Upload File

seminar internet- technologie inhalt zertifikate ssl https ssh seminar internet-technologie ss 07 1

  • Home
  • Documents
  • Seminar Internet- Technologie Inhalt Zertifikate SSL HTTPS SSH Seminar Internet-Technologie SS 07 1
38
Seminar Internet- Technologie Inhalt Zertifikate SSL HTTPS SSH Seminar Internet-Technologie SS 07 1

Upload: ivonne-morgensen

Post on 05-Apr-2015

113 views

Category:

Documents


0 download

Report

TRANSCRIPT

  • Folie 1
  • Seminar Internet- Technologie Inhalt Zertifikate SSL HTTPS SSH Seminar Internet-Technologie SS 07 1
  • Folie 2
  • Zertifikate Warum Zertifikate? Ziel: ffentliche Schlssel sicher verteilen Problem: Schlsselverteilungszentrum verteilt 24h am Tag ffentliche Schlssel Msste 24h am Tag online sein Schlsselverteilungszentrum stellt Engpass dar Bei Ausfall Sicherheit im Netz bricht zusammen Lsung: Kein Schlsselverteilungszentrum, das online sein muss ffentliche Schlssel werden zertifiziert Zertifizierungsstelle (Certification Authorithy, CA) Zertifikate: Firefox Extras Einstellungen Erweitert Verschlsselung Zertifikate anzeigen Seminar Internet-Technologie SS 07 2
  • Folie 3
  • Zertifikate Zertifikate erstellen Wer braucht Zertifikate? Betreiber von Servern (Bob), die die gestatten mchten, das Clienten (Alice) sicher mit ihnen kommunizieren knnen. Was braucht man zur Zertifizierung? Bob braucht einen ffentlichen Schlssel und einen Ausweis/Fhrerschein zur Identifizierung. Wie wird zertifiziert? Bob beantragt Zertifizierung gegen Aufpreis bei einer Zertifizierungsstelle. Die Zertifizierungsstelle stellt ein Zertifikat aus, und unterzeichnet den SHA-1-Hash mit dem privaten Schlssel der Zertifizierungsstelle. Seminar Internet-Technologie SS 07 3
  • Folie 4
  • Zertifikate Zertifikat-Ansicht AllgemeinDetails Seminar Internet-Technologie SS 07 4
  • Folie 5
  • Zertifikate Die Aufgabe von Zertifikaten Die Hauptaufgabe von Zertifikaten ist den ffentlichen Schlssel mit dem Namen des Eigentmers zu verbinden. Zertifikate sind selbst nicht geheim oder geschtzt Bob kann sein Zertifikat z.B. auf seiner Website verlinken Seminar Internet-Technologie SS 07 5
  • Folie 6
  • Zertifikate Man in the middle-Angriff ohne Zertifikate Situation: Client (Alice) will sicher mit Server (Bob) kommunizieren Alice und Bob kennen sich nicht (auch nicht den jeweiligen ffentlichen Schlssel) Problem: Alice tippt URL von Bob im Browser ein 1. Der Browser schlgt die DNS-Adresse von Bob Website nach und schickt eine GET-Anforderung 2. Trudy fngt GET-Anforderung ab und sendet eine geflschte Website und ersetzt den ffentlichen Schlssel k_pub[Bob] von Bob durch ihren eigenen k_pub[Trudy] 3. Alice sendet Nachricht mit k_pub[Trudy] verschlsselt, Trudy entschlsselt sie 4. Trudy liest (oder schlimmer ndert) die Nachricht von Alice an Bob Seminar Internet-Technologie SS 07 6
  • Folie 7
  • Zertifikate Man in the middle-Angriff mit Zertifikate Lsung (mit Zertifikat): Trudy schickt die geflschte Seite mit ihrem ffentlichen Schlssel k_pub[Trudy] und ihr eigenes Zertifikat (oder sie flscht das von Bob) Alice liest das Zertifikat und sieht, dass Bobs Name fehlt Wenn aber Alice den SHA-1-Algorithmus fr das Zertifikat ausfhrt, erhlt die einen Hash, der nicht mit dem bereinstimmt, den sie erhlt, wenn sie den bekannten ffentlichen Schlssel der Zertifizierungsstelle auf das Zertifikat anwendet. 1. erhalte die Website von Bob 2. Falsche Website mit k_pub[Trudy] 3. E k_pub[Trudy]( p) 4. 4. E k_pub[Bob]( p) AliceTrudyBob Seminar Internet-Technologie SS 07 7
  • Folie 8
  • Zertifikate Zertifikate mit Attributen (Datenschutz) Bsp: Objektorientiertes Verteilungssystem (von Bob) bei dem Zertifikate Attribute enthalten Jedes Objekt enthlt Methoden (Premiumdienste, Jugendschutz...) Zertifikat enthlt Bitmap, welche Methoden der Client (Alice) aufrufen darf, (ist an ffentlichen Schlssel gebunden) Kann Alice den Besitz des entsprechenden privaten Schlssels nachweisen, kann sie die Dienste aufrufen Vorteil: Identitt von Alice muss nicht bekannt sein Datenschutz gewhrleistet Seminar Internet-Technologie SS 07 8
  • Folie 9
  • Zertifikate Standard fr Zertifikate: X.509 Problem: Verwaltung verschiedener Zertifikatsformate wird schnell problematisch Lsung: Standard fr Zertifikate X.509 Von ITU genehmigt Beschreibung im RFC 3280: http://www.ietf.org/rfc/rfc3280.txt Seminar Internet-Technologie SS 07 9
  • Folie 10
  • Zertifikate Felder in Zertifikaten X.509: Seminar Internet-Technologie SS 07 10 FeldBedeutung Version Angabe der X.509-Version Serial numberDiese Zahl bestimmt zusammen mit dem Namen der Zertifizierungsstelle das Zertifikat eindeutig Signature algortihmDer zur Signierung des Zertifikates verwendete Algorithmus IssuerX.500-Name der Zertifizierungsstelle Validity periodDie Gltigkeitsdauer mit Anfangs- und Endzeitpunkt Subject nameDer Name des Objekts, dessen Schlssel zertifiziert wird Public keyDer ffentliche Schlssel des Objekts und die Kennung des verwendeten Algorithmus Issuer IDEine optionale Kennung, die die Ausgabestelle des Zertifikates eindeutig festlegt ExtensionsEs wurden viele Erweiterungen definiert. SignatureDie Signatur des Zertifikates (mit dem privaten Schlssel der Zertifizierungsstelle unterschrieben)
  • Folie 11
  • Zertifikate Schwachstellen von Zertifikaten Eine Zertifizierungsstelle weltweit kann nicht funktionieren Wrde unter der Last zusammenbrechen Wrde zentralen Fehlerpunkt darstellen Mgliche Lsung: Mehrere Zertifizierungsstelle, die von der selber Organisation, die den gleichen privaten Schlssel zur Unterzeichnung der Zertifikate verwenden Neues Problem: Dutzende Server haben den gleichen Schlssel Schlssel knnen durchsickern Seminar Internet-Technologie SS 07 11
  • Folie 12
  • Zertifikate Zertifizierungsstellen PKI Problem: Welche Organisation kommt als Zertifizierungsstelle in Frage? Eine Behrde weltweit (legitim und vertrauenswrdig?) Stattliche Zertifizierungsstellen? Nicht stattliche Zertifizierungsstellen? Lsung: Andere Vorgehensweise zur Verteilung ffentlicher Schlssel: PKI (Public Key Infrastructure [Infrastruktur fr ffentliche Schlssel]) Seminar Internet-Technologie SS 07 12
  • Folie 13
  • Zertifikate Zertifizierungsstellen PKI Root = oberste Ebene (jeder kennt sie, ffentlicher Schlssel (meist ganz viele Roots) im Browser) RA = Regional Authority (Regionale Zertifizierungsstelle) CA = Certification Authority (Zertifizierungsstelle) Seminar Internet-Technologie SS 07 13 RA 2 ist autorisiert. Ihr ffentlicher Schlssel ist 47383E349... Signatur von Root CA 5 ist autorisiert. Ihr ffentlicher Schlssel ist 6384AF863B... Signatur von RA2
  • Folie 14
  • Zertifikate - Ende Annullieren von Zertifikaten Problem: Zertifikate knnen ungltig/entzogen werden wenn sie: Missbraucht, abgelaufen, nicht verlngert oder der private Schlssel der Zertifizierungsstelle abgelaufen ist Zertifikate knnen wieder gltig werden (bei Nachzahlung v. Gebhren) Lsung Sperrlisten Mssen aktuell gehalten werde Als Masterliste (an verschiedenen Stellen im Netz) + hufige Aktualisierungen Mssen vom Benutzer jedesmal kontrolliert werden Nachteil Eigenschaft CA muss nicht online sein geht verloren Seminar Internet-Technologie SS 07 14
  • Folie 15
  • SSL Secure Socket Layer Warum SSL? Internet: Frher: nur Verteilung statischer Seiten Spter: finanzielle Transaktionen, Erfordernis von sicheren Verbindungen 1995 fhrte Netscape (damals fhrender Browseranbieter) das Sicherheitspaket SSL (Secure Socket Layer) ein SSL wird auch von anderen Browsern untersttzt Hauptaufgabe: Sichere Verbindung errichten und Verwaltung von Komprimierung und Verschlsselung HTTP ber SSL heit HTTPS (Secure HTTP), hat dort neuen Port (443) Seminar Internet-Technologie SS 07 15
  • Folie 16
  • SSL Secure Socket Layer Sichere Verbindungen SSL errichtet eine sichere Verbindung zwischen zwei Sockets. Dies beinhaltet: 1. Die Verhandlung der Parameter zwischen Client und Server 2. Die gegenseitige Authentifizierung von Client und Server 3. Die geheime Kommunikation 4. Den Schutz den Datenintegritt Seminar Internet-Technologie SS 07 16
  • Folie 17
  • SSL Secure Socket Layer ISO/OSI-Schichtenmodell Seminar Internet-Technologie SS 07 17 7Applikation LayerAnwendungsschicht (HTTP) 6 SSL 5 Presentation LayerDarstellungsschicht Neu zwischen 4 & 7 Sicherheitsschicht (SSL) Session LayerSitzungsschicht 4Transport LayerTransportschicht (TCP) 3Network LayerVermittlungsschicht (IP) 2Data Link LayerSicherungsschicht (PPP) 1Physical LayerBitbertragungsschicht (Modem, ADSL, Kabelfernsehen)
  • Folie 18
  • SSL Secure Socket Layer Was kann SSL? SSL untersttzt Vielzahl von Algorithmen und Optionen Zu Optionen: Vorhandensein oder Fehlen der Komprimierung Die verwendeten kryptografischen Algorithmen Exportrestriktion der US-Regierung fr Netscape: Kryptografie: nur wenn sich beide Endpunkte in den USA befinden mindesten 128 Bit Sonst sind Schlssel auf 40 Bit begrenzt (Witz) SSL-Protokolle: 1. Teilprotokoll: Errichtung einer sicheren Verbindung 2.Teilprotokoll: Verwendung der sicheren Verbindung Seminar Internet-Technologie SS 07 18
  • Folie 19
  • SSL Secure Sockets Layer 1. Sichere Verbindung errichten Handshake Alice (Client)Bob (Server) Seminar Internet-Technologie SS 07 19 1. SSL-Version, bevorzuge Einstellungen, R Alice 2. SSL-Version, gewhlte Einstellung, R Bob 3. SSX.509 Zertifikatskette 4. Bob (Server) fertig, Alice (Client) kann jetzt 5. E Bob (Premaster-Schlssel) 6. ndere Chiffre 7. Beendet 8. ndere Chiffre 9. Beendet
  • Folie 20
  • SSL Secure Socket Layer Welche Algorithmen fr welche Anwendung? Fr hchste Sicherheit (Online-Banking...) Strkster Kryptografischer Algorithmus verwendet Triple DES mit 3 getrennten Schlsseln fr die Verschlsselung http://de.wikipedia.org/wiki/Triple_DES SHA-1 fr die Nachrichtenintegrtt http://de.wikipedia.org/wiki/SHA-1 Ist relativ langsam, und rechenaufwendig (Server CPU) Bei normale n E-Commerce Anwendungen RC4 mit 128 Bit Schlssel (wird intern vergrert)zur Verschlsselung http://de.wikipedia.org/wiki/RC4 MD5 zur Nachrichtenauthentifizierung http://de.wikipedia.org/wiki/MD5 Seminar Internet-Technologie SS 07 20
  • Folie 21
  • SSL Secure Socket Layer 1. Sichere Verbindung verwenden 1. Fragmentierung 2. Komprimierung 3. MAC hinzufgen 4. Verschlsselung 5. Header hinzufgen Dann bertragen Seminar Internet-Technologie SS 07 21
  • Folie 22
  • SSL Secure Socket Layer Schwachstellen von SSL RC4 hat einige schwache Schlssel Server (Bob) hat eventuell kein Zertifikat (oder eines das den Schlssel verifiziert) Seminar Internet-Technologie SS 07 22
  • Folie 23
  • SSL Secure Socket Layer - Ende SSL und TLS 1996 bergab Netscape SSL der IETF zur Standardisierung Ergebnis ist TLS (Transport Layer Security) nderungen waren gering, aber SSL und TLS arbeiten nicht mehr zusammen Sollte schwerer Entschlsselbar sein: Verstrkung das Sitzungsschlssels (aus Premaster-Schlssel und Einmalinformation) Problem mit schwachen RC4 Schlsseln bleibt Seminar Internet-Technologie SS 07 23
  • Folie 24
  • HTTPS Hypertext Transfer Protocol Secure Was ist HTTPS? Eigentlich das Standard-HTTP ber eine sichere SSL/TLS Verbindung Zwischen Schicht 4 und 7 im OSI-Schichtenmodell Verschlsselung und zur Authentifizierung der Kommunikation zwischen Webserver und Browser HTTPS wird unabhngig vom Netz verschlsselt (meist im Browser integriert) Seminar Internet-Technologie SS 07 24
  • Folie 25
  • HTTPS Was braucht HTTPS? Verbindung wird mit SSL-Protokollen aufgebaut (siehe vorne) Zertifikate (siehe vorne) HTTPS-Server mit eigener IP-Adresse und SSL-Bibliothek SSL-Server kann nur ein Zertifikat fr jede IP/Port Kombination ermitteln. Meist Port 443 Seminar Internet-Technologie SS 07 25
  • Folie 26
  • HTTPS Wann HTTPS? Der Server (Bob) erlaubt nur HTTPS (Online-Banking) Login wird ber HTTPS erzwungen, dann Cookie gesetzt und unverschlsselt weiter bertragen Client (Alice) ndert http://... in https://... manuell um, um Verschlsselung zu bewirken Seminar Internet-Technologie SS 07 26
  • Folie 27
  • HTTPS HTTPS-Ablauf / Nachteile Ablauf Alice hat eine https://... -Verbindungsanforderung an Bob geschickt Rest siehe Handshake-Protokoll Bestehende HTTPS-Verbindung wird durch das SSL-Logo angezeigt Nachteile Wegen automatischer (Root-) Zertifizierung wird die sicher Verbindung von Alice nicht mehr bewusst wahrgenommen Alice sieht den Unterschied zwischen original und geflschten Websites nicht Phishing Seminar Internet-Technologie SS 07 27
  • Folie 28
  • HTTPS Ende Performance Wird nur dort eingesetzt, wo Datenschutz notwendig ist (da rechenaufwendig) Zur Entlastung der Server-CPU werden SSL-Beschleuniger (PCI-Steckkarten) mit optimierten CPUs die von der SSL-Bibliothek angesprochen werden Server mit programmierbaren Recheneinheiten z.B. Modular Arithmetik Unit) Seminar Internet-Technologie SS 07 28
  • Folie 29
  • SSH Secure Shell Was ist SSH? Programm sowie ein Netzwerkprotokoll Baut eine verschlsselte Verbindung zu entfernten Computern auf, wo man sich einloggen und Programme ausfhren kann Seminar Internet-Technologie SS 07 29
  • Folie 30
  • SSH Warum SSH? / Sicherheit 1995: Reaktion auf Passwort-Sniffingattacke Freeware, gewann schnell an Popularitt Sichere Verschlsselung und Authentifizierung durch kryptografische Algorithmen In einem unsicheren Netzwerk Ist die Weiterentwicklung von: rlogin, telnet und rsh Seminar Internet-Technologie SS 07 30
  • Folie 31
  • SSH Entwicklung Start: 1995 als Freeware, ab. Dez 1995 Vermarktung durch die Firma SSH Communications Security 1996 Weiterentwicklung zu Version SSH-2 Ab 1999: 2 Versionen Kostenlose: OpenSSH (Quellcode offen) Kostenpflichtige: SSHTectia (abgesicherte Lizenzrechte, Weiterentwicklungs-Know how (incl. Roadmap) und Support-Untersttzung) Seminar Internet-Technologie SS 07 31
  • Folie 32
  • SSH Entwicklung 2 2005: 3. Generation, untersttzt mehrere Plattformen (Unix, Windows, IBM z/OS) 2006: Internetstandard durch die IETF Seminar Internet-Technologie SS 07 32
  • Folie 33
  • SSH Authentifizierung / Verschlsselung Server (Bob) identifiziert sich RSA-Zertifikat beim Client (Alice) Alice kann sich mit ihrem ffentlichen Schlssel oder per Passwort authentisieren Fr die Dauer der Verbindung wird ein geheimer (128 Bit)Schlssel erzeugt Verschlsselungsalgorithmen sind: 3DES, Blowfish, Twofish, CAST, IDEA, Arcfour, SEED und AES Seminar Internet-Technologie SS 07 33
  • Folie 34
  • SSH Verwendung Ursprnglich: Anmelden an entfernten Rechnern ber ein Netzwerk (per Terminal) Erweiterungen Ein SSH-Client kann sich wie ein SOCKS-Server verhalten und ermglicht somit einen automatisierten Zugriff auf entfernte Rechner durch den SSH-Tunnel, etwa zum Umgehen einer Firewall. ber SSHFS kann ein komplettes entferntes Dateisystem auf dem lokalen Rechner gemountet werden. Weitere siehe http://de.wikipedia.org/wiki/Ssh#Verwendunghttp://de.wikipedia.org/wiki/Ssh#Verwendung Seminar Internet-Technologie SS 07 34
  • Folie 35
  • SSH Anwendungsgebiete Secure System Administration (Sichere Systemverwaltung) zur Absicherung der Fernverwaltung von Servern. Ersetzt Telnet, Rlogin etc. Secure File Transfer (Sicherer Dateitransfer) zur Herstellung sicherer, automatisierter und interaktiver Dateitransfers. Secure Application Tunneling zum transparenten Schutz TCP/IP-basierender Anwendungen als End-to-End-Security. Seminar Internet-Technologie SS 07 35
  • Folie 36
  • SSH Schwachstellen Die erste Version SSH-1 ermglicht es Trudy eine SSH1 Sitzung auszusphen (wegen schwacher Integretitsprfung), besser SSH-2 SSH-2 hat: modularen Aufbau der Transport-, Autorisierungs- und Verbindungsschichten verschiedene Verschlsselungsalgorithmen. Seminar Internet-Technologie SS 07 36
  • Folie 37
  • SSH Implementierungen Ursprnglich nur unter UNIX Spter auch fr andere Plattformen Mit PuTTY, Tera Term, Teemtalk u.a. kann Alice sich so von Windows auf einem UNIX Rechner wie z.B. Rapunzel einloggen und bekommt dann eine Shell Seminar Internet-Technologie SS 07 37
  • Folie 38
  • Quellenangaben Bcher Computernetzwerke, 4. berarbeitete Auflage, Andrew S. Tanenbaum, Pearson Studium, ISBN 3-8273-7046-9 IT-Sicherheit; Konzepte Verfahren - Protokolle, 4. Auflage, Claudia Eckert, Oldenburg, ISBN 3-4865-7851-0 Links http://de.wikipedia.org/wiki/Digitales_Zertifikat http://www.softed.de/fachthema/Allgemeines/https.asp http://de.wikipedia.org/wiki/HTTPS http://de.wikipedia.org/wiki/Digitales_Zertifikat http://de.wikipedia.org/wiki/SSH Seminar Internet-Technologie SS 07 38

Internet Resource Seminar - MENOG

Joomla! Von Bernhard Grusie Seminar: Internet-Technologie Bei Prof. Dr. Lutz Wegner

Internet-Technologie 3

Seminar Internet-Technologie Thema: Smarty Templates Vortragender: Christian Voß Datum: 11.01.2008

Internet Fundraising Seminar - Ottawa

Seite 1 Prof. J. WALTER Kurstitel Stand: september 2002 3 Internet- Technologie Internet-Technologie 3 Herzlich Willkommen Prof. J. Walter

Cours de technologie du bois - Internet Archive

SS 08 Virtual Private Network (VPN) Seminar Internet-Technologie – Henrik Bartholmai

Module Internet (3) 1 Département Technologie de l’Information et de la Communication Internet

Seminar on Internet Technologies

Seminar Internet Marketing

Lernen, Internet, Individualität - wo kann Technologie unterstützen?

Seminar Internet

Seminar Internet-Technologie (Skriptsprachen) Seminar Internet-Technologie (Skriptsprachen) Bearbeiter: Nabil Salhi Email: [email protected] Thema: Python

Internet Technologie

Web-Content-Management-System Dieter Schäfer Praktische Informatik Prof. Dr. Lutz Wegner Seminar Internet-Technologie

Seminar: Internet-Technologie Hans Christian Ohm Dozent: Prof. Dr. Lutz Wegner VIRTUAL PRIVATE NETWORKS

NKR Presentatie over impact van IT, Technologie en Internet

WLAN, WEP, WPA und Bluetooth Yosuke Suzuki 17.01.2009 Seminar Internet-Technologie Fachgebiet Praktische Informatik

04.12.2009Public-Key-Infrastruktur1 Public-Key-Infrastruktur FG Praktische Informatik Seminar Internet-Technologie Uni Kassel Dmitrij Funkner

Internet seminar

Seite 1 Prof. J. WALTER Kurstitel Stand: september 2002 1 Internet- Technologie Internet-Technologie Herzlich Willkommen Prof. J. Walter

Informační a komunikační technologie Informační a komunikační technologie Internet

Seminar Internet Technologien1 DECT, GSM, UMTS Seminar Internet Technologien ( IT - Sicherheit ) Alexander Kühn

Vox Internet Seminar Report

Internet et technologie A.Marchand

3D INTERNET Technical Seminar

QR codes, aumented reality, mobiel internet, grafisch ontwerp, technologie

Seminar Internet-Technologie SS 2007 Patryk Jucha; Matrikelnummer: 23218112; Fachbereich 16

Seminar Internet Economics

1 Seminar Internet Technologie Sicherheit Die elektronische Gesundheitskarte Peter Sadecki

Thrive Internet Marketting Seminar

Virtual Private Network Seminar Internet-Technologie Maxim Sharnopolsky

Seminar Internet-Technologien : Java1 Seminar: Internet-Technologien Thema: Java Autor: Marc Lettrari

Java Server Pages Michael Klenke Seminar Internet - Technologie