Fachhochschule SüdwestfalenHochschule für Technik und Wirtschaft

Authentizität im Web

Folie 2 (27.09.2008)

Das Problem

Vieles ist nicht sicher- im Internet wie im „wirklichen“ Leben…

Im Internet ist es wesentlich schlimmer- man kann sein Gegenüber nicht sehen. Außerdem wird jede Täuschungsmöglichkeit zum Massenphänomen.

Beunruhigende Fragen: Stammt eine E-Mail vom angegebenen Absender? Bin ich mit der richtigen Website verbunden? Soll ich einfach meine Kreditkartendaten eingeben? …

Folie 3 (27.09.2008)

Einen allgemein verständlichen Einblick in einen wichtigen Problembereich geben

„Lust machen“ auf das Modul IT-Sicherheit im Studiengang Web- und Medieninformatik

Wegen des zweiten Punktes muss an der einen oder anderen Stelle der wissenschaftliche Hintergrund wenigstens angedeutet werden.

Ziele dieses Vortrags

Folie 4 (27.09.2008)

Wie kann man seine Identität beweisen?

auf der Straße und sonstwo:durch einen Ausweis (mit Lichtbild)

in der digitalen Welt: durch Wissen (Kenntnis eines Geheimnisses)

durch Besitz (Chipkarte, eToken…)

durch eine biometrische Eigenschaft (z. B. Gesichtserkennung)

Folie 5 (27.09.2008)

Passwortverfahren („klassisch“)

Challenge-Response-Verfahren

weitere…

Authentifikation durch Wissen

Folie 6 (27.09.2008)

Problemstellung:

Man muss den Besitz eines Geheimnisses überprüfen können, ohne dass der Prüfende dieses Geheimnis kennt !

Dies klingt zunächst unglaublich.

Es ist aber möglich: mit Hilfe asymmetrischer Kryptographie.

Kryptographie – die „Wissenschaft von den Geheimnissen“

Authentifikation im Internet / Web

Folie 7 (27.09.2008)

Das Grundprinzip:

Jeder hat zwei Schlüssel, die zueinander passen: einen öffentlichen und einen privaten (geheimen).

(Die Schlüssel sind Bitfolgen, die in Computersystemen oder auf Chipkarten gespeichert sind.)

Man verschlüsselt mit dem öffentlichen Schlüssel des beabsichtigten Empfängers.

* siehe auch Modul

„Angewandte Mathematik“

Public-Key-Kryptographie * – Teil 1

Folie 8 (27.09.2008)

Public-Key-Kryptographie – Teil 2

EinöffentlicherSchlüssel

Folie 9 (27.09.2008)

Man unterschreibt / authentifiziert sich mit dem eigenen privaten Schlüssel.

Eine mögliche Variante:

A erzeugt eine Zufallszahl, verschlüsselt diese mit dem öffentlichen Schlüssel von B, und schickt das Resultat an B.

Wenn B mit der Zufallszahl antwortet, gilt B als authentifiziert, weil B im Besitz des dazu passenden privaten Schlüssels zu sein scheint.

Public-Key-Kryptographie – Teil 3

Folie 10 (27.09.2008)

Damit dies Sinn ergibt, ist sicher zu stellen, dass die öffentlichen Schlüssel authentisch sind.

Dazu gibt es Zertifikate.

Ein Zertifikat ist imWesentlichen ein von einer vertrauenswürdigen Instanz unterschriebener öffentlicher Schlüssel.

Public-Key-Kryptographie – Teil 4

Folie 11 (27.09.2008)

Zusammenfassung:

Die Authentifizierung erfolgt mit Hilfe eines Zertifikats.(Der Prüfende muss den öffentlichen Schlüssel der vertrauenswürdigen Instanz kennen.)

Die Anbindung an die reale Identität erfolgt bei der Ausstellung des Zertifikats.

Mehr dazu im Modul IT-Sicherheit.

Zertifikate

Folie 12 (27.09.2008)

im Kontext der Digitalen Signatur: Zertifizierungsstellen, letztlich: der Bundesinnenminister

im Web: spezialisierte und weltweit operierende Firmen wie Verisign (damit dies funktioniert, sind die öffentlichen Schlüssel dieser Firmen in den Browsern schon „eingebaut“)

Wer ist eine „vertrauenswürdige Instanz“?

Folie 13 (27.09.2008)

Ein typisches Ereignis

Folie 14 (27.09.2008)

Die Auflösung

Folie 15 (27.09.2008)

Bankingportal der Sparkasse Wuppertal –„Seiteninformation“ unter Firefox

Folie 16 (27.09.2008)

Zugehöriges Zertifikat - Allgemeinansicht

Folie 17 (27.09.2008)

Zugehöriges Zertifikat - Detailansicht

Folie 18 (27.09.2008)

Kann man im Web anonym bleiben?

Antwort: Ja, aber man muss dafür aktiv werden.

Seriöse Gründe können sein: Durchführung einer Wahl

Äußerung einer „unbequemen“ Meinung

Einholung eines unverbindlichen Angebots

Nutzung von Beratungsangeboten

Manchmal will man das Gegenteil – Anonymität im Web

Folie 19 (27.09.2008)

Anonymitätstest bei www.jondos.de – Teil 1

Folie 20 (27.09.2008)

Anonymitätstest bei www.jondos.de – Teil 2

Folie 21 (27.09.2008)

Anonymizer Der anonymisierende Server „kennt“ den Benutzer.

Tor Durch Beobachtung von Internetverkehr ist die Aufhebung der Anonymität theoretisch möglich.

JAP Anon Proxy / Jondos Komplette Anonymität durch Mix-Kaskaden.

Anonymitätsdienste