LF10: Betreuen von IT-Systemen

von Julian Möller

LSP

Ich kann...

1... unter Symmetrischer- und Asymmetrischer Verschlüsslung unterscheiden.

2... erklären, was Kerberos ist und eine Authentifizierung damit erklären.

3... erklären, was ein Digitales Zertifikat ist ( SSL ).

4... die Digitale Signatur im Zusammenhang mit der Asymmetrischen Verschlüsselung erklären.

5… Zertifikate mit Hilfe eines CA ausstellen .6... 

6... ein asymmetrischen Verschlüsselungstool erstellen. 

 

Lernachweis:

1… Aufbau und Funktionsweise der Verfahren anhand von Visio-Zeichnungen.

2… Erklärung einer Authentifizierung anhand eines Schaubildes.

3... Erklärung Anhand eines Beispiels einer Datenverschlüsselung

4... Darstellung der Funktionsweise einer Digitalen Signatur.

5… Erstellung einer Zertifizierungsstelle auf einem WS2012.

6... Programmierung eines Tools mit PHP


Weg:

Ich beginne damit, mir die vorhandenen Informationsblätter durchzugehen, welche uns zur Verfügung gestellt wurden.

Dort hole ich mir viele Informationen über die vorhandene Lernsituation.

Ich brauche außerdem meine virtuelle Maschine, um eine Firewall dort aufzusetzen und Visio zum zeichnen meiner Problemlösungen.

 

Auswertung:

Beim "nacharbeiten" der Themenwoche ist mir aufgefallen, dass man über die Zeit vieles an Wissen wieder verlernt. Ebenfalls ist mir aufgefallen, dass bestimme Themenbereiche falsch bzw. nicht richtig bearbeitet wurden sind.

Mit dem Ergebnis der Woche bin ich nicht 100%tig zufrieden. Leider war es mir nicht möglich, die Zertifizierungsstelle richtig zu konfigurieren. 

Dies lag daran, dass immer wieder Fehler aufgetreten sind, wozu es keine Fehlermeldung oder Lösung gab.

Daraufhin haben wir versucht ein Tool zu Programmieren, um eine asymmetrische Verschlüsselung darzustellen. 

Warum SSL?

Dank SSL-Zertifikaten wird die Geheimhaltung von Online-Verkehr trotz der Öffentlichkeit des Internets gewahrt. Dies stärkt das Vertrauen Ihrer Kunden in die Sicherheit Ihrer Website. Wenn sich Benutzer auf Ihrer Website anmelden, persönliche Daten, wie Kreditkartennummern, online eingeben oder vertrauliche Daten, wie Krankenkassenleistungen oder Kontodaten eingeben müssen, müssen Sie die Geheimhaltung dieser Daten gewährleisten. Zudem müssen Sie dafür sorgen, dass sich Ihre Kunden die Authentizität Ihrer Website bestätigen lassen können.

SSL kommt zudem unter anderem bei E-Mail-Servern, internetbasierten Anwendungen und der Kommunikation zwischen Servern zur Anwendung.

SSL - Zertifikat

Ein SSL-Zertifikat ist Code auf dem Webserver, das Ihre Online-Kommunikation absichert. Stellt eine Webbrowser eine Verbindung zu Ihrer gesicherten Website her, ermöglicht das SSL-Zertifikat eine gesicherte Verbindung. Das Verfahren ist vergleichbar mit dem Versiegeln eines Briefs vor dem Versenden.

SSL-Zertifikate schaffen Vertrauen, weil jedes SSL-Zertifikat Identifizierungsinformationen enthält. Wenn Sie ein SSL-Zertifikat anfordern, verifiziert eine Drittpartei Ihre Unternehmensdaten und gibt auf der Basis dieser Daten ein nur für Sie bestimmtes Zertifikat aus. Dies wird als Authentifizierung bezeichnet.

Das passiert bei SSL

  1. Ein Browser versucht, eine Verbindung zu einer mit SSL gesicherten Website herzustellen. Der Browser fordert die Identität des Webservers an.
  2. Der Server sendet eine Kopie seines SSL-Zertifikats an den Browser.
  3. Der Browser überprüft, ob das SSL-Zertifikat glaubwürdig ist. Wenn dem so ist, sendet er eine Nachricht an den Server.
  4. Der Server sendet anschließend eine digital signierte Bestätigung zurück, um eine SSL-verschlüsselte Sitzung einzuleiten.
  5. Browser und Server tauschen verschlüsselte Daten aus.

Kerberos

Kerberos ist ein verteilter Authentifizierungsdienst (Netzwerkprotokoll) für offene und unsichere Computernetze (wie zum Beispiel das Internet), der von Steve Miller und Clifford Neuman basierend auf dem Needham-Schroeder-Protokoll zur Authentifizierung entwickelt wurde.

Bei Kerberos sind drei Parteien beteiligt:

  • der Client
  • der Server, den der Client nutzen will
  • der Kerberos-Server

Der Kerberos-Dienst authentifiziert sowohl den Server gegenüber dem Client, als auch den Client gegenüber dem Server, um Man-in-the-middle-Angriffe zu unterbinden. Auch der Kerberos-Server selbst authentifiziert sich gegenüber dem Client und dem Server und verifiziert selbst deren Identität.

Verschlüsselung

Diese Themenwoche geht es um das Thema Sicherheit und Verschlüsselung. Hierbei werde ich gängige Verschlüsselungsverfahren im Zusammenhang mit der Integrität und Authentizität erklären.  

Asymetrische Verschlüsselung

Bei einem Asymmetrischen Verschlüsselungsverfahren (auch Public-Key-Verfahren genannt), gibt es im Gegensatz zu einem Symmetrischen, nicht nur ein Schlüssel, sondern gleich zwei. Dieses sogenannte Schlüsselpaar setzt sich aus einem privaten Schlüssel (Privater Schlüssel -> Private Key) und einem öffentlichen Schlüssel (nicht geheim -> Public Key) zusammen. Mit dem privaten Schlüssel, werden Daten Entschlüsselt oder eine digitale Signatur erzeugt. Mit dem öffentlichen Schlüssel kann man Daten verschlüsseln und erzeugte Signaturen auf ihre Authentizität überprüfen.

 

 

Funktionsweise

Um das Prinzip der asymmetrischen Verschlüsselung verstehen zu können, muss man immer im Hinterkopf behalten, dass man es nicht nur mit einem Schlüssel zu tun hat, sondern mit zwei.

So beginnt das Ganze eigentlich mit der Veröffentlichung des, wie der Name es schon sagt, öffentlichen Schlüssels. Die Veröffentlichung kann z.B. über einen Server erfolgen, oder aber auch per Mail. Man muss ihn nicht auf einen sicheren Weg übertragen, jeder darf in den Besitz des öffentlichen Schlüssels gelangen. Oft ist es sogar wünschenswert, dass sich der öffentliche Schlüssel global verteilt, um so sicherzustellen, dass kein anderer öffentlicher Schlüssel unter falschen Namen Verbreitung findet. Mit diesem öffentlichen Schlüssel kann nun jeder eine Nachricht für den Besitzer des öffentlichen Schlüssels, also dem letztendlichen Empfänger, verschlüsseln. Die verschlüsselte Nachricht kann so nur noch vom Empfänger mit seinem Geheimen Schlüssel entschlüsselt werden.

Aus diesem Grund ist es unheimlich wichtig, dass der private Schlüssel auch wirklich geheim bleibt. Den hat man den Geheimen Schlüssel in der Hand kann man alle Nachrichten entschlüsseln, die von anderen mit dem eigenen Öffentlichen Schlüssel verschlüsselt wurden.

Zu beachten ist bei der Verschlüsselung, dass je nach verwendetem Schlüssel bei der Verschlüsselung derselben Daten unterschiedliche verschlüsselte Daten entstehen können.

 

Vorteile:

- Relativ Hohe Sicherheit
- Es werden nicht so viele Schlüssel benötigt wie bei einem symmetrischen Verschlüsselungsverfahren, somit weniger Aufwand der Geheimhaltung des Schlüssels
- Kein Schlüsselverteilungsproblem, da Public Key für jeden ohne Probleme zu erreichen ist
- Möglichkeit der Authentifikation durch elektronische Unterschriften (digitale Signaturen)

Nachteile:

- Asymmetrischen Algorithmen arbeiten sehr langsam ca. 10 000 Mal langsamer als symmetrische. - Große benötigte Schlüssellänge - Probleme bei mehreren Empfänger einer verschlüsselten Nachricht, da jedes Mal die Nachricht extra verschlüsselt werden muss -> Abhilfe schaffen hybride Verfahren - Sicherheitsrisiko durch für jeden zugänglichen Public Key -> Man in the Middle

Digitale Signatur ( RSA )

Neben der Verschlüsselung von Daten kann die asymetrische Verschlüsselung auch für eine digitale Unterschrift/Signatur genutzt werden. Die digitale Signatur garantiert die Authentizität und die Unveränderlichbarkeit eines Textes. Bei der digitalen Signatur wird über den zu unterschreibenden Text eine Quersumme (Hash) gebildet, die dann mit dem privaten Schlüssel unterschrieben und dem eigentlichen - weiterhin im Klartext lesbaren - Text angehängt wird. Der Empfänger entschlüsselt nun diesen "Anhang" (also den Hash) mit dem öffentlichen Schlüssel des Absenders und kann so die Authentizität des Absenders feststellen und, ob der Text unterwegs verändert wurde.

Beispiel 1 - A will Daten an B senden/ verschlüsseln:

  1. A verschlüsselt mit public key von B
  2. B entschlüsselt mit private key (von B)

Beispiel 2 - A will Text für B unterschrieben:

  1. A unterschreibt/ signiert mit private key (von A)
  2. B überprüft mit public key von A

Zertifizierungsstelle

Profilinformation

Julian Möller's profile picture

  • Bundesland/Kreis: Hessen
  • Land: Deutschland
  • Vorname: Julian
  • Nachname: Möller
  • Berufstätigkeit: Auszubildender Anwendungsentwicklung
  • Stadt: Hessisch Lichtenau
  • E-Mail Adresse: moeller-julian93@web.de

Nützliche Begriffe

  • Klartext
    Unverschlüsselte Nachricht
  • Chiffretext
    Verschlüsselte Nachricht
  • Chiffrierung und Dechiffrierung
    Ver-bzw. Entschlüsselung von Nachrichten
  • Schlüssel (Key)
    Information zum ver- bzw. entschlüsseln
  • Kryptoanalyse
    Analyse („knacken“) von verschlüsselten Nachrichten
  • Angriff
    Zugriff auf die mithilfe der Kryptoanalyse entschlüsselten Daten

Kryptographie Vs. Steganographie

  • Kryptographie verschlüsselt die Nachricht. Somit sorgt sie dafür, dass eine unbeteiligte dritte Person, die die (verschlüsselten) Daten zu Gesicht bekommt, die Bedeutung nicht erfassen kann.
  • Steganographische-Verfahren verbergen den Kanal, über den kommuniziert wird. Eine unbeteiligte dritte Person bleibt dadurch in Unkenntnis der Kommunikation.

Symetrische Verschlüsselung

Bei symmetrischen Verschlüsselungsverfahren gibt es im Gegensatz zu den asymmetrischen Verfahren, nur einen einzigen Schlüssel. Dieser Schlüssel ist für die Verschlüsselung wie auch für die Entschlüsselung zuständig.

Die Geschichte der symmetrischen Verschlüsselungsverfahren reicht weit in die Menschheitsgeschichte zurück. Die ersten angewandten kryptografischen Algorithmen waren alle symmetrische Verfahren. Die älteste und wahrscheinlich berühmteste symmetrische Verschlüsselung ist Caesar-Verschlüsselung, Caesar-Verschiebung oder schlicht als „einfacher Caesar“. Manchmal findet man sie auch unter dem Begriff Verschiebechiffre wieder. Sie geht auf den römischen Feldherrn Gaius Julius Caesar zurück, der diese Art der geheimen Kommunikation für seine militärische Korrespondenz verwendet hat.

Funktionsweise

Das Prinzip der symmetrischen Verschlüsselung ist ganz einfach. Es gibt nur einen Schlüssel der sowohl für die Ver- wie auch für die Entschlüsselung benötigt wird. D.H. dann auch das sowohl der Sender wie auch der Empfänger diesen Schlüssel benötigt. Beim Sender ist das kein Problem, da er den Schlüssel schon zur Verschlüsselung hat, dem Empfänger fehlt aber natürlich der Schlüssel. Deswegen ist es bei der Symmetrischen Verschlüsselung sehr wichtig, dass der Schlüssel auf einem sicheren Übertragungsweg an den Empfänger weitervermittelt wird. Früher hat man diesen Schlüssel deshalb meist persönlich, in Forme eines Boten, übergeben. Denn gelangt erst einmal der Schlüssel in falsche Hände, ist es für diesen kein Problem mehr die Verschlüsselten Nachrichten zu Entschlüsseln. Da das persönliche Übergeben des Schlüssels sehr umständlich und bei weiten physikalischen Strecken undenkbar wäre, bedient man sich dem Prinzip der asymmetrischen Verschlüsselung. So wird der Schlüssel per asymmetrischen Verschlüsselungsverfahren, beispielsweise basierend auf dem Diffie-Hellman-Algorithmus verschlüsselt und so übertragen. Dieses sogenannte Hybridverfahren hat nun mehrere Vorteile: Man nutz zum einem alle Vorteile der asymmetrischen Verschlüsselung für das Verschlüsseln des Schlüssels, z.B. das der Schlüssel über einen unsicheren Weg ausgetauscht werden kann, und zum anderen alle Vorteile der symmetrischen Verschlüsselung im Hinblick auf die Entschlüsselung des Textes, das wäre beispielsweise die höhere Geschwindigkeit beim entschlüsseln. Beachtet werden muss, dass man die symmetrischen Verfahren in Stromchiffren und Blockchiffren unterteilt. Mit Stromchiffren wird der Klartext Zeichen für Zeichen verschlüsselt, während bei der Entschlüsselung des Geheimtext Zeichen für Zeichen entschlüsselt wird. Bei Blockchiffren werden, wie der Name schon sagt, Zeichen des Texts in festen Blockgröße eingeteilt, sodass mehrere Zeichen in einem Schritt ver- bzw. entschlüsselt werden können.

Vorteile:

- Einfaches Schlüsselmanagement da nur ein Schlüssel für Ent- und Verschlüsselung
- Hohe Geschwindigkeit für Ent- und Verschlüsselung

Nachteile:

- Nur ein Schlüssel für Ver- und Entschlüsselung, Schlüssel darf nicht in unbefugte Hände gelangen
- Schlüssel muss über einen sicheren Weg übermittelt werden
- Anzahl der Schlüssel bezogen auf die Anzahl der Teilnehmer wächst quadratisch

Hash

Eine Hash-Funktion ist eine mathematische Funktion, die eine beliebig große Menge an Eingabewerten möglichst gleichmäßig auf eine eingeschränkte Ausgabemenge abbildet. Je nach Verwendungszweck muss die Funktion verschiedene Eigenschaften erfüllen. Am bekanntesten sind wohl mittlerweile die kryptografischen Hashfunktionen, z.B. MD5 oder SHA1.

Creative Commons Lizenz

Creative-Commons-Lizenz

LF10: Verschlüsselung von Julian Möller ist mit einer Creative Commons Namensnennung - Keine kommerzielle Nutzung - Keine Bearbeitung 3.0 3.0 Unported Lizenz ausgestattet.

Jede der Bedingungen kann aufgehoben werden, sofern Sie die ausdrückliche Genehmigung von Julian Möller dazu erhalten.

Feedback