SEARCH
You are in browse mode. You must login to use MEMORY

   Log in to start

level: 3 Kryptographie

Questions and Answers List

Folien VL 3-4

level questions: 3 Kryptographie

QuestionAnswer
Kryptologiefrüher: Kombination von Kryptographie und Kryptoanalyse Diente der Geheimhaltung von Nachrichten Schutzziel: Vertraulichkeit (hautpsächlich von Geheimdiensten, Militärs und Diplomaten genutzt)
Kerckhoff's Prinzipien1. The System must be practically, if not mathematically, indecipherable 2. It must not be required to be secret, 2. It must not be able to fall into the enemy without inconvenience 3. It's key must be communicable and retainable without the help of written notes 3. ... changeble or modifiable at the will of the corrisbondents 4. It must be applicable to telegraphic correspondence 5. It must be portable 5. Its usage and function must not be require the concourse of serveral people 6. Finally, it's necessary, given the circumstances that command its application, that the system must be easy to use, requiring neither mental strain nor the knowledge of long series of rules to observe
Kryptoanalysegr. für Auflösung Analyse von Verfahren, um Kryptographie zu brechen oder die Sicherheit zu erhöhen
Kryptographieaus dem alt Gr. für "geheim schreiben" Wissenschaft der Verschlüsselung von Nachrichten Seit ~1976: sichere Konzeption und Konstruktion von IT-Systemen Schutzziele: Vertraulichkeit, Integrität, Authentizität, Verbindlichkeit
Symmetrische KrypotgraphiePartner nutzen den gleichen Schlüssel k Schlüssel muss sicher ausgetauscht werden (Vertraulichkeit, Authentizität) Für alle Klartexte m und Schlüssel k gilt: Dec_k (Enc_k (m)) = m
Caesar - Chiffresetzt alle Buchstaben um den selben Wert nach rechts oder links Brutforceable 26 Schlüssel bei 26 Buchstaben
SchlüsselraumMenge aller Schlüssel muss so groß sein, dass Bruteforce unmöglich wird BSI Empfehlung: - Symmetrische Verfahren: Schlüssel >128Bit - Asymmetrische Verfahren: -> Schlüssel >3000 Bit (Faktorisierung, Logarithmus) -> Schlüssel >250 Bit (Elliptische Kurven) - Asymmetrisch Post-Quantum: -> Schlüssel >15632 Bit (Strukturierte Gitter) -> Schlüssel > 524160 Bit (Code Basiert) Einsatzzeitraum bis ende 2023 sind RSA Schlüssel <3000 Bit zulässig Hashfunktionen, weitere Vereinbarung -> Größe des SR ist nur eine notwendige (kein hinreichende) Bedingung für Sicherheit
One-time PAD- bietet perfekte Sicherheit - praktisch nicht nutzbar - Schlüssel k -> ist zufällig generiert -> wird nur einmal benutzt -> ist so lang wie die verschlüsselt Nachricht - Nachrichten m = (m1...mn) besteht nur aus 0 und 1 - Schlüssel k = (k1...kn) sind auch bitstring -> für eine Nachricht der Länge n benötigt an einen Schlüssel der Länge n - Zufälligkeit des Schlüssels k ist wesenlich für die Sicherheit - nicht wiederholend - Schüssel ist so lange wie Nachrichten - geheimer Schlüssel
Modifiziertes One-time PadOne-time Pad mit wiederverwendeten Schlüsseln durch kleine Änderung ist die Sicherheit masssiv gesenkt
Definition: Perfekte Sicherheit (+ Nachteile)Verschlüsselungverfahren ist perfekt sicher, wenn es auch dem Angreifer mit uneingeschränkten Ressourcen (Zeit/Sicherheit) sicher ist Nachteile: - nur dann wenn der Schlüssel so lange wie die Nachricht ist - verhindert praktischen Einsatz in bspw. Sprach- und Videotelefonie
Definition: Praktische SicherheitEin Verfahren ist praktisch Sicher, wenn es resistent gegen Angreifer beschränkter Ressourcen ist - Angreifer haben beschränkt Zeit und Rechenkapazität - Verfahren ist sicher in bezug auf beschränkte Ressourcen
Defintion: Sicherheitsniveau- Kryptoverfahren hat Sicherheitsniveau von n Bits, wenn ein Angreifer 2^n Bits benötigt, um das Verfahren zu brechen - Für Verschlüsselungsverfahren bedeutet dies den Klartext zu erhalten - Beurteilung des Sicherheitsniveau anhand aller kryptischen Methoden -> Brute Force -> Statistische Angriffe -> heutige Kryptoverfahren sollte in Sicherheitsniveau von >128Bits haben -> Asymetrische Verfahren benötigen deutlich längere Schlüssel für gleich Sicherheit im Vgl. zu symmetrischen
Pseudozufallszahlengenerator (PRNG)-Von einem Startwert (Seed) ausgehend wird eine Sequenz von Zahlen erzeugt - (Bsp.: rand() ) - Nachfolgende zahlen lassen sich berechnen / statistisch abschätzen
Echte Zufallszahlengeneratoren (TRNG)- erzeugen echte Zufallszahlen - basieren auf physikalischen Prozessen - Münzwurf
ZufallszahlenBsp.: Schlüsselgenerierung, Number Used Once (NONCE), Stromchiffren Echte Zufallszahlen (TRNG - True Random Number Generator) -> können nicht vorhergesagt werden -> basierend auf physikalischen Phänomenen Pseudozufallszahlen (PRNG - Pseudo Random Number Generator) -> Erscheinen zufällig und haben ähnliche statistische Eigenschaften wie echte Zufallszahlen -> basierend auf deterministichen Algorithmen -> Lassen sich vorhersagen Kryptogtaphisch sichere Zufallszahlen (CSPRNG - Cryptographic Safe Pseudo Random Number Generator) -> nicht vorhersagbare Zufallszahlen -> benutzen Random Bits aus Codes -> Bsp: geschickte Kombination mehrerer Linear Feedback Shift Register (LFSR)
Kyprtographisch sichere Pseudozufallszahlengeneratoren (CSPRNG)- erzeugen nicht vorhersagbare Zufallszahlen - nachfolgende Zahlen lassen sich nicht vorhersagen - (Bsp.: geschickte Kombination mehrer Linear Feedback Shift Register (LFSR)
Blockchiffrenbilden Klartextblock fester Länger auf Chiffrentestblock gleicher Länge ab - Klartextblock und Chiffrentextblock sind Bitstrings der Längen n - Blocklängen: AES n = 128, DES n = 64 - Blocklänge heißt auch Blockgröße - Schlüssel k sollten i >= 128 Bitlänge haben - zB.: AES i = 128.192 oder 256 - zB.: DES i = 56 - für längere Klartexte werden Blockchiffren in Betriebsmodi verwendet - nur bestimmte Blockgröße wird verschlüsselt Enc: {0,1}^n x {0,1}^l -> {0,1}^n
Stromchiffren- Nachbildung des One-Time Pads -> CSPRNG Schlüssel k € {0,1}^n, n>=128 -> durch Schlüssel wird ein pseudozufälliger deterministischer Strom generiert - Bit-weise Verschlüsslung mittels XOR Probleme in der Praxis: -> zufällig generiert -> einmal benutzt -> so langen wie die verschlüsselende Nachricht sein Vorteile: -> Ver- und Entschlüsslung sind sehr effizient -> PRNG lassen sich leicht mittels LFSR realisierbar (LFSR ist hardwareeffizient, benötigen nur XOR und shift, statistisch gut Untersucht) Bsp: Sprachverschlülsslung bei Handy zum Funktmast, weil geringe Entschüsslungsleistung
Methoden der BlockchiffrenFeistel-Chiffren - Bsp.: Data Encryption Standart (DES) Substitutions-Permutations-Network (SPN) - Bsp.: Advanced Encryption Standard (AES)
Defintion: AESAdvanced Encryption Standard - Nachfolger des DES
Definition: DES- Data Enryption Standard - Prinzip der Feistel-Chiffren
Ansätze der Blockchiffren- Konfusion > Verschleierung des Zusammenhangs zwischen klartext und Chiffrentext > Realisiert durch Substitutionen (nicht-lineare Abbildungen) > wird durch subsititution erreicht Bsp.: AES Substitution-Box - Diffusion > Verteilung der Informationen des Klartext über den Chiffrentext (und zwischen Schüssel und Chiffretext) > Bei Änderung eines einzigen Klartextbits ändern sich viele (50%) des Geheimtextbits > realsiert durch Permutationen (spezielle lineare Abbildungen) > Effekt ergibt sich erst nach mehreren Runden > Vertauschung der Reihenfolge über den ganzen Block - Rundenbasiert > wiederholte Anwendung von Diffusion, Konfusion und Schlüssel
Blockchiffren Betriebsmodus: Cipher Block Chaining Mode (CBC)Verschlüsselung: - i-ter Klartextblock m_i wird mit dem vorhergehenden Chiffrentext c_i-1 mittels XOR verknüpft und anschließend verschlüsselt: c_i = Enc( m_i *c_i-1 ) - erster Block benötigt Inititalisierungsvektor, nicht geheim (c_0 = IV) Entschlüsselung - i-te Chiffrenblock c_i wird entschlüsselt und mit dem i-1-ten Chiffrentext c_i-1 mittels XOR verknüpft: m_i = Dec_k( c_i ) * c_i-1 Vorteile: - Klartextmuster werden zerstört - identische Klartexe ergeben unterschiedliche Chiffretexte (Falls IV sicher) - Entschlüsslung parallelisierbar Nachtteile: - Verschlüsslung nicht parallelisierbar - Padding oracle Angriff
Blockchiffren Betriebsmodus: Electronic Code Book (ECB)- Klartext wird in Blöcke der benötigten Länge zerlegt und Block für Block verschlüssel Vorteile: - Ver- und Entschlüsslung können parallelisiert werden - Begrenzer Schaden bei Bitfehlern Nachteile: - gleiche Klartexte werden zu gleichen Chiffrentexten verschlüsselt > statistische Analysen legen Schwächen offen - auch "sichere" Blockchiffren können durch ECB unsicher werden Verbesserung: -> Chiffrentext hängt von weiterem Parameter außer Schlüssel und Klartext ab
Blockchiffren Betriebsmodus: Couter Mode (CTR)- Initialisierungsvektor wird aus Nonce (Number Used Once) und Zähler gebildet - Zähler wird bei jedem Block hochgezählt ctr_i = ctr_i-1 + 1 - Verschlüsselung: > aus Schlüssel und ctr wird mittels XOR mit dem Klartext verknüpft: c_i = m_i + Enc_k ( ctr_i ) - Entschlüsselung: > Zähler ctr_i wird mit dem Schlüssel k verschlüsselt und das Ergebnis mittels XOR mit dem Chiffrentext verknüpft: m_i = c_i + Enc_k ( ctr_i ) Vorteile: - Gleiche Klartexte führen zu unterschiedlichen Chiffretexten - Bitfehler beeinflussen nur entsprechende Bits des Klartextes - Verschlüsselung und Entschlüsselung sind identisch - Schlüsselstrom kann vorberechnet werden - Ver- und Entschlüsselung parallelisierbar Nachteile:???
Hasfunktionen H {0,1}* -> {0,1}^n- Bilden einen Bitstring m € {0,1}* belieber Länge auf einem Bitstring h € {0,1}^n fester Länge n € N ab - Kryptographie Hashfunktionen müssen bestimmte Anforderungen erfüllen - nicht injektiv: Kollisionen möglich bei H(m) = H(n) mit n!=m
Verwendung von Hashfunktionen- Integritätsschutz - Authentifizierung von Daten oder Instanzen - Elektronische Signatur - Pseudozufallszahlengeneratoren
Anforderungen an Hashfunktionen- Effizient berechenbar > Alle m€{0,1}* muss H(m) = h einfach berechnbar sein - Einweg-Eigenschaft (Preimage Resistance) > Gegeben Hashwert h € {0,1}^n > Bestimmung eines Wertes m € {0,1}* mit m H^-1 (h) ist nicht effizient möglich - Schwache Kollisionsresistenz (2nd Preimage Resistance) > Gegeben m_1 € {0;1}* > Es ist nicht möglich zu m ein n€{0,1}* mit m!=n zu finden, s.d. gilt: H(m) = H(n) - Starke Kollisionsresistenz (Collision Resistance) > Es ist nicht effizient möglich Paare m, n€{0,1}* mit n!=m zu finden, s.d. gilt: H(n) = H(m)
Dezidierte Hashfunktion: Merkle Demgardsfunktion- Kompressionsfunktion: f:{0,1}^l > {0,1]^n mit l>n > f:{0,1}^l x {0,1}^n -> {0,1]^n mit l>n > Einwegsfunktion, kollisionsresistent - Nachricht wird in Blöcke der Länge n aufgeteilt - letzter Block wird augefüllt (Padding) - Eingabe in f: vorheriges Ergebnis und aktueller Block m_i > Initialisierungsvektor IV für ersten Block - Finaler Wert ist der Hashwert - Konstruktion genutzt bei MD-4 Familie: MD5, SHA-1, SHA-2 - Basierend auf Blockchiffren - Nachricht wird in Blöcke m1 bis mk aufgeteilt - Einsatz einer Block-Chiffre Enc - 1. Schritt H1 := Enc_m1( IV ) xor H0 - 2. Schirtt H2 := Enc_m2( H1 ) xor H1 .... - letzter Schritt: Hn := Enc_n (Hn-1) xor Hn-1
Hashfunktionen Anwendungen (detailiert)- Erkennung von Manipulation > Speichern von Nachricht m und Hashwert H(m) (auf verschiedene Systeme) > Prüfung, ob Nachricht verändert wurde: Berechne Hashwert und vergleiche > Kollisionsresistenz: Angreifer darf keine zweite Nachricht mit demselben Hashwert erzeugen
Hashfunktionen - Konkrete VerfahrenMD4 und MD5 (128 Bit Hashwerte) unsicher - Seit 1996 verschiedene Angriffe: Finden von Kollisionen möglich Sha-1 (160 Bit Hashwerte) unsicher Sha-2-Familie (224, 256, 384, 512) > gelten als Sicher Sha-3-Familie (Sha3-224, 256, 384, 512) > Hashwerte beliebiger Länger > Sehr effizient in Hardware
MAC (in der Kryptographie)Message Authentication Codes
MAC (Message Authentication Codes)- Hashfunktionen adressieren nur das Schutzziel Integrität > es lässt sich nicht feststellen, wer die Nachricht erzeugt hat > Hashfunktionen sind öffentlich > Es wird kein kryptographier Schlüssel verwendet Ansatz: MAC: {0,1}* x k -> {0,1}^n > "Hashfunktion mit Schlüssel" > Zusätzlich Nachweise der Authentizität von Daten
MAC - KonstruktionMAC mittels Hashfunktion - Nachricht m = m1...mn; Schlüssel k - Secret Prefix: MAC_k: h = MAC_k (m) = H(k|m) = H(k|m1...mn) - Secret Suffix: MAC_k: h = MAC_k (m) = H(m|k) = H(m1...mn|k) Length-Extension Angriff auf Secret Prefix > Ziel Konstruktiere MAC für Nachricht m' = m1...m_n+1 > Angreifer berechnet und sendet neue Werte - Angriff möglich, da der Schlüssel unveränderter Bestandteil der Nachricht bleibt, Empfänger kann Änderung nicht Erkennen Auch auf Secret Suffix Konstruktion gibt es Angriffe - Lösung: HMAC oder Kosntruktion mittels Blockchiffren
HMAC (RFC 2104)- 1996 Bellare, Cannetti und Krawczyk - Grundidee: "Wrapper" um beliebige Hashfunktion: H{0,1}* x k -> {0,1}^n > MAC-Schlüssel wird nicht nur vorne oder hinten angehängt sondern in die Nachricht hineingezogen > HMAC = H(k| H(k|m) ) > Zwei Hash-Anednungen zur Erhöhung der Kollisionsresistenz: Innerer und äußerer Hash > Gemeinsamer Schlüssel k mit (0en aufgefüllt, um Blocklänge des Hashes zu erreichen)
CBC-MAC- Basiert auf sicherer Blockchiffre - Nachricht m wird zunächst in Blöcke m1...mn zerlegt - Initialisierungsvektor meist 0 -Prüfsumme ist der letzte Chiffretext
MAC - Verwendung- Ziel: Authentischer und vertraulicher Kanal - Typen > Encrypt-then-MAC > MAC-then-Encrypt > Encrypt and MAC
Asymmetrische Kryptographie- löst das Problem des Schlüsselaustauschs > bei n Parteien benötigt man n(n-1)/2 Schlüssel > Schlüsselaustausch ist Systemkritisch - Verwendung der verschiedenen asymmetrischen Schlüssel > Verschüsselung von Nachrichten > Verschlüsselung mit öffentlichem Schlüssel pk kann jeder > Entschlüsslung mit sk kann nur der inhaber des geheimen Schlüssels > Berechnung des Prüfwerts mittels sk nur durch INhaber des geheimen Schlüssels > Verifikation des Prüfwerts mittels pk kann grundsätzlich jeder
Anforderungen an Asymmetrische Kryptographie- für alle Schlüsselpaare (pk, sk) gilt: alle m€ A1*: Dec_sk( Enc_pk (m) ) = m > sk - secret key, pk - private key - Schlüsselpaare müssen effizient erzeugbar sein > Schlüsselgenerierung ist zu Aufwändig - Ver- und Entschlüsslung (Enc Dec) sind effizient durchführbar - sk ist aus pk mit nicht vertretbarem Aufwand berechenbar (Wozu ist die Eigenschaft (Bild) nötig?)
Grundidee der Asymmetrischen Kryptographie-Einwegsfunktion mit Falltür - Einwegsfunktion f: X -> Y für alle x€X gilt f(x) ist effizient berechenbar - Umkehrfunktion für ein y€Y ist f⁻¹ (y) = x ist nicht effizient berechenbar - Falltür: Mit zusätzlichem Wissen lässst sich auch die Umkehrfunktion berechnen
RSA Erstellung1. Wähle zwei große Primzahlen p,q 2. Brechne RSA Modul n = pq 3. Brechne phi( n ) = ( p-1 ) * ( q-1 ) 4. Wähle ein e, sodass ggt(phi ( n ), e) = 1 5. Brechne einen privaten Exponenten d, sd. e*d = 1 mod phi(n) Verschlüsslung - berechne: c = m^e mod n Entschlüsslung - berechne m = c^d mod n
Sicherheit von RSAAngreifer kennt öffentlichlen Schlüssel (exponent e , und modul n) Ziel beim Angriff: Bestimme klartext aus c = m^e mod n er müsste n faktorisieren, was bei großen Primzahlen nahezu unmöglich ist
weitere asymetrische Kryptographie Verfahren- Rabin-Verfahren (Faktorisierungsproblem) - ElGamal-Verfahren (basiert auf dem disktreten Logarrithmusproblem) - Ellyptische Kurven Kryptographie (basiert auf dem DL auf elliptischen Kruven) - Merkle-Hellmann und McEiliece (basiert auf Schwierigkeit anderer Probleme)
Probleme und Vorteile asymmetrischer VerschüsslungsverfahrenProbleme - sind deutlich ineffizienter als Symmetrische Verschlüsselungsverfahren > Verwendung in der Praxis nur für den Austausch symmetrischer Schlüssel (trotz HW-Implementierung) Vorteile - Einfache Schlüsselverteilung - Digitale Signaturen einfach zu realisieren
Probleme und Vorteile Symmetrische VerschlüsslungsverfahrenProblem - aufwendige Schlüsselverteilung - keine sinnvolle Realisierung von digitalen Signaturen Vorteile - Geringe Komplexität, höhere Effizienz (HW-Implementierung)
Digitale Signatur (Schutzziel und weitere Verfahren)Signaturverfahren schützen das Schutzziel der Verbindlichkeit - Digital Signature Algorithm (DSA) > (basiert auf dem ElGamal Signatur-Verfahren) > Vorteil: Signaturen nur 320 Bit (Sicherheitsniveau vgl. mit 1024 Bit RSA) > Nachteil: Signatur-Verfikation langsamer als bei RSA - Elliptic Curve Digital Signature ALgorithm (ECDSA) > (basiert auf Ellipitic Curve Cryptography ECC und dem EC diskreten Log. Problem) > Vorteil: Bitlängen 160-256 Bit (Sicherheitsniveau vgl. mit 1024-3072 Bit RSA) > Signatur hat die doppelte Bitlänge - Merkle-Signatur > basiert auf Hashbäumen (Merkle Trees) - McEliece-Niederreiter-Signatur (code basiert)
Schlüsselvereinbarung1. Schlüsselaustausch, -verteilung (Key Distribution) 2. Schlüsselabsprache (Key Agreement), keine Schlüsselübertragung
Probleme beim Schlüsselaustausch mit Symmetrischen Verfahren ohne KDC> Schlüsselaustausch jeder mit jedem sehr aufwändig > Gesamtzahl der Schlüssel n(n-1)/2 > jeder Parneter muss n-1 Schlüssel speichern > Dynamik: jeder Partner muss mit jedem anderen einen Schlüssel austauschen Lösung: Schlüsselverteilungscenter (KDC)
Schlüsselverteilungscenter (KDC)- KDC bestizt Masterkey k_a und mit jedem Parneter A (n Schlüssel), vorab ausgetauscht - Schlüssel sind in ndR langlebig und dienen als Basis zum sicheren Austausch von kurzlebigen Schlüsseln k_ab zwischen zwei Partnern a, b Nachteile: - Sichere initierung neuer Nutzer nötig - single Point of failure > KDC speichert alle Masterkeys > Zugriff auf DB eröffnet Zugriff auf alle (bisherigen und zukünftigen Chiffrentexte - keine Foward Perfect Secrecy > Falls masterkey k_a kompromittiert wird, kann Angreifer alles vorherige auch entschlüsseln - Kommunikation ist Bottelneck > KDC ist bei jeder Kommunikations beteiligt > lange Lebenszeiten von temp. keys helfen ...
Diffi-Hellmann-Verfahren (Ziel und Funktion)Ziel: Absprache von Schlüsseln über einen unsicheren Kanal Einsatz: ua. Secure Shell (SSH), TLS, IPSec - mit Diffi-Hellmann ist Perfect Foward Secrecy umsetzbar - Sicherheit beruht auf Schwierigkeit des DL-Problemst
Diffi-Hellmann-Schlüsselvereinbarung1. wähle große Primzahl p und rechne in Zp* 2. wähle einen beiden Parnetern bekannten Erzeugern g € Zp* 3.
Sicherheit des Diffi-Hellmann-Verfahrens- Angreifer kennt Paramter (g,p) und g^a mod p sowie g^b mod p - Ziel: Bestimmung von g^ab mod p > einzig: bestimme a oder b (berechne log_g g^a oder log_g g^b) > Probepotenzieren > wähle a', berechne g^a' und vergleiche, ob g^a = g^a' > für p > 2^1000 ist Zp*> 2^100, d.h. Wsk für Gleichheit ist 1/2^100 > ca. 2^100 Versuche, a zu finden (Sicherheitsniveau 100 Bit) - bessere Alternativen: Pohlig-Hellmann Algorithmus - für Sicherheitsniveau von 100 Bit werden deutlich höhere Zahlen benötigt (ab 1024 Bit)
Diffi-Hellmann: Man-in-the-middel-Angriff- Alice und Bob wechseln keinen Schlüssel - Alice mit Mallory und Bob mit Mallory -> Verschlüsselung kann von Mallory unbemerkt abgehört werden Ursache - Authentizität des öffentlichen Schlüssels g^a mod p und g^ist nicht gewährleistet > Schlüsselauthentifizierung (MAC oder Signatur) > Nutzerauthentifikation -> A und B brauchen Vertrauensanker: - public key des Anderen - gemeinsamer symmetrischer Schlüssel (muss vorher vertrauenswürdig ausgetauscht werden) > öffentliche Schlüssel: authentisch > symmetrische Schlüssel: vertraulich und authentisch
Post-Quantum KryptographieGrover's Quanten Algorithmus - beschleunigt die Suche in unsortierten Daten > Bruteforce schneller - erzwingt Eröhung der Schlüssellänge bei Symmetrischen Verfahren > bspw. AES von 128Bit auf 256Bit Shor's Quanten Algorithmus - Effizient Berechnung von Faktorisierung und disktreter Logarithmus - RSA, DSA, DH, ECC sind alle gebrochen
Schlüsseltrennung- Kryptographisches Grundprinzip: > Für jeden zweck neue Schlüssel(-paare) - Schlüsselpaar eines asymmetrischen Verfahrens > Verschlüsslung > Authentifizierung von Daten (Signaturverfahren) > Authentifizierung von Instanzen (Challenge-Respons-Verfahren) - Angriffsmöglichkeit, falls Schlüssel für Daten und Instanzen Identisch
Problem: Zuordnung (öffentlicher) Schlüssel zum Schlüsselinhaber - Schwerwiegende Folgen bei falscher ZuordnungMallories Public Key wird fälschlicher weise Alice zugeordnet > Verlust der Vertraulichkeit Mallories Signaturverfikations-Key wird fläscher weise Alice zugeordnet > Verlust von Authentizität, Integrität und Verbindlichkeit
VetrauensmodelleDirect Trust: Nutzer erhält den öffentlichen Schlüssel direkt ovm Schlüsselinhaber Web of Trust: Nutzer signieren gegenseitig ihre public Keys Hirarchical Trust - public Keys werden zentrals verwaltet - qualifizierte elktronische Zertifitkate nach Signaturgesetz
Direct Trust- persönliche Überprüfung der Authetizität des öffentlichen Schlüssels eines anderen Benutzers - nur für kleine Gruppen Anwendbar > paarweise Verschlüsslung notwendig n*(n-1)/2 Ausgetauschte Schlüssel
Web of Trust- dezentraler Ansatz der Vertrauensbildung - Idee: Nutzer überprüfen und signieren öffentliche Schlüssel anderer Nutzer > Nutzer vertrauen Schlüsseln, die sie selbst überprüft haben > Nutzer können transitiv Schlüsseln vertrauen, die durch Bekannte bestätigt wurden - Nutzer legen Schlüssel in einem Keyring ab (public and another keyring private) - Owner Trust: wie vertraulich der Partner Schlüssel prüft - Key Legitimacy > Berechneter Vertrauensgrad eines öffentlichen Schlüssels
Web of Trust: Vor- und NachteileNachteile - Einstufung (Owner Trust) erfordert hohes Wissen des Nutzers - Signaturen sind juristisch nicht bindend (vgl. Signaturgesetz) - Zurückziehen von Zertfikaten nicht einfach umsetzbar - Datenschutzproblematik bei Nutzug von Schlüsselservern Vorteile - besser als direct Trust - Umgesetzt PgP (pretty good privacy) und GnuPG (OpenSource) - zahlreiche Schlüsselserver, auf denen öffentliche Schüssel und zugehöriger Signaturen hochgeladen werden können - Insitutionen bieten Zertifizierungs-Service für PGP- und GPG-Schlüssel an
Hirarchical TrustZiele: - Zuordnung eines Schlüssels zum Schlüsselinhaber - Festlegung Schlhüsselnutzung - Etablierung einer gemeinsamen Sicherheitsinfrastruktur > Sicherheit der Schlüsselerzeugung > Stärke der Bindung zwischen Schlüssel und Schlüsselinhaber Ansatz: - Zertifikate > Authentifizierungsnachweis für ihren öffentlichen Schlüssel > Nutzer erhalten ein Zertifikat für ihren öffentlichen Schlüssel -Public Key Infrastrukturen > Vertrauenswürdige Instanz zur Aufstellung von Zertifikaten > Vertrauensanker: private Key der Certification Authority (CA)
ZertifikateVersionsnummer: beschreibt Zertifikatsformat Seriennummern: eindeutige Identifikationsnummer Signatur: inkl. verwendete Algo. und Paramter Zertifikatsausteller CA: Name der ausstellenden Instanz Gültigkeitsdauer: Angabe eines Zeitintervalls Zertifikatsinhaber: eindeutiger Name der Benutzters Public-Key-Information: Schlüssel des Benutzers und Algorithmen Erweiterungen: in Version v2, v3 .. Key usage
PKI - (Public Key Infrastructure) AUFGABEN- Infrastruktur, um Zertifikate auszustellen - Zertifikate durch drtte prüfen lassen zu können
PKI -Komponenten- Certificate Authority (CA) > Stellt Zertifikate aus, signiert und veröffentlich sie > erstellt und veröffetnlicht Listen von ungültigen Zertifikaten: Certificate Revocation List (CRL) - Registration Authority (RA) > Organisation, bei der Zertifikate beantragt werden können > Bürgt für die Verbindung zw. öffentlichem Schlüssel und Identitäten/Attributen der Zertifikatsinhaber -Verzeichnungsdienst (Directory Service) > durchsuchbares Verzeichnis, das ausgestellte Zertifikate enthält - Zeitstempeldienst > signierte Zeitstempel (Gültigkeitsdauer ..) - Validierungsdienst (Validation Authority): Überpfrüfung von Zertifikaten in Echtzeit
PKI - HirarchieHirarchie von CAs: - jeder Vertraut der root-CA - verschiedene Ebenen von CAs - Aufbau eines Validierungspfades zur Validierung eines Zertifikats
Deutsches Signaturgesetz (SigG)3 Qualitätsstufen 1. einfache Signatur > unreguliert > keine Anforderungen an Zertifikate und Schlüsselgenerierung > ersetzt keine Unterschrift und hat keine rechtlich bindende Legitimität 2. Fortgeschrittene Signatur > Ersetzt rechtlich nichti Unterschrift > braucht Genehmigung für Zertifikate > geprüften Sicherheitszertifikat (CA) 3. Qualifizierte Signatur > rechtlich gleich mit Unterschrift > mit einer "sicheren Signaturherstellungseinrichtung" erstellt