Kryptografie ist ein recht komplexes Thema, verbunden mit vielen Begriffen und Abkürzungen. In diesem Vortrag werden Begriffe erklärt und in Zusammenhang gebracht und die praktische Anwendung von Werkzeugen insbesondere im Java-Umfeld gezeigt.
Schlüsselverwaltung - Objektorientierter Entwurf und Implementierung
Keytool, OpenSSL und Co. Wofür nehme ich was und Warum?
1. Keytool, OpenSSL und Co.
Wofür nehme ich was und Warum?
Jan Dittberner
Communardo Software GmbH, Dresden
05.05.2011
. . . . . .
2. Keytool, OpenSSL
und Co.
Jan Dittberner
Begriffe
Allgemeines
Sym. Verschlüsselung
Asym. Verschlüsselung
PKI
Zusammenfassung Sonstiges
Dateiformate
Kryptografie ist ein recht komplexes Thema, verbunden Lebenszyklus
mit vielen Begriffen und Abkürzungen. In diesem Praktisches
Vortrag werden Begriffe erklärt und in Zusammenhang Werkzeuge
Zertifikatslebenszyklus
gebracht und die praktische Anwendung von Informationen zu
Krypomaterial
Werkzeugen insbesondere im Java-Umfeld gezeigt. Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
4. Keytool, OpenSSL
Allgemeines und Co.
Jan Dittberner
Message Digest Hashfunktion, die möglichst kollisionsfrei
Begriffe
Nachrichten auf einen Zahlenwert abbilden, Allgemeines
gängige Vertreter sind MD5, SHA-1 und die Sym. Verschlüsselung
Asym. Verschlüsselung
SHA-2-Familie (SHA-224, SHA-256, SHA-384, PKI
Sonstiges
SHA-512) Dateiformate
Lebenszyklus
Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
5. Keytool, OpenSSL
Allgemeines und Co.
Jan Dittberner
Message Digest Hashfunktion, die möglichst kollisionsfrei
Begriffe
Nachrichten auf einen Zahlenwert abbilden, Allgemeines
gängige Vertreter sind MD5, SHA-1 und die Sym. Verschlüsselung
Asym. Verschlüsselung
SHA-2-Familie (SHA-224, SHA-256, SHA-384, PKI
Sonstiges
SHA-512) Dateiformate
MAC, Message Authentication Code kryptografisch Lebenszyklus
gesicherte Prüfsumme für eine Nachricht, mit Praktisches
Werkzeuge
der Integrität und Authentizität geprüft werden Zertifikatslebenszyklus
Informationen zu
können Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
6. Keytool, OpenSSL
Allgemeines und Co.
Jan Dittberner
Message Digest Hashfunktion, die möglichst kollisionsfrei
Begriffe
Nachrichten auf einen Zahlenwert abbilden, Allgemeines
gängige Vertreter sind MD5, SHA-1 und die Sym. Verschlüsselung
Asym. Verschlüsselung
SHA-2-Familie (SHA-224, SHA-256, SHA-384, PKI
Sonstiges
SHA-512) Dateiformate
MAC, Message Authentication Code kryptografisch Lebenszyklus
gesicherte Prüfsumme für eine Nachricht, mit Praktisches
Werkzeuge
der Integrität und Authentizität geprüft werden Zertifikatslebenszyklus
Informationen zu
können Krypomaterial
Zertifikate konvertieren
HMAC Verwendung eines mit einem symmetrischen TLS-Tests mit OpenSSL
eigener Code?
Verschlüsselungsverfahren verschlüsselten Fragen
Message Digests als MAC Anhang
Literatur
. . . . . .
7. Keytool, OpenSSL
Allgemeines und Co.
Jan Dittberner
Message Digest Hashfunktion, die möglichst kollisionsfrei
Begriffe
Nachrichten auf einen Zahlenwert abbilden, Allgemeines
gängige Vertreter sind MD5, SHA-1 und die Sym. Verschlüsselung
Asym. Verschlüsselung
SHA-2-Familie (SHA-224, SHA-256, SHA-384, PKI
Sonstiges
SHA-512) Dateiformate
MAC, Message Authentication Code kryptografisch Lebenszyklus
gesicherte Prüfsumme für eine Nachricht, mit Praktisches
Werkzeuge
der Integrität und Authentizität geprüft werden Zertifikatslebenszyklus
Informationen zu
können Krypomaterial
Zertifikate konvertieren
HMAC Verwendung eines mit einem symmetrischen TLS-Tests mit OpenSSL
eigener Code?
Verschlüsselungsverfahren verschlüsselten Fragen
Message Digests als MAC Anhang
Signatur mit einem asymmetrischen Verfahren Literatur
verschlüsselter Message Digest einer Nachricht
. . . . . .
8. Keytool, OpenSSL
Symmetrische/Secret-Key Verschlüsselung und Co.
Jan Dittberner
alle Beteiligten haben den gleichen geheimen Schlüssel
Begriffe
Allgemeines
Sym. Verschlüsselung
Asym. Verschlüsselung
PKI
Sonstiges
Dateiformate
Lebenszyklus
Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
Abbildung: symmetrische Ver- und Entschlüsselung TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
9. Keytool, OpenSSL
Symmetrische/Secret-Key Verschlüsselung und Co.
Jan Dittberner
alle Beteiligten haben den gleichen geheimen Schlüssel
Begriffe
der geheime Schlüssel wird für Ver- und Entschlüsselung Allgemeines
Sym. Verschlüsselung
verwendet Asym. Verschlüsselung
PKI
Sonstiges
Dateiformate
Lebenszyklus
Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
Abbildung: symmetrische Ver- und Entschlüsselung TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
10. Keytool, OpenSSL
Symmetrische Verschlüsselung und Co.
Jan Dittberner
geheimer Schlüssel, secret key gemeinsamer geheimer
Begriffe
Schlüssel der Kommunikationspartner bei Allgemeines
symmetrischen Verschlüsselungsverfahren Sym. Verschlüsselung
Asym. Verschlüsselung
PKI
Sonstiges
Dateiformate
Lebenszyklus
Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
11. Keytool, OpenSSL
Symmetrische Verschlüsselung und Co.
Jan Dittberner
geheimer Schlüssel, secret key gemeinsamer geheimer
Begriffe
Schlüssel der Kommunikationspartner bei Allgemeines
symmetrischen Verschlüsselungsverfahren Sym. Verschlüsselung
Asym. Verschlüsselung
PKI
DES, Data Encryption Standard inzwischen als veraltet Sonstiges
angesehenes symmetrisches Dateiformate
Verschlüsselungsverfahren mit einer Lebenszyklus
Schlüssellänge von 56 Bit Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
12. Keytool, OpenSSL
Symmetrische Verschlüsselung und Co.
Jan Dittberner
geheimer Schlüssel, secret key gemeinsamer geheimer
Begriffe
Schlüssel der Kommunikationspartner bei Allgemeines
symmetrischen Verschlüsselungsverfahren Sym. Verschlüsselung
Asym. Verschlüsselung
PKI
DES, Data Encryption Standard inzwischen als veraltet Sonstiges
angesehenes symmetrisches Dateiformate
Verschlüsselungsverfahren mit einer Lebenszyklus
Schlüssellänge von 56 Bit Praktisches
Werkzeuge
3DES, Tripple DES, DESede Interimslösung vor Einführung Zertifikatslebenszyklus
Informationen zu
von AES bei der DES-Verschlüsselung- Krypomaterial
Zertifikate konvertieren
Entschlüsselung-Verschlüsselung mit drei TLS-Tests mit OpenSSL
eigener Code?
unterschiedlichen Schlüsseln durchgeführt wird Fragen
(siehe Wikipedia [1, Triple-DES]) Anhang
Literatur
. . . . . .
13. Keytool, OpenSSL
Symmetrische Verschlüsselung und Co.
Jan Dittberner
geheimer Schlüssel, secret key gemeinsamer geheimer
Begriffe
Schlüssel der Kommunikationspartner bei Allgemeines
symmetrischen Verschlüsselungsverfahren Sym. Verschlüsselung
Asym. Verschlüsselung
PKI
DES, Data Encryption Standard inzwischen als veraltet Sonstiges
angesehenes symmetrisches Dateiformate
Verschlüsselungsverfahren mit einer Lebenszyklus
Schlüssellänge von 56 Bit Praktisches
Werkzeuge
3DES, Tripple DES, DESede Interimslösung vor Einführung Zertifikatslebenszyklus
Informationen zu
von AES bei der DES-Verschlüsselung- Krypomaterial
Zertifikate konvertieren
Entschlüsselung-Verschlüsselung mit drei TLS-Tests mit OpenSSL
eigener Code?
unterschiedlichen Schlüsseln durchgeführt wird Fragen
(siehe Wikipedia [1, Triple-DES]) Anhang
AES, Advanced Encryption Standard, Rijndael aktuelles Literatur
symmetrisches Verschlüsselungsverfahren mit
Schlüssellängen von 128, 192 oder 256 Bit
. . . . . .
14. Keytool, OpenSSL
Asymmetrische/Public-Key Verschlüsselung und Co.
Jan Dittberner
jeder Kommunikationspartner hat einen geheimen
Begriffe
privaten Schlüssel und veröffentlicht einen öffentlichen Allgemeines
Schlüssel Sym. Verschlüsselung
Asym. Verschlüsselung
PKI
Sonstiges
Dateiformate
Lebenszyklus
Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
Abbildung: asymmetrische Ver- und Entschlüsselung
. . . . . .
15. Keytool, OpenSSL
Asymmetrische/Public-Key Verschlüsselung und Co.
Jan Dittberner
jeder Kommunikationspartner hat einen geheimen
Begriffe
privaten Schlüssel und veröffentlicht einen öffentlichen Allgemeines
Schlüssel Sym. Verschlüsselung
Asym. Verschlüsselung
PKI
der private Schlüssel dient dazu Signaturen anzufertigen Sonstiges
und Nachrichten zu entschlüsseln Dateiformate
Lebenszyklus
Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
Abbildung: asymmetrische Ver- und Entschlüsselung
. . . . . .
16. Keytool, OpenSSL
Asymmetrische/Public-Key Verschlüsselung und Co.
Jan Dittberner
jeder Kommunikationspartner hat einen geheimen
Begriffe
privaten Schlüssel und veröffentlicht einen öffentlichen Allgemeines
Schlüssel Sym. Verschlüsselung
Asym. Verschlüsselung
PKI
der private Schlüssel dient dazu Signaturen anzufertigen Sonstiges
und Nachrichten zu entschlüsseln Dateiformate
Lebenszyklus
der öffentliche Schlüssel dient dazu Nachrichten zu
Praktisches
verschlüsseln und Signaturen zu prüfen Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
Abbildung: asymmetrische Ver- und Entschlüsselung
. . . . . .
17. Keytool, OpenSSL
Asymmetrische Verschlüsselung - Schlüssel und Co.
Jan Dittberner
privater Schlüssel, private key geheimer Teil eines Begriffe
Allgemeines
Schlüssels, der für Signaturen und Sym. Verschlüsselung
Asym. Verschlüsselung
Entschlüsselung verwendet werden PKI
Sonstiges
kann Dateiformate
Lebenszyklus
Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
18. Keytool, OpenSSL
Asymmetrische Verschlüsselung - Schlüssel und Co.
Jan Dittberner
privater Schlüssel, private key geheimer Teil eines Begriffe
Allgemeines
Schlüssels, der für Signaturen und Sym. Verschlüsselung
Asym. Verschlüsselung
Entschlüsselung verwendet werden PKI
Sonstiges
kann Dateiformate
öffentlicher Schlüssel, public key öffentlicher Teil Lebenszyklus
eines Schlüssels, der zum Praktisches
Werkzeuge
Verschlüsseln und zum Prüfen von Zertifikatslebenszyklus
Signaturen verwendet werden kann Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
19. Keytool, OpenSSL
Asymmetrische Verschlüsselung - Schlüssel und Co.
Jan Dittberner
privater Schlüssel, private key geheimer Teil eines Begriffe
Allgemeines
Schlüssels, der für Signaturen und Sym. Verschlüsselung
Asym. Verschlüsselung
Entschlüsselung verwendet werden PKI
Sonstiges
kann Dateiformate
öffentlicher Schlüssel, public key öffentlicher Teil Lebenszyklus
eines Schlüssels, der zum Praktisches
Werkzeuge
Verschlüsseln und zum Prüfen von Zertifikatslebenszyklus
Signaturen verwendet werden kann Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
Schlüsselpaar, key pair ein Paar aus öffentlichem eigener Code?
und dazugehörigem privatem Fragen
Schlüssel Anhang
Literatur
. . . . . .
20. Keytool, OpenSSL
Asymmetrische Verschlüsselung - RSA, Elgamal und Co.
Jan Dittberner
RSA asymmetrisches Verschlüsselungs- Begriffe
und Signatur-Verfahren (benannt Allgemeines
Sym. Verschlüsselung
nach den Erfindern Rivest, Shamir Asym. Verschlüsselung
PKI
und Adleman) beruht auf dem Sonstiges
Problem große Zahlen in ihre Dateiformate
Primfaktoren zu zerlegen (Wikipedia Lebenszyklus
zu RSA-Kryptosystem [2]) Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
21. Keytool, OpenSSL
Asymmetrische Verschlüsselung - RSA, Elgamal und Co.
Jan Dittberner
RSA asymmetrisches Verschlüsselungs- Begriffe
und Signatur-Verfahren (benannt Allgemeines
Sym. Verschlüsselung
nach den Erfindern Rivest, Shamir Asym. Verschlüsselung
PKI
und Adleman) beruht auf dem Sonstiges
Problem große Zahlen in ihre Dateiformate
Primfaktoren zu zerlegen (Wikipedia Lebenszyklus
zu RSA-Kryptosystem [2]) Praktisches
Werkzeuge
Elgamal asymmetrisches Verschlüsselungs- Zertifikatslebenszyklus
Informationen zu
und Signatur-Verfahren, beruht auf Krypomaterial
Zertifikate konvertieren
dem Problem des diskreten TLS-Tests mit OpenSSL
eigener Code?
Logarithmus (Wikipedia zu Fragen
Elgamal-Kryptosystem [3]) Anhang
Literatur
. . . . . .
22. Keytool, OpenSSL
Asymmetrische Verschlüsselung - DSA, ECDSA und Co.
Jan Dittberner
DSA, Digital Signature Algorithm im Auftrag der
Begriffe
US-Regierung entwickeltes Verfahren für Allgemeines
digitale Signaturen Sym. Verschlüsselung
Asym. Verschlüsselung
PKI
Sonstiges
Dateiformate
Lebenszyklus
Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
23. Keytool, OpenSSL
Asymmetrische Verschlüsselung - DSA, ECDSA und Co.
Jan Dittberner
DSA, Digital Signature Algorithm im Auftrag der
Begriffe
US-Regierung entwickeltes Verfahren für Allgemeines
digitale Signaturen Sym. Verschlüsselung
Asym. Verschlüsselung
PKI
ECDSA, Elliptic Curve DSA erweiterte Variante von DSA, Sonstiges
die statt großen Primzahlen Punkte auf Dateiformate
elliptischen Kurven als Schlüsselwerte Lebenszyklus
verwendet Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
24. Keytool, OpenSSL
Asymmetrische Verschlüsselung - DH und ECDH und Co.
Jan Dittberner
DH, Diffie-Hellman Verfahren für den Austausch von
Begriffe
Session-Schlüsseln über unsichere Kanäle Allgemeines
(siehe Wikipedia [4]). Diffie-Hellman ist Sym. Verschlüsselung
Asym. Verschlüsselung
Grundlage des Elgamal-Kryptosystems (basiert PKI
Sonstiges
auf diskreten Logarithmen) Dateiformate
Lebenszyklus
Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
25. Keytool, OpenSSL
Asymmetrische Verschlüsselung - DH und ECDH und Co.
Jan Dittberner
DH, Diffie-Hellman Verfahren für den Austausch von
Begriffe
Session-Schlüsseln über unsichere Kanäle Allgemeines
(siehe Wikipedia [4]). Diffie-Hellman ist Sym. Verschlüsselung
Asym. Verschlüsselung
Grundlage des Elgamal-Kryptosystems (basiert PKI
Sonstiges
auf diskreten Logarithmen) Dateiformate
ECDH, Elliptic curve Diffie–Hellman verwendet elliptische Lebenszyklus
Kurven statt große Zufallszahlen Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
26. Keytool, OpenSSL
Asymmetrische Verschlüsselung - DH und ECDH und Co.
Jan Dittberner
DH, Diffie-Hellman Verfahren für den Austausch von
Begriffe
Session-Schlüsseln über unsichere Kanäle Allgemeines
(siehe Wikipedia [4]). Diffie-Hellman ist Sym. Verschlüsselung
Asym. Verschlüsselung
Grundlage des Elgamal-Kryptosystems (basiert PKI
Sonstiges
auf diskreten Logarithmen) Dateiformate
ECDH, Elliptic curve Diffie–Hellman verwendet elliptische Lebenszyklus
Kurven statt große Zufallszahlen Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
Abbildung: Prinzip des Diffie-Hellman-Schlüsselaustauschs, Quelle:
Wikipedia
. . . . . .
27. Keytool, OpenSSL
Begriffe aus dem PKI-Umfeld - Teil 1 und Co.
Jan Dittberner
PKI, Public Key Infrastructure System zum Beantragen,
Begriffe
Ausstellen, Verteilen und Prüfen von Allgemeines
Zertifikaten Sym. Verschlüsselung
Asym. Verschlüsselung
PKI
Sonstiges
Dateiformate
Lebenszyklus
Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
28. Keytool, OpenSSL
Begriffe aus dem PKI-Umfeld - Teil 1 und Co.
Jan Dittberner
PKI, Public Key Infrastructure System zum Beantragen,
Begriffe
Ausstellen, Verteilen und Prüfen von Allgemeines
Zertifikaten Sym. Verschlüsselung
Asym. Verschlüsselung
PKI
CA, Certicate Authority eine CA stellt Zertifikate für Sonstiges
öffentliche Schlüssel aus und garantiert damit Dateiformate
die Zugehörigkeit des privaten Schlüssels zu Lebenszyklus
seinem Besitzer Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
29. Keytool, OpenSSL
Begriffe aus dem PKI-Umfeld - Teil 1 und Co.
Jan Dittberner
PKI, Public Key Infrastructure System zum Beantragen,
Begriffe
Ausstellen, Verteilen und Prüfen von Allgemeines
Zertifikaten Sym. Verschlüsselung
Asym. Verschlüsselung
PKI
CA, Certicate Authority eine CA stellt Zertifikate für Sonstiges
öffentliche Schlüssel aus und garantiert damit Dateiformate
die Zugehörigkeit des privaten Schlüssels zu Lebenszyklus
seinem Besitzer Praktisches
Werkzeuge
Zertifikat ein Zertifikat ist ein digital signierter Public Zertifikatslebenszyklus
Informationen zu
Key mit zusätzlichen Attributen Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
30. Keytool, OpenSSL
Begriffe aus dem PKI-Umfeld - Teil 2 und Co.
Jan Dittberner
X.509 ITU-T-Standard für eine PKI, fordert ein
Begriffe
hierarchisches System von vertrauenswürdigen Allgemeines
Zertifizierungsstellen (CAs), Zertifikaten und Sym. Verschlüsselung
Asym. Verschlüsselung
Sperrlisten PKI
Sonstiges
Dateiformate
Lebenszyklus
Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
31. Keytool, OpenSSL
Begriffe aus dem PKI-Umfeld - Teil 2 und Co.
Jan Dittberner
X.509 ITU-T-Standard für eine PKI, fordert ein
Begriffe
hierarchisches System von vertrauenswürdigen Allgemeines
Zertifizierungsstellen (CAs), Zertifikaten und Sym. Verschlüsselung
Asym. Verschlüsselung
Sperrlisten PKI
Sonstiges
PKIX IETF-Profil von X.509 welches konkrete Details Dateiformate
für Zertifikate und CRLs, sowie Lebenszyklus
X.509-Extensions definiert (RFC-5280 [5]) Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
32. Keytool, OpenSSL
Begriffe aus dem PKI-Umfeld - Teil 2 und Co.
Jan Dittberner
X.509 ITU-T-Standard für eine PKI, fordert ein
Begriffe
hierarchisches System von vertrauenswürdigen Allgemeines
Zertifizierungsstellen (CAs), Zertifikaten und Sym. Verschlüsselung
Asym. Verschlüsselung
Sperrlisten PKI
Sonstiges
PKIX IETF-Profil von X.509 welches konkrete Details Dateiformate
für Zertifikate und CRLs, sowie Lebenszyklus
X.509-Extensions definiert (RFC-5280 [5]) Praktisches
Werkzeuge
CSR, Certificate Signing Request wird mit dem privaten Zertifikatslebenszyklus
Informationen zu
Schlüssel signiert und an eine CA zum Krypomaterial
Zertifikate konvertieren
Signieren gegeben, enthält Wünsche für TLS-Tests mit OpenSSL
eigener Code?
Parameter des Zertifikats (Subject und Fragen
X.509-Extensions), spezifiziert in RFC-2986 [6] Anhang
Literatur
. . . . . .
33. Keytool, OpenSSL
Begriffe aus dem PKI-Umfeld - Teil 3 und Co.
Jan Dittberner
CRL, Certificate Revocation List Zertifikatssperrlisten
Begriffe
werden von CAs herausgegeben um Allgemeines
widerrufene Zertifikate bekanntzugeben Sym. Verschlüsselung
Asym. Verschlüsselung
PKI
Sonstiges
Dateiformate
Lebenszyklus
Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
34. Keytool, OpenSSL
Begriffe aus dem PKI-Umfeld - Teil 3 und Co.
Jan Dittberner
CRL, Certificate Revocation List Zertifikatssperrlisten
Begriffe
werden von CAs herausgegeben um Allgemeines
widerrufene Zertifikate bekanntzugeben Sym. Verschlüsselung
Asym. Verschlüsselung
PKI
OCSP, Online Certificate Status Protocol ein meist per Sonstiges
HTTP zur Verfügung gestellter Dienst der CAs Dateiformate
um direkt zu prüfen, ob ein Zertifikat Lebenszyklus
widerrufen wurde Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
35. Keytool, OpenSSL
Sonstige Begriffe und Co.
Jan Dittberner
PKCS, Public Key Cryptography Standard eine Serie von
Begriffe
Dokumenten zu kryptografischen Verfahren der Allgemeines
Firma RSA-Laboratories [7] viele davon sind in Sym. Verschlüsselung
Asym. Verschlüsselung
anderen Standards aufgenommen worden PKI
Sonstiges
Dateiformate
Lebenszyklus
Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
36. Keytool, OpenSSL
Sonstige Begriffe und Co.
Jan Dittberner
PKCS, Public Key Cryptography Standard eine Serie von
Begriffe
Dokumenten zu kryptografischen Verfahren der Allgemeines
Firma RSA-Laboratories [7] viele davon sind in Sym. Verschlüsselung
Asym. Verschlüsselung
anderen Standards aufgenommen worden PKI
Sonstiges
ASN.1, Abstract Syntax Notation One Standard für Dateiformate
Textbeschreibung von Binärcodierung mit der Lebenszyklus
die Daten fast aller kryptografischen Verfahren Praktisches
Werkzeuge
in den jeweiligen Standards beschrieben werden Zertifikatslebenszyklus
Informationen zu
(siehe Wikipedia [8]) Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
37. Keytool, OpenSSL
Sonstige Begriffe und Co.
Jan Dittberner
PKCS, Public Key Cryptography Standard eine Serie von
Begriffe
Dokumenten zu kryptografischen Verfahren der Allgemeines
Firma RSA-Laboratories [7] viele davon sind in Sym. Verschlüsselung
Asym. Verschlüsselung
anderen Standards aufgenommen worden PKI
Sonstiges
ASN.1, Abstract Syntax Notation One Standard für Dateiformate
Textbeschreibung von Binärcodierung mit der Lebenszyklus
die Daten fast aller kryptografischen Verfahren Praktisches
Werkzeuge
in den jeweiligen Standards beschrieben werden Zertifikatslebenszyklus
Informationen zu
(siehe Wikipedia [8]) Krypomaterial
Zertifikate konvertieren
CMS, Cryptographic Message Syntax Standard für die TLS-Tests mit OpenSSL
eigener Code?
Signierung und Verschlüsselung von Fragen
Nachrichten, nutzt X.509-Infrastruktur für Anhang
Schlüssel (spezifiziert in RFC-5652 [9]) Literatur
. . . . . .
38. Keytool, OpenSSL
Sonstige Begriffe und Co.
Jan Dittberner
S/MIME Standard für Signatur und Verschlüsselung von
Begriffe
MIME-Nachrichten auf Basis von CMS, Allgemeines
benötigt X.509-Zertifikate, wird hauptsächlich Sym. Verschlüsselung
Asym. Verschlüsselung
für E-Mail, kann aber auch für Web Services PKI
Sonstiges
und andere MIME-Anwendungen verwendet Dateiformate
werden (spezifiziert in RFC-3851 [10]) Lebenszyklus
Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
39. Keytool, OpenSSL
Sonstige Begriffe und Co.
Jan Dittberner
S/MIME Standard für Signatur und Verschlüsselung von
Begriffe
MIME-Nachrichten auf Basis von CMS, Allgemeines
benötigt X.509-Zertifikate, wird hauptsächlich Sym. Verschlüsselung
Asym. Verschlüsselung
für E-Mail, kann aber auch für Web Services PKI
Sonstiges
und andere MIME-Anwendungen verwendet Dateiformate
werden (spezifiziert in RFC-3851 [10]) Lebenszyklus
SSL, Secure Sockets Layer, TLS, Transport Layer Security Praktisches
Werkzeuge
hybride Verschlüsselung für Zertifikatslebenszyklus
Informationen zu
Socket-Verbindungen. TLS ist der von der Krypomaterial
Zertifikate konvertieren
IETF standardisierte Nachfolger von SSL TLS-Tests mit OpenSSL
eigener Code?
(TLS 1.2 spezifiziert in RFC-5246 [11]) Fragen
Anhang
Literatur
. . . . . .
40. Keytool, OpenSSL
Sonstige Begriffe und Co.
Jan Dittberner
S/MIME Standard für Signatur und Verschlüsselung von
Begriffe
MIME-Nachrichten auf Basis von CMS, Allgemeines
benötigt X.509-Zertifikate, wird hauptsächlich Sym. Verschlüsselung
Asym. Verschlüsselung
für E-Mail, kann aber auch für Web Services PKI
Sonstiges
und andere MIME-Anwendungen verwendet Dateiformate
werden (spezifiziert in RFC-3851 [10]) Lebenszyklus
SSL, Secure Sockets Layer, TLS, Transport Layer Security Praktisches
Werkzeuge
hybride Verschlüsselung für Zertifikatslebenszyklus
Informationen zu
Socket-Verbindungen. TLS ist der von der Krypomaterial
Zertifikate konvertieren
IETF standardisierte Nachfolger von SSL TLS-Tests mit OpenSSL
eigener Code?
(TLS 1.2 spezifiziert in RFC-5246 [11]) Fragen
TLS-Handshake Verfahren zur Aushandlung der Anhang
Verbindungsparameter bei TLS (gute Literatur
Beschreibung in Wikipedia [12])
. . . . . .
41. Keytool, OpenSSL
Sonstige Begriffe und Co.
Jan Dittberner
PGP, OpenPGP Alternative für einige Anwendungsfälle von
Begriffe
X.509 (S/MIME, CMS), bei der die Allgemeines
Vertrauenswürdigkeit nicht durch eine Sym. Verschlüsselung
Asym. Verschlüsselung
Hierarchie von CAs sondern durch ein PKI
Sonstiges
Web-Of-Trust gewährleistet wird. PGP ist die Dateiformate
ursprüngliche Software, OpenPGP der später Lebenszyklus
entwickelte Standard dazu Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
42. Keytool, OpenSSL
Sonstige Begriffe und Co.
Jan Dittberner
PGP, OpenPGP Alternative für einige Anwendungsfälle von
Begriffe
X.509 (S/MIME, CMS), bei der die Allgemeines
Vertrauenswürdigkeit nicht durch eine Sym. Verschlüsselung
Asym. Verschlüsselung
Hierarchie von CAs sondern durch ein PKI
Sonstiges
Web-Of-Trust gewährleistet wird. PGP ist die Dateiformate
ursprüngliche Software, OpenPGP der später Lebenszyklus
entwickelte Standard dazu Praktisches
Werkzeuge
GNUPG, GNU Privacy Guard freie, teils vom Zertifikatslebenszyklus
Informationen zu
Bundesministerium des Innern finanzierte, Krypomaterial
Zertifikate konvertieren
OpenPGP-Implementierung (in Version 2 auch TLS-Tests mit OpenSSL
eigener Code?
mit S/MIME und X.509-Unterstützung) Fragen
Anhang
Literatur
. . . . . .
43. Keytool, OpenSSL
Sonstige Begriffe und Co.
Jan Dittberner
PGP, OpenPGP Alternative für einige Anwendungsfälle von
Begriffe
X.509 (S/MIME, CMS), bei der die Allgemeines
Vertrauenswürdigkeit nicht durch eine Sym. Verschlüsselung
Asym. Verschlüsselung
Hierarchie von CAs sondern durch ein PKI
Sonstiges
Web-Of-Trust gewährleistet wird. PGP ist die Dateiformate
ursprüngliche Software, OpenPGP der später Lebenszyklus
entwickelte Standard dazu Praktisches
Werkzeuge
GNUPG, GNU Privacy Guard freie, teils vom Zertifikatslebenszyklus
Informationen zu
Bundesministerium des Innern finanzierte, Krypomaterial
Zertifikate konvertieren
OpenPGP-Implementierung (in Version 2 auch TLS-Tests mit OpenSSL
eigener Code?
mit S/MIME und X.509-Unterstützung) Fragen
SSH-Keys RSA-, DSA oder ECDSA-Schlüssel für Anhang
Verwendung mit Secure Shell, in der Regel Literatur
ohne Signatur
. . . . . .
45. Keytool, OpenSSL
und Co.
Jan Dittberner
Tabelle: Dateiformate für Schlüssel und Zertifikate
Begriffe
Format typische Dateiendungen Allgemeines
Sym. Verschlüsselung
DER .der, .crt Asym. Verschlüsselung
PEM .crt, .pem, .csr.pem, .key.pem PKI
Sonstiges
CSR .csr, .csr.pem Dateiformate
JKS .jks Lebenszyklus
PKCS#12 .pfx, .p12 Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
46. Keytool, OpenSSL
DER-Format und Co.
Jan Dittberner
Dateiendungen Begriffe
Allgemeines
.der, .crt Sym. Verschlüsselung
Asym. Verschlüsselung
PKI
Verwendung Sonstiges
ASN.1 DER (distinguished encoding rules) kodierte Dateiformate
Lebenszyklus
Binärform von X.509-Zertifikaten
Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
Fragen
Anhang
Literatur
. . . . . .
47. Keytool, OpenSSL
PEM-Format und Co.
Jan Dittberner
Dateiendungen Begriffe
.crt, .pem, .csr.pem, .key.pem Allgemeines
Sym. Verschlüsselung
Asym. Verschlüsselung
Verwendung PKI
Sonstiges
Base64-Variante von DER kodierten Zertifikaten, -Schlüsseln Dateiformate
oder Certificate Signing Requests, die Art der Information ist Lebenszyklus
aus dem Dateianfang zu erkennen Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Beispiel: RSA-Schlüssel Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
-----BEGIN RSA PRIVATE KEY----- Fragen
MIIEowIBAAKCAQEAnV9xp3adb8vNfljrPktWXfMk Anhang
kAElT1Zr7LZHWP1k1QkxPAzHa/ZBrpok9Cwxm3fh Literatur
...
APoP0gAuvgvv74V34z1IdwmpAuGc894US3uu5AKF
7cTsTFU2WaQ1bSq/DlZX1X5CB59ZFCQeCrQ+u75F
-----END RSA PRIVATE KEY-----
. . . . . .
48. Keytool, OpenSSL
PEM-Format und Co.
Jan Dittberner
Dateiendungen Begriffe
.crt, .pem, .csr.pem, .key.pem Allgemeines
Sym. Verschlüsselung
Asym. Verschlüsselung
Verwendung PKI
Sonstiges
Base64-Variante von DER kodierten Zertifikaten, -Schlüsseln Dateiformate
oder Certificate Signing Requests, die Art der Information ist Lebenszyklus
aus dem Dateianfang zu erkennen Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Beispiel: Certificate Signing Request Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
-----BEGIN CERTIFICATE REQUEST----- Fragen
MIICijCCAXICAQAwRTELMAkGA1UEBhMCQVUxEzAR Anhang
ITAfBgNVBAoMGEludGVybmV0IFdpZGdpdHMgUHR5 Literatur
...
yMC285oI/yRSoUm+P6DnPrb9hbuArIYRQoEPzDQq
Gn/vebVHw2nu6TRPo7N3oyBCiXMrstvhRnsk374T
-----END CERTIFICATE REQUEST----- . . . . . .
49. Keytool, OpenSSL
PEM-Format und Co.
Jan Dittberner
Dateiendungen Begriffe
.crt, .pem, .csr.pem, .key.pem Allgemeines
Sym. Verschlüsselung
Asym. Verschlüsselung
Verwendung PKI
Sonstiges
Base64-Variante von DER kodierten Zertifikaten, -Schlüsseln Dateiformate
oder Certificate Signing Requests, die Art der Information ist Lebenszyklus
aus dem Dateianfang zu erkennen Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Beispiel: X.509-Zertifikat Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
-----BEGIN CERTIFICATE----- Fragen
MIIDXTCCAkWgAwIBAgIJAN5wwO9NJQ/MMA0GCSqG Anhang
BAYTAkFVMRMwEQYDVQQIDApTb21lLVN0YXRlMSEw Literatur
...
HptNKsF1qNl0Hud//5colueA44Q4zwVdVk3tfG36
AQ==
-----END CERTIFICATE-----
. . . . . .
50. Keytool, OpenSSL
PEM-Format und Co.
Jan Dittberner
Dateiendungen Begriffe
.crt, .pem, .csr.pem, .key.pem Allgemeines
Sym. Verschlüsselung
Asym. Verschlüsselung
Verwendung PKI
Sonstiges
Base64-Variante von DER kodierten Zertifikaten, -Schlüsseln Dateiformate
oder Certificate Signing Requests, die Art der Information ist Lebenszyklus
aus dem Dateianfang zu erkennen Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Beispiel: DSA-Schlüssel Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
-----BEGIN DSA PRIVATE KEY----- Fragen
MIIDVgIBAAKCAQEAtwA+O6KkHvhBhBvPdrNqjBUq Anhang
/M3n90/KvJ2rXsyS3L43n4pwLfjzOLSC3dD9UVbS Literatur
...
/uQ73RuPSaWYd2ZLp/XNdpok9FkBQEglLxKcBz7R
VsEJSEKeQgIhAOyJXfhC/dR9Ze/JMkfW0tdx+PiX
-----END DSA PRIVATE KEY-----
. . . . . .
51. Keytool, OpenSSL
PEM-Format und Co.
Jan Dittberner
Dateiendungen Begriffe
.crt, .pem, .csr.pem, .key.pem Allgemeines
Sym. Verschlüsselung
Asym. Verschlüsselung
Verwendung PKI
Sonstiges
Base64-Variante von DER kodierten Zertifikaten, -Schlüsseln Dateiformate
oder Certificate Signing Requests, die Art der Information ist Lebenszyklus
aus dem Dateianfang zu erkennen Praktisches
Werkzeuge
Zertifikatslebenszyklus
Informationen zu
Beispiel: DSA-Parameter Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
eigener Code?
-----BEGIN DSA PARAMETERS----- Fragen
MIICLAKCAQEAtwA+O6KkHvhBhBvPdrNqjBUqE789 Anhang
90/KvJ2rXsyS3L43n4pwLfjzOLSC3dD9UVbSdMsf Literatur
...
vTtpWyBLmitxSbnW4v4kEbfJu2Id8xfd5kv2vmGe
FCjWnHvUSG9Za2R4pJ5fF4lqu/Nwg08Ccylt+a4z
-----END DSA PARAMETERS-----
. . . . . .
52. Keytool, OpenSSL
CSR - Certificate Signing Request und Co.
Jan Dittberner
Dateiendungen Begriffe
.csr, .csr.pem Allgemeines
Sym. Verschlüsselung
Asym. Verschlüsselung
Verwendung PKI
Sonstiges
in der Regel PEM-kodierter PKCS#10 Certificate Signing Dateiformate
Request, enthält Parameter für den Subject-Namen, optional Lebenszyklus
mit gewünschten X.509-Erweiterungen Praktisches
Werkzeuge
Beispiel: CSR in PEM-Format Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
TLS-Tests mit OpenSSL
-----BEGIN CERTIFICATE REQUEST----- eigener Code?
MIICijCCAXICAQAwRTELMAkGA1UEBhMCQVUxEzAR Fragen
ITAfBgNVBAoMGEludGVybmV0IFdpZGdpdHMgUHR5 Anhang
... Literatur
yMC285oI/yRSoUm+P6DnPrb9hbuArIYRQoEPzDQq
Gn/vebVHw2nu6TRPo7N3oyBCiXMrstvhRnsk374T
-----END CERTIFICATE REQUEST-----
. . . . . .
53. Keytool, OpenSSL
JKS - Java Keystore und Co.
Jan Dittberner
Dateiendungen Begriffe
Allgemeines
.jks Sym. Verschlüsselung
Asym. Verschlüsselung
PKI
Verwendung Sonstiges
Java-Keystore, proprietäres Format für KeyStores und Dateiformate
Lebenszyklus
TrustStores im Java-Umfeld, kann als vertrauenswürdig
Praktisches
eingestufte Zertifikate und/oder Schlüsselpaare mit Werkzeuge
zugehörigen Zertifikaten enthalten Zertifikatslebenszyklus
Informationen zu
Krypomaterial
Zertifikate konvertieren
Anmerkung TLS-Tests mit OpenSSL
eigener Code?
Standardpasswort (leider oft ungeändert) ist changeit Fragen
Anhang
Literatur
. . . . . .
54. Keytool, OpenSSL
PKCS#12 und Co.
Jan Dittberner
Dateiendungen Begriffe
Allgemeines
.p12, .pfx Sym. Verschlüsselung
Asym. Verschlüsselung
PKI
Verwendung Sonstiges
Standardformat für mit passwortbasierten Verfahren (PBE, Dateiformate
Lebenszyklus
password based encryption) verschlüsselte Container für
Praktisches
Schlüsselpaare mit deren Zertifikaten Werkzeuge
Zertifikatslebenszyklus
Anmerkung Informationen zu
Krypomaterial
Zertifikate konvertieren
Die mit dem JDK mitgelieferte PKCS#12-Implementierung TLS-Tests mit OpenSSL
eigener Code?
ist nur eingeschränkt standardkonform (kann z.B. keine Fragen
Zertifikate ohne private Schlüssel speichern) Anhang
Literatur
. . . . . .