Einsatzmöglichkeiten kryptographischer Methoden zur Signatur und ...

Weitere Magazine

Empfehlungen

Info

lung von Mails setzt ein funktionierendes Virenschutzkonzept voraus, welches auf dem Client eine Prüfung der übermittelten Daten auf Viren sicherstellt. Eine Prüfung auf einem zentralen Server ist dann nicht mehr möglich und ein Entschlüsseln der Mails ist aufgrund der Tatsache, dass die ADKs nicht maschinell verfügbar sind, unmöglich. Im Gegensatz zu den bisherigen Anwendungen erfolgt hier die Verschlüsselung nicht nur um die Übertragung zu sichern, sondern es ist auch davon auszugehen, dass die Mails verschlüsselt gespeichert bleiben. Deshalb könnte ein Schlüsselverlust den Zugriff auf bereits gespeicherte Daten unterbinden. Es sollten daher entsprechende Maßnahmen (z.B. ADK), wie in 4.5 (Schlüsselverlust) beschrieben, ergriffen werden. Da es sich hier um rein internen Mailverkehr handelt, ist es auch möglich die Nutzung von Mailprogrammen auf Programme zu beschränken, die den Anforderungen entsprechen. 7.3.8. Gesicherter externer Mailversand Verwendetes Tool: 7.2.8 (E-Mail Add-On) Der gesicherte externe Mailversand wird analog zum gesicherten internen Mailversand aufgebaut. Da jedoch bei externen Empfängern nicht davon ausgegangen werden kann, dass eine Verschlüsselung möglich ist, kann darauf verzichtet werden, automatisch jede Mail zu verschlüsseln. Es sollte jedoch explizit darauf hingewiesen werden, wenn eine unverschlüsselte Mail versendet werden soll. Ein gesicherter externer Mailversand ist dem gesicherten internen Mailversand sehr ähnlich. Nur kann es sich als problematisch erweisen, die in 4.5 (Schlüsselverlust) vorgeschlagene Maßnahme des ADK einzusetzen, wenn das Mailprogramm des Absenders (außerhalb der MHH) das nicht unterstützt. Auch sollte die CA möglichst in eine Hierarchie eingebunden sein, um die Überprüfung der in der MHH ausgestellten Zertifikate auch außerhalb überprüfbar zu halten. Die CA sollte dann natürlich auch von außen erreichbar sein, damit eine Onlineprüfung der Zertifikate möglich ist. 67
8. Pragmatisches Modell 8.1. Allgemeine Überlegungen Bisher ist ein ideales Modell, wie es im vorigen Kapitel vorgestellt wurde, nicht zu realisieren. Mit einigen Abstrichen im Komfort (vor allem bei der Schlüsselverwaltung) und geringen Einbußen in der Funktionalität lässt sich aber bereits heutzutage ein Modell umsetzen, das durch die Kombination von mehreren Standard-Produkten ein relativ hohes Sicherheitsniveau erreicht und auch mit begrenzten finanziellen Mitteln realisierbar ist. Zur Zeit ist es beispielsweise so, dass für Web-Server- und Client-Zertifikate X.509 eingesetzt wird, für die Verschlüsselung und Authentisierung von E-Mails oder einzelnen Dateien jedoch häufig PGP. Bei Direktverbindungen zwischen Routern sind häufig symmetrische Verschlüsselungen im Einsatz, die ohne jedwede Signatur auskommen. Firewalls und einige Router können IPSec-konforme VPNs aufzubauen, welche neben der Authentisierung über pre shared Secrets auch eine Authentisierung über Zertifikate bieten. Durch diese Heterogenität werden teilweise für eine Person oder Institution mehrere verschiedene und untereinander inkompatible Schlüssel benötigt. Das hat zur Folge, dass evtl. auch mehrere Certificate Authorities (CAs) parallel für jedes eingesetzte Protokoll existieren müssen. Im Folgenden wird versucht – wenn möglich – einen Public-Key-Algorithmus (bzw. ein hybrides Verfahren) zu verwenden, um bei einer Erweiterung der Anwendung kein Redesign des Prozesses durchführen zu müssen. Die privaten Schlüssel sollten möglichst auf einem Wechselmedium und nicht auf einer Festplatte gespeichert werden, damit nur der Besitzer auf den in der Regel zusätzlich per Passwort geschützten geheimen Schlüssel zugreifen kann. Als Speichermedium ist eine SmartCard denkbar. Da bisher nicht flächendeckend entsprechende Kartenleser vorhanden und auch nicht alle Anwendungen damit kompatibel sind, wäre es evtl. möglich beispielsweise ein Flash-ROM an den USB-Port des Computers anzuschließen, das anwendungsseitig als normales Wechselmedium erkannt wird [CT2002-03]. Dadurch ist es zu allen gängigen Anwendungen kompatibel, die den Schlüssel in einer frei wählbaren Datei speichern können. USB-Ports sind heutzutage an allen aktuellen Computern zu finden und auch aktuelle Betriebssysteme unterstützen diese Schnittstelle. Wenn es lediglich darum geht, dass der Anwender sich gegenüber einem Server identifizieren kann, ist es auch möglich auf Generatoren für Einmalpassworte zurückzugreifen. Es wäre dann beispielsweise möglich, dass sich ein Anwender, der 68
Seite 1 und 2:
Diplomarbeit Einsatzmöglichkeiten
Seite 3 und 4:
Inhalt Abbildungsverzeichnis.......
Seite 5 und 6:
8.4. Umsetzung.....................
Seite 7 und 8:
Tabellenverzeichnis Tabelle 4-1: Em
Seite 9 und 10:
Firewall Fingerabdruck Fingerprint
Seite 11 und 12:
Switch Symmetrische Verschlüsselun
Seite 13 und 14:
und 4 (Einsatzmöglichkeiten krypto
Seite 15 und 16:
(3) Den im Absatz 1 Genannten stehe
Seite 17 und 18:
3. Rechtlicher Rahmen der Kryptogra
Seite 19 und 20:
4. Einsatzmöglichkeiten kryptograp
Seite 21 und 22:
4.1.2. Asymmetrische Verschlüsselu
Seite 23 und 24:
symmetrisch [Bit] asymmetrisch [Bit
Seite 25 und 26:
der Authentizität der öffentliche
Seite 27 und 28: Rahmenbedingungen: • Dave (die DF
Seite 29 und 30: 4.5. Schlüsselverlust Ein Problem
Seite 31 und 32: • Ist eine Verschlüsselung notwe
Seite 33 und 34: 5. Verwendete Algorithmen Im Folgen
Seite 35 und 36: Definition 5: Die Eulersche Funktio
Seite 37 und 38: Galois-Felder und Polynome in Körp
Seite 39 und 40: 128 192 Im Folgenden sei M die 128,
Seite 42 und 43: N b Z1 Z2 Z3 4 (128 Bit) 1 2 3 6 (1
Seite 44 und 45: Für den Fall, dass die Blocklänge
Seite 46 und 47: Wenn nun Bob eine Nachricht M an Al
Seite 48 und 49: 6. Ausgewählte Kommunikationsproze
Seite 50 und 51: Merkmale der Kommunikationspartner:
Seite 52 und 53: Merkmale der Performance: • Die P
Seite 54 und 55: Netz-Umgebung Art der Kommunikation
Seite 56 und 57: en Zugriff auf solch sensible Daten
Seite 58 und 59: Netz-Umgebung Art der Kommunikation
Seite 60 und 61: 7. Soll-Modell 7.1. Vorbemerkungen
Seite 62 und 63: Client Server Anpassung der Applika
Seite 64 und 65: selung 192 bzw. 256 Bit und für di
Seite 66 und 67: Gruppe Parameter Verschlüsselung A
Seite 68 und 69: 7.2.2. Firewall-Firewall VPN-Tunnel
Seite 70 und 71: 7.2.4. Direkter Tunnel zwischen Ser
Seite 72 und 73: 7.2.6. Web-Client-Zertifikate Abbil
Seite 74 und 75: 7.2.8. E-Mail Add-On Abbildung 7-10
Seite 76 und 77: schen den Firewalls auf beiden Seit
Seite 80 und 81: sich über das Internet in die MHH
Seite 82 und 83: 8.2. Auswahl der CA-Software Im Fol
Seite 84 und 85: 8.3.2. Firewall-Firewall VPN-Tunnel
Seite 86 und 87: Wie in der Zielvorstellung bereits
Seite 88 und 89: 8.3.6. Web-Client-Zertifikate Abbil
Seite 90 und 91: 8.3.8. E-Mail Add-On Abbildung 8-9:
Seite 92 und 93: Cisco-Routern ist es beispielsweise
Seite 94 und 95: 8.4.7. Gesicherter interner Mailver
Seite 96 und 97: Verlust des Schlüssels zugegriffen
Seite 98 und 99: auf SUN SPARC Hardware bzw. unter W
Seite 100 und 101: [IBMT2000] [iX2002-03] Fraunhofer I
Seite 102: Danksagung „Gut Ding will Weile h
Alle anzeigen

Einsatzmöglichkeiten kryptographischer Methoden zur Signatur und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?