1 / 54

Computer Cryptografie en PKI

Computer Cryptografie en PKI. Computer Cryptografie en PKI. “Xbboajoojhf Xjtlvoef”. “Xbboajoojhf Xjtlvoef”. Lex Zwetsloot Csite. Lex Zwetsloot Csite. Onderwerpen. Doel van Computercryptografie Bouwstenen Symmetrische Encryptie/Decryptie Oplossing van het Key-distributieprobleem

archer
Download Presentation

Computer Cryptografie en PKI

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Computer CryptografieenPKI Computer CryptografieenPKI “Xbboajoojhf Xjtlvoef” “Xbboajoojhf Xjtlvoef” Lex Zwetsloot Csite Lex Zwetsloot Csite

  2. Onderwerpen • Doel van Computercryptografie • Bouwstenen • Symmetrische Encryptie/Decryptie • Oplossing van het Key-distributieprobleem • Asymmetrische Encryptie/Decryptie • Hash-functies • Certificaten • Toepassing Certificaten • Meer weten…

  3. Doel Computercryptografie Cryptografie wordt ingezet om de volgende doelen te realiseren: Vertrouwelijkheid (Confidentiality)Het vertrouwelijk behandelen van gegevens bij transport en opslag (Digital sealing) Identificatie en Authenticatievan gebruikers, computers en computerservices Integriteit van Data Garantie van authenticiteit (Digital signing) Bewijslast over verrichte transactiesOnweerlegbaarheid of Non-repudiation

  4. Bouwstenen Computercryptografie • Symmetrische of “Secret Key” Algoritmen • Asymmetrische of “Public Key” Algoritmen • Hash-functies • CA’s en Certificaten

  5. Protocollen, Algoritmen en Keys • Protocol:- Gestandaardiseerde wijze van behandeling (transport en overdracht) van cryptografisch materiaal. Een protocol kan uit meerdere algoritmen zijn samengesteld. • Algoritme:- Wiskundige wijze waarop versleuteling/ontsleuteling plaatsvindt- Openbaar en gestandaardiseerd • Key:- Variabele die, samen met de klare tekst en het algoritme, de cijfertekst oplevert (v.v.)- De geheime component bij * Secret Key of symmetrische algoritmen * De private key bij asymmetrische algoritmen

  6. Schema Symmetrische Encryptie

  7. Eigenschappen Symmetrische Encryptie • Eén sleutel voor ver- en ontcijfering • Voordelen:- Snel algoritme; Beperkte processorbelasting; geschikt voor grote hoeveelheden data, ook streaming • Nadelen:- Sleuteldistributie !!!- Alleen bij grote sleutellengtes voldoende beschermd tegen “exhaustive search” attacks

  8. Symmetrische Encryptie (2) Algoritmen die gebruik maken van Symmetrische Encryptie(Secret Key of Shared Secret): • DES • DESX • 3DES • CAST • BlowFish • FEAL • IDEA

  9. Oplossing voor het sleuteldistributieprobleem: Principe Diffie-Hellman Key-Exchange

  10. Diffie-Hellman Group

  11. Zwakte in Diffie-Hellman Key-Exchange • Geen “Proof of Identity” • Geen bescherming tegen “(Wo)man in the middle” - attacks

  12. Asymmetrische Encryptie • Ingewikkelde wiskunde; hoge processorbelasting, daardoor alleen geschikt voor kleine hoeveelheden gegevens. (passwords, Credit Cardnummer etc.) • Gebruikt grote sleutellengtes: 512, 1024 of 2048 bits. • Verschillende algoritmen:- RSA, - DSA/DSS(NSA), - ElGamal

  13. Asymmetrische Encryptie (2) Voorbeeld:RSA met complementaire sleutels (basis van PKI)

  14. Asymmetrische Encryptie (3): Principe van RSA

  15. Asymmetrische Encryptie (4): RSA Sealing

  16. Hash-functies • Hashing algoritme produceert een message-digest (hash) van een bericht • Hash bevat geen gegevens uit het bericht • Drie gangbare algoritmen:- MD4 ; levert 128 bits hash- MD5 ; levert 128 bits hash- SHA ; levert 160 bits hash • Langere hash-value verkleint kans op “collision”

  17. Toepassing Hashfuncties • Digitale Handtekeningen (Signing) • NTLM, Challenge/Response • HMAC (RFC 2202) • CHAP, MS-CHAP, MS-CHAP2

  18. RSA+Hashing:Digital Signatures: “Signing”

  19. (PKI) Certificaten Doel: • Authenticatie: Koppelen van een Public Key aan een persoon, computer of service Benodigd: • Een trusted (third) party, de Certificate Authority • PKI - Aware toepassingen(Iexplore, Outlook, -Express)

  20. Public Key Infrastructure • Top van PKI-organisatie is de Root CA:- Publieke CA’s, bijv.: Verisign, Thawte- Enterprise of Privé CA’s • Root CA maakt z’n eigen Master Keypair en (Self-Signed) Root Certificate • Subordinate CA’s op diverse locaties • CA publiceert ook CRL en CDP(Certificate Revocation List, CRL Distribution Point)

  21. Public Key Infrastructure Installatie van de Root Certification Authority (Root-CA)

  22. PKI: Installatie CA Voorbeeld van de omvang van een 1024-bits Public Key Attributen worden aan de Public Key toegevoegd Version: X.509 V3 Issued to: Acme-Root CA Issued by: Acme-Root CA Valid from: 01-01-2006 Valid until: 01-01-2031 Key Usage: Authentication Serial No: 32 88 8e 9a d2 .. Subject: Acme-Root CA Public Key: RSA (1024 bits) Hash algorithm: MD5 CSP De Cryptographic Service Provider (CSP) van Windows genereert een keypair (Private- en Public Key) MD5-hashvan data in pseudo-certificaat met Public Key Bf 9c 0d 32 bd 5c 88 20 1a 08 Met Private Key versleutelde hash-value; De “Thumbprint” 01 07 bc 59 90 1c 2b 3e 77 ..

  23. PKI: Installatie CA Version: X.509 V3 Issued to: Acme-Root CA Issued by: Acme Root CA Valid from: 01-01-2006 Valid until: 01-01-2031 Key Usage: Authentication Serial No: 32 88 8e 9a d2 .. Subject: Acme-Root CA Public Key: RSA (1024 bits) Hash algorithm: MD5 Bf 9c 0d 32 bd 5c 88 20 1a 08 01 07 bc 59 90 1c 2b 3e 77 ..

  24. PKI: Installatie CA Version: X.509 V3 Issued to: Acme-Root CA Issued by: Acme Root CA Valid from: 01-01-2006 Valid until: 01-01-2031 Key Usage: Authentication Serial No: 32 88 8e 9a d2 .. Subject: Acme-Root CA Public Key: RSA (1024 bits) Hash algorithm: MD5 01 07 bc 59 90 1c 2b 3e 77 ..

  25. Version: X.509 V3 Issued to: Acme-Root CA Issued by: Acme Root CA Valid from: 01-01-2006 Valid until: 01-01-2031 Key Usage: Authentication Serial No: 32 88 8e 9a d2 .. Subject: Acme-Root CA Public Key: RSA (1024 bits) Hash algorithm: MD5 Version: X.509 V3 Issued to: Acme-Root CA Issued by: Acme Root CA Valid from: 01-01-2006 Valid until: 01-01-2031 Key Usage: Authentication Serial No: 32 88 8e 9a d2 .. Subject: Acme-Root CA Public Key: RSA (1024 bits) Hash algorithm: MD5 01 07 bc 59 90 1c 2b 3e 77 .. 01 07 bc 59 90 1c 2b 3e 77 .. CA Root Certificate PKI: Installatie CA

  26. PKI: Installatie CA

  27. PKI: Distributie van Root Certificate Export en distributie van root-certificaat in de vorm van *.cer bestand. (formaat: pkcs#7) Acme Root CA

  28. PKI: Distributie van Root Certificate Acme Root CA Alle computers waarop een kopie van het Root CA Certificaat is geïnstalleerd zien deze CA nu als een vertrouwde instantie

  29. Public Key Infrastructure Aanvraag van een SSL Webserver-Certificaat

  30. PKI: Aanvraag SSL Certificaat Acme Root CA CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits) CSP http://www.abc.com

  31. CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits) PKI: Aanvraag SSL Certificaat ac 2e 9d 01 ec 79 88 20 1a 08 2b 12 0f 28 ec 4c 2f 39 d7 .. http://www.abc.com

  32. CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits) PKI: Aanvraag SSL Certificaat 2b 12 0f 28 ec 4c 2f 39 d7 .. http://www.abc.com

  33. 2b 12 0f 28 ec 4c 2f 39 d7 .. 2b 12 0f 28 ec 4c 2f 39 d7 .. CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits) CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits) PKI: Aanvraag SSL Certificaat http://www.abc.com

  34. 2b 12 0f 28 ec 4c 2f 39 d7 .. CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits) CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits) 2b 12 0f 28 ec 4c 2f 39 PKI: Aanvraag SSL Certificaat http://www.abc.com

  35. CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits) CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits) 2b 12 0f 28 ec 4c 2f 39 2b 12 0f 28 ec 4c 2f 39 PKI: Aanvraag SSL Certificaat http://www.abc.com

  36. PKI: Aanvraag SSL Certificaat https://www.abc.com http://www.abc.com

  37. Public Key Infrastructure: Client sessie met SSL-Website

  38. PKI: Client sessie met SSL-Website Client in bezit van kopie CA-Root Certificate Get https://www.acme.com Send certificate https://www.abc.com

  39. 2b 12 0f 28 ec 4c 2f 39 d7 .. CERTIFICATE Issued to: ABC.com Issued by: Acme Root CA Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits) PKI: Client sessie met SSL-Website https://www.abc.com

  40. PKI: Client sessie met SSL-Website Er is een ‘match’ tussen de meegezonden, -encrypted- hash (de thumbprint) en de hérberekende hash; De webserver kan het certificaat dus alleen van Acme Root CA hebben verkregen!!! Public Key uit ‘Trusted’ Root Certificate van Acme Root CA CERTIFICATE Issued to: ABC.com Issued by: Acme Root CA Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits)  3b 9c 01 bf 77 d3 21 fc .. 3b 9c 01 bf 77 d3 21 fc .. 2b 12 0f 28 ec 4c 2f 39 d7 .. https://www.abc.com

  41. PKI: Client sessie met SSL-Website Er is een ‘match’ tussen de meegezonden, -encrypted- hash (de thumbprint) en de hérberekende hash; De webserver kan het certificaat dus alleen van Acme Root CA hebben verkregen!!! CERTIFICATE Issued to: ABC.com Issued by: Acme Root CA Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits)  3b 9c 01 bf 77 d3 21 fc .. 3b 9c 01 bf 77 d3 21 fc .. 2b 12 0f 28 ec 4c 2f 39 d7 .. https://www.abc.com

  42. PKI: Client sessie met SSL Website Key-Exchange

  43. PKI: Key-Exchange Public Key van www.abc.com CSP Symmetrische (DES) Key, aangemaakt door CSP van client PC https://www.abc.com

  44. PKI: Key-Exchange https://www.abc.com

  45. PKI: Key-Exchange Beide partijen beschikken nu over dezelfde symmetrische DES Key https://www.abc.com

  46. PKI: Confidential Data Exchange(Zeer snel!!)

  47. PKI: Confidential Data Exchange https://www.abc.com (SSL) Enter Credit Card No (SSL) Enter Credit Card No Credit card No: 1124 4523 2514 7896 Credit card No: 1124 4523 2514 7896

  48. Public Key Infrastructure Root CA • CAPolicy.inf voor installatie Root CA om:- CDP en CPS in Root-Certificate te plaatsen • Root CA meestal Stand-Alone • Subordinates meestal Enterprise (AD)

  49. Certificaten (2) Bevatten o.m. de volgende onderdelen: • De Naam van de aanvrager; “Issued To …” • De Naam van de verstrekker (CA) “Issued by …” • De Public Key van de aanvrager • Een geldigheidsperiode “Valid from … to …” • Doel van het Certificaat: EFS, E-mail, Verificatie • Een hash-value van het certificaat, versleuteld met de Private Key van de CA. (Digitale handtekening van CA)

  50. Certificaten(3) Twee typen certificaten in omloop: • Version 1: -Windows 2000/2003/XP-Vaste layout (template) • Version 2:-Alleen Windows 2003/XP-Vaste- en “Custom” templates-Geschikt voor Auto-enrollment

More Related