kryptografie david b., david s., danny, timo gy wv 05 e home vor zÜrÜck
TRANSCRIPT
KryptografieKryptografie
David B., David S., Danny, David B., David S., Danny, TimoTimo
GY WV 05 eHOME
VOR
ZÜRÜCK
Inhaltsverzeichnis :Inhaltsverzeichnis :
1. 1. DeckblattDeckblatt2. 2. InhaltsverzeichnisInhaltsverzeichnis3. 3. Warum Kryptografie ?Warum Kryptografie ?4. 4. EinsatzgebieteEinsatzgebiete5. 5. Asymmetrisches VerfahrenAsymmetrisches Verfahren6. 6. Symmetrisches VerfahrenSymmetrisches Verfahren7. 7. AuthentifizierenAuthentifizieren 8. 8. Generelle Ansätze Generelle Ansätze KryptologischerKryptologischer Verfahren Verfahren 8.1 ROT13 („Buchstabenverdreher“) 8.1 ROT13 („Buchstabenverdreher“) 9. Mailkryptografie9. Mailkryptografie 9.1 PGP9.1 PGP 9.1.1 Verschlüsselung bei PGP 9.1.1 Verschlüsselung bei PGP
9.1.2 Vorteile, Einsatzmöglichkeiten, Wissenswertes 9.1.2 Vorteile, Einsatzmöglichkeiten, Wissenswertes 9.2 SSL9.2 SSL10.Kryptopgrafie im Bankensektor10.Kryptopgrafie im Bankensektor 10.1 PIN/TAN Verfahren10.1 PIN/TAN Verfahren 10.2 HBCI10.2 HBCI 10.3 „Man in 10.3 „Man in thethe middlemiddle attackattack“ “ 10.4 10.4 PhisingPhising11.Algorithmus – RSA, „11.Algorithmus – RSA, „Diffie-HellmannDiffie-Hellmann“ Verfahren“ Verfahren12.Hacking12.Hacking 12.1 12.1 BruteBrute Force Force 12.2 12.2 SocialSocial Engineering Engineering13. Das 100% Sichere Verfahren?13. Das 100% Sichere Verfahren?
HOMEVOR
ZÜRÜCK
3. Warum Kryptografie ?3. Warum Kryptografie ? Wissenschaft d. Verschlüsselung von Informationen bzw. DatenWissenschaft d. Verschlüsselung von Informationen bzw. Daten
Grundidee: Inhalt v. Nachrichten für Dritte unzugänglich zu Grundidee: Inhalt v. Nachrichten für Dritte unzugänglich zu machen.machen.
Vier Hauptziele:
• Vertraulichkeit• Datenintegrität• Authentifizierung• Verbindlichkeit
• Nicht alle Verfahren erreichen alle oben genannten Ziele
• Kryptographie besteht aus einer Komplexen Geschichte • Erst im 20. JHD. kam der Kryptografie Bedeutung zu
HOMEVOR
ZÜRÜCK
4. Einsatzgebiete4. Einsatzgebiete Klassische Einsatzgebiete (Militär, Geheimdienste [FBI])Klassische Einsatzgebiete (Militär, Geheimdienste [FBI])
Absicherung Elektronischer Geldgeschäfte, WertpapiereAbsicherung Elektronischer Geldgeschäfte, Wertpapiere
Zugangskontrolle zu Rechnernetzen (z.B. Authentifizierung)Zugangskontrolle zu Rechnernetzen (z.B. Authentifizierung)
Zugangskontrolle für Chipkarten (Smartcard)Zugangskontrolle für Chipkarten (Smartcard)
Datenaustausch (z.B. bei Banken)Datenaustausch (z.B. bei Banken)
Mailverkehr („Briefgeheimnis“)Mailverkehr („Briefgeheimnis“)
• Weiteres Einsatzgebiet für die Zukunft könnte die Verschlüsselung Weiteres Einsatzgebiet für die Zukunft könnte die Verschlüsselung bei Voice-over-IP darstellen!!bei Voice-over-IP darstellen!!
HOMEVOR
ZÜRÜCK
5. Asymmetrisches Verfahren5. Asymmetrisches Verfahren(public key encryption)(public key encryption)
• Empfänger: Erzeugt 2 Schlüssel -> (public key, private key) • Verschlüsselung nur mit Kombination möglich
HOMEVOR
ZÜRÜCK
6. Symmetrisches Verfahren6. Symmetrisches Verfahren
• Sender und Empfänger haben gemeinsamen Geheimnis: Den Schlüssel
•Damit sind die schwächen klar: • Austausch ist angreifbar und unsicher• Zu viele Schlüssel erforderlich• Bei unmengen Usern Lösung unpraktikabel
HOMEVOR
ZÜRÜCK
7. Authentifizieren7. Authentifizieren= Bezeichnet den Vorgang, die Identität einer Person oder eines Programms anhand von bestimmten Merkmalen zu überprüfen
• Identitätsprüfungen: 1 Teilnehmer authentisiert 1 Teilnehmer authentifiziert
Wege: Man hat „etwas“ (Schlüssel, Karte)Man weiß „etwas“ (Passwort, Codes)Man ist „etwas“ (Biometrie – Iris Scan) (Rechtes Auge)Man ist an einem Ort (Bestimmter Rechner)Man kann etwas (Unterschreiben – EC Karte an der Tankstelle
Von einer 2-Faktor Authentifizierung spricht man wenn zwei dieser5 Möglichkeiten kombiniert werden.
HOMEVOR
ZÜRÜCK
8. Generelle Ansätze 8. Generelle Ansätze Kryptologischer Kryptologischer
VerfahrenVerfahren
HOMEVOR
ZÜRÜCK
8.1 ROT13 (Caesar-Cipher by 13 Chars)8.1 ROT13 (Caesar-Cipher by 13 Chars)
Eine im „Usenet“ sehr weit verbreitete Eine im „Usenet“ sehr weit verbreitete „Verschlüsselungsmethode“„Verschlüsselungsmethode“
Informatiker: Keine wahrhafte MethodeInformatiker: Keine wahrhafte Methode Denn: Lediglich Buchstabenverschiebung um 13. Pos. im AlphabetDenn: Lediglich Buchstabenverschiebung um 13. Pos. im Alphabet
Zusätzlich: ROT-5 – Ziffernverschiebung um 5. Pos.Zusätzlich: ROT-5 – Ziffernverschiebung um 5. Pos. Bsp.: Bsp.:
ROT13 ohne ROT5:ROT13 ohne ROT5: Ich habe Geburtstag. Ich werden 32.Ich habe Geburtstag. Ich werden 32. Vpu unor Trohefgnt. Vpu jreqr 32.Vpu unor Trohefgnt. Vpu jreqr 32. ROT13 mit ROT5:ROT13 mit ROT5:
Vpu unor Trohegfgnt. Vpu jreqr 87.Vpu unor Trohegfgnt. Vpu jreqr 87.
<ironie>Bei besonders anspruchsvollen Sicherheitskriterien empfiehlt sich der Einsatz des Triple-ROT13-Algorithmus
(3ROT13), sowie des Triple-ROT5-Algorithmus (3ROT5).</ironie> HOMEVOR
ZÜRÜCK
9. Mailkryptografie9. Mailkryptografie
HOMEVOR
ZÜRÜCK
9.1.1 Verschlüsselung bei PGP9.1.1 Verschlüsselung bei PGP
HOMEVOR
ZÜRÜCK
9.1.2 Vorteile, Einsatzmöglichkeiten, 9.1.2 Vorteile, Einsatzmöglichkeiten, WissenswertesWissenswertes
Vorteile:
• Kostenlos für Private User• Sourcecode frei erhältlich -> Keine Hintertüren möglich
Einsatzmöglichkeiten:
• Verschlüsseln von Nachrichten• Verschlüsseln von Dateien und ganzen Festplatten • Digitale Unterschriften
• Kein eigenständiges Verfahren – Benutzt andere Verfahren• z.B.: ZIP, Symmetrisch, Asymmetrisch…
• Hybrides Verfahren - > Vorteile
HOMEVOR
ZÜRÜCK
9.2 SSL (Secure Sockets Layer)9.2 SSL (Secure Sockets Layer)
Verschlüsselungsprotokoll für den Datenaustauch im Web
Zwei Schichten:
• Record Protocol• Handshake Protocol
SSL wird heute meistens mit HTTPS eingesetzt. Fast alle Browser u. Server setzen SSL ein.
HOMEVOR
ZÜRÜCK
10. Kryptografie im 10. Kryptografie im Bankensektor Bankensektor
10.1 PIN/TAN Verfahren10.1 PIN/TAN Verfahren• Ist ein Authentifizierungsverfahren
• Die zu identifizierende Person hat einen PIN und eine liste von TANs• Diese kommen auf getrennten wegen zum Client.
Vorgehensweise:
• PIN wird 1. Mal pro Session abgefragt• Zusätzlich TAN aus Liste eingeben und Streichen.
• Veraltet• Unumständlich
HOMEVOR
ZÜRÜCK
10.2 HBCI10.2 HBCI"Homebanking Computer Interface""Homebanking Computer Interface"
•Offener Standard
•Einsatzbereich: Electronic Banking, Kundenselbstbedienung
•Wurde von versch. Bankengruppen in Deutschland entwickelt.
Technische Merkmale:
• Flexibel• Leichte ImplementierungHOME
VOR
ZÜRÜCK
10.3 „Man in the Middle attack“10.3 „Man in the Middle attack“
Bsp.: • Kunde gibt PIN/TAN ein und verbindet zur Bank• Wenn sich jmd. einhackt kann er gültige TAN abfangen• Hacker ändert Daten und ändert die Überweisung• z.B. Geld auf sein Bankkonto (vorzugsweise auf den Bahamas)
Bei der „Man in the Middle Attack“ steht der Angreifer zwischen zwei Bei der „Man in the Middle Attack“ steht der Angreifer zwischen zwei miteinander kommunizierenden Rechnern. Von hier aus kann er alle Daten miteinander kommunizierenden Rechnern. Von hier aus kann er alle Daten
abfangen und verändertabfangen und verändert
HOMEVOR
ZÜRÜCK
10.4 Phising10.4 Phising• Dabei geht es darum dem Opfer wertvolle Informationen zu stehlen. Zum Beispiel Kontoinformationen von Ebay und damit auch sensible
Kreditkarteninformationen.
•Geschickte Tarnung: Social Engineering•Beispiel•„Link-Trick“ durch Java
• „Nachgemachte Seiten“
HOMEVOR
ZÜRÜCK
11. Algorithmus 11. Algorithmus RSA/Diffie/HellmannRSA/Diffie/Hellmann
Diffie/Hellman:
• Praktisches Problem beim Schlüsselaustausch• Die „Trapdoor Funktion“• Bsp.: Telefonbuch
RSA:
• Moderne Kryptografie nur noch Mathematisch • Zeichen in Zahlen umwandeln• RSA beruht auf Satz Eulers -> ms(p-1) (q-1) + 1 mod n = m
Abgeleiteter Algorithmus:
VerschlüsselnZeichenwerte mod n = Geheimzeichenwert EntschlüsselnGeheimzeichenwertd mod n = Zeichenwert
HOMEVOR
ZÜRÜCK
12. Hacking12. Hacking
HOMEVOR
ZÜRÜCK
12.1 Brute Force 12.1 Brute Force
• In der Informatik: Methode der „Rohen Gewalt“
• Lösungsmethode
•Beruht auf das ausprobieren aller möglichen Varianten
Warum Brute Force ?
Für viele Probleme gibt es in der Informatik keine effizienten Algorithmen
HOMEVOR
ZÜRÜCK
12.2 Social Engineering12.2 Social Engineering
• Beschreibt das Erlangen vertraulicher Informationen durch
Annäherung mittels persönlicher Kontakte.
• Beispiel
HOMEVOR
ZÜRÜCK
13. Das 100% Sichere Verfahren?13. Das 100% Sichere Verfahren?
• Leider gibt es ein solches Verfahren nicht und kann es auch nicht geben.
• Kryptografische Möglichkeit
• Somit: Wertlosigkeit des Wissens
Satz ?
Kryptografie ist die Abschätzung ob die Dauer/der Kryptografie ist die Abschätzung ob die Dauer/der Aufwand um an irgendein wissen zu kommen im Aufwand um an irgendein wissen zu kommen im
Verhältnis zum wert des Wissens steht.Verhältnis zum wert des Wissens steht.
HOMEVOR
ZÜRÜCK
Danke für eure Aufmerksamkeit!Danke für eure Aufmerksamkeit!
HOME ZÜRÜCK