Sonntag, 18. Januar 2015

VPN

VPN ist ein logisches privates Netzwerk auf einer öffentlich zugänglichen Infrastruktur. Nur die Kommunikationspartner, die zu diesem privaten Netzwerk gehören, können miteinander kommunizieren und Informationen und Daten austauschen. VPN-Netzwerke müssen Sicherheit der Authentizität, Vertraulichkeit und Integrität sicherstellen.

What is a VPN used for? 

Verwendung und Entwicklung:


Ein VPN-Netzwerk wird verwendet, um eine sichere Verbindung zwischen zwei oder mehreren Teilnehmern über das Internet herzustellen. (z.B. Verbindung zweier Standorte eines Unternehmens). Damit kann zum Beispiel ein Zugriff über das Unternehmensnetzwerk von unterwegs erfolgen. Der Datenverkehr wird in der Regel verschlüsselt. Zudem können Zugriffsbeschränkungen von Ländern umgangen werden, in denen der freie Zugriff auf das Internet nicht möglich ist. Es bietet Schutz der Privatsphäre, da der Datenverkehr nicht von Dritten mitgelesen werden kann.

How did VPNs evolve?

In den späten 1970 wurden erste LAN-Netzwerke in der akademische Arbeitswelt eingesetzt. Hierbei gibt es eine Vielzahl von Varianten, zum Beispiel Metropolitan Area Networks (MANs), welche für Schulen verwendet wurden und Wide Area Networks (WANs) die für Kommunikation zwei oder mehrerer Universitäten dienten. Als Computer zudem ein Bestandteil der Arbeitswelt wurden, brauchten die Unternehmen auch Netzwerklösungen, um ihre Standorte sicher zu verbinden. Deshalb kamen die Virtual Private Networks (VPNs) zum Einsatz. Sie bieten einen sicheren Zugriff auf ein Organisationsnetzwerk.


Which types of VPNs are used?

VPN-Typen


End-to-Site-VPN (Host-to-Gateway-VPN / Remote-Access-VPN)


Es wird ein VPN-Tunnel zu einem entfernten lokalen Netzwerk über ein öffentliches Netzwerk hergestellt. Dazu muss ein VPN-Client auf dem Computer des externen Mitarbeiters installiert sein. Der User authentifiziert sich über den Netzwerkserver, um einen Zugriff auf das Netzwerk zu erlangen. Im Vordergrund steht ein möglichst geringer, technischer und finanzieller Aufwand für einen sicheren Zugriff auf das entfernte Netzwerk.

Site-to-Site-VPN (LAN-to-LAN-VPN / Gateway-to-Gateway-VPN / Branch-Office-VPN)


Bei diesem Typ werden über ein öffentliches Netzwerk mehrere lokale Netze verbunden. Im Vordergrund steht ein möglichst geringer, technischer und finanzieller Aufwand für einen sicheren Zugriff auf das entfernte Netzwerk. Der User authentifiziert sich hierbei über einen Extranet Server. Dieser kontrolliert auch die Netzwerkressourcen.
Das Extranet-VPN ist eine Variante von Site-to-Site-VPN. Während ein Branch-Office-VPN nur mehrere lokale Netzwerke einer Firma verbindet, ist ein Extranet-VPN ein virtuelles Netzwerk, das die Netzwerke unterschiedlicher Firmen miteinander verbindet.


End-to-End-VPN (Host-to-Host-VPN / Remote-Desktop-VPN)

Bei diesem VPN-Szenario greift ein Client auf einen anderen Client in einem entfernten Netzwerk zu. Hierbei deckt der VPN-Tunnel die gesamte Verbindung zwischen zwei Hosts ab. Zudem muss auf beiden Seiten eine entsprechende VPN-Software installiert und konfiguriert sein. Eine typische Anwendung ist ein Remote-Desktop über öffentliche Netze (z.B. Teamviever oder GotoMyPC).

What made VPNs possible?
Durch die Entstehung des öffentlichen Netzwerkes, wurden die Virtual Private Networks erst möglich. Die Kommunikationspartner, die zu einem privaten Netzwerk gehören, können über das Internet miteinander kommunizieren und Informationen und Daten austauschen. 

What is tunneling?

Tunneling


Zur Gewährleistung einer gesicherten Datenübertragung über das Internet, wird mit einem Tunneling-Protokoll eine verschlüsselte Verbindung, der VPN-Tunnel, aufgebaut. Der Tunnel ist eine logische Verbindungen zwischen beliebigen Endpunkten. Meist sind das VPN-Clients, VPN-Server und VPN-Gateways. Da der Inhalt dieser Daten für andere nicht sichtbar ist, werden diese virtuellen Verbindungen Tunnel genannt.

What are the components of a VPN? How do they work together? Explain that in more detail.

Komponenten von VPN:



  • Authentifizierung: Bei der Authentifizierung wird der VPN-Benutzer identifiziert und überprüft, ob die Daten vom VPN-Benutzer stammen.
  • Tunneling: Der VPN-Tunnel überträgt die Datenpakete von einem Ende zum anderen.
  • Verschlüsselung: Durch die Verschlüsslung wird sichergestellt, dass die Daten bei der Übertragung über das öffentliche Netzwerk nicht von Dritten gelesen werden können.

Das zu versendende Paket wird mit einer lokalen Adresse gekennzeichnet. Dieses Paket kann aber nicht einfach über das Internet gesendet werden, da es die Kennzeichnung nicht identifizieren kann (Private Adresse). Es muss daher ein sogenannter Tunnel zwischen den kommunizierenden Teilnehmern hergestellt werden. Durch diesen können die privaten Pakete über das Internet gesendet werden. Dafür wird das Paket verkapselt, das nun einen bestimmten Header aufweist. Das Paket wird zu einem VPN-Server gesendet, der das Paket akzeptiert und entkapselt sowie an das private Netzwerk weitersendet.  Dieser gesamte oben beschriebene Vorgang wird Tunneling genannt. Zudem gibt es verschiedene Protokolle, um das Tunneling zu realisieren.

Immer wenn man eine VPN-Verbindung zwischen zwei Netzwerken herstellen will, muss es eine Möglichkeiten geben, um jemanden zu identifizieren bzw. sich zu authentisieren zu können. Denn die VPN-Verbindung akzeptiert nur Teilnehmer der verbundenen Netze. Deshalb sendet ein Teilnehmer einen Request und muss sich am VPN-Server authentifizieren. Wiederum gibt es eine Vielzahl von Protokollen, um dies zu realisieren.

Um eine sichere Verbindung aufzubauen, muss diese verschlüsselt werden. Es sind viele Verschlüsselungsstandards und Protokolle vorhanden (unten angeführt).

Which algorithms are used for encrpyting the packets?

Verschlüsselungsalgorithmen:


  • AES-128
  • AES-256
  • DES
  • 3DES

Which VPN protocols are used very often in industry?

VPN-Protokolle:


  • PPTP (Point-to-Point Tunneling Protocol)
  • IPsec (Internet Protocol Security)
  • L2TP (Layer 2 Tunneling Protocol)
  • L2TP/IPsec

What is a split tunnel?

Split-Tunneling:


Split-Tunneling bedeutet, dass nur Daten, die an einen Teilnehmer im VPN-Netzwerk gesendet werden sollen, über die VPN-Verbindung (durch den Tunnel) transferiert werden. Alle anderen Daten werden über die Internetverbindung gesendet. Damit werden unnötige Umwege vermieden und Transferzeiten reduziert.


Explain in short how OpenVPN and IPSec work and which components do they consist of?

OpenVPN und IPSec:


OpenVPN dient zum Aufbau eines VPN-Netzwerkes über eine verschlüsselte TLS-Verbindung. Dazu werden Bibliotheken des Programmes OpenSSL zur Verschlüsselung benutzt. OpenVPN verwendet wahlweise UDP oder TCP zum Transport. Um eine Verbindung per OpenVPN aufzubauen, muss man auf beiden Seiten die OpenVPN-Software installieren und zueinander passend konfigurieren.

Eine Erweiterung des Internet-Protokolls (IP) stellt IPsec dar. Damit erhält das Internet-Protokoll die Fähigkeit IP-Pakete kryptografisch gesichert über öffentliche unsichere Netze zu transportieren. Es wurde zuerst für IPv6 entwickelt, wurde aber nachträglich für IPv4 spezifiziert.
Die zentralen Funktionen in der IPsec-Architektur sind das AH-Protokoll (Authentification Header), das ESP-Protokoll (Encapsulating Security Payload) und die Schlüsselverwaltung (Key Management).

Bei beiden VPN-Techniken muss man grundsätzlich unterscheiden. Während es sich bei IPsec um einen Standard handelt, der im Internet-Protokoll und damit im Betriebssystem verankert ist, nutzt OpenVPN unterschiedliche Standards und läuft als Software innerhalb eines Betriebssystems als Client oder Server.

Bestandteiel von IPsec-VPNs:


  • Interoperalitität
  • kyptografischer Schutz der übertragenen Daten
  • Zugangskontrolle
  • Datenintegrität
  • Authentisierung des Absenders (Benutzerauthentisierung)
  • Verschlüsselung
  • Authentifizierung von Schlüsseln
  • Verwaltung von Schlüsseln (Schlüsselmanagement)


Quellen:

http://www.nwlab.net/know-how/VPN/

https://www.lrz.de/fragen/faq/vpn/vpn12/

 http://www.elektronik-kompendium.de/sites/net/0512041.htm

http://en.wikipedia.org/wiki/Virtual_private_network

https://www.youtube.com/watch?v=4BfL0UHrzDY&spfreload=10

http://www.elektronik-kompendium.de/sites/net/1706181.htm

http://www.elektronik-kompendium.de/sites/net/0906191.htm

Eingestellt von um Keine Kommentare:

Mittwoch, 17. Dezember 2014

Pretty Good Privacy (PGP) / GNU Privacy Guard(GPG)

What is PGP?

PGP:


Pretty Good Privacy (PGP) ist ein von Phil Zimmermann entwickeltes Programm zur Verschlüsselung und zum Unterschreiben von Daten. Es benutzt dabei ein sogenanntes Public-Key-Verfahren, in dem es ein eindeutig zugeordnetes Schlüsselpaar gibt.

What is PGP mainly used for?

Hauptsächlich wird PGP zur Verschlüsselung von E-Mails verwendet. Im Internet erreichen die E-Mails den Empfänger systembedingt nicht direkt sondern über oft zahlreiche Zwischenstufen. Bei jedem der beteiligten Server besteht prinzipiell eine Mitlesemöglichkeit, da E-Mails im Klartext übermittelt werden. Um das Mitlesen zu verhindern, muss die E-Mail verschlüsselt werden.


How does PGP work?

Funktionsweise:


Man kann mit PGP wahlweise eine Nachricht nur signieren, nur verschlüsseln oder sowohl signieren als auch verschlüsseln. Die Signatur dient dazu, die Echtheit der Nachricht zu garantieren, also dass sie vom behaupteten Absender ist (Authentizität) und nach der Signierung nicht verändert wurde (Integrität). In der Praxis wird man Nachrichten, wenn man sie verschlüsselt, zumeist auch signieren.


Das PGP-System verwendet asymmetrische Schlüssel. Jeder Benutzer besitzt ein Schlüsselpaar. Mit dem einen kann man verschlüsseln und mit dem anderen entschlüsseln. Jeder hat Zugriff auf den öffentlichen Schlüssel. Der den öffentlichen Schlüssel einer Person besitzt, kann dieser Person verschlüsselte E-Mails schicken, aber er kann damit keine verschlüsselte E-Mail wieder lesbar machen. 

Entschlüsseln kann man ausschließlich mit dem privaten Schlüssel. Den privaten Schlüssel darf man keinesfalls weitergeben, sondern sollte ihn sicher aufbewahren. Die Verschlüsselungsmethode zusammen mit der Schlüssellänge gilt als so sicher, daß auch staatliche Organe wie z.B. Geheimdienste PGP-verschlüsselte eMails nicht knacken können. 


What is the web of trust?

Netz des Vertrauens (web of trust):


Das Netz des Vertrauens (web of trust) ist die Idee in der Kryptologie, die Echtheit von digitalen Schlüsseln durch ein Netz von gegenseitigen Bestätigungen (Signaturen), kombiniert mit dem individuell zugewiesenen Vertrauen in die Bestätigungen der anderen („Owner Trust“), zu sichern. Dieses Konzept wird bei PGP, GnuPG und anderen OpenPGP-kompatiblen Systemen angewendet. Es stellt eine dezentrale Alternative zum hierarchischen PKI-System dar.



How and why are certificates used? What is a certificate good for?

Zertifikate:


Zertifikate dienen hauptsächlich zum Überprüfen der Identität einer Person oder eines Geräts, zum Authentifizieren eines Diensts oder zum Verschlüsseln von Dateien. 


What's the difference between PGP and GPG?

Unterschied PGP und GPG:


PGP ist ein kommerzielles Tool zur Verschlüsselung. Proprietäre Software und der Quelltext liegt nicht offen und daher kann man auch nicht sicher sein, dass es in der Software kein Hintertürchen für Entwickler oder Geheimdienste gibt.
Deswegen kam es zur Entwicklung des GnuPrivacyGuard (GPG) als quellenoffene Alternative. Beide Varianten sind nahezu kompatibel zueinander. GPG ist im Gegensatz zu PGP auf fast allen Betriebssystemen der Welt lauffähig.

Which other methods can be used to encrypt E-Mails (see http://en.wikipedia.org/wiki/Email_encryption)?

 Diese Tools bieten weitere Optionen die E-Mails sicher zu verschlüsseln:
  • DataMotion, Inc.
  • Echoworx
  • Email authentication 
  • Email privacy
  • Enigmail-Thunderbird Plug-In
  • Entrust
  • Galaxkey-iOS,Android, Windows, BlackBerry und Outlook Plug-In
  • GPGMail-OS X Mail.app Plug-In
  • HTTP Secure 
  • Hushmail
  • avabit
  • Mail1Click
  • MyKolab
  • Secure Messaging
  • Dark Mail Alliance

How can PGP/GPG be used in popular E-Mail services (c)?

Verwendung:


Das folgende Video auf YouTube zeigt, wie man PGP/GPG Verschlüsselung bei populären E-Mail Services (Gmail, Yahoo-mail, Outlook ) verwenden kann.

https://www.youtube.com/watch?v=Ro3MSBS9w-A

In diesem Video wird die Verwendung eines Tools namens Mailvelope beschrieben. Mailvelops ist ein Opensource-Projekt, dass eine Erweiterung des Chrome Browsers ist. Es implementiert PGP-Verschlüsselung und ist mit Gmail, Outlook.com, Yahoo mail sowie weiteren E-Mail Services kompatibel. Es ist eines der simpelsten E-Mail-Verschlüsselungsprogramme.

Mailvelope:
https://www.mailvelope.com/

Quelle:

http://www.elektronikinfo.de/pc/pgp.htm
http://de.wikipedia.org/wiki/Pretty_Good_Privacy#Funktionsweise
http://de.wikipedia.org/wiki/Web_of_Trust
http://www.bastianoso.de/technologien/e-mail-verschluesselung-ueber-keybase-io.html

Eingestellt von um Keine Kommentare:

Mittwoch, 26. November 2014

Digitale Signature

Im heutigen Thema beschäftigen wir uns mit dem Thema der digitalen Signatur. Die elektronische Signatur gehört im elektronischen Datenaustausch und Handel zu einer immer wichtiger werdenden Größe, um verbindliche Transaktionen zu ermöglichen und Vertrauen in elektronische Kommunikation über potentiell unsichere Netzwerke zu ermöglichen.

What is authentication and integrity?

Authentizität und Integrität:


Authentizität bedeutet die Sicherstellung der Echtheit von Informationen bzw. der Echtheit der behaupteten Identität. Es muss einerseits sichergestellt sein, dass Informationen wirklich aus der angegebenen Quelle stammen (Nachrichtenauthentizität) bzw. dass die vorgegebene Identität, etwa eines Benutzers oder eines an der Kommunikation beteiligten Systems (Teilnehmerauthentizität), korrekt ist. Dieser notwendige Beweis kann durch unterschiedliche Mittel erbracht werden.

Integrität bedeutet die Sicherstellung der Korrektheit (Unversehrtheit, Richtigkeit und Vollständigkeit) von Informationen (Datenintegrität) bzw. der korrekten Funktionsweise von Systemen (Systemintegrität). An verarbeiteten, übertragenen oder gespeicherten Daten dürfen Modifikationen nur mit entsprechender Berechtigung und in beabsichtigter Weise vorgenommen werden, und sie müssen in betriebswirtschaftlicher Hinsicht, mit Geschäftswerten und -erwartungen übereinstimmen.


What are the applications of digital signatures, when are they used?

Anwendungen von digitalen Signaturen:


 Als Organisation geht man weg von Papierdokumenten mit gezeichneten Unterschriften oder Echtheitsstempel. Digitale Signaturen können eine zusätzliche Versicherung sein, dass die Herkunft, die Identität und Status des elektronischen Dokuments stimmen, sowie eine Zustimmung des Unterzeichners beinhalten. Sie werden in vielen Bereichen schon verwendet, wie Universitäten, Banken und Regierungen.

Es kommt in PGP-Systemen zum Einsatz.  PGP ist selbst kein Verschlüsselungsalgorithmus, sondern ein Softwareprodukt, das viele, zum Teil recht komplexe, Verfahren zur symmetrischen und asymmetrischen Verschlüsselung sowie zur elektronischen Signatur zusammenfasst.

Zudem wird es in zertifikatbasierten Systemen eingesetzt. In diesen Systemen erhält jeder Benutzer ein digitales Zertifikat, welches Angaben zu seiner Identität und den öffentlichen Schlüssel enthält. Jedes Zertifikat ist von einer ausgebenden Stelle beglaubigt, die ihrerseits wieder von höheren Stellen beglaubigt sein kann.

How do they work, how is message signed and verified?

Verifizierung und Signierung: 


Dabei wird mittels einer speziellen Einweg-Hash-Funktion der sogenannte digitale Fingerabdruck (Message Digest) einer Nachricht ermittelt. Der Fingerabdruck (hash) wird anschließend mit dem privaten Schlüssel des Senders verschlüsselt und zusammen mit der (ebenfalls verschlüsselten) Nachricht übertragen. Der Empfänger entschlüsselt nun den Fingerabdruck mit dem öffentlichen Schlüssel des Senders, wodurch die Authentizität des Senders gewährleistet wird. Anschließend berechnet er aus der erhaltenen Nachricht einen eigenen Fingerabdruck und vergleicht diesen mit dem von dem Empfänger erhaltenen. Stimmen beide überein, verfügen Sender und Empfänger über dieselbe Nachricht.
Die Verifikation muss den Empfänger von der Integrität und der Authentizität des Absenders überzeugen.


What is the hash of a message? Which hash functions are the most popular ones?

Hash-Funktion:


Hashing oder eine Hashfunktion dient also dazu, digitale Zusammenfassungen von Daten zu
erstellen. Diese Zusammenfassungen nennt man auch Message Digests oder kryptografische
Prüfsummen. Sie haben üblicherweise eine Länge von 128 bis 160 Bit und enthalten ein
eindeutiges und individuelles digitales Identifizierungsmerkmal für jede Nachricht. Das heißt:
nur identische Nachrichten haben denselben Hashwert. Jede noch so kleine Änderung an der
Nachricht liefert einen veränderten Hashwert. Bereits eine Änderung von einem Bit reicht
hier aus.

Zwei der am weitesten verbreiteten Algorithmen für die Erstellung von Message Digests sind
heute MD5 und SHA-1. MD5 berechnet einen Message Digest von 128-Bit Länge und
wurde von der RSA Data Security Inc. entwickelt. SHA-1 hat eine Länge von 160 Bit und
wurde von der National Security Agency, dem Geheimdienst der USA, entwickelt. Wegen
des längeren Hashwerts wird allgemein angenommen, dass der SH1-Algorithmus eine
größere kryptografische Sicherheit als MD5 bedeutet. Darüber hinaus ist SH1 nicht anfällig
für einige Angriffe, die auf MD5 geführt werden können.


What's the difference to an electronic signature?

Unterschied zu der elektronischen Signatur:


Eine elektronische Signatur ist jede Art von elektronischen Anhängen in Form von Symbolen oder Prozessen an vorhandenen Daten. Allerdings werden keine genauen biometrischen oder ähnliche Merkmale festgesetzt.

Unter einer „digitalen Signatur“ versteht man eine rechtgültige Willenserklärung einer Person, erstellt in elektronischer Form. Es geht nicht darum eine handschriftliche Unterschrift auf elektronische Weise darzustellen, sondern um ein Verschlüsslungsprinzip, das die Daten des Dokuments verifizieren.
Name some digital signature algorithms.

einige Arten von digitalen Signaturalgorythmus:



  • RSA-basierte Signatursysteme, wie zum Beispiel RSA-PSS
  • DSA und seine elliptische Kurvenvariante ECDSA
  • ElGamal Signatursysteme
  • Rabin Signatur Algorithmus
  • Pairing-basierte Systeme wie BLS
  • Undeniable signatures
  • Aggregate signature 
  • Signatures with efficient protocols 


Which additional security precautions can be used?

Weitere Sicherheitsmaßnahmen: 


Alle öffentlichen Schlüssel / Private Key-Kryptosysteme richten sich ganz auf die Geheimhaltung des privaten Schlüssels. Ein privater Schlüssel kann auf dem Computer des Benutzers gespeichert werden, und durch eine lokale Passwort geschützt, aber dies hat zwei Nachteile:


  • der Benutzer kann nur an diesem Computer ein Dokument unterzeichnen
  • die Sicherheit des privaten Schlüssels hängt ganz von der Sicherheit des Computers ab

Eine sicherere Alternative ist, den privaten Schlüssel auf einer Chipkarte zu speichern. Viele Chipkarten sind so konzipiert, manipulationssicheren zu sein.



Quelle:
http://www.cryptas.com/cryptas/wissen-unterstuetzung/sicherheitsziele.html
http://en.wikipedia.org/wiki/Digital_signature#Some_digital_signature_algorithms
http://www.pdfa.org/wp-content/uploads/2011/08/sichere_pdf-dokumente_durch_digitale_signaturen.pdf
http://ddi.cs.uni-potsdam.de/Lehre/e-commerce/elBez2-5/page08.html
http://www.pdfa.org/wp-content/uploads/2011/08/sichere_pdf-dokumente_durch_digitale_signaturen.pdf



Eingestellt von um Keine Kommentare:
Abonnieren Posts (Atom)