Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web.

21
Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web

Transcript of Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web.

Page 1: Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web.

Fachhochschule SüdwestfalenHochschule für Technik und Wirtschaft

Authentizität im Web

Page 2: Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web.

Folie 2 (27.09.2008)

Das Problem

Vieles ist nicht sicher- im Internet wie im „wirklichen“ Leben…

Im Internet ist es wesentlich schlimmer- man kann sein Gegenüber nicht sehen. Außerdem wird jede Täuschungsmöglichkeit zum Massenphänomen.

Beunruhigende Fragen: Stammt eine E-Mail vom angegebenen Absender? Bin ich mit der richtigen Website verbunden? Soll ich einfach meine Kreditkartendaten eingeben? …

Page 3: Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web.

Folie 3 (27.09.2008)

Einen allgemein verständlichen Einblick in einen wichtigen Problembereich geben

„Lust machen“ auf das Modul IT-Sicherheit im Studiengang Web- und Medieninformatik

Wegen des zweiten Punktes muss an der einen oder anderen Stelle der wissenschaftliche Hintergrund wenigstens angedeutet werden.

Ziele dieses Vortrags

Page 4: Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web.

Folie 4 (27.09.2008)

Wie kann man seine Identität beweisen?

auf der Straße und sonstwo:durch einen Ausweis (mit Lichtbild)

in der digitalen Welt: durch Wissen (Kenntnis eines Geheimnisses)

durch Besitz (Chipkarte, eToken…)

durch eine biometrische Eigenschaft (z. B. Gesichtserkennung)

Page 5: Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web.

Folie 5 (27.09.2008)

Passwortverfahren („klassisch“)

Challenge-Response-Verfahren

weitere…

Authentifikation durch Wissen

Page 6: Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web.

Folie 6 (27.09.2008)

Problemstellung:

Man muss den Besitz eines Geheimnisses überprüfen können, ohne dass der Prüfende dieses Geheimnis kennt !

Dies klingt zunächst unglaublich.

Es ist aber möglich: mit Hilfe asymmetrischer Kryptographie.

Kryptographie – die „Wissenschaft von den Geheimnissen“

Authentifikation im Internet / Web

Page 7: Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web.

Folie 7 (27.09.2008)

Das Grundprinzip:

Jeder hat zwei Schlüssel, die zueinander passen: einen öffentlichen und einen privaten (geheimen).

(Die Schlüssel sind Bitfolgen, die in Computersystemen oder auf Chipkarten gespeichert sind.)

Man verschlüsselt mit dem öffentlichen Schlüssel des beabsichtigten Empfängers.

* siehe auch Modul

„Angewandte Mathematik“

Public-Key-Kryptographie * – Teil 1

Page 8: Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web.

Folie 8 (27.09.2008)

Public-Key-Kryptographie – Teil 2

EinöffentlicherSchlüssel

Page 9: Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web.

Folie 9 (27.09.2008)

Man unterschreibt / authentifiziert sich mit dem eigenen privaten Schlüssel.

Eine mögliche Variante:

A erzeugt eine Zufallszahl, verschlüsselt diese mit dem öffentlichen Schlüssel von B, und schickt das Resultat an B.

Wenn B mit der Zufallszahl antwortet, gilt B als authentifiziert, weil B im Besitz des dazu passenden privaten Schlüssels zu sein scheint.

Public-Key-Kryptographie – Teil 3

Page 10: Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web.

Folie 10 (27.09.2008)

Damit dies Sinn ergibt, ist sicher zu stellen, dass die öffentlichen Schlüssel authentisch sind.

Dazu gibt es Zertifikate.

Ein Zertifikat ist imWesentlichen ein von einer vertrauenswürdigen Instanz unterschriebener öffentlicher Schlüssel.

Public-Key-Kryptographie – Teil 4

Page 11: Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web.

Folie 11 (27.09.2008)

Zusammenfassung:

Die Authentifizierung erfolgt mit Hilfe eines Zertifikats.(Der Prüfende muss den öffentlichen Schlüssel der vertrauenswürdigen Instanz kennen.)

Die Anbindung an die reale Identität erfolgt bei der Ausstellung des Zertifikats.

Mehr dazu im Modul IT-Sicherheit.

Zertifikate

Page 12: Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web.

Folie 12 (27.09.2008)

im Kontext der Digitalen Signatur: Zertifizierungsstellen, letztlich: der Bundesinnenminister

im Web: spezialisierte und weltweit operierende Firmen wie Verisign (damit dies funktioniert, sind die öffentlichen Schlüssel dieser Firmen in den Browsern schon „eingebaut“)

Wer ist eine „vertrauenswürdige Instanz“?

Page 13: Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web.

Folie 13 (27.09.2008)

Ein typisches Ereignis

Page 14: Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web.

Folie 14 (27.09.2008)

Die Auflösung

Page 15: Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web.

Folie 15 (27.09.2008)

Bankingportal der Sparkasse Wuppertal –„Seiteninformation“ unter Firefox

Page 16: Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web.

Folie 16 (27.09.2008)

Zugehöriges Zertifikat - Allgemeinansicht

Page 17: Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web.

Folie 17 (27.09.2008)

Zugehöriges Zertifikat - Detailansicht

Page 18: Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web.

Folie 18 (27.09.2008)

Kann man im Web anonym bleiben?

Antwort: Ja, aber man muss dafür aktiv werden.

Seriöse Gründe können sein: Durchführung einer Wahl

Äußerung einer „unbequemen“ Meinung

Einholung eines unverbindlichen Angebots

Nutzung von Beratungsangeboten

Manchmal will man das Gegenteil – Anonymität im Web

Page 19: Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web.

Folie 19 (27.09.2008)

Anonymitätstest bei www.jondos.de – Teil 1

Page 20: Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web.

Folie 20 (27.09.2008)

Anonymitätstest bei www.jondos.de – Teil 2

Page 21: Fachhochschule Südwestfalen Hochschule für Technik und Wirtschaft Authentizität im Web.

Folie 21 (27.09.2008)

Anonymizer Der anonymisierende Server „kennt“ den Benutzer.

Tor Durch Beobachtung von Internetverkehr ist die Aufhebung der Anonymität theoretisch möglich.

JAP Anon Proxy / Jondos Komplette Anonymität durch Mix-Kaskaden.

Anonymitätsdienste