Stefan Schweizer Vertrieb  0175 / 2050 616 [email_address]
 
Mein zweiter Tag bei SafeNet
5ter Tag
Mittlerweile jeden zweiten Tag....
 
 
SafeNet Inc. <ul><li>Festplattenverschlüsselung </li></ul><ul><li>File Verschlüsselung </li></ul><ul><li>DatenBank Verschl...
 
Datenbank Verschlüsselung
 
 
 
 
Wozu das alles?? Weil das zentrale Problem der Verschlüsselung immer der Schlüssel ist!!
PCI-Compliance schafft Vertrauen <ul><li>... </li></ul><ul><li>Auf der anderen Seite hat Identitätsbetrug alleine in den U...
 
Nur 5 Minuten Grundlagen!
Kryptographie  <ul><li>Bauer stellt zudem in seinem Buch  [Bauer]  im Kapitel 10.2 Maximen der Kryptologie einige Grundreg...
Diffie-Hellman-Schlüsselaustausch   <ul><li>Der  Diffie-Hellman-Schlüsselaustausch  oder  Diffie-Hellman-Merkle-Schlüssela...
Diffie-Hellman-Schlüsselaustausch   <ul><li>Zwei Kommunikationspartner (in der Abbildung sind dies Alice und Bob) wollen ü...
Diffie-Hellman-Schlüsselaustausch   Die Kommunikationspartner seien  Alice und Bob . Das Beispiel benutzt sehr kleine  Zah...
Diffie-Hellman-Problem Man-in-the-Middle-Angriff  Um einen solchen Man-In-The-Middle-Angriff auszuschließen, müssen  die a...
Diffie-Hellman-Schlüsselaustausch   CA Eine  Zertifizierungsstelle  (englisch  Certificate Authority , kurz  CA ) ist eine...
Zertifikat Ein  Digitales Zertifikat  (auch  Zertifikat  oder  Public-Key-Zertifikat ) sind  strukturierte Daten, die den ...
Amazon.de
Amazon.de
Luna HSM Product Range Luna PCI Luna SA PKI Root Key Protection Network Attached HSM for PKI Luna SP and XML Network Attac...
 
Fragen und Antworten Stefan Schweizer [email_address] 089 - 288 90 295 0175 – 20 50 616 www.safenet-inc.com
 
Backup....
World’s First Complete Family of High-Speed Encryption Devices
Layer 2 vs. Layer 3 Encryption Layer 2 encryption provides the most efficient solution for High Speed point-to-point links...
TOP 10 REASONS FOR  SafeEnterprise™ Ethernet Encryption <ul><li>High Speed Encryption = little to no impact on network per...
 
 
Vorteile Performance Full-duplex operation at line speed with no packet loss for all modes of operation  Cut-through data ...
 
 
 
 
Nächste SlideShare
Wird geladen in …5
×

My Cypher 1.1

836 Aufrufe

Veröffentlicht am

Veröffentlicht in: Business
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
836
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
4
Aktionen
Geteilt
0
Downloads
9
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

My Cypher 1.1

  1. 1. Stefan Schweizer Vertrieb 0175 / 2050 616 [email_address]
  2. 3. Mein zweiter Tag bei SafeNet
  3. 4. 5ter Tag
  4. 5. Mittlerweile jeden zweiten Tag....
  5. 8. SafeNet Inc. <ul><li>Festplattenverschlüsselung </li></ul><ul><li>File Verschlüsselung </li></ul><ul><li>DatenBank Verschlüsselung </li></ul><ul><li>HSE </li></ul><ul><li>Ethernetverschlüsselung </li></ul><ul><ul><li>(Kryptoboxen) </li></ul></ul><ul><li>HSM </li></ul><ul><li>Im Server / PCI </li></ul><ul><li>Attached to Server </li></ul><ul><li>Network attached </li></ul>Enterprise Data Protection EDP Data in Rest Protection DRP Data in Motion Protection DMP Hardware Security Module HSM
  6. 10. Datenbank Verschlüsselung
  7. 15. Wozu das alles?? Weil das zentrale Problem der Verschlüsselung immer der Schlüssel ist!!
  8. 16. PCI-Compliance schafft Vertrauen <ul><li>... </li></ul><ul><li>Auf der anderen Seite hat Identitätsbetrug alleine in den USA von 2002 bis 2007 um 50 Prozent zugenommen - der geschätzte Gesamtschaden: zwischen 50 und 65 Milliarden Dollar jährlich. Im Jahr 2008 waren nach Gartner davon 15 Millionen US-Staatsbürger direkt oder indirekt betroffen. Aber auch dem klassischen Handel, der sensible Daten webbasiert verwaltet, fehlt teilweise das nötige Risikobewusstsein: So musste der US-Einzelhändler TJX Companies Inc., der Kreditkartendaten u.a. von Branchenriesen wie Visa und MasterCard speichert, eingestehen, im Verlauf von 3 Jahren annähernd 100 Millionen vertrauliche Datensätze aus seinem Intranet an Hacker verloren zu haben. </li></ul><ul><li>Das passt ins Bild, hatte doch 2008 die Security Research & Consulting GmbH im Auftrag von MasterCard und Visa bei 3000 Verkäufern und über 35 Service-Providern die Standards im Umgang mit Kartendaten geprüft und war dabei zu dem erschreckenden Ergebnis gekommen, dass über 60% der überprüften Unternehmen gegen geltende Sicherheitsregeln verstießen: diese Nachlässigkeit hat ihren Preis, den Unternehmen wie Kunden in Milliardenhöhe zu zahlen haben. Der Erfolg des Online-Handels hängt vom Kundenvertrauen ab </li></ul><ul><li>.... </li></ul>Sagt die:
  9. 18. Nur 5 Minuten Grundlagen!
  10. 19. Kryptographie <ul><li>Bauer stellt zudem in seinem Buch [Bauer] im Kapitel 10.2 Maximen der Kryptologie einige Grundregeln auf: </li></ul><ul><li>Regel 1 : Man soll den Gegner nicht unterschätzen </li></ul><ul><li>Regel 2 : Nur der Kryptanalytiker kann die Sicherheit eines Chiffrierverfahrens beurteilen. </li></ul><ul><li>Regel 3 :Bei der Beurteilung der Sicherheit eines Verfahrens muss man damit rechnen, dass dem Gegner die Verfahrensklasse bekannt ist: &quot;Der Feind kennt das benutzte System&quot; (Shannon, 1949) </li></ul><ul><li>Regel 4 : Äußerliche Komplikationen [...eines Verfahrens...] können illusorisch sein: sie gaukeln dann dem Kryptologen eine trügerische Sicherheit vor. </li></ul><ul><li>Regel 5 : Bei der Beurteilung der Sicherheit eines Verfahrens sind Chiffrierfehler und andere Verstöße gegen die Chiffrierdisziplin mit einzubeziehen (&quot;A cryptographer's error is the cryptanalyst's last hope&quot; und &quot;Chiffrez bien, ou ne chiffrez pas!&quot; [Givierge] ) </li></ul>
  11. 20. Diffie-Hellman-Schlüsselaustausch <ul><li>Der Diffie-Hellman-Schlüsselaustausch oder Diffie-Hellman-Merkle-Schlüsselaustausch ist ein Protokoll aus dem Bereich der Kryptografie . Mit ihm erzeugen zwei Kommunikationspartner einen geheimen Schlüssel , den nur diese beiden kennen. Dieser Schlüssel wird üblicherweise verwendet, um verschlüsselte Nachrichten mittels eines symmetrischen Kryptosystems zu übertragen. </li></ul><ul><li>Beim Diffie-Hellman-Schlüsselaustausch senden sich beide Kommunikationspartner über einen unsicheren Kanal jeweils eine Nachricht zu. Das Problem, aus diesen beiden Nachrichten den geheimen Schlüssel zu berechnen, wird als Diffie-Hellman-Problem bezeichnet. Von diesem nimmt man an, dass es praktisch nicht lösbar ist. Deshalb kann jemand, der beide Nachrichten mithört, daraus im Allgemeinen nicht den geheimen Schlüssel berechnen. Der Diffie-Hellman-Schlüsselaustausch ist jedoch nicht mehr sicher, wenn sich ein Angreifer zwischen die beiden Kommunikationspartner schalten und Nachrichten verändern kann. Diese Lücke schließen Protokolle wie das Station-to-Station-Protokoll , indem sie zusätzlich digitale Signaturen und Message Authentication Codes verwenden. </li></ul><ul><li>Der langen Tradition von Streichlisten und Codebüchern setzte das Diffie-Hellman-Verfahren ein Ende. Noch während des Zweiten Weltkrieges mussten die Benutzer der ausgeklügelten Verschlüsselungsmaschinen (zum Beispiel die Enigma ) Codebücher mit sich führen, um für jeden einzelnen Tag des Jahres zu wissen, welchen Schlüssel der Absender verwendet. Wurde ein solches Codebuch geraubt, war die Verschlüsselung hinfällig. Besonders beim Militär war die Zuteilung und der Transport solcher hochgeheimer Codebücher stets das größte Sorgenkind. </li></ul>
  12. 21. Diffie-Hellman-Schlüsselaustausch <ul><li>Zwei Kommunikationspartner (in der Abbildung sind dies Alice und Bob) wollen über ein unsicheres Medium, etwa eine Kabel- oder Funkleitung, verschlüsselt kommunizieren. Dazu soll ein symmetrisches Kryptosystem eingesetzt werden, für das beide jedoch zunächst einen gemeinsamen geheimen Schlüssel benötigen. Indem sie den Diffie-Hellman-Schlüsselaustausch durchführen, gelangen sie beide in den Besitz eines solchen Schlüssels. </li></ul><ul><li>Die Kommunikationspartner einigen sich zunächst auf eine Primzahl p und eine Primitivwurzel g modulo p mit . Diese Parameter müssen nicht geheim bleiben, können also insbesondere auch über ein unsicheres Medium übertragen werden. </li></ul><ul><li>Beide Kommunikationspartner erzeugen jeweils eine geheim zu haltende Zufallszahl a bzw. b aus der Menge . a und b werden nicht übertragen, bleiben also dem jeweiligen Kommunikationspartner, aber auch potenziellen Lauschern, unbekannt. </li></ul><ul><li>Die Kommunikationspartner berechnen A = ga mod p bzw. B = gb mod p . Nun werden A und B über das unsichere Medium übertragen. </li></ul><ul><li>Die Kommunikationspartner berechnen nun K = Ba mod p bzw. K = Ab mod p . Das Ergebnis K ist für beide Partner gleich und kann als Schlüssel für die weitere Kommunikation verwendet werden. </li></ul><ul><li>Dass beide Kommunikationspartner denselben Wert für K berechnen, zeigen die folgenden beiden Gleichungen: </li></ul><ul><ul><li>K = Ba mod p = ( gb mod p ) a mod p = gba mod p = gab mod p </li></ul></ul><ul><ul><li>K = Ab mod p = ( ga mod p ) b mod p = gab mod p </li></ul></ul>
  13. 22. Diffie-Hellman-Schlüsselaustausch Die Kommunikationspartner seien Alice und Bob . Das Beispiel benutzt sehr kleine Zahlen. In der tatsächlichen Anwendung werden Zahlen mit mehreren hundert Dezimalstellen benutzt. Alice und Bob einigen sich auf p = 13 und g = 2. Alice wählt die Zufallszahl a = 5. Bob wählt die Zufallszahl b = 7. Alice berechnet A = 25mod 13 = 6 und sendet dieses Ergebnis an Bob. Bob berechnet B = 27mod 13 = 11 und sendet dieses Ergebnis an Alice. Alice berechnet K = 115mod 13 = 7. Bob berechnet K = 67mod 13 = 7. Beide erhalten das gleiche Ergebnis K = 7. Ein eventuell vorhandener Lauscher könnte zwar die Zahlen 13, 2, 6 und 11 mithören, das eigentliche gemeinsame Geheimnis von Alice und Bob K = 7 bleibt ihm aber verborgen.
  14. 23. Diffie-Hellman-Problem Man-in-the-Middle-Angriff Um einen solchen Man-In-The-Middle-Angriff auszuschließen, müssen die ausgetauschten Nachrichten authentifiziert werden. Dazu verwendet man digitale Signaturen und Message Authentication Codes .
  15. 24. Diffie-Hellman-Schlüsselaustausch CA Eine Zertifizierungsstelle (englisch Certificate Authority , kurz CA ) ist eine Organisation, die digitale Zertifikate herausgibt. Ein digitales Zertifikat ist gewissermaßen das Cyberspaceäquivalent eines Personalausweises und dient dazu, einen bestimmten öffentlichen Schlüssel einer Person oder Organisation zuzuordnen. Diese Zuordnung wird von der Zertifizierungsstelle beglaubigt, indem sie sie mit ihrer eigenen digitalen Unterschrift versieht. Die Zertifikate enthalten „Schlüssel“ und Zusatzinformationen, die zur Authentifizierung sowie zur Verschlüsselung und Entschlüsselung vertraulicher Daten dienen, die über das Internet und andere Netze verbreitet werden. Als Zusatzinformationen sind zum Beispiel Lebensdauer, Verweise auf Zertifikatsperrlisten , etc. enthalten, die durch die CA mit in das Zertifikat eingebracht werden. Die Aufgabe einer Beglaubigungsinstitution ist es, solche digitalen Zertifikate herauszugeben und zu überprüfen. Sie ist dabei für die Bereitstellung, Zuweisung und Integritätssicherung der von ihr ausgegebenen Zertifikate verantwortlich. Damit ist sie ein wichtiger Teil der Public-Key-Infrastruktur . Eine Zertifizierungsstelle kann ein spezielles Unternehmen sein oder eine Institution innerhalb eines Unternehmens, das einen entsprechenden eigenen Server installiert hat (zum Beispiel mit OpenSSL ). Auch öffentliche Organisationen oder Regierungsstellen können als Zertifizierungsstelle dienen, z. B. die Bundesnetzagentur .
  16. 25. Zertifikat Ein Digitales Zertifikat (auch Zertifikat oder Public-Key-Zertifikat ) sind strukturierte Daten, die den Eigentümer sowie weitere Eigenschaften eines öffentlichen Schlüssels bestätigen. Durch ein digitales Zertifikat können Nutzer eines asymmetrischen Kryptosystems den öffentlichen Schlüssel einer Identität (z. B. einer Person , einer Organisation oder einem IT-System) zuordnen und seinen Geltungsbereich bestimmen. Damit ermöglichen digitale Zertifikate den Schutz der Vertraulichkeit , Authentizität und Integrität von Daten durch die korrekte Anwendung der öffentlichen Schlüssel. Im Kontext elektronischer Signaturen wird der Begriff Zertifikat technikneutraler aufgefasst (siehe Abschnitt Rechtliche Aspekte), so dass ein Zertifikat sich nicht notwendigerweise auf einen kryptographischen Schlüssel, sondern allgemein auf „ Signaturprüfdaten“ beziehen muss.
  17. 26. Amazon.de
  18. 27. Amazon.de
  19. 28. Luna HSM Product Range Luna PCI Luna SA PKI Root Key Protection Network Attached HSM for PKI Luna SP and XML Network Attached Developer - Programmable Luna CA4 Luna PCM “ Portable” HSM
  20. 30. Fragen und Antworten Stefan Schweizer [email_address] 089 - 288 90 295 0175 – 20 50 616 www.safenet-inc.com
  21. 32. Backup....
  22. 33. World’s First Complete Family of High-Speed Encryption Devices
  23. 34. Layer 2 vs. Layer 3 Encryption Layer 2 encryption provides the most efficient solution for High Speed point-to-point links SONET (OC48) Cloud Layer 2 SONET 2.39 Gbps 1.3 Gbps Layer 3 IPSec
  24. 35. TOP 10 REASONS FOR SafeEnterprise™ Ethernet Encryption <ul><li>High Speed Encryption = little to no impact on network performance </li></ul><ul><li>Better bandwidth optimization = lower costs for payload delivery </li></ul><ul><li>Low latency = easy, secure deployment of VoIP, web apps, and more </li></ul><ul><li>Future-proof because it’s field-upgradeable </li></ul><ul><li>High-performance, scalable, and premier quality of service  </li></ul><ul><li>Conforms to industry networking standards </li></ul><ul><li>Ease of management and deployment – transparent operation </li></ul><ul><li>FIPS and Common Criteria compliant-ready </li></ul><ul><li>25 year history of Best-of-Breed encryption solutions </li></ul><ul><li>Peace of Mind: Minimal regulatory and financial exposure, whilst achieving international auditing and compliance requirements </li></ul>
  25. 38. Vorteile Performance Full-duplex operation at line speed with no packet loss for all modes of operation Cut-through data streaming for low latency vs. store and forward architectures Key change without interruption Network Ethernet II, IEEE 802.3 Jumbo frame support VLAN, MPLS transparency Interfaces SFP fiber modules (Multi-mode: 850nm, Single-mode: 1310nm) SFP electrical modules Cryptography AES algorithm - 256-bit key CFB providing automatic crypto resynchronization Key Features Full-duplex line rate AES encryption for 10Mbps, FastEthernet (100Mbps), and up to 10 Gigabit Ethernet (10GbE) networks Standards-based authentication, digital certificates, and key management Bump-in-the-wire design for easy installation into existing network environments Part of world's first complete family of High-Speed Encryption devices for network security interface independence Central remote configuration, monitoring, and management through SafeEnterprise Security Management Center

×