Download de presentatie
De presentatie wordt gedownload. Even geduld aub
1
Cryptografie en ICT L.V.de.Zeeuw@HR.NL
2
6 Sleutelmanagement L.V. de Zeeuw Cryptografie en ICT
3
Veilige sleutellengten
Factoren van belang: Het gekozen cryptosysteem De levensduur van de sleutel Levensduur is periode waarna de sleutel wordt vervangen. De beschikbare computerkracht om sleutels te kraken. Uitgedrukt in MIPS jaren. MIPS (million instructions per second). Een MIPS jaar is het aantal instructies in een jaar. L.V. de Zeeuw Cryptografie en ICT
4
Computerkracht vergeleken
L.V. de Zeeuw Cryptografie en ICT
5
Sleutelmanagement Taken
Sleutel generatie: Onbevoegden mogen geen kennis kunnen nemen van de gegenereerde sleutels. Het genereren van sleutels moet willekeurig gebeuren (random-generator) L.V. de Zeeuw Cryptografie en ICT
6
Sleutelmanagement Taken
Distributie van sleutels: Handmatig: Sleutel splitsen en door twee functionarissen de distributie laten begeleiden. Geautomatiseerd. De sleutel wordt vercijferd → Hiërarchisch sleutelmanagement. Bijvoorbeeld: Gebruik RSA om DES sleutels te distribueren. L.V. de Zeeuw Cryptografie en ICT
7
Sleutelmanagement Taken
Opslaan van sleutels: Sleutel vercijferd opslaan. Fysieke maatregelen nemen om de sleutel te beschermen. Sleutel splitsen in meer delen. L.V. de Zeeuw Cryptografie en ICT
8
Sleutelmanagement Taken
Vervangen van sleutels: Sleutels mogen niet te lang worden gebruikt: De bruikbaarheid van bekend geraakte sleutels wordt zo voorkomen. Onderscheid: Lang houdbare sleutels: Sleutels die weinig worden gebruikt. Kort houdbare sleutels: Sleutels die zeer frequent worden gebruikt. Bijvoorbeeld: Eén communicatie sessie (session-key) L.V. de Zeeuw Cryptografie en ICT
9
Sleutelmanagement Taken
Vernietigen van sleutels: Sleutels die niet meer nodig zijn worden volgens strikte procedures vernietigd. In de procedure wordt onder andere vastgesteld dat er geen gegevens meer zijn die met de te vernietigen sleutel zijn vercijferd. L.V. de Zeeuw Cryptografie en ICT
10
Sleutel probleem bij public-key cryptografie
Hoe kun je controleren van wie een specifieke publieke sleutel is? Public-key van Anna Public-key van Chris Door Chris gelezen en/of aangepast bericht van Bob aan Anna Geheim bericht van Bob aan Anna vercijfert met de public-key van Chris L.V. de Zeeuw Cryptografie en ICT
11
Public-Key Infrastructure (PKI)
Public Key Infrastructure (PKI) is een verzameling van technische en organisatorische voorzieningen die het gebruik van encryptie door middel van publieke sleutels ondersteunt. Centraal in de infrastructuur is de derde partij. Deze derde partij bevestigt de identiteit van de eigenaar van een bepaalde sleutel door er een bewijs van vertrouwen, een certificaat, aan te koppelen. L.V. de Zeeuw Cryptografie en ICT
12
Certificaat Dit certificaat vormt voor andere gebruikers een bewijs dat een publieke sleutel bij een bepaalde persoon hoort. De waarde die men aan dit bewijs kan hechten is afhankelijk van het vertrouwen dat de uitgever van het certificaat geniet. L.V. de Zeeuw Cryptografie en ICT
13
Certificaat De derde partij kan een kennis van de eigenaar van de sleutel zijn, maar vaak vervult een instelling die algemeen vertrouwen geniet, de rol van derde partij. Tegenwoordig zijn er veel bedrijven en instellingen die een Public Key Infrastructure als dienst aanbieden en als derde partij optreden. L.V. de Zeeuw Cryptografie en ICT
14
Certificaat Een certificaat bevat minimaal:
de geregistreerde naam van de eigenaar. de publieke sleutel van de eigenaar. de geldigheidsduur van het certificaat. de naam en de digitale handtekening van de uitgever van het certificaat. een serienummer. L.V. de Zeeuw Cryptografie en ICT
15
Standaard Voor certificaten is een officiële standaard ontwikkeld: X.509 v3 Zie: L.V. de Zeeuw Cryptografie en ICT
16
Structuur X.509 v3 certificaat
Certificate Version Serial Number Algorithm ID Issuer Validity Not Before Not After Subject Subject Public Key Info Public Key Algorithm Subject Public Key Issuer Unique Identifier (Optional) Subject Unique Identifier (Optional) Extensions (Optional) ... Certificate Signature Algorithm Certificate Signature L.V. de Zeeuw Cryptografie en ICT
17
PKI begrippen Certification Authority (CA) De functie van de CA is om de publieke sleutel aan een identiteit te koppelen. De CA heeft als rol te garanderen dat de persoon die het unieke certificaat in handen heeft, ook daadwerkelijk degene is wie hij zegt dat hij is. L.V. de Zeeuw Cryptografie en ICT
18
PKI begrippen Registration Authority (RA)
De functie van de RA is, in verband met de schaalbaarheid, werk uithanden nemen van de CA. De functie van het uitgeven van certificaten (CA) en het registreren van eindgebruikers en vaststellen van de identiteit van eindgebruikers (RA) wordt zo van elkaar gescheiden. L.V. de Zeeuw Cryptografie en ICT
19
PKI begrippen Trusted Third Party (TTP) De CA en/of RA wordt ook wel de een Trusted Third Party genoemd. L.V. de Zeeuw Cryptografie en ICT
20
PKI begrippen Certification Practice Statement (CPS)
Een beschrijving van het hele proces van certificering: Doelgroep Toepassingsgebied Algemene bepalingen Beveiligingsbeleid Procedures voor de aanvraag van certificaten L.V. de Zeeuw Cryptografie en ICT
21
PKI begrippen Certifcate Revocation List (CRL) Een lijst met ingetrokken of geblokkeerde certificaten. L.V. de Zeeuw Cryptografie en ICT
22
Componenten PKI CA Directory RA RA Bob Anna L.V. de Zeeuw
Cryptografie en ICT
23
Typen PKI Gesloten omgeving: Een organisatie richt een PKI in voor gebruik binnen de eigen organisatie. Open omgeving: Een PKI ingericht voor gebruik tussen meerdere organisaties en/of privé personen. L.V. de Zeeuw Cryptografie en ICT
24
Typen PKI Gesloten Omgeving Open Omgeving L.V. de Zeeuw
Cryptografie en ICT
25
Vertrouwensrelaties Hiërarchische model Root CA Ca
(De pijlen geven certificerings relaties aan) Root CA Ca L.V. de Zeeuw Cryptografie en ICT
26
Vertrouwensrelaties Netwerk model Ca
(De pijlen geven certificerings relaties aan) Ca L.V. de Zeeuw Cryptografie en ICT
27
Vertrouwensrelaties Model Voordeel Nadeel Hiërarchisch model
Duidelijkheid over de opbouw van vertrouwensrelaties Een compromis in de structuur heeft grote gevolgen Netwerk model Groei mogelijkheden zonder tussen komst van een root-CA Onduidelijkheid over de opbouw van vertrouwensrelaties L.V. de Zeeuw Cryptografie en ICT
28
Cross-certificering Gesloten Omgeving Open Omgeving
Beide CA’s moeten gelijkwaardig aan elkaar zijn. L.V. de Zeeuw Cryptografie en ICT
29
Trusted Third-Parties
Het opzetten en onderhouden van een PKI infrastructuur en aanvullende diensten is veel werk. Als organisatie kun dit vele werk uitbesteden aan een vertrouwd gespecialiseerd bedrijf: de Trusted Third-Partie (TTP) TTP L.V. de Zeeuw Cryptografie en ICT
30
Trusted Third-Parties diensten
Registratie, identificatie en authenticatie van gebruikers. Generatie en beheer van certificaten Sleutelbeheer Beschikbaar stellen van de Certificate Practice Statements (CPS) Key escrow L.V. de Zeeuw Cryptografie en ICT
31
Key escrow Overheidsinstanties zijn niet blij met de (sterke) cryptografische mogelijkheden waarover de burger inmiddels beschikt. Cryptografie bemoeilijkt het werk van opsporings-instanties. Opsporingsinstanties willen over de mogelijkheid beschikken afgetapt en vercijfert elektronisch dataverkeer te ontcijferen. Om dit mogelijk te maken wil de overheid graag dat bij gebruik van sterk cryptografie de gebruiker zijn privé sleutel deponeert bij een TTP. De overheid mag vervolgens via een gerechtelijk bevel deze sleutel opvragen en gebruiken om jouw vercijferde en afgetapte dataverkeer te kunnen ontcijferen. L.V. de Zeeuw Cryptografie en ICT
32
PKI real-life 20% Techniek 80% Organisatorische en Juridische aspecten
L.V. de Zeeuw Cryptografie en ICT
33
SURFnet PKI Voorbeeld: http://pgp.surfnet.nl/ L.V. de Zeeuw
Cryptografie en ICT
Verwante presentaties
