02 Kryptographie

Schutzziele

■ Integrität ! Signatur

■ Vertraulichkeit ! Verschlüsselung

■ Authentizität ! Signatur

In der symmetrischen Kryptographie wird zum Verschlüsseln und Entschlüsseln derselbe Schlüssel verwendet. Hieraus resultiert das Schlüsselaustauschproblem.Damit ein Kommunikationspartner die verschlüsselte Nachricht entschlüsseln kann, muss er den Schlüssel kennen, der auch zum Verschlüsseln verwendet wurde. Hört nun ein Dritter bei Übertragung des Schlüssels den Kommunikationskanal ab,könnte dieser anschließend die gesamte Kommunikation entschlüsseln und somit abhören oder selbst unbemerkt verschlüsselte Nachrichten senden. Deshalb muss die Schlüsselübertragung geheim ablaufen, was oft aufgrund physikalischer Entfernungen ein Problem darstellt. Dieses Problem kann mit Hilfe asymmetrischer Verschlüsselungsverfahren umgangen werden.

Die Asymmetrische Kryptographie, auch Public-Key Kryptographie oder Public-Key Verschlüsselung genannt, ist durch ein Schlüsselpaar charakterisiert, das aus einem nicht-geheimen öffentlichen Schlüssel (public key) und einem geheimen privaten Schlüssel (private key) besteht. Der private Schlüssel darf dabei nicht in absehbarer Zeit (Jahre) aus dem öffentlichen Schlüssel berechnet werden können.

Der öffentliche Schlüssel ermöglicht es, Daten für den Besitzer des privaten Schlüssels zu verschlüsseln, dessen digitale Signatur zu prüfen oder ihn zu authentisieren. Dagegen kann der Besitzer des privaten Schlüssels die zuvor mit dem öffentlichen Schlüssel verschlüsselten Daten entschlüsseln oder digitale Signaturen erzeugen.

Hybride Systeme

Hybride Verschlüsselungssysteme kombinieren die asymmetrische Verschlüsselung mit der symmetrischen Verschlüsselung. Hierbei tauscht man den Schlüssel mittels asymmetrischer Verschlüsselung aus. Die anschließende Kommunikation wird jedoch symmetrisch verschlüsselt. Somit profitiert man weiterhin von der Geschwindigkeit der symmetrischen Verschlüsselung und umgeht das Schlüsselaustauschproblem.

Verlust der verschlüsselten Daten

Private key infrastructure

Registration Authority (RA)

■ Certification Authority (CA)

■ Verzeichnisdienst (DIR)

■ Time Stamping Authority (TSA)

CRL - Certificate Revocation List

OCSP - Online Certificate Status Protocol

Registration Authority (RA)

■ Certification Authority (CA)

■ Verzeichnisdienst (DIR)

■ Time Stamping Authority (TSA)

■ Sperrinformationen (CRL/OCSP)

■ Anwenderkomponenten

■ Zertifikate

■ Organisatorische Festlegungen

alle ausgestellten Zertifikate und damit signierten Dokumente unsicher

Certificate Revocation List (CRL)

■ Online Certificate Status Protocol (OCSP)

Die Zertifikate, bei nutzung wird dann in der der CRL oder OCSP geprüft ob ein zertifikat gepserrt ist.

Service stellt signierte Zeitstempel aus

• Dient als Nachweis, dass Daten zu diesem Zeitpunkt existierten

Client sendet Hash-Wert des Dokuments an TSA

■ TSA fügt Zeitstempel ein und signiert diese Kombination

■ Client fügt diese Information zum Dokument hinzu

■ Integrität der zeitlichen Information kann durch Signatur des TSA

sichergestellt werden

Zuordenbarkeit eines Public Keys zu einer Identität

■ Bestätigung wird durch Zertifizierungsstelle (CA) durchgeführt

■ Zertifikat ist im Rahmen der PKI öffentlich

■ Zusätzliche Angaben vorhanden

■ Zeitliche Gültigkeit (heute oft nur mehr maximal 1 Jahr)

■ Informationen zum Aussteller (CA)

■ Vorgesehener Einsatzzweck (KeyUsage und ExtendedKeyUsage)

Schalenmodell ! Zum Zeitpunkt der Prüfung alle Zertifikate im Pfad gültig

■ Kettenmodell ! Zum Zeitpunkt der Erstellung der Signatur war jeweils das signierende Zertifikat gültig

■ Hybridmodell ! Zum Zeitpunkt der Erstellung der zu prüfenden Signatur waren alle Zertifikate im Pfad gültig

Eigentümer

Eine Cipher Suite, Aussprache: [ˈsɑɪ·fər swiːt], (deutsch Chiffrensammlung) ist eine standardisierte Sammlung kryptographischer Verfahren, beispielsweise zur Verschlüsselung. Ein Beispiel dafür ist die NSA Suite B Cryptography, die Algorithmen und Protokolle festlegt, die für die Arbeit im Regierungsumfeld geeignet sind.