Slides Thema 5

Repetition und Digitalzertifikate

... was wir wissen sollten und neu dazu kommt.

­čÄ» Sie verstehen Digitalzertifikate im Kontext der Verschl├╝sselung.


Repetition

Wir erinnern uns:

Symmetrische Verschl├╝sselung ­čöĹ­čöĹ

Gleicher Schl├╝ssel, geeignet f├╝r lokale Daten.

Asymmetrische Verschl├╝sselung ­čöŭ茣´ŞĆ

├ľffentlicher und privater Schl├╝ssel, geeignet f├╝r ├╝bertragene Nachrichten.


Diffie-Helmann Schl├╝sseltausch ­čöÇ

Ein gemeinsamer geheimer Schl├╝ssel ├╝ber ein unsicheres Medium austauschen.

Hash-Funktion ­čÉż

Fingerabdruck von Daten erstellen und verifizieren.


Direktes Vertrauen ­čžŹ­čžŹ

Der Sender muss dem Empf├Ąnger vertrauen und umgkehert.

Unterschreiben/Signieren ­čôŁ

Nachricht mit privatem Schl├╝ssel verschl├╝sseln.


Verschl├╝sselung im Web

­čĄö Wie weiss ich, dass meine Web-Verbindung verschl├╝sselt ist?

­čÖő

­čĄö Wie weiss ich, dass ich auf der richtigen Seite bin?


Umgebungen mit ├Âffentlichen Schl├╝sseln

Das Web wie auch der verschl├╝sselte Mail-Verkehr sind Umgebungen mit ├Âffentlichen Schl├╝sseln.


Wenn wir jemanden vertrauen, vertrauen wir dem ├Âffentlichen Schl├╝ssel.

­čĄö Wie kann ich Daten mit einer Person austauschen, der ich noch nie begegnet bin?


Sicherheitsproblem mit ├Âffentlichen Schl├╝sseln

Ein einfacher Abfang-Angriff:

­čĄö Wie kann Bob den empfangen Schl├╝ssel verifizieren?


Digitalzertifikate

Mit Digitalzertifikaten wird der Eigent├╝mer eines Schl├╝ssels ├╝berpr├╝fbar.

Beispiel: Ihr Ausweis enth├Ąlt Informationen, die ihre Identit├Ąt nachweist.


Elemente eines Digitalzertifikats

Ein Digitalzertifikat besteht aus folgenden Elementen:

  • Einem ├Âffentlichen Schl├╝ssel
  • Zertifikatsdaten (Beispielsweise der Name, die Benutzer-ID etc.)
  • Einer oder mehreren digitalen Unterschriften


Digitale Unterschrift


Lebenszyklus eines Digitalzertifikats

Zertifikate werden ausgestellt, erneuert, unterschrieben, zur├╝ckgenommen, validiert, ...


Zertifikatsformate

Wir betrachten zwei Zertifikatsformate:

  • PGP-Zertifikate
  • X.509-Zertifikate

PGP-Zertifikate

Enth├Ąlt diese Informationen:

  • PGP-Versionsnummer
  • ├ľffentlicher Schl├╝ssel des Zertifikatinhabers
  • Daten des Zertifikatinhabers
  • G├╝ltigkeitsdauer des Zertifikats
  • Bevorzugter symmetrischer Verschl├╝sselungsalgorithmus f├╝r die Schl├╝ssel


X.509

Ist das bekannteste Format mit folgenden Daten:

  • X.509-Versionsnummer
  • ├ľffentlicher Schl├╝ssel des Zertifikatinhabers
  • Seriennummer des Zertifikats
  • Eindeutige Kennung des Zertifikatsinhabers

  • G├╝ltigkeitsdauer des Zertifikats
  • Eindeutiger Names des Zertifikatsausstellers
  • Digitiale Unterschrift des Ausstellers
  • Kennung f├╝r Unterschriftenalgorithmus


Unterschiede PGP und X.509

Es bestehen viele Unterschiede hier die wichtigsten:

  • PGP-Zertifikat kann selber erstellt werden, X.509 nur durch Zertifizierungsinstanz
  • X.509 unterst├╝tzen einen Namen f├╝r Schl├╝sseleigent├╝mer
  • X.509 unterst├╝tzt eine Unterschrift zur Best├Ątigung der G├╝ltigkeit

Aufgaben

­čÄČ L├Âsen Sie die Aufgaben 1 in Gruppen oder Breakout-Rooms.


G├╝ltigkeit und Vertrauen

­čĄö Wie kann man nun die G├╝ltigkeit eines Zertifikats verfizieren?