Anwendungen der Kryptographie - fhdo-winkels.de · zKryptographie erlaubt zuverlässig das...

KryptoAnwend.ppt/HMW/11.10.2004

Anwendungen der Kryptographie

1Prof. Dr. Heinz-Michael Winkels, FH-Dortmund

IT-Sicherheit


Dortmund, Oktober 2004

Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH DortmundEmil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX: (0231)755-4902




IT-Sicherheit

Inhalt

Seite

Summary 3

Begriffsabgrenzung 4

Problembeschreibung 5

Anwendungen 8

Der Staat und die Verschlüsselung 11

Sichere Internetprotokolle 18

PGP 29

GnuPG 34

Weitere Prgramme 39

Internet-Links 44




IT-Sicherheit

Summary

Kryptographie erlaubt zuverlässig das technische Schützen von übermittelten oder gespeicherten Daten vor unbefugter Kenntnisnahme.

Für den Bereich der Verschlüsselung bestehen in Deutschland nur vereinzelte Vorschriften im Recht der Telekommunikation.

Dabei darf § 8 Abs. 4 Satz 2 FÜV nicht so ausgelegt werden, dass er Betreiber von Telekommunikationsanlagen zwingt, Schlüssel der Kommunikationsteilnehmer an die Behörden auszuhändigen; es besteht lediglich eine Verpflichtung zum Aufheben nicht-teilnehmerautonomer Verschlüsselung im Einzelfall.

Beschränkungen des Einsatzes teilnehmerautonomer Kryptographie wie ein totales Verbot, ein Verbot starker Kryptographie oder ein obligatorisches Schlüsselhinterlegungsmodell (Key Recovery) wären verfassungswidrig.




IT-Sicherheit

Begriffsabgrenzung

Verschlüsselung– (Chiffrieren) transformiert einen Klartext in Abhängigkeit von

einer Zusatzinformation, die „Schlüssel“ genannt wird, in einen zugehörigen Geheimtext (Chiffrat), der für diejenigen, die den Schlüssel nicht kennen, nicht entzifferbar sein soll.

– In allen modernen Verschlüsselungsalgorithmen sind Klartexte, Geheimtexte und Schlüssel jeweils als Folgen von Bits gegeben.

Entschlüsselung– Die Umkehrtransformation - die Zurückgewinnung des

Klartextes aus dem Geheimtext - wird Entschlüsselung genannt

Verschlüsselungsprogramme– Programme, um Daten zu ver- und entschlüsseln

4




IT-Sicherheit

Problembeschreibung

Warum Verschlüsselung ?Das Internet ist ein offenes Netz. Jede Mail ist wie eine Postkarte, jeder kann sehen, was darauf geschrieben ist.

Beim Verschicken einer E-Mail hat man keinen Einfluss auf den Weg bzw. welche und wie viele Serverknoten(Zwischenstationen) die E-Mail benötigt, um den Empfänger zu erreichen

Die Datenleitung zwischen Sender und Empfänger kann angezapft werden (wire tapping)

Daten auf den Zwischenstationen können von Unbefugten gelesen, kopiert oder verändert werden

– sie können sich z.B. Kreditkartennummern oder Bankdaten aneignen

In das Internet können sehr leicht E-Mails mit vorgetäuschtem Absender eingeschleust werden (forged mail)

Daten auf der Festplatte können von Unberechtigten ohne Verschlüsselung eingesehen werden

Um dies zu verhindern, kann und sollte man E-Mails und Daten auf der Festplatte mit Hilfe von Verschlüsselungsprogrammen sichern

5




IT-Sicherheit

... Problembeschreibung

Wer sollte seine Daten verschlüsseln ?

Privatleute– E-Mail, – Daten auf der Festplatte

Unternehmen– E-Mail– Daten auf der Festplatte

Staat– Militär– Nachrichtendienst, – Regierung

6




IT-Sicherheit

... Problembeschreibung

Umfrage zur Anwendung von Verschlüsselung

Frage: Wieviel Prozent des Datenverkehrs in Ihrem Unternehmen sind verschlüsselt?-Prozentwerte-

5

11

17

8

15

16

29

15

18

8

12

14

25

9100%

51 - 99%

21 - 50%

11 - 20%

6-10%

Nichts

1 - 5%

WeltweitDeutschland

Quelle: PricewaterhouseCoopers/Informationweek, IT-Security 2001

7




IT-Sicherheit

Anwendungen

Die Kryptographie gilt als die absolute Schlüsseltechnologie für die Entwicklung des Internet und der Informationsgesellschaft überhaupt

Digitale SignaturDigitales GeldVerteilen eines Geheimnisses auf mehrere PersonenDatierte StempelSichere Wahlen und Anonymität




IT-Sicherheit

... Anwendungen

Digitale Signatur als "elektronische Unterschrift"

Für den "elektronischen Handel" wie überhaupt für jede rechtsverbindliche Kommunikation über das Netz wird die digitale Signatur von entscheidender Bedeutung sein.

Verbindliche digitale Signaturen werden hier eines ihrer wichtigsten Einsatzfelder finden.

Über ausgeprägte Zertifizierungsstrukturen wird es möglich sein, jedem digital signierten Dokument einen Urheber zuzuordnen, so dass Verträge auch übers Netz ohne Einbuße an Beweissicherheit geschlossen werden können.




IT-Sicherheit

... Anwendungen

Digitales Geld und Elektronische ZahlungssystemeMit digitalem Geld ist im Gegensatz zum elektronischen Zahlungsverkehr (Scheckkarten, Kreditkarten, Überweisungen etc.) ein System gemeint, in dem digital symbolisierte Zahlungsmittel ("Münzen„) ohne Einschaltung Dritter (wie etwa einer Bank) von einer Person an eine andere transferiert werden können.

Ideales digitales Geld sollte einige Voraussetzungen erfüllen:– Das Geld kann über Computernetze transferiert– Es kann nicht kopiert und dann wiederverwendet werden– Anonymität ist gewährleistet– Das Geld kann zu anderen Benutzern übertragen werden– Eine Einheit über einen bestimmten Betrag lässt sich in kleinere Einheiten zerlegen

Daneben ist für die Durchsetzung von digitalem Geld auch wichtig, dass es einfach zu benutzen, kostengünstig, überall einsetzbar und auf einem robusten System basierend realisiert ist.

Es existieren mittlerweile sehr komplexe kryptographische Protokolle, die viele oder alle dieser Anforderungen erfüllen und sich somit prinzipiell zur Umsetzung in die Praxis eignen.

Einige Firmen bieten digitales Geld auch schon zur Bezahlung im Internet an.




IT-Sicherheit

Der Staat und die Verschlüsselung

Der Staat sieht die Verschlüsselungstechnik mit „gemischten Gefühlen“

Die gesetzlichen und politischen Rahmenbedingungen zur Benutzung von Ver-schlüsselungssoftware sind von Land zu Land sehr unterschiedlich und stetigem Wandel unterworfen

Dies reicht von völligem Verbot von Verschlüsselungssystemen (z.B. in Russland) bis hin zu geforderten Hinterlegungen von Private-Keys bei staatlichen Behörden, um bei Verdachtsmomenten anhand der hinterlegten Schlüssel verdächtige Informationen entschlüsseln zu können.




IT-Sicherheit

... Der Staat und die Verschlüsselung

Die USA und die Verschlüsselung:

Die USA sehen sehr viele Gefahren in der Verschlüsselungstechnik, nicht zuletzt nach den Ereignissen am 11. September 2000, sie möchten mögliche Gefahren und Schäden von der eigenen Nation abhalten.

Deshalb hat die US-Regierung schon frühzeitig den US-amerikanischen Verschlüsselungsunternehmen ihre eigenen Regeln auferlegt.

Verschlüsselungssoftware darf nur bis zu einer bestimmten Schlüssellänge aus den USA für die Nutzung durch Nicht-US-Amerikaner exportiert werden:

– diese maximale Schlüssellänge liegt derzeit bei 40 Bit– bis zu dieser Schlüssellänge ist die NSA in der Lage, verschlüsselte

Kommunikation bei Bedarf (schnell -> innerhalb einer Stunde) zu entschlüsseln.

Außerdem wurde Verschlüsselungssoftware als Waffenmunition definiert und unterliegt somit den strengsten Exportkontrollen.




IT-Sicherheit


Die USA und die Verschlüsselung: (Forts.)

Um die US-Verschlüsselungsanbieter weltweit konkurrenzfähig zu halten, wird es ihnen gestattet, 56 Bit-Algorithmen auf dem internationalen Markt anzubieten

– allerdings müssen diese Produkte erst bei der NSA registriert werden und einen „Technical Review“ überstehen, bevor sie exportiert werden.

– Die Vermutung liegt nahe, dass der Technical Review nur dazu dient, das Vorhandensein geeigneter Key-Recovery-Mechanismen zu überprüfen

– und somit den „dritten Schlüssel“ für die Programme zu erhalten.

Das bedeutet für deutsche Unternehmen, dass sie teilweise – wenn sie Software amerikanischer Hersteller verwenden möchten – auf den Einsatz unsicherer Verschlüsselung angewiesen sind.

Die US-Regierung macht Druck auf andere Regierungen, vor allem in Europa, damit auch diese sichere Verschlüsselungsverfahren mit Sanktionen belegen.




IT-Sicherheit


Die EU die Verschlüsselung

Die Europäische Kommission hat in den „Europäischen Richtlinien 2 für digitale Unterschriften und Verschlüsselung“ die Versuche der US-Regierung, die europäischen Staaten zu beeinflussen, kritisiert:

„Der elektronische Handel und viele andere Bereiche der Informationsgesellschaft werden nur dann wachsen und ihre wirtschaftlichen und sozialen Vorteile eröffnen, wenn Vertraulichkeit auf benutzerfreundliche und kostengünstige Weise garantiert werden kann.“

„Für eine sichere und vertrauenswürdige Umgebung seien für Unternehmen und Konsumenten Verschlüsselungstechniken entscheidend.“

„Eine Beschränkung der Verwendung von Verschlüsselungstechnologien könnte gesetzestreue Unternehmen und Bürger daran hindern, sich selbst gegen kriminelle Angriffe zu schützen, aber sie würde nicht bewirken, Kriminelle von deren Verwendung abzuhalten.“

2 Quelle: www.heise.de/tp/deutsch/inhalte/te/1300/1.html

http://www.heise.de/tp/deutsch/inhalte/te/1300/1.html




IT-Sicherheit


Die EU die Verschlüsselung (Forts.)

Haupteinwand der Kommission ist, dass eine Begrenzung der Verschlüsselung und eine Hinterlegung der Schlüssel die bestehenden Unsicherheiten in den offenen Netzen eher verstärken und damit den elektronischen Zukunftsmarkt behindern könnten.

Die Kommission will mit ihrer Haltung den europäischen Standort sichern, da ein schneller und sicherer Datenaustausch viele Möglichkeiten für europäische Unternehmen und auch für neue Arbeitsplätze eröffnet.

Außerdem würde eine Überwachung der Kommunikation und Transaktionen von Bürgern und Unternehmen die Angst vor einer totalen Überwachung schüren und sie dazu bringen, in der anonymen Off-line Welt zu bleiben.




IT-Sicherheit


Die Bundesregierung und die Eckpunkte ihrer Kryptopolitik

Die Bundesregierung beabsichtigt nicht, die freie Verfügbarkeit von Verschlüsselungsprodukten in Deutschland einzuschränken. Sie sieht in der Anwendung sicherer Verschlüsselung eine entscheidende Voraussetzung für den Datenschutz der Bürger, für die Entwicklung des elektronischen Geschäftsverkehrs sowie für den Schutz von Unternehmensgeheimnissen. Die Bundesregierung wird deshalb die Verbreitung sicherer Verschlüsselung in Deutschland aktiv unterstützten. Dazu zählt insbesondere die Förderung des Sicherheitsbewusstseins bei den Bürgern, der Wirtschaft und der Verwaltung.

Die Bundesregierung strebt an, das Vertrauen der Nutzer in die Sicherheit der Verschlüsselung zu stärken. Sie wird deshalb Maßnahmen ergreifen, um einen Vertrauensrahmen für sichere Verschlüsselung zu schaffen, insbesondere indem sie die Überprüfbarkeit von Verschlüsselungs-produkten auf ihre Sicherheitsfunktionen verbessert und die Nutzung geprüfter Produkte empfiehlt.

Quelle: www.sicherheit-im-internet.de




IT-Sicherheit


Die Bundesregierung und die Eckpunkte ihrer Kryptopolitik (Forts.)

Die Bundesregierung hält aus Gründen der Sicherheit von Staat, Wirtschaft und Gesellschaft die Fähigkeit deutscher Hersteller zur Entwicklung und Herstellung von sicheren und leistungs-fähigen Verschlüsselungsprodukten für unverzichtbar. Sie wird Maßnahmen ergreifen, um die internationale Wettbewerbsfähigkeit dieses Sektors zu stärken.

Durch die Verbreitung starker Verschlüsselungsverfahren dürfen die gesetzlichen Befugnisse der Strafverfolgungs- und Sicherheitsbehörden zur Telekommunikationsüberwachung nicht ausgehöhlt werden. Die zuständigen Bundesministerien werden deshalb die Entwicklung weiterhin aufmerksam beobachten und nach Ablauf von zwei Jahren hierzu berichten. Unabhängig hiervon setzt sich die Bundesregierung im Rahmen ihrer Möglichkeiten für die Verbesserung der technischen Kompetenzen der Strafverfolgungs- und Sicherheitsbehörden ein.

Die Bundesregierung legt großen Wert auf die internationale Zusammenarbeit im Bereich der Verschlüsselungspolitik. Sie tritt ein für am Markt entwickelte offene Standards und interoperable Systeme und wird sich für die Stärkung der multilateralen und bilateralen Zusammenarbeit einsetzen.




IT-Sicherheit

Sichere Internetprotokolle

Sicherheitsprotokolle sind eine Kombination aus Soft- und Hardwareprodukten, die bei einem elektronischen Zahlungsverkehr gestartet werden, um die Datenübertragung automatisch zu verschlüsseln.

Wichtige Sicherheitsprotokolle für die Zahlung im Internet sind

– STT - Secure Transaction Technology– SEPP - Secure Electronic Payment Protocol– SSL - Secure Socket Layer - ist ein Programm, mit dem die Übertragung der Kreditkartendaten

von Surfern im Internet sichergestellt wird

– SET - Secure Electronic Transaction - ist der Weltstandard für sichere Zahlungen mit der Kreditkarte im Internet

– HBCI - Home Banking Computer Interface – der Standard für Geldüberweisungen per Homebanking




IT-Sicherheit

... Sichere Internetprotokolle

SSL – Secure Socket Layer

1994 entwickeltes Sicherheitsprotokoll von Netscape

Wird von allen aktuellen Browsern unterstützt

Daran zu erkennen, dass– die Web-Adresse um ein „s“ erweitert ist (https://www...), – am unteren Bildschirmrand im Netscape Navigator der sonst unterbrochene Schlüssel

geschlossen ist,– im Internet Explorer das Vorhängeschloss geschlossen ist

Für die Verschlüsselung der eigentlichen Datenübertragung wird eine symmetrische und eine asymmetrische Verschlüsselung benutzt

Bei SSL wird eine Verbindung zwischen dem Browser eines Benutzers und dem Server eines Anbieters aufgebaut, über die zunächst Zertifikate mit öffentlichen Schlüsseln ausgetauscht werden. (-> Alle gängigen Browser erhalten bereits bei der Installation SSL-Zertifikate einiger Zertifizierungsstellen)

http://www.it-security-world.de/IVC/sec/cgi/viewref/800?actdir=15&sessionid=0&nh=0&nick=gast

http://www.ecin.de/zahlungssysteme/hbci/




IT-Sicherheit

... Sichere InternetprotokolleSSL – Secure Socket Layer (Forts.)

Bei SSL wird eine Verbindung zwischen dem Browser eines Clients und dem Server eines Anbieters aufgebaut, über die zunächst Zertifikate mit öffentlichen Schlüsseln ausgetauscht werden.

– Alle gängigen Browser erhalten bereits bei der Installation SSL-Zertifikate einiger Zertifizierungsstellen

Anschließend wird geschützt durch das asymmetrische Verschlüsselungsverfahren ein symmetrischer Schlüssel ausgetauscht.

Für die Verschlüsselung der eigentlichen Datenübertragung wird nun ein symmetrisches Verfahren benutzt, da dieses große Datenmengen schneller verschlüsseln kann.

– Eingesetzte Algorithmen: RC2, RC4, DES, Triple-DES, IDEA mit 128 Bit Schlüssellänge

In Browsern US-amerikanischer Hersteller sind aufgrund der US-Exportrestriktion teilweise nur Verschlüsselungsverfahren mit extrem kurzen Schlüssellängen (40Bit) integriert.

Trotz gesicherter Übertragung: Ist der Betreiber einer Seite unseriös, so kann er mit den Daten Missbrauch betreiben, da er den Schlüssel besitzt




IT-Sicherheit

... Sicherheitsprotokolle

SET (Secure Electronic Transaction)

Allgemeines– Verschlüsselungsverfahren für Kreditkartenzahlung über das Internet– entwickelt von Visa und Mastercard / Eurocard in Zusammenarbeit mit IBM, Microsoft u.a.– Derzeit weltweit 100 Mio. Nutzer

Welche Sicherheit bietet SET?– Eindeutige Identifizierung aller an Finanztransaktion beteiligte Akteure durch Zertifikate– Zwischen den Transaktionspartnern übermittelte Daten sind unveränderbar und für Dritte unzugänglich

durch digitale Fingerabdrücke in Verbindung mit digitalen Signaturen

Beteiligte – Karteninhaber als Kunde– Händler bei dem ein SET Merchant Server installiert ist– Kartenherausgeber (Bank), der Händler zu zahlenden Betrag zusichert– Acquirer, der Zahlungen für den Händler verarbeitet und dafür vom Herausgeber authorisiert ist– Payment Gateway, das für die Kommunikation zwischen Acquirer und Händler dient– Zertifizierungsautorität, das Zertifikate für für Kunde, Händler und Payment Gateway vergibt und

verwaltet




IT-Sicherheit


SET (Forts.) Implementierung von SET

– Händler richtet sich eine Homesite ein und erwirbt sich bei einem zugelassenen SET-Partner die erforderliche Software ( www.setco.org/cgi-bin/vsm.cgi)

– Kreditkarteninhaber muss entweder Wallet installieren (www.visa.de/ks/servise/wallet.exe) oder der Händler bietet SET-Variante MIA (Merchant Initiated Authorization)

– Kunde muss Kreditkartennummer in Wallet eingebenNummer wird auf Festplatte oder in einer Smartcard gespeichertEingabe eines Benutzerpasswort

– 3 Sicherheitsstufen3KP-Modus: alle drei Beteiligte besitzen ein Zertifikat2KP-Modus: nur Händler und Kartenherausgeber zertifiziert, Karteninhaber bleibt anonymMIA

Ablauf einer Transaktion über SET– Kunde stellt sich seinen Warenkorb zusammen– Kunde schickt seine Bestellung, die mit seiner Wallet-Software verschlüsselt wurde an das Payment

Gateway– Dort erfolgt eine Prüfung je nach Sicherheitsstufe

Keine Beanstandung: - Autorisierung der Transaktion - Händler erhält Gutschrift und Bestätigung der Lieferfreigabe- Karteninhaber erhält Quittung

Unregelmäßigkeit: Abbruch des Vorgangs und Informierung des Karteninhabers

http://www.softer.de/Detail/6784.shtml

http://www.setco.org/cgi-bin/vsm.cg




IT-Sicherheit


SET - Secure Electronic Transaction (Forts.)Funktionsweise

(0) (3)

(2)(1)




IT-Sicherheit


SET (Forts.) Vorteile

– Einfach und anwenderfreundlich– SET für Abwicklung über Visa, Mastercard/Eurocard American Express und ELV verfügbar – Garantierte Zahlung an Händlerbank– Auszahlung an Händler individuell ( z.B. wöchentlich, monatlich)– Kreditnummer des Kunden von Händler nicht einsehbar– Kontinuierlicher Ausbau ( europäische Zahlungsverfahren, Geldkarte) geplant

Nachteile– Implementierung eines neuen Systems notwendig– Transaktionen kleiner Beträge nicht vorgesehen– Solange weite Kundenkreise nicht zertifiziert kann Set nicht eingesetzt werden– Momentane ausschließliche Nutzung von kreditkartenbasierten Verfahren

Software für SET-Wallets von verschiedenen Herstellern angeboten– X-Pay Java Credit Wallet (www.brokat.de)– Cyber Cash Internet Wallet (www.cybercash.de)– GlobeSet Wallet (www.globeset.com)– IBM Consumer Wallet (www.ibm.com/commerce/software/payment/wallet.html)– Microsoft Wallet (www.microsoftcom/wallet)

http://www.visa.de/ks/servise/wallet.exe

http://www.brokat.de/

http://www.cybercash.de/

http://www.globeset.com/

http://www.ibm.com/commerce/software/payment/wallet.html




IT-Sicherheit


Secure Electronic Transaction (SET) (Forts.)

SET-fähige Banken (Auszug; Stand: 27.10.1999)– Commerzbank AG (http://www.commerzbank.de/)– Deutsche Bank AG (http://www.deutsche-bank.de/)– Sparkassen (http://www.sparkasse.de/ecommerce/)– Volks- und Raiffeisenbanken (http://www.vrnet.de/)

SET-fähige Händler (Auszug; Stand: 27.10.1999)– Brinkmann(http://www.brinkmann.de/)– C & A (http://www.c-and-a.com/de/)– IBM (http://www.de.ibm.com/)– My World von Karstadt (http://www.my-world.de/)– Telekom (http://www.telekom.de/)

SET-Payment-Gateways (Auszug; Stand: 27.10.1999)– GZS (http://www.gzs.de/)– Netlife AG (http://www.netlife.de/)

SET-Zertifizierungsstellen (Auszug; Stand: 27.10.1999)– Eurocard (http://www.eurocard.de/set/cca/)– Visa (http://www.visa.de/)– Sparkassen– Volks- und Raiffeisenbanken– Commerzbank (http://www.commerzbank.de/)

Quelle: Eurocard Kartensysteme (http://www.eurocard.de/)

http://www.ssl.de/ssl.html

http://www.commerzbank.de/

http://www.deutsche-bank.de/

http://www.sparkasse.de/ecommerce/

http://www.vrnet.de/

http://www.brinkmann.de/

http://www.c-and-a.com/de/

http://www.de.ibm.com/

http://www.my-world.de/

http://www.telekom.de/

http://www.gzs.de/

http://www.netlife.de/

http://www.eurocard.de/set/cca/

http://www.visa.de/




IT-Sicherheit


HBCI (Homebanking Computer Interface)

Schnittstellenstandard für die Datenkommunikation der Kunden mit den Bankrechnern

Basiert auf einer vom Zentralen Kreditausschussdes Kreditgewerbes festgelegten Spezifikation

– Elektronische Unterschrift– Vielzahl von fest definierten

Geschäftsvorfällen 32 Standardtransaktionen wieEinzelüberweisung, Lastschrift,Scheckbestellung etc.

– Möglichkeit zum internationalen Einsatz

Zwei Transaktionsverfahren stehen den Banken im Web zur Verfügung

– HBCI regelt das Electronic Banking– SET sichert den Zahlungsverkehr




IT-Sicherheit


HBCI (Forts.)

Quelle: www.ecin.de/zahlungssysteme/hbci/, eingesehen am 24.11.02

http://www.microsoftcom/wallet




IT-Sicherheit


HBCI (Forts.)

Vorteile – Unabhängigkeit vom Transportnetz

neben dem Internet ist der Zugriff auf das Bankkonto auch über Web-TV, Handy, SB-Terminal usw. realisierbar

– Offenheit: Verwendung internationaler Standards, Protokolle und Normen Endgeräte-Unabhängigkeit für PC, Settopbox oder SmartphoneVoraussetzung für internationalen Einsatz

– Multibankfähigkeit: einheitliche Schnittstelle zu allen Kreditinstituten, d.h. der Kunde kann eine Homebanking-Software für die Kommunikation zu mehreren Banken nutzbarSoftware für alle Bankgeschäfte einsetzbar

– Sicherheit: digitale Signaturen ohne PIN/TANelektronischer Fingerabdruck des Bankkunden wird vom Computer in einen persönlichen Signaturschlüssel codiert, per Internet verschickt und auf der Gegenseite entschlüsselt.Schlüssel entweder auf einer Chipkarte, Diskette oder auf der lokalen Festplatte des Kunden-Rechners gespeichert

– Flexibilität: Angebot von Geschäftsvorfällen kann schnell und einfach um weitere erweitert werdenInternet-Brokering (Abwicklung von Wertpapiergeschäften über das Web) in nächster Version ebenfalls vorhanden




IT-Sicherheit

Zur Zeit der Standard in der Kommunikationssicherheit

PGP steht für „Pretty Good Privacy“ (übersetzt in etwa: „ziemlich gute Privatsphäre“)Von Phil Zimmermann Ende der 80er Jahre in den USA entwickelt und von Network Associate vertriebenPGP ist für Privatpersonen Freeware und kann somit kostenlos bezogen werden.Unternehmen können PGP heutzutage nicht mehr nutzen, da diese Software nicht mehr unter der GNU General Public License (GNU GPL) vertrieben wird.Anfang des Jahres 2002 gab Network Associate bekannt, dass alle Lizenz-Verträge mir ihrem Ablauf nicht mehr verlängert werden und dass dann alle PGP Versionen gelöscht werden müssen.Eine Ausnahme bildet die Version PGP Personal Privacy und die nicht-kommerzielle Freeware Version.Dieser von Network Associate „Maintenance Mode“ bezeichnete Zustand soll bis März 2003 andauern.

PGP (Pretty Good Privacy)




IT-Sicherheit

... PGP (Pretty Good Privacy)

PGP ist ein Verschlüsselungsprogramm, das hauptsächlich zur Verschlüsselung elektronischer Nachrichten (E-Mails) verwendet wird: das Software Paket erfüllt drei Aufgaben:

Die Verschlüsselung elektronischer Mitteilungen, so dass nur Absender und Empfänger diese lesen können

Das Unterschreiben von Mitteilungen, so dass der Empfänger sich darauf verlassen kann, dass diese vom Absender und nicht von einem Fremden versandt wurde

Die Verschlüsselung gespeicherter Dateien, so dass nur der berechtigte Anwender darauf zugreifen kann

Verwendete Verschlüsselungsverfahren:asymmetrische VerschlüsselungRSA 128 Bit Verschlüsselungstiefe

Der Austausch von öffentlichen Schlüsseln erfolgt i.d.R. über einen Key-Server im www oder einfach per E-Mail




IT-Sicherheit


Die wichtigsten Schritte:

1. Jeder Anwender erzeugt ein Schlüsselpaar, das zur Verschlüsselung und Entschlüsselung von Nachrichten dient.

2. Jeder Anwender legt einen der beiden Schlüssel in ein für alle zugängliches Depot. Dies ist der Public-Key

Der zugehörige Schlüssel wird beim Anwender verschlossen verwahrt.3. Wenn A eine private Nachricht an B schicken möchte, verschlüsselt A die Nachricht mit

dem Schlüssel von B.4. Wenn B die Nachricht erhält, entschlüsselt er sie mit seinem persönlichen Schlüssel

Private Key.




IT-Sicherheit


So sieht z.B. eine verschlüsselte PGP-Mail aus:

-----BEGIN PGP MESSAGE-----Version: 2.6.3i

hIwDWSrKrQ24eOEBA/0bHsUDzma8xe4e171ntjRxb+xNW7w2dtpFWpkP7Xr6O321 3OgIXWOALazS0pfn5OyNX2ySscbbwZpe7ma17SXKmPl0nIWjLuzlXS0JzgQubjRp69dLEAKCfTSY/dWuGIorXuJ/Jy3NNdU+C5axNbr4Wit1RGgwojdZ5xrHQrhCkKYA AAC7bhqHawfaVX4joAuv9F5YR+KYF7nbyNyX0WvlzBon9m+UmYkCF2l8azIwFktPHp9g7DJVEfqKN2VARcack0/K/gpaYCMBN3RsNBymA7ck8voW2aXWd5BkpcedG4JoWtaLBuLEEHNekThRd5UX2DKeJHlrAPV+GlSYlBIMeZ9jMoxCO+hIW3nM/ICHwJM9OJ+6vC1rTxM4gl9s+V9WK6VDQj1Atfb0jx4D5gq1x/iQDWbbd6UxemiJd3Rmsw== =xGPH-----END PGP MESSAGE-----




IT-Sicherheit


PGP bietet die Möglichkeit mit Plug–Ins direkt in den gewohnten Programmen zu arbeiten,

z.B mit MS Outlook, Outlook Express, Lotus Notes, Eudora, Pegasus Mail, Netscape Messanger

Das Programm läuft auf den Betriebsprogrammen:

Windows 95/98/NT, ...MS-DOSOS/2UnixAmiga, Atari




IT-Sicherheit

Ein vom Bundeswirtschaftsministerium gefördertes Projekt zum Verschlüsselnund Signieren von digitalen Daten

GnuPP bezeichnet das Gesamtpaket, das die Programme GnuPG (Gnu Privacy Guard) GPA (Gnu Privacy Assistant) WinPT (Windows Privacy Tray)

und andere Komponenten enthält

Die GNU Privacy Guard Software (GnuPG) ist ist zentraler Bestandteil des Projektes, sie führt die eigentliche Ver- und Entschlüsselung der Daten durch

GnuPG ist eine Freie Software (Open-Source-Software), sie kann ohne Restriktion privat oder kommerziell benutzt werdenGnuPG ist vollständig kompatibel mit PGP (Pretty Good Privacy)

GnuPP (GNU Privacy Projekt)




IT-Sicherheit

... GnuPP (GNU Privacy Projekt)

GnuPG verwendet mehrere kryptographische Verfahren wie beispielsweise:

– Symmetrische Verschlüsselungstechnik– Asymmetrische Verschlüsselungstechnik– Hybride Verschlüsselungstechnik

GnuPG ist nicht durch Ausfuhrbestimmungen künstlich in seiner Funktionalität und Sicherheit beschränkt.




IT-Sicherheit


Der Gnu Privacy Assistant (GPA) ist die grafische Benutzeroberfläche für GnuPG

Sie dient zur Verwaltung der öffentlichen Schlüssel (Keyring) und zum Ver- und Entschlüsseln von Dateien




IT-Sicherheit


Windows Privacy Tray (WinPT) ist ein Taskleistenwerkzeug, mit dem man über die Zwischenablage Mails ver- und entschlüsseln kann.

Man kann es mit jedem Mailprogrammverwenden und so komfortabel seineprivaten Daten schützen.




IT-Sicherheit


Von G Data gibt es ein Outlook-Plug-in für GnuPG

Dies stellt eine Schnittstelle zwischen dem E-Mail-Programm Microsoft Outlook und dem GnuPG bzw. dem GPA darEs ermöglicht die schnelle und unkomplizierte Handhabung verschlüsselter E-Mails ohne den bislang notwendigen Umweg über die Kommandozeile oder die Zwischenablage

Da es sich bei GnuPG um eine Freie Software, also eine Open-Source-Software, handelt, hat der Benutzer bestimmte Rechte:

Der Quelltext muss jedem Benutzer offengelegt werden.Der Benutzer hat das Recht, die Software zu modifizieren und in modifizierter Form weiterzuleiten.

Die garantierte Einsehbarkeit des Quelltextes von GnuPG gewährleistet vollständige Transparenz.




IT-Sicherheit

SafeGuard PrivateCrypto

Verschlüsselt Daten beim Versenden via Internet und auf lokalen Laufwerken

Das Programm bindet sich bei der Installation in das Kontext-Menü von Windows ein und lässt sich danach per rechtem Mausklick auf die zu verschlüsselnde Datei starten.

Schlüsselerzeugung durch ein Passwort des Anwenders. Nach zweimaliger Eingabe des Passworts verschlüsselt Private Crypto die Datei.

Auf Wunsch komprimiert Private Crypto die verschlüsselte Datei noch mittels des ZIP Algorithmus, um beim Versand über das Internet die Übertragungszeit zu reduzieren.

Zum Entschlüsseln benötigt der Anwender das Passwort.

Verwendeter Algorithmus: AES 128 Bit Symmetrische Verschlüsselung

Arbeitet auf folgenden Betriebssystemen: Windows 95/98/ME/NT/2000

Nachteil:es können nur einzelne Dateien verschlüsselt werdenSchwachstelle bei der Übermittlung des Passwortes an den Empfänger




IT-Sicherheit

Verschlüsselt Daten für den Versand übers InternetSchlüsselerzeugung durch ein Passwort des AnwendersEmpfänger benötigt keine spezielle Software

– Entschlüsselung der Daten durch Eingabe des vereinbarten Passwortes

Beliebig viele Dokumente, Ordner oder ganze Laufwerke lassen sich verschlüsselnVerwendeter Algorithmus: AES 128 Bit Symmetrische Verschlüsselung.Die verschlüsselten Dateien werden gleichzeitig bis zu 95% der Ursprungsgröße komprimiert.Der Benutzer kann Steganos Crypt&Go seiner Corporate Identity anpassen, indem er sein Firmenogo, eine frei wählbare Begrüßungsnachricht und einen Link zu seiner Firmen-Homepage einfügt

Steganos Crypt&Go läuft auf den Betriebssystemen Windows 95/98/Me/NT/2000/XP

Nachteil: Schwachstelle bei der Übermittlung des Passwortes an den Empfänger

Steganos Crypt&Go




IT-Sicherheit

Bietet zwei Arten der Laufwerk-Verschlüsselung an:– Verschlüsselung einer ganzen Festplatte– Erstellen einer virtuellen „Containerdatei“, in der verschlüsselte Dateien gespeichert

werden können

Ermöglicht Daten in Daten zu speichern (sieheSteganographie)

Bietet 256 Bit Echtzeitverschlüsselung

Löscht ungewollte Daten auf sichere Weise und macht somit eine Datenwiederherstellung mit Hilfe von speziellen Laufwerksprogrammen unmöglich.

Verwendete Verschlüsselungsalgorithmen– AES 256, TEA 16, DES, etc. Symmetrische Verschlüsselung

Arbeitet auf folgenden Betriebssystemen: Windows 95/98/ME/NT/2000/XP

DRIVECRYPT




IT-Sicherheit

Verschlüsselungssoftware für Windows-PCs

Entwickelt vom Bundesamt für Sicherheit in der Informationstechnik (BSI)

Verschlüsselt einzelne Dateien oder gesamte Ordner

Chiasmus für Windows darf nur dort eingesetzt werden, wo ein öffentliches Interesse für die Nutzung besteht, also vornehmlich für Bundes-, Landes-, und Kommunalverwaltungen

Schlüssel können mit dem eingebauten Zufallsgenerator erzeugt werden

Verwendeter Algorithmus: BSI-Eigene symmetrische Blockchiffrieralgorithmus Chiasmus. Die effektive Schlüssellänge beträgt 128 Bit

Läuft auf den Betriebssystemen Windows 95/98/Me/NT,XP

Nachteile:Chiasmus bindet sich in keine anderen Windowsprogramme wie Word,Excel, Access etc. ein.

Chiasmus für Windows




IT-Sicherheit

SHYFILE

Verschlüsselungssoftware für Texte jeglicher Art

Erlaubt das Verschlüsseln von sämtlichen Binärdateien wie z.B. Dateien mit –jpg, -gif, -bmp, -doc, -xls, -cls, -mp3 oder auch einer –exe Endung

Als Schlüssel kann eine beliebige Zeichenfolge verwendet werden, es müßen nur mindestens 32 Zeichen oder Buchstaben eingegeben werden

Es gibt keinen Master Key. Sollte ein Schlüssel verloren gehen, so ist die verschlüsselte Information für immer und ewig im Nichts verschwunden.

Vor dem Verschlüsseln wird der Klartext mit zufällig generiertem Datenmüll vermischt, der Datenmüll wird von einem Pseudozufallsgenerator erzeugt.

Um diesen Pseudozufallsgenerator zu initialisieren, wird der User direkt nach der Installation der Software zur Eingabe von 254 beliebigen Zeichen aufgefordert.

Verwendeter Algorithmus: Eigens entwickelter ShyFiles`s Algorithmus TL6144D, mit einer Schlüssellänge von minimal 32 Zeichen, über 64, 128, 256, 512 bis zu maximal 1.024 Zeichen (6144 Bit Verschlüsselungstiefe).




IT-Sicherheit

Internet-LinksDer Staat und die Verschlüsselung

http://www.heise.de/tp/deutsch/inhalte/te/1300/1.htmlhttp://www.news.zdnet.de/story/0,,t101-s2050201,00.htmlhttp://www.sicherheit-im-internet.de/themes/themes.phtml?ttid=39&tdid=116http://www.chip.de/news_stories/news_stories_225276.htmlhttp://www.netplanet.org/i-files/file009.htmlhttp://www.netplanet.org/kryptografie/crypt.html

PGPhttp://www.haag-roland.de/pgp/m_ueberblick.htmhttp://www1.logistik.fh-dortmund.de/eBusiness/9_VPN/PGP/PGP-Anleitung/index.htmhttp://www1.logistik.fh-dortmund.de/eBusiness/9_VPN/PGP/pgp.pdfhttp://www-rrzn.uni-hannover.de/Bis/Jahrgang2000/BI336-8.htmlhttp://www.helmbold.de/pgp/pgp6.5/wasistpgp.htmhttp://www.helmbold.de/pgp/pgp6.5/asymmetrisch.htmhttp://www.uni-giessen.de/hrz/veroeff/login952/pgp.htmlhttp://www.muenster.de/~marvel/Inhalt/warumnutzen.htmlhttp://www.muenster.de/~marvel/Inhalt/pgpmail.htmlhttp://www.muenster.de/~marvel/Inhalt//wasistpgp.html

http://www.heise.de/tp/deutsch/inhalte/te/1300/1.html

http://www.news.zdnet.de/story/0,,t101-s2050201,00.html

http://www.sicherheit-im-internet.de/themes/themes.phtml?ttid=39&tdid=116

http://www.chip.de/news_stories/news_stories_225276.html

http://www.netplanet.org/i-files/file009.html

http://www.netplanet.org/kryptografie/crypt.html

https://)erweitert/

http://www.haag-roland.de/pgp/m_ueberblick.htm

http://www1.logistik.fh-dortmund.de/eBusiness/9_VPN/PGP/PGP-Anleitung/index.htm

http://www1.logistik.fh-dortmund.de/eBusiness/9_VPN/PGP/pgp.pdf

http://www-rrzn.uni-hannover.de/Bis/Jahrgang2000/BI336-8.html

http://www.helmbold.de/pgp/pgp6.5/wasistpgp.htm

http://www.helmbold.de/pgp/pgp6.5/asymmetrisch.htm

http://www.uni-giessen.de/hrz/veroeff/login952/pgp.html

http://www.muenster.de/~marvel/Inhalt/warumnutzen.html

http://www.muenster.de/~marvel/Inhalt/pgpmail.html




IT-Sicherheit

... Internet-Links

GnuPG

http://www.sicherheit-im internet.de/themes/themes.phtml?ttid=39&tdid=207&tdid=60&page=0http://www.gnupp.dehttp://www.gnupp.de/bedienung.htmlhttp://www.rainer-gerling.de/gnupp.htmlhttp://www.gnupg.org/ghp/de/manual/x54.htmlhttp://www.tfh-berlin.de/~toby/vs/ssl/aufbau.htmlhttp://www.bsi.bund.de/gshb/deutsch/m/m5066.htm

Weitere Verschlüsselungsprogramme

http://www.bsi.bund.de/fachthem/chiasmus/chiasmus.htmhttp://www.steganos.com/de/cng/info.htmhttp://www.217.110.200.201/ger/index.htmlhttp://www.217.110.200.201/ger/pc_beschreibung.htmlhttp://www.it-security-world.de/IVC/sec/cgi/viewref/800?actdir=15&sessionid=0&nh=0&nick=gasthttp://www.drivecrypt.dehttp://www.drivecrypt.de/drivecrypt.htmlhttp://www.pctip.ch/downloads/dl/20076.asp?action=sendemailhttp://www.shyfile.org/page2.htmlhttp://www.softer.de/Detail/6784.shtml

http://www.sicherheit-iminternet.de/themes/themes.phtml?ttid=39&tdid=207&tdid=60&page=0

http://www.sicherheit-im-internet.de/

http://www.gnupp.de/

http://www.gnupp.de/bedienung.html

http://www.rainer-gerling.de/gnupp.html

http://www.gnupg.org/ghp/de/manual/x54.html

http://www.tfh-berlin.de/~toby/vs/ssl/aufbau.html

http://www.bsi.bund.de/gshb/deutsch/m/m5066.htm

http://www.bsi.bund.de/fachthem/chiasmus/chiasmus.htm

http://www.steganos.com/de/cng/info.htm

http://www.217.110.200.201/ger/index.html

http://www.217.110.200.201/ger/pc_beschreibung.html

http://www.muenster.de/~marvel/Inhalt//wasistpgp.html

http://www.drivecrypt.de/

http://www.drivecrypt.de/drivecrypt.html

http://www.pctip.ch/downloads/dl/20076.asp?action=sendemail

http://www.shyfile.org/page2.html

Anwendungen der Kryptographie - fhdo-winkels.de · zKryptographie erlaubt zuverlässig das...

Documents

Transcript of Anwendungen der Kryptographie - fhdo-winkels.de · zKryptographie erlaubt zuverlässig das...