KryptografieKryptografie

David B., David S., Danny, David B., David S., Danny, TimoTimo

GY WV 05 eHOME

VOR

ZÜRÜCK

Inhaltsverzeichnis :Inhaltsverzeichnis :

1. 1. DeckblattDeckblatt2. 2. InhaltsverzeichnisInhaltsverzeichnis3. 3. Warum Kryptografie ?Warum Kryptografie ?4. 4. EinsatzgebieteEinsatzgebiete5. 5. Asymmetrisches VerfahrenAsymmetrisches Verfahren6. 6. Symmetrisches VerfahrenSymmetrisches Verfahren7. 7. AuthentifizierenAuthentifizieren 8. 8. Generelle Ansätze Generelle Ansätze KryptologischerKryptologischer Verfahren Verfahren 8.1 ROT13 („Buchstabenverdreher“) 8.1 ROT13 („Buchstabenverdreher“) 9. Mailkryptografie9. Mailkryptografie 9.1 PGP9.1 PGP 9.1.1 Verschlüsselung bei PGP 9.1.1 Verschlüsselung bei PGP

9.1.2 Vorteile, Einsatzmöglichkeiten, Wissenswertes 9.1.2 Vorteile, Einsatzmöglichkeiten, Wissenswertes 9.2 SSL9.2 SSL10.Kryptopgrafie im Bankensektor10.Kryptopgrafie im Bankensektor 10.1 PIN/TAN Verfahren10.1 PIN/TAN Verfahren 10.2 HBCI10.2 HBCI 10.3 „Man in 10.3 „Man in thethe middlemiddle attackattack“ “ 10.4 10.4 PhisingPhising11.Algorithmus – RSA, „11.Algorithmus – RSA, „Diffie-HellmannDiffie-Hellmann“ Verfahren“ Verfahren12.Hacking12.Hacking 12.1 12.1 BruteBrute Force Force 12.2 12.2 SocialSocial Engineering Engineering13. Das 100% Sichere Verfahren?13. Das 100% Sichere Verfahren?

HOMEVOR

ZÜRÜCK

3. Warum Kryptografie ?3. Warum Kryptografie ? Wissenschaft d. Verschlüsselung von Informationen bzw. DatenWissenschaft d. Verschlüsselung von Informationen bzw. Daten

Grundidee: Inhalt v. Nachrichten für Dritte unzugänglich zu Grundidee: Inhalt v. Nachrichten für Dritte unzugänglich zu machen.machen.

Vier Hauptziele:

• Vertraulichkeit• Datenintegrität• Authentifizierung• Verbindlichkeit

• Nicht alle Verfahren erreichen alle oben genannten Ziele

• Kryptographie besteht aus einer Komplexen Geschichte • Erst im 20. JHD. kam der Kryptografie Bedeutung zu

HOMEVOR

ZÜRÜCK

4. Einsatzgebiete4. Einsatzgebiete Klassische Einsatzgebiete (Militär, Geheimdienste [FBI])Klassische Einsatzgebiete (Militär, Geheimdienste [FBI])

Absicherung Elektronischer Geldgeschäfte, WertpapiereAbsicherung Elektronischer Geldgeschäfte, Wertpapiere

Zugangskontrolle zu Rechnernetzen (z.B. Authentifizierung)Zugangskontrolle zu Rechnernetzen (z.B. Authentifizierung)

Zugangskontrolle für Chipkarten (Smartcard)Zugangskontrolle für Chipkarten (Smartcard)

Datenaustausch (z.B. bei Banken)Datenaustausch (z.B. bei Banken)

Mailverkehr („Briefgeheimnis“)Mailverkehr („Briefgeheimnis“)

• Weiteres Einsatzgebiet für die Zukunft könnte die Verschlüsselung Weiteres Einsatzgebiet für die Zukunft könnte die Verschlüsselung bei Voice-over-IP darstellen!!bei Voice-over-IP darstellen!!

HOMEVOR

ZÜRÜCK

5. Asymmetrisches Verfahren5. Asymmetrisches Verfahren(public key encryption)(public key encryption)

• Empfänger: Erzeugt 2 Schlüssel -> (public key, private key) • Verschlüsselung nur mit Kombination möglich

HOMEVOR

ZÜRÜCK

6. Symmetrisches Verfahren6. Symmetrisches Verfahren

• Sender und Empfänger haben gemeinsamen Geheimnis: Den Schlüssel

•Damit sind die schwächen klar: • Austausch ist angreifbar und unsicher• Zu viele Schlüssel erforderlich• Bei unmengen Usern Lösung unpraktikabel

HOMEVOR

ZÜRÜCK

7. Authentifizieren7. Authentifizieren= Bezeichnet den Vorgang, die Identität einer Person oder eines Programms anhand von bestimmten Merkmalen zu überprüfen

• Identitätsprüfungen: 1 Teilnehmer authentisiert 1 Teilnehmer authentifiziert

Wege: Man hat „etwas“ (Schlüssel, Karte)Man weiß „etwas“ (Passwort, Codes)Man ist „etwas“ (Biometrie – Iris Scan) (Rechtes Auge)Man ist an einem Ort (Bestimmter Rechner)Man kann etwas (Unterschreiben – EC Karte an der Tankstelle

Von einer 2-Faktor Authentifizierung spricht man wenn zwei dieser5 Möglichkeiten kombiniert werden.

HOMEVOR

ZÜRÜCK

8. Generelle Ansätze 8. Generelle Ansätze Kryptologischer Kryptologischer

VerfahrenVerfahren

HOMEVOR

ZÜRÜCK

8.1 ROT13 (Caesar-Cipher by 13 Chars)8.1 ROT13 (Caesar-Cipher by 13 Chars)

Eine im „Usenet“ sehr weit verbreitete Eine im „Usenet“ sehr weit verbreitete „Verschlüsselungsmethode“„Verschlüsselungsmethode“

Informatiker: Keine wahrhafte MethodeInformatiker: Keine wahrhafte Methode Denn: Lediglich Buchstabenverschiebung um 13. Pos. im AlphabetDenn: Lediglich Buchstabenverschiebung um 13. Pos. im Alphabet

Zusätzlich: ROT-5 – Ziffernverschiebung um 5. Pos.Zusätzlich: ROT-5 – Ziffernverschiebung um 5. Pos. Bsp.: Bsp.:

ROT13 ohne ROT5:ROT13 ohne ROT5: Ich habe Geburtstag. Ich werden 32.Ich habe Geburtstag. Ich werden 32. Vpu unor Trohefgnt. Vpu jreqr 32.Vpu unor Trohefgnt. Vpu jreqr 32. ROT13 mit ROT5:ROT13 mit ROT5:

Vpu unor Trohegfgnt. Vpu jreqr 87.Vpu unor Trohegfgnt. Vpu jreqr 87.

<ironie>Bei besonders anspruchsvollen Sicherheitskriterien empfiehlt sich der Einsatz des Triple-ROT13-Algorithmus

(3ROT13), sowie des Triple-ROT5-Algorithmus (3ROT5).</ironie> HOMEVOR

ZÜRÜCK

9. Mailkryptografie9. Mailkryptografie

HOMEVOR

ZÜRÜCK

9.1.1 Verschlüsselung bei PGP9.1.1 Verschlüsselung bei PGP

HOMEVOR

ZÜRÜCK

9.1.2 Vorteile, Einsatzmöglichkeiten, 9.1.2 Vorteile, Einsatzmöglichkeiten, WissenswertesWissenswertes

Vorteile:

• Kostenlos für Private User• Sourcecode frei erhältlich -> Keine Hintertüren möglich

Einsatzmöglichkeiten:

• Verschlüsseln von Nachrichten• Verschlüsseln von Dateien und ganzen Festplatten • Digitale Unterschriften

• Kein eigenständiges Verfahren – Benutzt andere Verfahren• z.B.: ZIP, Symmetrisch, Asymmetrisch…

• Hybrides Verfahren - > Vorteile

HOMEVOR

ZÜRÜCK

9.2 SSL (Secure Sockets Layer)9.2 SSL (Secure Sockets Layer)

Verschlüsselungsprotokoll für den Datenaustauch im Web

Zwei Schichten:

• Record Protocol• Handshake Protocol

SSL wird heute meistens mit HTTPS eingesetzt. Fast alle Browser u. Server setzen SSL ein.

HOMEVOR

ZÜRÜCK

10. Kryptografie im 10. Kryptografie im Bankensektor Bankensektor

10.1 PIN/TAN Verfahren10.1 PIN/TAN Verfahren• Ist ein Authentifizierungsverfahren

• Die zu identifizierende Person hat einen PIN und eine liste von TANs• Diese kommen auf getrennten wegen zum Client.

Vorgehensweise:

• PIN wird 1. Mal pro Session abgefragt• Zusätzlich TAN aus Liste eingeben und Streichen.

• Veraltet• Unumständlich

HOMEVOR

ZÜRÜCK

10.2 HBCI10.2 HBCI"Homebanking Computer Interface""Homebanking Computer Interface"

•Offener Standard

•Einsatzbereich: Electronic Banking, Kundenselbstbedienung

•Wurde von versch. Bankengruppen in Deutschland entwickelt.

Technische Merkmale:

• Flexibel• Leichte ImplementierungHOME

VOR

ZÜRÜCK

10.3 „Man in the Middle attack“10.3 „Man in the Middle attack“

Bsp.: • Kunde gibt PIN/TAN ein und verbindet zur Bank• Wenn sich jmd. einhackt kann er gültige TAN abfangen• Hacker ändert Daten und ändert die Überweisung• z.B. Geld auf sein Bankkonto (vorzugsweise auf den Bahamas)

Bei der „Man in the Middle Attack“ steht der Angreifer zwischen zwei Bei der „Man in the Middle Attack“ steht der Angreifer zwischen zwei miteinander kommunizierenden Rechnern. Von hier aus kann er alle Daten miteinander kommunizierenden Rechnern. Von hier aus kann er alle Daten

abfangen und verändertabfangen und verändert

HOMEVOR

ZÜRÜCK

10.4 Phising10.4 Phising• Dabei geht es darum dem Opfer wertvolle Informationen zu stehlen. Zum Beispiel Kontoinformationen von Ebay und damit auch sensible

Kreditkarteninformationen.

•Geschickte Tarnung: Social Engineering•Beispiel•„Link-Trick“ durch Java

• „Nachgemachte Seiten“

HOMEVOR

ZÜRÜCK

11. Algorithmus 11. Algorithmus RSA/Diffie/HellmannRSA/Diffie/Hellmann

Diffie/Hellman:

• Praktisches Problem beim Schlüsselaustausch• Die „Trapdoor Funktion“• Bsp.: Telefonbuch

RSA:

• Moderne Kryptografie nur noch Mathematisch • Zeichen in Zahlen umwandeln• RSA beruht auf Satz Eulers -> ms(p-1) (q-1) + 1 mod n = m

Abgeleiteter Algorithmus:

VerschlüsselnZeichenwerte mod n = Geheimzeichenwert EntschlüsselnGeheimzeichenwertd mod n = Zeichenwert

HOMEVOR

ZÜRÜCK

12. Hacking12. Hacking

HOMEVOR

ZÜRÜCK

12.1 Brute Force 12.1 Brute Force

• In der Informatik: Methode der „Rohen Gewalt“

• Lösungsmethode

•Beruht auf das ausprobieren aller möglichen Varianten

Warum Brute Force ?

Für viele Probleme gibt es in der Informatik keine effizienten Algorithmen

HOMEVOR

ZÜRÜCK

12.2 Social Engineering12.2 Social Engineering

• Beschreibt das Erlangen vertraulicher Informationen durch

Annäherung mittels persönlicher Kontakte.

• Beispiel

HOMEVOR

ZÜRÜCK

13. Das 100% Sichere Verfahren?13. Das 100% Sichere Verfahren?

• Leider gibt es ein solches Verfahren nicht und kann es auch nicht geben.

• Kryptografische Möglichkeit

• Somit: Wertlosigkeit des Wissens

Satz ?

Kryptografie ist die Abschätzung ob die Dauer/der Kryptografie ist die Abschätzung ob die Dauer/der Aufwand um an irgendein wissen zu kommen im Aufwand um an irgendein wissen zu kommen im

Verhältnis zum wert des Wissens steht.Verhältnis zum wert des Wissens steht.

HOMEVOR

ZÜRÜCK

Danke für eure Aufmerksamkeit!Danke für eure Aufmerksamkeit!

HOME ZÜRÜCK