibm.com/commerce/software/payment/wallet.html)– Microsoft Wallet (www.microsoftcom/wallet)
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
25Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... Sicherheitsprotokolle
Secure Electronic Transaction (SET) (Forts.)
SET-fähige Banken (Auszug; Stand: 27.10.1999)– Commerzbank AG (http://www.commerzbank.de/)– Deutsche Bank AG (http://www.deutsche-bank.de/)– Sparkassen (http://www.sparkasse.de/ecommerce/)– Volks- und Raiffeisenbanken (http://www.vrnet.de/)
SET-fähige Händler (Auszug; Stand: 27.10.1999)– Brinkmann(http://www.brinkmann.de/)– C & A (http://www.c-and-a.com/de/)– IBM (http://www.de.ibm.com/)– My World von Karstadt (http://www.my-world.de/)– Telekom (http://www.telekom.de/)
SET-Payment-Gateways (Auszug; Stand: 27.10.1999)– GZS (http://www.gzs.de/)– Netlife AG (http://www.netlife.de/)
SET-Zertifizierungsstellen (Auszug; Stand: 27.10.1999)– Eurocard (http://www.eurocard.de/set/cca/)– Visa (http://www.visa.de/)– Sparkassen– Volks- und Raiffeisenbanken– Commerzbank (http://www.commerzbank.de/)
Quelle: Eurocard Kartensysteme (http://www.eurocard.de/)
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
26Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... Sicherheitsprotokolle
HBCI (Homebanking Computer Interface)
Schnittstellenstandard für die Datenkommunikation der Kunden mit den Bankrechnern
Basiert auf einer vom Zentralen Kreditausschussdes Kreditgewerbes festgelegten Spezifikation
– Elektronische Unterschrift– Vielzahl von fest definierten
Geschäftsvorfällen 32 Standardtransaktionen wieEinzelüberweisung, Lastschrift,Scheckbestellung etc.
– Möglichkeit zum internationalen Einsatz
Zwei Transaktionsverfahren stehen den Banken im Web zur Verfügung
– HBCI regelt das Electronic Banking– SET sichert den Zahlungsverkehr
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
27Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... Sicherheitsprotokolle
HBCI (Forts.)
Quelle: www.ecin.de/zahlungssysteme/hbci/, eingesehen am 24.11.02
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
28Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... Sicherheitsprotokolle
HBCI (Forts.)
Vorteile – Unabhängigkeit vom Transportnetz
neben dem Internet ist der Zugriff auf das Bankkonto auch über Web-TV, Handy, SB-Terminal usw. realisierbar
– Offenheit: Verwendung internationaler Standards, Protokolle und Normen Endgeräte-Unabhängigkeit für PC, Settopbox oder SmartphoneVoraussetzung für internationalen Einsatz
– Multibankfähigkeit: einheitliche Schnittstelle zu allen Kreditinstituten, d.h. der Kunde kann eine Homebanking-Software für die Kommunikation zu mehreren Banken nutzbarSoftware für alle Bankgeschäfte einsetzbar
– Sicherheit: digitale Signaturen ohne PIN/TANelektronischer Fingerabdruck des Bankkunden wird vom Computer in einen persönlichen Signaturschlüssel codiert, per Internet verschickt und auf der Gegenseite entschlüsselt.Schlüssel entweder auf einer Chipkarte, Diskette oder auf der lokalen Festplatte des Kunden-Rechners gespeichert
– Flexibilität: Angebot von Geschäftsvorfällen kann schnell und einfach um weitere erweitert werdenInternet-Brokering (Abwicklung von Wertpapiergeschäften über das Web) in nächster Version ebenfalls vorhanden
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
29Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
Zur Zeit der Standard in der Kommunikationssicherheit
PGP steht für „Pretty Good Privacy“ (übersetzt in etwa: „ziemlich gute Privatsphäre“)Von Phil Zimmermann Ende der 80er Jahre in den USA entwickelt und von Network Associate vertriebenPGP ist für Privatpersonen Freeware und kann somit kostenlos bezogen werden.Unternehmen können PGP heutzutage nicht mehr nutzen, da diese Software nicht mehr unter der GNU General Public License (GNU GPL) vertrieben wird.Anfang des Jahres 2002 gab Network Associate bekannt, dass alle Lizenz-Verträge mir ihrem Ablauf nicht mehr verlängert werden und dass dann alle PGP Versionen gelöscht werden müssen.Eine Ausnahme bildet die Version PGP Personal Privacy und die nicht-kommerzielle Freeware Version.Dieser von Network Associate „Maintenance Mode“ bezeichnete Zustand soll bis März 2003 andauern.
PGP (Pretty Good Privacy)
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
30Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... PGP (Pretty Good Privacy)
PGP ist ein Verschlüsselungsprogramm, das hauptsächlich zur Verschlüsselung elektronischer Nachrichten (E-Mails) verwendet wird: das Software Paket erfüllt drei Aufgaben:
Die Verschlüsselung elektronischer Mitteilungen, so dass nur Absender und Empfänger diese lesen können
Das Unterschreiben von Mitteilungen, so dass der Empfänger sich darauf verlassen kann, dass diese vom Absender und nicht von einem Fremden versandt wurde
Die Verschlüsselung gespeicherter Dateien, so dass nur der berechtigte Anwender darauf zugreifen kann
Verwendete Verschlüsselungsverfahren:asymmetrische VerschlüsselungRSA 128 Bit Verschlüsselungstiefe
Der Austausch von öffentlichen Schlüsseln erfolgt i.d.R. über einen Key-Server im www oder einfach per E-Mail
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
31Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... PGP (Pretty Good Privacy)
Die wichtigsten Schritte:
1. Jeder Anwender erzeugt ein Schlüsselpaar, das zur Verschlüsselung und Entschlüsselung von Nachrichten dient.
2. Jeder Anwender legt einen der beiden Schlüssel in ein für alle zugängliches Depot. Dies ist der Public-Key
Der zugehörige Schlüssel wird beim Anwender verschlossen verwahrt.3. Wenn A eine private Nachricht an B schicken möchte, verschlüsselt A die Nachricht mit
dem Schlüssel von B.4. Wenn B die Nachricht erhält, entschlüsselt er sie mit seinem persönlichen Schlüssel
Private Key.
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
32Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... PGP (Pretty Good Privacy)
So sieht z.B. eine verschlüsselte PGP-Mail aus:
-----BEGIN PGP MESSAGE-----Version: 2.6.3i
hIwDWSrKrQ24eOEBA/0bHsUDzma8xe4e171ntjRxb+xNW7w2dtpFWpkP7Xr6O321 3OgIXWOALazS0pfn5OyNX2ySscbbwZpe7ma17SXKmPl0nIWjLuzlXS0JzgQubjRp69dLEAKCfTSY/dWuGIorXuJ/Jy3NNdU+C5axNbr4Wit1RGgwojdZ5xrHQrhCkKYA AAC7bhqHawfaVX4joAuv9F5YR+KYF7nbyNyX0WvlzBon9m+UmYkCF2l8azIwFktPHp9g7DJVEfqKN2VARcack0/K/gpaYCMBN3RsNBymA7ck8voW2aXWd5BkpcedG4JoWtaLBuLEEHNekThRd5UX2DKeJHlrAPV+GlSYlBIMeZ9jMoxCO+hIW3nM/ICHwJM9OJ+6vC1rTxM4gl9s+V9WK6VDQj1Atfb0jx4D5gq1x/iQDWbbd6UxemiJd3Rmsw== =xGPH-----END PGP MESSAGE-----
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
33Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... PGP (Pretty Good Privacy)
PGP bietet die Möglichkeit mit Plug–Ins direkt in den gewohnten Programmen zu arbeiten,
z.B mit MS Outlook, Outlook Express, Lotus Notes, Eudora, Pegasus Mail, Netscape Messanger
Das Programm läuft auf den Betriebsprogrammen:
Windows 95/98/NT, ...MS-DOSOS/2UnixAmiga, Atari
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
34Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
Ein vom Bundeswirtschaftsministerium gefördertes Projekt zum Verschlüsselnund Signieren von digitalen Daten
GnuPP bezeichnet das Gesamtpaket, das die Programme GnuPG (Gnu Privacy Guard) GPA (Gnu Privacy Assistant) WinPT (Windows Privacy Tray)
und andere Komponenten enthält
Die GNU Privacy Guard Software (GnuPG) ist ist zentraler Bestandteil des Projektes, sie führt die eigentliche Ver- und Entschlüsselung der Daten durch
GnuPG ist eine Freie Software (Open-Source-Software), sie kann ohne Restriktion privat oder kommerziell benutzt werdenGnuPG ist vollständig kompatibel mit PGP (Pretty Good Privacy)
GnuPP (GNU Privacy Projekt)
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
35Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... GnuPP (GNU Privacy Projekt)
GnuPG verwendet mehrere kryptographische Verfahren wie beispielsweise:
– Symmetrische Verschlüsselungstechnik– Asymmetrische Verschlüsselungstechnik– Hybride Verschlüsselungstechnik
GnuPG ist nicht durch Ausfuhrbestimmungen künstlich in seiner Funktionalität und Sicherheit beschränkt.
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
36Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... GnuPP (GNU Privacy Projekt)
Der Gnu Privacy Assistant (GPA) ist die grafische Benutzeroberfläche für GnuPG
Sie dient zur Verwaltung der öffentlichen Schlüssel (Keyring) und zum Ver- und Entschlüsseln von Dateien
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
37Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... GnuPP (GNU Privacy Projekt)
Windows Privacy Tray (WinPT) ist ein Taskleistenwerkzeug, mit dem man über die Zwischenablage Mails ver- und entschlüsseln kann.
Man kann es mit jedem Mailprogrammverwenden und so komfortabel seineprivaten Daten schützen.
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
38Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... GnuPP (GNU Privacy Projekt)
Von G Data gibt es ein Outlook-Plug-in für GnuPG
Dies stellt eine Schnittstelle zwischen dem E-Mail-Programm Microsoft Outlook und dem GnuPG bzw. dem GPA darEs ermöglicht die schnelle und unkomplizierte Handhabung verschlüsselter E-Mails ohne den bislang notwendigen Umweg über die Kommandozeile oder die Zwischenablage
Da es sich bei GnuPG um eine Freie Software, also eine Open-Source-Software, handelt, hat der Benutzer bestimmte Rechte:
Der Quelltext muss jedem Benutzer offengelegt werden.Der Benutzer hat das Recht, die Software zu modifizieren und in modifizierter Form weiterzuleiten.
Die garantierte Einsehbarkeit des Quelltextes von GnuPG gewährleistet vollständige Transparenz.
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
39Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
SafeGuard PrivateCrypto
Verschlüsselt Daten beim Versenden via Internet und auf lokalen Laufwerken
Das Programm bindet sich bei der Installation in das Kontext-Menü von Windows ein und lässt sich danach per rechtem Mausklick auf die zu verschlüsselnde Datei starten.
Schlüsselerzeugung durch ein Passwort des Anwenders. Nach zweimaliger Eingabe des Passworts verschlüsselt Private Crypto die Datei.
Auf Wunsch komprimiert Private Crypto die verschlüsselte Datei noch mittels des ZIP Algorithmus, um beim Versand über das Internet die Übertragungszeit zu reduzieren.
Zum Entschlüsseln benötigt der Anwender das Passwort.
Verwendeter Algorithmus: AES 128 Bit Symmetrische Verschlüsselung
Arbeitet auf folgenden Betriebssystemen: Windows 95/98/ME/NT/2000
Nachteil:es können nur einzelne Dateien verschlüsselt werdenSchwachstelle bei der Übermittlung des Passwortes an den Empfänger
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
40Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
Verschlüsselt Daten für den Versand übers InternetSchlüsselerzeugung durch ein Passwort des AnwendersEmpfänger benötigt keine spezielle Software
– Entschlüsselung der Daten durch Eingabe des vereinbarten Passwortes
Beliebig viele Dokumente, Ordner oder ganze Laufwerke lassen sich verschlüsselnVerwendeter Algorithmus: AES 128 Bit Symmetrische Verschlüsselung.Die verschlüsselten Dateien werden gleichzeitig bis zu 95% der Ursprungsgröße komprimiert.Der Benutzer kann Steganos Crypt&Go seiner Corporate Identity anpassen, indem er sein Firmenogo, eine frei wählbare Begrüßungsnachricht und einen Link zu seiner Firmen-Homepage einfügt
Steganos Crypt&Go läuft auf den Betriebssystemen Windows 95/98/Me/NT/2000/XP
Nachteil: Schwachstelle bei der Übermittlung des Passwortes an den Empfänger
Steganos Crypt&Go
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
41Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
Bietet zwei Arten der Laufwerk-Verschlüsselung an:– Verschlüsselung einer ganzen Festplatte– Erstellen einer virtuellen „Containerdatei“, in der verschlüsselte Dateien gespeichert
werden können
Ermöglicht Daten in Daten zu speichern (sieheSteganographie)
Bietet 256 Bit Echtzeitverschlüsselung
Löscht ungewollte Daten auf sichere Weise und macht somit eine Datenwiederherstellung mit Hilfe von speziellen Laufwerksprogrammen unmöglich.
Verwendete Verschlüsselungsalgorithmen– AES 256, TEA 16, DES, etc. Symmetrische Verschlüsselung
Arbeitet auf folgenden Betriebssystemen: Windows 95/98/ME/NT/2000/XP
DRIVECRYPT
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
42Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
Verschlüsselungssoftware für Windows-PCs
Entwickelt vom Bundesamt für Sicherheit in der Informationstechnik (BSI)
Verschlüsselt einzelne Dateien oder gesamte Ordner
Chiasmus für Windows darf nur dort eingesetzt werden, wo ein öffentliches Interesse für die Nutzung besteht, also vornehmlich für Bundes-, Landes-, und Kommunalverwaltungen
Schlüssel können mit dem eingebauten Zufallsgenerator erzeugt werden
Verwendeter Algorithmus: BSI-Eigene symmetrische Blockchiffrieralgorithmus Chiasmus. Die effektive Schlüssellänge beträgt 128 Bit
Läuft auf den Betriebssystemen Windows 95/98/Me/NT,XP
Nachteile:Chiasmus bindet sich in keine anderen Windowsprogramme wie Word,Excel, Access etc. ein.
Chiasmus für Windows
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
43Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
SHYFILE
Verschlüsselungssoftware für Texte jeglicher Art
Erlaubt das Verschlüsseln von sämtlichen Binärdateien wie z.B. Dateien mit –jpg, -gif, -bmp, -doc, -xls, -cls, -mp3 oder auch einer –exe Endung
Als Schlüssel kann eine beliebige Zeichenfolge verwendet werden, es müßen nur mindestens 32 Zeichen oder Buchstaben eingegeben werden
Es gibt keinen Master Key. Sollte ein Schlüssel verloren gehen, so ist die verschlüsselte Information für immer und ewig im Nichts verschwunden.
Vor dem Verschlüsseln wird der Klartext mit zufällig generiertem Datenmüll vermischt, der Datenmüll wird von einem Pseudozufallsgenerator erzeugt.
Um diesen Pseudozufallsgenerator zu initialisieren, wird der User direkt nach der Installation der Software zur Eingabe von 254 beliebigen Zeichen aufgefordert.
Verwendeter Algorithmus: Eigens entwickelter ShyFiles`s Algorithmus TL6144D, mit einer Schlüssellänge von minimal 32 Zeichen, über 64, 128, 256, 512 bis zu maximal 1.024 Zeichen (6144 Bit Verschlüsselungstiefe).
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
44Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
Internet-LinksDer Staat und die Verschlüsselung
http://www.heise.de/tp/deutsch/inhalte/te/1300/1.htmlhttp://www.news.zdnet.de/story/0,,t101-s2050201,00.htmlhttp://www.sicherheit-im-internet.de/themes/themes.phtml?ttid=39&tdid=116http://www.chip.de/news_stories/news_stories_225276.htmlhttp://www.netplanet.org/i-files/file009.htmlhttp://www.netplanet.org/kryptografie/crypt.html
PGPhttp://www.haag-roland.de/pgp/m_ueberblick.htmhttp://www1.logistik.fh-dortmund.de/eBusiness/9_VPN/PGP/PGP-Anleitung/index.htmhttp://www1.logistik.fh-dortmund.de/eBusiness/9_VPN/PGP/pgp.pdfhttp://www-rrzn.uni-hannover.de/Bis/Jahrgang2000/BI336-8.htmlhttp://www.helmbold.de/pgp/pgp6.5/wasistpgp.htmhttp://www.helmbold.de/pgp/pgp6.5/asymmetrisch.htmhttp://www.uni-giessen.de/hrz/veroeff/login952/pgp.htmlhttp://www.muenster.de/~marvel/Inhalt/warumnutzen.htmlhttp://www.muenster.de/~marvel/Inhalt/pgpmail.htmlhttp://www.muenster.de/~marvel/Inhalt//wasistpgp.html
KryptoAnwend.ppt/HMW/11.10.2004
Anwendungen der Kryptographie
45Prof. Dr. Heinz-Michael Winkels, FH-Dortmund
IT-Sicherheit
... Internet-Links
GnuPG
http://www.sicherheit-im internet.de/themes/themes.phtml?ttid=39&tdid=207&tdid=60&page=0http://www.gnupp.dehttp://www.gnupp.de/bedienung.htmlhttp://www.rainer-gerling.de/gnupp.htmlhttp://www.gnupg.org/ghp/de/manual/x54.htmlhttp://www.tfh-berlin.de/~toby/vs/ssl/aufbau.htmlhttp://www.bsi.bund.de/gshb/deutsch/m/m5066.htm
Weitere Verschlüsselungsprogramme
http://www.bsi.bund.de/fachthem/chiasmus/chiasmus.htmhttp://www.steganos.com/de/cng/info.htmhttp://www.217.110.200.201/ger/index.htmlhttp://www.217.110.200.201/ger/pc_beschreibung.htmlhttp://www.it-security-world.de/IVC/sec/cgi/viewref/800?actdir=15&sessionid=0&nh=0&nick=gasthttp://www.drivecrypt.dehttp://www.drivecrypt.de/drivecrypt.htmlhttp://www.pctip.ch/downloads/dl/20076.asp?action=sendemailhttp://www.shyfile.org/page2.htmlhttp://www.softer.de/Detail/6784.shtml