De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Computer Cryptografie en PKI

GepubliceerdFrans Vink Laatst gewijzigd meer dan 9 jaar geleden

Verwante presentaties

Presentatie over: "Computer Cryptografie en PKI"— Transcript van de presentatie:

1 Computer Cryptografie en PKI
“Xbboajoojhf Xjtlvoef” “Xbboajoojhf Xjtlvoef” Lex Zwetsloot Csite Lex Zwetsloot Csite

2 Onderwerpen Doel van Computercryptografie Bouwstenen
Symmetrische Encryptie/Decryptie Oplossing van het Key-distributieprobleem Asymmetrische Encryptie/Decryptie Hash-functies Certificaten Toepassing Certificaten Meer weten…

3 Doel Computercryptografie
wordt ingezet om de volgende doelen te realiseren: Vertrouwelijkheid (Confidentiality) Het vertrouwelijk behandelen van gegevens bij transport en opslag (Digital sealing) Identificatie en Authenticatie van gebruikers, computers en computerservices Integriteit van Data Garantie van authenticiteit (Digital signing) Bewijslast over verrichte transacties Onweerlegbaarheid of Non-repudiation

4 Bouwstenen Computercryptografie
Symmetrische of “Secret Key” Algoritmen Asymmetrische of “Public Key” Algoritmen Hash-functies CA’s en Certificaten

5 Protocollen, Algoritmen en Keys
Protocol: - Gestandaardiseerde wijze van behandeling (transport en overdracht) van cryptografisch materiaal. Een protocol kan uit meerdere algoritmen zijn samengesteld. Algoritme: - Wiskundige wijze waarop versleuteling/ontsleuteling plaatsvindt - Openbaar en gestandaardiseerd Key: - Variabele die, samen met de klare tekst en het algoritme, de cijfertekst oplevert (v.v.) - De geheime component bij * Secret Key of symmetrische algoritmen * De private key bij asymmetrische algoritmen

6 Schema Symmetrische Encryptie

7 Eigenschappen Symmetrische Encryptie
Eén sleutel voor ver- en ontcijfering Voordelen: - Snel algoritme; Beperkte processorbelasting; geschikt voor grote hoeveelheden data, ook streaming Nadelen: - Sleuteldistributie !!! - Alleen bij grote sleutellengtes voldoende beschermd tegen “exhaustive search” attacks

8 Symmetrische Encryptie (2)
Algoritmen die gebruik maken van Symmetrische Encryptie (Secret Key of Shared Secret): DES DESX 3DES CAST BlowFish FEAL IDEA

9 Oplossing voor het sleuteldistributieprobleem: Principe Diffie-Hellman Key-Exchange

10 Diffie-Hellman Group

11 Zwakte in Diffie-Hellman Key-Exchange
Geen “Proof of Identity” Geen bescherming tegen “(Wo)man in the middle” - attacks

12 Asymmetrische Encryptie
Ingewikkelde wiskunde; hoge processorbelasting, daardoor alleen geschikt voor kleine hoeveelheden gegevens. (passwords, Credit Cardnummer etc.) Gebruikt grote sleutellengtes: 512, 1024 of 2048 bits. Verschillende algoritmen: - RSA, - DSA/DSS(NSA), - ElGamal

13 Asymmetrische Encryptie (2)
Voorbeeld: RSA met complementaire sleutels (basis van PKI)

14 Asymmetrische Encryptie (3): Principe van RSA

15 Asymmetrische Encryptie (4): RSA Sealing

16 Hash-functies Hashing algoritme produceert een message-digest (hash) van een bericht Hash bevat geen gegevens uit het bericht Drie gangbare algoritmen: - MD4 ; levert 128 bits hash - MD5 ; levert 128 bits hash - SHA ; levert 160 bits hash Langere hash-value verkleint kans op “collision”

17 Toepassing Hashfuncties
Digitale Handtekeningen (Signing) NTLM, Challenge/Response HMAC (RFC 2202) CHAP, MS-CHAP, MS-CHAP2

18 RSA+Hashing: Digital Signatures: “Signing”

19 (PKI) Certificaten Doel:
Authenticatie: Koppelen van een Public Key aan een persoon, computer of service Benodigd: Een trusted (third) party, de Certificate Authority PKI - Aware toepassingen (Iexplore, Outlook, -Express)

20 Public Key Infrastructure
Top van PKI-organisatie is de Root CA: - Publieke CA’s, bijv.: Verisign, Thawte - Enterprise of Privé CA’s Root CA maakt z’n eigen Master Keypair en (Self-Signed) Root Certificate Subordinate CA’s op diverse locaties CA publiceert ook CRL en CDP (Certificate Revocation List, CRL Distribution Point)

21 Public Key Infrastructure
Installatie van de Root Certification Authority (Root-CA)

22 PKI: Installatie CA CSP
Voorbeeld van de omvang van een 1024-bits Public Key Attributen worden aan de Public Key toegevoegd Version: X.509 V3 Issued to: Acme-Root CA Issued by: Acme-Root CA Valid from: Valid until: Key Usage: Authentication Serial No: e 9a d2 .. Subject: Acme-Root CA Public Key: RSA (1024 bits) Hash algorithm: MD5 CSP De Cryptographic Service Provider (CSP) van Windows genereert een keypair (Private- en Public Key) MD5-hash van data in pseudo-certificaat met Public Key Bf 9c 0d 32 bd 5c a 08 Met Private Key versleutelde hash-value; De “Thumbprint” 01 07 bc c 2b 3e 77 ..

23 PKI: Installatie CA Version: X.509 V3 Issued to: Acme-Root CA
Issued by: Acme Root CA Valid from: Valid until: Key Usage: Authentication Serial No: e 9a d2 .. Subject: Acme-Root CA Public Key: RSA (1024 bits) Hash algorithm: MD5 Bf 9c 0d 32 bd 5c a 08 01 07 bc c 2b 3e 77 ..

24 PKI: Installatie CA Version: X.509 V3 Issued to: Acme-Root CA
Issued by: Acme Root CA Valid from: Valid until: Key Usage: Authentication Serial No: e 9a d2 .. Subject: Acme-Root CA Public Key: RSA (1024 bits) Hash algorithm: MD5 01 07 bc c 2b 3e 77 ..

25 PKI: Installatie CA CA Root Certificate Version: X.509 V3
Issued to: Acme-Root CA Issued by: Acme Root CA Valid from: Valid until: Key Usage: Authentication Serial No: e 9a d2 .. Subject: Acme-Root CA Public Key: RSA (1024 bits) Hash algorithm: MD5 01 07 bc c 2b 3e 77 .. CA Root Certificate Version: X.509 V3 Issued to: Acme-Root CA Issued by: Acme Root CA Valid from: Valid until: Key Usage: Authentication Serial No: e 9a d2 .. Subject: Acme-Root CA Public Key: RSA (1024 bits) Hash algorithm: MD5 01 07 bc c 2b 3e 77 ..

26 PKI: Installatie CA

27 PKI: Distributie van Root Certificate
Export en distributie van root-certificaat in de vorm van *.cer bestand. (formaat: pkcs#7) Acme Root CA

28 PKI: Distributie van Root Certificate
Acme Root CA Alle computers waarop een kopie van het Root CA Certificaat is geïnstalleerd zien deze CA nu als een vertrouwde instantie

29 Public Key Infrastructure
Aanvraag van een SSL Webserver-Certificaat

30 PKI: Aanvraag SSL Certificaat
Acme Root CA CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: Public Key: RSA (1024 bits) CSP

31 PKI: Aanvraag SSL Certificaat
CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: Public Key: RSA (1024 bits) ac 2e 9d 01 ec a 08 2b 12 0f 28 ec 4c 2f 39 d7 ..

32 PKI: Aanvraag SSL Certificaat
CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: Public Key: RSA (1024 bits) 2b 12 0f 28 ec 4c 2f 39 d7 ..

33 PKI: Aanvraag SSL Certificaat
CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: Public Key: RSA (1024 bits) 2b 12 0f 28 ec 4c 2f 39 d7 .. CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: Public Key: RSA (1024 bits) 2b 12 0f 28 ec 4c 2f 39 d7 ..

34 PKI: Aanvraag SSL Certificaat
CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: Public Key: RSA (1024 bits) 2b 12 0f 28 ec 4c 2f 39 d7 .. CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: Public Key: RSA (1024 bits) 2b 12 0f 28 ec 4c 2f 39

35 PKI: Aanvraag SSL Certificaat
CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: Public Key: RSA (1024 bits) 2b 12 0f 28 ec 4c 2f 39 CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: Public Key: RSA (1024 bits) 2b 12 0f 28 ec 4c 2f 39

36 PKI: Aanvraag SSL Certificaat

37 Public Key Infrastructure: Client sessie met SSL-Website

38 PKI: Client sessie met SSL-Website
Client in bezit van kopie CA-Root Certificate Get Send certificate

39 PKI: Client sessie met SSL-Website
CERTIFICATE Issued to: ABC.com Issued by: Acme Root CA Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: Public Key: RSA (1024 bits) 2b 12 0f 28 ec 4c 2f 39 d7 ..

40  PKI: Client sessie met SSL-Website https://www.abc.com
Er is een ‘match’ tussen de meegezonden, -encrypted- hash (de thumbprint) en de hérberekende hash; De webserver kan het certificaat dus alleen van Acme Root CA hebben verkregen!!! Public Key uit ‘Trusted’ Root Certificate van Acme Root CA CERTIFICATE Issued to: ABC.com Issued by: Acme Root CA Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: Public Key: RSA (1024 bits) 3b 9c 01 bf 77 d3 21 fc .. 3b 9c 01 bf 77 d3 21 fc .. 2b 12 0f 28 ec 4c 2f 39 d7 ..

41 PKI: Client sessie met SSL-Website
Er is een ‘match’ tussen de meegezonden, -encrypted- hash (de thumbprint) en de hérberekende hash; De webserver kan het certificaat dus alleen van Acme Root CA hebben verkregen!!! CERTIFICATE Issued to: ABC.com Issued by: Acme Root CA Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: Public Key: RSA (1024 bits) 3b 9c 01 bf 77 d3 21 fc .. 3b 9c 01 bf 77 d3 21 fc .. 2b 12 0f 28 ec 4c 2f 39 d7 ..

42 PKI: Client sessie met SSL Website Key-Exchange

43 PKI: Key-Exchange CSP https://www.abc.com Public Key van www.abc.com
Symmetrische (DES) Key, aangemaakt door CSP van client PC

44 PKI: Key-Exchange

45 Beide partijen beschikken nu over dezelfde symmetrische DES Key
PKI: Key-Exchange Beide partijen beschikken nu over dezelfde symmetrische DES Key

46 PKI: Confidential Data Exchange (Zeer snel!!)

47 PKI: Confidential Data Exchange
(SSL) Enter Credit Card No (SSL) Enter Credit Card No Credit card No: Credit card No:

48 Public Key Infrastructure
Root CA CAPolicy.inf voor installatie Root CA om: - CDP en CPS in Root-Certificate te plaatsen Root CA meestal Stand-Alone Subordinates meestal Enterprise (AD)

49 Certificaten (2) Bevatten o.m. de volgende onderdelen:
De Naam van de aanvrager; “Issued To …” De Naam van de verstrekker (CA) “Issued by …” De Public Key van de aanvrager Een geldigheidsperiode “Valid from … to …” Doel van het Certificaat: EFS, , Verificatie Een hash-value van het certificaat, versleuteld met de Private Key van de CA. (Digitale handtekening van CA)

50 Certificaten(3) Twee typen certificaten in omloop:
Version 1: -Windows 2000/2003/XP -Vaste layout (template) Version 2: -Alleen Windows 2003/XP -Vaste- en “Custom” templates -Geschikt voor Auto-enrollment

51 Toepassing Certificaten
S/MIME (Sealing/Signing) POP3 + SSL IMAP4 + SSL (E)SMTP + TLS Authenticatie: Kerberos v.3/X.509 Beveiligde Webpagina’s: HTTPS (SSL/TLS) Beveiligde TCP/IP: IPSec Encrypted File System: EFS VPN’s (IPSec) Port-based Authenticatie 802.1x

52 Meer Weten ? … RSA-Security: www.rsasecurity.com/faq
CODE-book: KU-Brussel:

53 RFC’s

54 Vragen???

Download ppt "Computer Cryptografie en PKI"

Verwante presentaties

Help, ik moet naar Office 2007!?. Wat horen wij bij klanten Training “New UI will cause too big of a loss in productivity” Training “New UI will cause.

Help, ik moet naar Office 2007!?. Wat horen wij bij klanten Training “New UI will cause too big of a loss in productivity” Training “New UI will cause.
Agenda Blok 1 - Evolutie van Cloud Computing

Agenda Blok 1 - Evolutie van Cloud Computing
Een alternatief voorstel Naar aanleiding van bestudering van de IAASB voorstellen denkt de NBA na over een alternatief. Dit alternatief zal 26 september.

Een alternatief voorstel Naar aanleiding van bestudering van de IAASB voorstellen denkt de NBA na over een alternatief. Dit alternatief zal 26 september.
Internet College 2 Architecturen. Architectuur van netwerktoepassingen •Peer to peer –Windows werkgroep •File- en printer sharing •Internet connection.

Internet College 2 Architecturen. Architectuur van netwerktoepassingen •Peer to peer –Windows werkgroep •File- en printer sharing •Internet connection.
JQuery en ASP.NET Bart De Meyer.

JQuery en ASP.NET Bart De Meyer.
Tentamen Maandag, 1 juli H en H.2.403

Tentamen Maandag, 1 juli H en H.2.403
AUTHENTICATION SOLUTIONS

AUTHENTICATION SOLUTIONS
Access en MySql Ynte Jan Kuindersma, BIRD Automation Nationale Officedag 2009 EDE, 14 Oktober 2009.

Access en MySql Ynte Jan Kuindersma, BIRD Automation Nationale Officedag 2009 EDE, 14 Oktober 2009.
Copyright © 2008 Tele Atlas. All rights reserved. Zet uw Business Data op de kaart: Locaties in eTOM ®

Copyright © 2008 Tele Atlas. All rights reserved. Zet uw Business Data op de kaart: Locaties in eTOM ®
Open Access en de universiteit IQ healthcare Bart Staal.

Open Access en de universiteit IQ healthcare Bart Staal.
Programmeren in Java met BlueJ

Programmeren in Java met BlueJ
Inleiding Internetwerking Telecommunicatie. 2003-2004 - Information management 2 Groep T Leuven – Information department 2/7 Doelstellingen De student.

Inleiding Internetwerking Telecommunicatie Information management 2 Groep T Leuven – Information department 2/7 Doelstellingen De student.
Cloud Computing woensdag 20 november 2013. Wat is Cloud Computing ? Cloud Computing.

Cloud Computing woensdag 20 november Wat is Cloud Computing ? Cloud Computing.
SSL, HTTPS en SSH Johnny Schaap.

SSL, HTTPS en SSH Johnny Schaap.
Business Productivity Online Suite

Business Productivity Online Suite
SQL VOOR BIOLOGEN © 2011 M.L. Hekkelman CMBI Radboud UMC.

SQL VOOR BIOLOGEN © 2011 M.L. Hekkelman CMBI Radboud UMC.
TCP/IP Fundamentals 7 december 2001 Internet Society, Zoetermeer Iljitsch van Beijnum Copyright 2001 Iljitsch van Beijnum Er zijn onderdelen.

TCP/IP Fundamentals 7 december 2001 Internet Society, Zoetermeer Iljitsch van Beijnum Copyright 2001 Iljitsch van Beijnum Er zijn onderdelen.
EduRoam en beveiliging

EduRoam en beveiliging
Voor VBA programmeurs Maurice de Beijer.  Maurice de Beijer.  The Problem Solver.  Visual Basic MVP.  Blog: theproblemsolver/default.aspxhttp://msmvps.com/blogs/

Voor VBA programmeurs Maurice de Beijer.  Maurice de Beijer.  The Problem Solver.  Visual Basic MVP.  Blog: theproblemsolver/default.aspxhttp://msmvps.com/blogs/
Speaking OData to SharePoint 2010 in a RESTful manner Michaël Hompus | Principal Developer | Winvision.

Speaking OData to SharePoint 2010 in a RESTful manner Michaël Hompus | Principal Developer | Winvision.

Verwante presentaties

Ads door Google