Stefan SchweizerVertrieb

0175 / 2050 616

sschweizer@safenet-inc.com

Mein zweiter Tag bei SafeNet

5ter Tag

Mittlerweile jeden zweiten Tag....

SafeNet Inc.

Enterprise Data ProtectionEDP

Data in Rest Protection

DRPData in Motion Protection

DMPHardware Security Module

HSM

•Festplattenverschlüsselung•File Verschlüsselung•DatenBank Verschlüsselung

•HSE•Ethernetverschlüsselung

•(Kryptoboxen)

•HSM•Im Server / PCI •Attached to Server•Network attached

Datenbank Verschlüsselung

Wozu das alles??

Weil das zentrale Problem der Verschlüsselung immer der Schlüssel ist!!

PCI-Compliance schafft Vertrauen

...Auf der anderen Seite hat Identitätsbetrug alleine in den USA von 2002 bis

2007 um 50 Prozent zugenommen - der geschätzte Gesamtschaden: zwischen 50 und 65 Milliarden Dollar jährlich. Im Jahr 2008 waren nach Gartner davon 15 Millionen US-Staatsbürger direkt oder indirekt betroffen. Aber auch dem klassischen Handel, der sensible Daten webbasiert verwaltet, fehlt teilweise das nötige Risikobewusstsein: So musste der US-Einzelhändler TJX Companies Inc., der Kreditkartendaten u.a. von Branchenriesen wie Visa und MasterCard speichert, eingestehen, im Verlauf von 3 Jahren annähernd 100 Millionen vertrauliche Datensätze aus seinem Intranet an Hacker verloren zu haben.

Das passt ins Bild, hatte doch 2008 die Security Research & Consulting GmbH im Auftrag von MasterCard und Visa bei 3000 Verkäufern und über 35 Service-Providern die Standards im Umgang mit Kartendaten geprüft und war dabei zu dem erschreckenden Ergebnis gekommen, dass über 60% der überprüften Unternehmen gegen geltende Sicherheitsregeln verstießen: diese Nachlässigkeit hat ihren Preis, den Unternehmen wie Kunden in Milliardenhöhe zu zahlen haben. Der Erfolg des Online-Handels hängt vom Kundenvertrauen ab

....

Sagt die:

Nur 5 Minuten Grundlagen!

Kryptographie Bauer stellt zudem in seinem Buch [Bauer] im Kapitel 10.2 Maximen der

Kryptologie einige Grundregeln auf:

Regel 1: Man soll den Gegner nicht unterschätzen Regel 2: Nur der Kryptanalytiker kann die Sicherheit eines Chiffrierverfahrens

beurteilen. Regel 3:Bei der Beurteilung der Sicherheit eines Verfahrens muss man damit

rechnen, dass dem Gegner die Verfahrensklasse bekannt ist: "Der Feind kennt das benutzte System" (Shannon, 1949)

Regel 4: Äußerliche Komplikationen [...eines Verfahrens...] können illusorisch sein: sie gaukeln dann dem Kryptologen eine trügerische Sicherheit vor.

Regel 5: Bei der Beurteilung der Sicherheit eines Verfahrens sind Chiffrierfehler und andere Verstöße gegen die Chiffrierdisziplin mit einzubeziehen ("A cryptographer's error is the cryptanalyst's last hope" und "Chiffrez bien, ou ne chiffrez pas!" [Givierge])

Diffie-Hellman-Schlüsselaustausch Der Diffie-Hellman-Schlüsselaustausch oder Diffie-Hellman-Merkle-

Schlüsselaustausch ist ein Protokoll aus dem Bereich der Kryptografie. Mit ihm erzeugen zwei Kommunikationspartner einen geheimen Schlüssel, den nur diese beiden kennen. Dieser Schlüssel wird üblicherweise verwendet, um verschlüsselte Nachrichten mittels eines symmetrischen Kryptosystems zu übertragen.

Beim Diffie-Hellman-Schlüsselaustausch senden sich beide Kommunikationspartner über einen unsicheren Kanal jeweils eine Nachricht zu. Das Problem, aus diesen beiden Nachrichten den geheimen Schlüssel zu berechnen, wird als Diffie-Hellman-Problem bezeichnet. Von diesem nimmt man an, dass es praktisch nicht lösbar ist. Deshalb kann jemand, der beide Nachrichten mithört, daraus im Allgemeinen nicht den geheimen Schlüssel berechnen. Der Diffie-Hellman-Schlüsselaustausch ist jedoch nicht mehr sicher, wenn sich ein Angreifer zwischen die beiden Kommunikationspartner schalten und Nachrichten verändern kann. Diese Lücke schließen Protokolle wie das Station-to-Station-Protokoll, indem sie zusätzlich digitale Signaturen und Message Authentication Codes verwenden.

Der langen Tradition von Streichlisten und Codebüchern setzte das Diffie-Hellman-Verfahren ein Ende. Noch während des Zweiten Weltkrieges mussten die Benutzer der ausgeklügelten Verschlüsselungsmaschinen (zum Beispiel die Enigma) Codebücher mit sich führen, um für jeden einzelnen Tag des Jahres zu wissen, welchen Schlüssel der Absender verwendet. Wurde ein solches Codebuch geraubt, war die Verschlüsselung hinfällig. Besonders beim Militär war die Zuteilung und der Transport solcher hochgeheimer Codebücher stets das größte Sorgenkind.

Diffie-Hellman-Schlüsselaustausch

Zwei Kommunikationspartner (in der Abbildung sind dies Alice und Bob) wollen über ein unsicheres Medium, etwa eine Kabel- oder Funkleitung, verschlüsselt kommunizieren. Dazu soll ein symmetrisches Kryptosystem eingesetzt werden, für das beide jedoch zunächst einen gemeinsamen geheimen Schlüssel benötigen. Indem sie den Diffie-Hellman-Schlüsselaustausch durchführen, gelangen sie beide in den Besitz eines solchen Schlüssels.

Die Kommunikationspartner einigen sich zunächst auf eine Primzahl p und eine Primitivwurzel g modulo p mit . Diese Parameter müssen nicht geheim bleiben, können also insbesondere auch über ein unsicheres Medium übertragen werden.

Beide Kommunikationspartner erzeugen jeweils eine geheim zu haltende Zufallszahl a bzw. b aus der Menge . a und b werden nicht übertragen, bleiben also dem jeweiligen Kommunikationspartner, aber auch potenziellen Lauschern, unbekannt.

Die Kommunikationspartner berechnen A = gamod p bzw. B = gbmod p. Nun werden A und B über das unsichere Medium übertragen.

Die Kommunikationspartner berechnen nun K = Bamod p bzw. K = Abmod p. Das Ergebnis K ist für beide Partner gleich und kann als Schlüssel für die weitere Kommunikation verwendet werden.

Dass beide Kommunikationspartner denselben Wert für K berechnen, zeigen die folgenden beiden Gleichungen:K = Bamod p = (gbmod p)amod p = gbamod p = gabmod p K = Abmod p = (gamod p)bmod p = gabmod p

Diffie-Hellman-Schlüsselaustausch

Die Kommunikationspartner seien Alice und Bob. Das Beispiel benutzt sehr kleine Zahlen. In der tatsächlichen Anwendung werden Zahlen mit mehreren hundert Dezimalstellen benutzt.

Alice und Bob einigen sich auf p = 13 und g = 2. Alice wählt die Zufallszahl a = 5. Bob wählt die Zufallszahl b = 7. Alice berechnet A = 25mod 13 = 6 und sendet dieses Ergebnis an Bob. Bob berechnet B = 27mod 13 = 11 und sendet dieses Ergebnis an Alice. Alice berechnet K = 115mod 13 = 7. Bob berechnet K = 67mod 13 = 7.

Beide erhalten das gleiche Ergebnis K = 7.

Ein eventuell vorhandener Lauscher könnte zwar die Zahlen 13, 2, 6 und 11 mithören, das eigentliche gemeinsame Geheimnis von Alice und Bob K = 7 bleibt ihm aber verborgen.

Diffie-Hellman-Problem

Man-in-the-Middle-Angriff

Um einen solchen Man-In-The-Middle-Angriff auszuschließen, müssen die ausgetauschten Nachrichten authentifiziert werden. Dazu verwendet man digitale Signaturen und Message Authentication Codes.

Diffie-Hellman-Schlüsselaustausch CA

Eine Zertifizierungsstelle (englisch Certificate Authority, kurz CA) ist eine Organisation, die digitale Zertifikate herausgibt. Ein digitales Zertifikat ist gewissermaßen das Cyberspaceäquivalent eines Personalausweises und dient dazu, einen bestimmten öffentlichen Schlüssel einer Person oder Organisation zuzuordnen. Diese Zuordnung wird von der Zertifizierungsstelle beglaubigt, indem sie sie mit ihrer eigenen digitalen Unterschrift versieht.Die Zertifikate enthalten „Schlüssel“ und Zusatzinformationen, die zur Authentifizierung sowie zur Verschlüsselung und Entschlüsselung vertraulicher Daten dienen, die über das Internet und andere Netze verbreitet werden. Als Zusatzinformationen sind zum Beispiel Lebensdauer, Verweise auf Zertifikatsperrlisten, etc. enthalten, die durch die CA mit in das Zertifikat eingebracht werden.Die Aufgabe einer Beglaubigungsinstitution ist es, solche digitalen Zertifikate herauszugeben und zu überprüfen. Sie ist dabei für die Bereitstellung, Zuweisung und Integritätssicherung der von ihr ausgegebenen Zertifikate verantwortlich. Damit ist sie ein wichtiger Teil der Public-Key-Infrastruktur.Eine Zertifizierungsstelle kann ein spezielles Unternehmen sein oder eine Institution innerhalb eines Unternehmens, das einen entsprechenden eigenen Server installiert hat (zum Beispiel mit OpenSSL). Auch öffentliche Organisationen oder Regierungsstellen können als Zertifizierungsstelle dienen, z. B. die Bundesnetzagentur.

Zertifikat

Ein Digitales Zertifikat (auch Zertifikat oder Public-Key-Zertifikat) sind strukturierte Daten, die den Eigentümer sowie weitere Eigenschaften eines öffentlichen Schlüssels bestätigen. Durch ein digitales Zertifikat können Nutzer eines asymmetrischen Kryptosystems den öffentlichen Schlüssel einer Identität (z. B. einer Person, einer Organisation oder einem IT-System) zuordnen und seinen Geltungsbereich bestimmen. Damit ermöglichen digitale Zertifikate den Schutz der Vertraulichkeit, Authentizität und Integrität von Daten durch die korrekte Anwendung der öffentlichen Schlüssel.Im Kontext elektronischer Signaturen wird der Begriff Zertifikat technikneutraler aufgefasst (siehe Abschnitt Rechtliche Aspekte), so dass ein Zertifikat sich nicht notwendigerweise auf einen kryptographischen Schlüssel, sondern allgemein auf „Signaturprüfdaten“ beziehen muss.

Amazon.de

amazon_public.cer

Amazon.de

Luna HSM Product Range

Luna PCI

Luna SA

PKI Root Key Protection

Network Attached HSM for PKILuna SP and XML

Network Attached Developer - Programmable

Luna CA4

Luna PCM“Portable” HSM

Fragen und AntwortenStefan SchweizerStefan.schweizer@safenet-inc.com089 - 288 90 2950175 – 20 50 616www.safenet-inc.com

Backup....

World’s First Complete Family of High-Speed Encryption Devices

Layer 2 vs. Layer 3 Encryption

SONET (OC48) Cloud

Layer 2SONET

2.39 Gbps

1.3 Gbps

Layer 3 IPSec

Layer 2 encryption provides the most efficient solution for High Speed point-to-point links

TOP 10 REASONS FOR SafeEnterprise™ Ethernet Encryption

1. High Speed Encryption = little to no impact on network performance

2. Better bandwidth optimization = lower costs for payload delivery

3. Low latency = easy, secure deployment of VoIP, web apps, and more

4. Future-proof because it’s field-upgradeable

5. High-performance, scalable, and premier quality of service 

6. Conforms to industry networking standards

7. Ease of management and deployment – transparent operation

8. FIPS and Common Criteria compliant-ready

9. 25 year history of Best-of-Breed encryption solutions

10. Peace of Mind: Minimal regulatory and financial exposure, whilst achieving international auditing and compliance requirements

PerformanceFull-duplex operation at line speed with no packet loss for all modes of operation Cut-through data streaming for low latency vs. store and forward architectures Key change without interruption

NetworkEthernet II, IEEE 802.3 Jumbo frame support VLAN, MPLS transparency

InterfacesSFP fiber modules (Multi-mode: 850nm, Single-mode: 1310nm) SFP electrical modules

CryptographyAES algorithm - 256-bit key CFB providing automatic crypto resynchronization

Key FeaturesFull-duplex line rate AES encryption for 10Mbps, FastEthernet (100Mbps), and up to 10 Gigabit Ethernet (10GbE) networks Standards-based authentication, digital certificates, and key management Bump-in-the-wire design for easy installation into existing network environments Part of world's first complete family of High-Speed Encryption devices for network security interface independence Central remote configuration, monitoring, and management through SafeEnterprise Security Management Center

Vorteile