close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

Digitale Zertifikate - RRZN - Leibniz Universität Hannover

EinbettenHerunterladen
Vertrauenswürdige Kommunikation
durch digitale Signaturen
oder
„Wie unterschreibt ein Computer?“
Sicherheitstage WS 06/07
Birgit Gersbeck-Schierholz, RRZN
Regionales Rechenzentrum für Niedersachsen
Einführung
„ Normaler Postweg wird mehr und mehr durch die elektronische Abwicklung
der Kommunikation ersetzt
„ Nicht nur allgemeine Informationen werden dem Datennetz anvertraut,
sondern auch wichtige Verträge und weit reichende Vereinbarungen
„ Immer dringlicher wird der Ruf nach mehr Sicherheit, die Forderung nach
mehr Vertrauenswürdigkeit und Verbindlichkeit
„ Normaler Brief erhält seine Verbindlichkeit durch eine handschriftliche
Unterschrift, wie wird ein elektronischer Brief vertrauenswürdig?
„ Eine eingescannte Unterschrift kann jeder einfach fälschen - Farce
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 2
B. Gersbeck-Schierholz|
2
Wie unterschreibt ein Computer?
Digitale Signatur
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 3
B. Gersbeck-Schierholz|
3
Digitale Signatur
„ Unterscheidet sich grundsätzlich von der Handunterschrift
„ Höhere Fälschungssicherheit als die Handunterschrift
„ Der Text wird in die Signatur einbezogen – jede spätere Änderung würde
bemerkt
„ Bei jedem neuen Text ergibt sich ein neues Bitmuster der Signatur – die digitale
Signatur ist nicht nachahmbar
„ Die Echtheit (Authentizität) des Absenders ist eindeutig nachweisbar
„ Die Unterschriftsprüfung erfolgt rationell und eindeutig
„ Neben dem Unterschreiben ist das Verfahren auch geeignet zum
Signieren von geistigem Eigentum und Urheberrechten (Bilder, Töne,
Software)
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 4
B. Gersbeck-Schierholz|
4
Digitale Signatur - Beispiel: Mail (PGP)
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 5
B. Gersbeck-Schierholz|
5
Digitale Signatur - Beispiel: Mail (S/Mime)
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 6
B. Gersbeck-Schierholz|
6
Digitale Signatur - Beispiel: PDF-Dokument
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 7
B. Gersbeck-Schierholz|
7
Was steckt dahinter?
Kryptografische Techniken
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 8
B. Gersbeck-Schierholz|
8
Kryptografische Techniken
„ Asymmetrische Verschlüsselung
„ Gibt es seit 1976 (Diffie/Hellmann)
„ Zwei verschiedene Schlüssel zum Ver- und Entschlüsseln
„ Bis dahin wurde nur symmetrisch verschlüsselt: ein Schlüssel zur Ver- und
Entschlüsselung
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 9
B. Gersbeck-Schierholz|
9
Kryptografische Techniken
„ Symmetrische Verschlüsselung
„ Ältestes Verfahren zur Verschlüsselung -> „Cäsar-Chiffre“
„ Moderne Symmetrische Verschlüsselungsverfahren:
† 3DES, IDEA, Blowfish, AES usw. (Schlüssellänge derzeit ca. 128 – 196 bit)
Alice
*/+A
q~!*
eW*
9x=
Bob
KLARTEXT -------------------------Æ Verschlüsselte Botschaft ----------------------Æ KLARTEXT
Vorteil: Sicheres Verfahren mit guter Performance aufgrund rel. geringer Schlüssellängen
Nachteil: der Schlüsselaustausch ist nur über ein persönliches Treffen oder einen Kurier zu
realisieren (sichere Verbindung zum Schlüsseltausch notwendig)
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 10
B. Gersbeck-Schierholz|
10
Kryptografische Techniken
„ Asymmetrische Verschlüsselung
„ Jeder Kommunikationspartner verfügt über ein Schlüsselpaar,
dieses besteht aus 2 unterschiedlichen Schlüsseln:
1. Privater Schlüssel - private key (muss sicher verwahrt werden, nur für
mich)
2. Öffentlicher Schlüssel - public key (für alle anderen)
Was mit dem öffentlichen Schlüssel verschlüsselt wurde, kann
nur mit dem privaten Schlüssel lesbar gemacht werden und
umgekehrt!
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 11
B. Gersbeck-Schierholz|
11
Kryptografische Techniken
„ Worauf basiert die Asymmetrische Verschlüsselung?
„ Einwegfunktionen (Primzahlen, diskrete Logarithmen, elliptische Kurven)
„ Aktuelle Verfahren:
„ 1976 Diffie-Hellmann (Schlüsseltausch)
† Diskrete Logarithmen
„ 1977 RSA – Rivest, Shamir, Adleman
† Primzahlen
„ El´Gamal
† Diskrete Logarithmen
„ 1985 Elliptische Kurven (ECC)
„ 1994 DAS – Digital Signature Algorithm
† Modifikation des El´Gamal-Verfahrens
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 12
B. Gersbeck-Schierholz|
12
Kryptografische Techniken
„ RSA
† Basiert im Wesentlichen auf der Schwierigkeit der
Primfaktorzerlegung
N = pxq
p und q sind sehr große Primzahlen
Privater
Schlüssel
Öffentlicher
Schlüssel
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 13
B. Gersbeck-Schierholz|
13
Kryptografische Techniken
„ Exkurs: Wie sicher ist die asymmetrische Verschlüsselung?
„ Bei Auswahl hinreichend großer Primzahlen können p und q
nicht ermittelt werden
Beispiel: RSA-640 (640 Bit, 193 Stellen)
N= 310 7418240490 0437213507 5003588856 7930037346 0228427275 4572016194
8823206440 5180815045 5634682967 1723286782 4379162728 3803341547
1073108501 9195485290 0733772482 2783525742 3864540146 9173660247
7652346609
wurde am 2. November 2005 faktorisiert und zwar in:
p= 1634733 6458092538 4844313388 3865090859 8417836700 3309231218
1110852389 3331001045 0815121211 8167511579
×
q= 1900871 2816648221 1312685157 3935413975 4718967899 6851549366
6638539088 0271038021 0449895719 1261465571
Æ20.000 US-Dollar
http://www.rsasecurity.com/rsalabs/node.asp?id=2093
Neue Herausforderung: RSA-704
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 14
B. Gersbeck-Schierholz|
14
Æ 30.000 US-Dollar
Kryptografische Techniken
„ Die aktuell für RSA-Verschlüsselungsverfahren empfohlenen
Schlüssellängen von 1024 und 2048 Bit können mit praktikablen
Mitteln nicht entschlüsselt werden
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 15
B. Gersbeck-Schierholz|
15
Kryptografische Techniken
„ Prüfsummen/Hashverfahren (Hashkomprimierung)
„ Verschlüsselung ohne Schlüssel
„ Erzeugen eines Hash-Wertes anhand der Verrechnung der Daten über
einen vorgegebenen mathematischen Algorithmus:
† Verkürzung des Objektes auf einen „Identifikator“
† „digitaler Fingerabdruck“ (Fingerprint) eines Objektes
† Vorgang ist nicht reversibel
„ Aktuelle Verfahren
† HAVAL (basierend auf MD5)
† HMAC
† MD2, MD4, MD5
† RIPEMD-160
† SHA-1 (basierend auf MD4)
† SHA-256 (basierend auf MD4)
† SHA-512 (basierend auf MD4)
† SNEFRU
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 16
B. Gersbeck-Schierholz|
16
Digitale Signatur
Schematische Darstellung des Signiervorganges (Hybrides Verfahren)
Alice
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 17
B. Gersbeck-Schierholz|
17
Bob
Verfahren: Digitale Signatur
Schematische Darstellung des Signiervorganges (Hybrides Verfahren)
Alice
Bob
HashKomprimierung
(MD5, SHA1)
HashKomprimierung
(MD5, SHA1)
Nachrichtenkern
Nachrichtenkern
Komprimat
Prüfergebnis
Privater
Schlüssel
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 18
B. Gersbeck-Schierholz|
18
Öffentlicher
Schlüssel
Kryptografische Techniken - Anwendung
Alice
Bob
Daten
verschlüsseln:
Vertraulichkeit
Öffentlicher Schlüssel von Bob
Alice
Privater Schlüssel von Bob
Bob
Daten signieren
(unterschreiben):
Authentizität
Integrität
Verbindlichkeit
Privater Schlüssel von Alice
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 19
B. Gersbeck-Schierholz|
19
Öffentlicher Schlüssel von Alice
Kryptografische Techniken - Anwendung
„ Nutzer verfügt in der Regel über
„ mehrere (viele) öffentliche Schlüssel (jeweils einen pro Kommunikationspartner)
„ einen privaten Schlüssel
Alice
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 20
B. Gersbeck-Schierholz|
20
Bob
Kryptografische Techniken - Anwendung
„
Schlüsselmanagment im Browser und Mailklienten am Beispiel Thunderbird
Öffentliche Schlüssel der
Kommunikationspartner
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 21
B. Gersbeck-Schierholz|
21
Digitale Zertifikate - Software
„ Signieren und Verschlüsseln der E-Mail am Beispiel Thunderbird
Verfahren wählen:
Darstellung beim
Empfänger:
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 22
B. Gersbeck-Schierholz|
22
Kann man dem öffentlichen
Schlüssel vertrauen?
Schlüssel und Zertifikate
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 23
B. Gersbeck-Schierholz|
23
Schlüssel und Zertifikate
„ Kann man den Angaben im öffentlichen Schlüssel vertrauen?
„ Wie kann ich erkennen, wem ein öffentlicher Schlüssel wirklich gehört oder ob ich
schon eine Fälschung besitze?
„ Dies ist nur dann kein Problem, wenn man den Schlüssel persönlich vom
Eigentümer bekommen hat (Vorteil der Schlüsselverteilung gegenüber der
symmetrischen Verschlüsselung wäre damit hinfällig).
„ Mathematische Sicherheit allein reicht nicht aus, wichtig ist die eindeutige
Zuordnung des Schlüsselpaares zum Inhaber
„ Zertifikate
„ Ein vertrauenswürdiger Dritter kann mittels einer Urkunde/Zertifikat den Schlüssel
beglaubigen
„ stellen die eindeutige, zweifelsfreie Zuordnung zwischen einem Schlüsselpaar und
einer Person oder einem Rechner her
„ Dabei wird die reale Identität an die digitale Identität gebunden
„ Zertifizierungsinstanz, CA ( Certification Authority)
„ Die CA ist der vertrauenswürdige Dritte
„ Nach Prüfung von Identität und öffentlichem Schlüssel, stellt die CA das Zertifikat
aus
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 24
B. Gersbeck-Schierholz|
24
Schlüssel und Zertifikate
„
ein Zertifikat nach dem Standard X.509v3 besteht im Wesentlichen aus 4 Teilen:
Öffentlicher Schlüssel
Angaben über den Schlüsselinhaber
(Distinguished Name (DN) nach X.509v3)
Attribute wie Seriennummer und
Gültigkeitsdauer
Beglaubigung (digitale Signatur) der CA,
dass die Angaben stimmen
00:ab:77:e0:53:4a:4a:6b:42:8b:e0:4b:91:14:6f:
df:e7:28:4f:58:e5:43:b5:01:71:fa:24:2f:6c:4e: …
39:04:62:2f:fd:20:4a:a3:d0:00:78:c8:e7:44:7a
C=DE, O=Universitaet Hannover,
OU=RRZN, CN=Birgit GersbeckSchierholz/serialNumber=3
Serial Number: 3 (0x3)
Signature Algorithm: sha1WithRSAEncryption
Validity Not Before: May 26 15:42:55 2004 GMT
Not After : May 26 15:42:55 2005 GMT
-----BEGIN CERTIFICATE----…MBwGA1UEChMVVW5pdmVyc2l0YWV0I
m5vdmVyMRAwDgYDVQQLFAdSUlpOX0NB…
sDUNW/3L63Epiozxuah/9jzoLI+/Q32Dg==
-----END CERTIFICATE-----
Digitale Signatur:
Verschlüsselung mit dem
private key der CA, dies
lässt sich mit dem public
key der CA überprüfen
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 25
B. Gersbeck-Schierholz|
25
Schlüssel und Zertifikate
„ X.509v3 Hierarchie
„ Aufbau einer Zertifikatkette
„ Dadurch, dass die CA wiederum von einer übergeordneten
Zertifizierungsstelle beglaubigt wird, entsteht eine Hierarchie des
Vertrauens
„ Die Aussteller-Signatur in einem Zertifikat ist jeweils mit dem privaten
Schlüssel des Ausstellers verschlüsselt worden
„ Mit dem im Zertifikat enthaltenen öffentlichen Schlüssel kann das in der
Hierarchie darüber liegende Zertifikat verifiziert werden
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 26
B. Gersbeck-Schierholz|
26
Schlüssel und Zertifikate
„ Zertifikat / Zertifikatkette : Angaben im Browser und Mailklienten
„ CA Zertifikat
Zertifikatnehmer
Zertifizierungsstelle
Gültigkeitszeitraum
Fingerabdruck, Hashfunktionen
MD5 und SHA1
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 27
B. Gersbeck-Schierholz|
27
Schlüssel und Zertifikate
„ Zertifikat / Zertifikatkette : Angaben im Browser und Mailklienten
„ Nutzer Zertifikat
Zertifikatnehmer
Zertifizierungsstelle
Gültigkeitszeitraum
Fingerabdruck, Hashfunktionen
MD5 und SHA1
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 28
B. Gersbeck-Schierholz|
28
Wer stellt digitale Zertifikate aus?
Certification Authority der Leibniz
Universität Hannover (UH-CA)
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 29
B. Gersbeck-Schierholz|
29
Certification Authority: UH-CA
„ Zertifizierungsstelle der
Universität Hannover seit
Mai 2004
„ Benutzerschnittstelle:
www.rrzn.uni-hannover.de/zertifizierung.html
„
Zertifiziert öffentliche
Schlüssel für Nutzer und
Server
„
Zertifikate für Mitglieder
der Universität Hannover
UH-CA
„ Integriert in die PKI (Public Key Infrastructure)
des Deutschen Forschungsnetzes
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 30
B. Gersbeck-Schierholz|
30
Certification Authority: UH-CA
„ Zertifizierungsrichtlinien zum Betrieb der UH-CA
„ Definiert die Sicherheitsanforderungen als Basis
für das Vertrauen in die Zertifizierungsinstanz
http://www.rrzn.uni-hannover.de/uhca-policy.html
Policy
„ Besteht aus 3 Dokumenten:
„ Zertifizierungsrichtlinie der DFN-PKI (Certificate Policy - CP)
„ Erklärung zum Zertifizierungsbetrieb der DFN-PKI (Certification Practice
Statement - CPS)
„CP und CPS der UH-CA
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 31
B. Gersbeck-Schierholz|
31
Certification Authority: UH-CA
„ Bearbeitung von
Zertifizierungsanträgen (RA,
Registration Authority):
†Online-Antrag
†Schriftliche Teilnehmererklärung
†Persönliche Identifizierung
„ Beratung, Support,
„ Ausstellen von Zertifikaten
Aufgaben
WebInformationen …
RRZN, Leibniz Universität
Hannover
DFN-PKI, DFN-CERT
GmbH
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 32
B. Gersbeck-Schierholz|
32
„Verwalten und Verteilen von
Zertifikaten
†Verzeichnisdienst
†Bereitstellung über die
Webschnittstelle
†Benachrichtigung der
Zertifikatnehmer (Ausstellung,
Sperrung, Gültigkeit)
†Backup
„ Sperrung von Zertifikaten, z.B.
bei Kompromittierung oder
Schlüsselverlust
„ Regelmäßige Veröffentlichung
von Sperrlisten
Certification Authority: UH-CA
„ DFN-PKI (Public Key Infrastruktur des Deutschen Forschungsnetzes)
PCA - Classic
CA
CA
CA
CA
Uni …
Uni …
Uni …
Uni …
UH-CA, G02: Laufzeit ab 16. Juni 2005:
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 33
B. Gersbeck-Schierholz|
33
Certification Authority: UH-CA
„ Rechtliche Bedeutung der UH-CA Zertifikate
† Das Deutsche Signaturgesetz (SigG) unterscheidet einfache, fortgeschrittene
und qualifizierte Zertifikate
† Die Zertifikate der UH-CA sind fortgeschrittene Zertifikate
† Sie ersetzen somit nicht die handschriftliche Unterschrift, denn dies ist nach
SigG §2 Nr. 7 nur mit qualifizierten Zertifikaten möglich
† Hohe mathematische Sicherheit ist gegeben
† nicht ausreichend für den Status qulifizierter Zertifikate sind die
organisatorischen Rahmenbedingungen der UH-CA (z.B. besondere
räumliche Voraussetzungen für die CA etc.)
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 34
B. Gersbeck-Schierholz|
34
Wie kommt man an ein Zertifikat
bzw. an ein Schlüsselpaar?
Benutzerschnittstelle der UH-CA
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 35
B. Gersbeck-Schierholz|
35
Benutzerschnittstelle der UH-CA
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 36
B. Gersbeck-Schierholz|
36
Benutzerschnittstelle der UH-CA
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 37
B. Gersbeck-Schierholz|
37
Benutzerschnittstelle der UH-CA
„
Antrag auf ein persönliches E-Mail-Zertifikat
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 38
B. Gersbeck-Schierholz|
38
Benutzerschnittstelle der UH-CA
„
Antrag auf ein persönliches E-Mail-Zertifikat
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 39
B. Gersbeck-Schierholz|
39
Benutzerschnittstelle der UH-CA
„
Antrag auf ein persönliches E-Mail-Zertifikat
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 40
B. Gersbeck-Schierholz|
40
Benutzerschnittstelle der UH-CA
„ Antrag auf ein persönliches E-Mail-Zertifikat
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 41
B. Gersbeck-Schierholz|
41
RA (Registration Authority) - Organisatorisches
„ Antrag auf ein persönliches E-Mail-Zertifikat
„ Persönliche Identifizierung im RRZN
† Anrufen bei der RA zur Verabredung eines Termins
† oder einfach vorbeikommen am
– Di. 28.11., 11.30 – 12.00 Uhr
– Di. 05.12., 11.30 – 12.00 Uhr
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 42
B. Gersbeck-Schierholz|
42
Wie sicher ist der geheime Schlüssel
(private key)?
Keystores und externe
Kryptospeicher
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 43
B. Gersbeck-Schierholz|
43
Wie sicher ist der geheime Schlüssel (private key)?
„ Der private Schlüssel muss geschützt werden! Bei Kompromittierung ist das
Zertifikat hinfällig!
„ Mit einer Kopie des Schlüssels kann der Angreifer eine falsche Identität
vortäuschen und vertrauliche Daten entschlüsseln. Missbrauch wird nicht
zwingend erkannt!
„ Anwendungen, die Zertifikate verwenden, speichern i.d.R. private Schlüssel
(Software – PSE (Private Security Environment) )
„ Beispiel Firefox, Thunderbird: privater Schlüssel wird, durch MasterPasswort geschützt, in gesichertem Bereich gehalten (Keystore)
„ Beispiel Internet Explorer, Outlook, Outlook Express: Schlüssel wird
in Registry-Schlüsselcontainer gehalten. Schutz durch Master-Passwort
nur bei Wahl der hohen Sicherheitsstufe!
„ Für Anwendungen mit hohen Sicherheitsanforderungen reicht die SoftwarePSE möglicherweise nicht aus!
„ Einsatz von Crypto-Token: USB-Token, Chipkarten
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 44
B. Gersbeck-Schierholz|
44
Wie sicher ist der geheime Schlüssel (private key)?
„ Einsatz von Crypto-Token
† Auf Crypto-Token werden private Schlüssel nicht extrahierbar
gespeichert
† Sichere 2-Faktor Authentifizierung (Privater Schlüssel und Passwort)
† Portable Möglichkeit für den Einsatz von privaten Schlüsseln
† Schlüssel kann nicht durch irgendeine Software-Sicherheitslücke
entwendet werden, da er nicht auf der Festplatte hinterlegt wird
† Treiber-Installation auf allen Systemen ist Voraussetzung
† Konfiguration der Anwendungen für die Nutzung von Crypto-Token
ist notwendig
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 45
B. Gersbeck-Schierholz|
45
Wie sicher ist der geheime Schlüssel (private key)?
„ Generierung von Schlüsseln auf Crypto-Token: Bei Verlust/Defekt
keine Möglichkeit der Wiederherstellung!
„ Das Webinterface der UH-CA ermöglicht die Schlüsselgenerierung auf einem Token
Achtung:
In diesem Fall
KEIN BACKUP
des privaten
Schlüssels
möglich!
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 46
B. Gersbeck-Schierholz|
46
Literatur
„ S. Singh, Geheime Botschaften, Hanser, 2000
„ C. Adams, S. Lloyd, Understanding PKI, 2nd Edition, Addison Wesley, 2003
„ A. Nash, W.Duane, C. Joseph, D. Brink, PKI, e-security implementieren, Deutsche
Ausgabe, RSA, 2002
„ A.J. Menezes, P.C. van Oorschot, S. A. Vanstone, Handbook of Applied Cryptography,
last updated October 4, 2004, http://www.cacr.math.uwaterloo.ca/hac/
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 47
B. Gersbeck-Schierholz|
47
Fragen
„ Welche Kosten entstehen?
„ Wie läuft die Beantragung eines Serverzertifikates ab?
„ Wann wird das DFN Root-Zertifikat endlich standardmäßig im Browser
bekannt sein?
„ Wie lange ist ein Zertifikat gültig?
„ Was passiert nach Ablauf des Gültigkeitszeitraumes, wie komme ich an
eine Verlängerung?
„ Wie findet man die Zertifikate anderer Teilnehmer?
„ …
Regionales
Regionales Rechenzentrum
Rechenzentrum für
für Niedersachsen
Niedersachsen
Birgit
Gersbeck-Schierholz |Digitale
Digitale Zertifikate
Signaturen || Folie
22.11.2006
| Folie 48
B. Gersbeck-Schierholz|
48
Document
Kategorie
Bildung
Seitenansichten
6
Dateigröße
1 454 KB
Tags
1/--Seiten
melden