Ihr Führerschein zum
Kryptographie-Experten
Rüdiger Kügler | Professional Services
ruediger.kuegler@wibu.com
Alvaro Forero...
Legendäre Fehler
Verschlüsseltes Geschlecht
Krankenakte mit AES-CTR
Bild mit AES-ECB
04.09.2014 Ihr Führerschein zum Krypt...
Verschlüsseltes Geschlechtsmerkmal
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 3
 Implementierung:
 Datenfeld...
Datenbank Dump (Auszug)
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 4
ID LastName Gender
442225 782B9CAB890DB93...
Verschlüsseltes Geschlechtsmerkmal
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 5
 Implementierung:
 Datenfeld...
Verschlüsselte Krankenakte
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 6
 Implementierung
 Verschlüsselung vo...
Verschlüsseltes Bild
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 7
Electronic Codebook Cipher-Block Chaining
EC...
Kryptographie - Grundlagen
Symmetrische Verschlüsselung
Hash Funktionen
Asymmetrische Verschlüsselung
04.09.2014 Ihr Führe...
Symmetrische Verschlüsselung
Data
Encrypted
Data
Encrypted
Data
Data
Shared
Key
Shared
Key
04.09.2014 Ihr Führerschein zum...
Hash
Data
Hash (Digest)
Data
Hash (Digest)
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 10
Hash mit Salt
Data
Hash (Digest)
Data
Hash (Digest)
Salt Salt
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 11
Signaturen
Data
Private
Key
Hash (Digest)
Signature
Yes / No
Public
Key
Data
Hash (Digest)Signature
Signature
04.09.2014 I...
Asymmetrische Verschlüsselung
Data
Encrypted
Data
Encrypted
Data
Data
Public
Key
Private
Key
04.09.2014 Ihr Führerschein z...
Block Cipher Modes
Electronic Codebook (ECB)
Cipher-Block Chaining (CBC)
Counter (CTR)
04.09.2014 Ihr Führerschein zum Kry...
Electronic Codebook (ECB) – Verschlüsselung
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 15
Plaintext
Ciphertext...
Electronic Codebook (ECB) – Entschlüsselung
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 16
Ciphertext
Plaintext...
Cipher-Block Chaining (CBC) – Verschlüsselung
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 17
Plaintext
Cipherte...
Cipher-Block Chaining (CBC) – Entschlüsselung
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 18
Ciphertext
Plainte...
Counter (CTR) – Verschlüsselung
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 19
Plaintext
Ciphertext
AES
Encrypt...
Counter (CTR) – Entschlüsselung
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 20
Ciphertext
Plaintext
AES
Encrypt...
CodeMeter API
Verschlüsselung
Signatur
Schlüsselspeicher
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 21
CodeMeter API – Unterstützte Algorithmen
 Symmetrische Verschlüsselung: AES 128 bit
 Asymmetrische Verschlüsselung : ECC...
CodeMeter API – Schlüsselquellen
 FirmKey mit Schlüsselableitung
 Direkt (ECB)
 Indirekt (ECB, CBC) mit P1363 KDF2
 Se...
Schlüsselableitung – Firm Key – Direkt
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 24
Plaintext
CmDongle
AES EC...
Schlüsselableitung – Secret Data / Hidden Data – Direkt
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 25
Plaintex...
Schlüsselableitung – Firm Key – Indirekt (Standard)
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 26
InitKey
Plai...
Schlüsselableitung – Secret Data / Hidden Data – Indirekt
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 27
InitKe...
Ohne Schlüsselableitung – Secret Data / Hidden Data – Direkt
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 28
Pla...
CodeMeter
Anwendungsbeispiele
Challenge Response Check
Bekanntes Shared Secret
Verschlüsselte Kommunikation
04.09.2014 Ihr...
Challenge Response Check
 Stellt sicher, dass ein gültiger CmDongle vorhanden ist
 Private Key im CmDongle (mit Lizenz, ...
Bekanntes Shared Secret
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 31
 Sicheres Speichern eines AES-Schlüssel...
Verschlüsselte Kommunikation
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 32
 Übermittlung der Fischfänge an ei...
Zusammenfassung
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 33
 Starten Sie mit der Bedrohungsanalyse
 Wählen...
Vielen Dank für Ihre
Aufmerksamkeit
WIBU-SYSTEMS AG
www.wibu.com
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 34
Nächste SlideShare
Wird geladen in …5
×

CodeMeter - Ihr Fuhrschein zum Kryptographie-Experte

334 Aufrufe

Veröffentlicht am

Mit Kryptographie ist es wie mit dem Autofahren. Zuerst muss man die Basismethoden der Kryptographie kennen lernen, genau wie es mit der Bedeutung aller Anzeigen beim Autofahren ist – erst wenn man alle Bestandteile des Armaturenbretts kennt, kann man auf der Autobahn fahren. Und ähnlich ist es beim Auto: war es gestern noch modern, kann es heute altmodisch sein; auch die Überalterung bei Sicherheit beschleunigt sich.

CodeMeter®, mit der umfangreichen Erfahrung und des Wissens von Wibu-Systems entwickelt, bietet ein umfangreiches Sortiment an kryptographischen Methoden. Aber auch die besten Schutzlösungen wie CodeMeter könnten versagen, wenn es schlecht und unsicher implementiert wurde oder die notwendigen Sicherheitsvorkehrungen fehlen.

Ein essentiell wichtiger Punkt ist die sichere Speicherung von privaten und geheimen Schlüsseln. Die erste Frage, die Sie sich stellen sollten, ist, wo Ihre Lizenzen gespeichert werden sollen. Der Hardware-basierte Schutz CmDongle ist sicher ähnlich einer uneinnehmbaren Festung. Die Software-basierte Lösung CmActLicense gibt es als Schlüsselspeicher inklusive der einzigartigen und geschützten Technologie SmartBind®. Die privaten und geheimen Schlüssel liegen dann in einer verschlüsselten Lizenz-Datei, deren Schlüssel der Fingerabdruck des PCs ist, an den die Lizenz-Datei gebunden ist.

Die zweite wichtige Entscheidung ist, wie die Verschlüsselung arbeitet: sie hängt von Einsatzgebiet und Bedrohungsszenario ab.

Zum Schluss noch ein paar interessante Fakten: wussten Sie, dass im Counter Mode (CTR) die Verschlüsselung mit AES eigentlich nur ein XOR ist?

Betrachten wir beispielsweise ein Datenbankfeld mit einem Booleschen Wert. Bei einer einfachen Verschlüsselung mit AES, ergibt dies genau zwei mögliche verschlüsselte Werte. D.h. ein Angreifer muss nur einen Datensatz im Original kennen, um den unverschlüsselten Wert bei allen Datensätzen zu kennen.

Inhalt:
- HASH Funktionen
° SHA 256
- Symmetrische Verschlüsselung
* AES 128
* Direkte Verschlüsselung im CmContainer
* Indirekte Verschlüsselung
* Verschlüsselung ohne CmContainer
* Auswahl des richtigen Betriebsmodus
- Asymmetrische Verschlüsselung
* ECC 224
* RSA 2048

Veröffentlicht in: Software
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
334
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
4
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

CodeMeter - Ihr Fuhrschein zum Kryptographie-Experte

  1. 1. Ihr Führerschein zum Kryptographie-Experten Rüdiger Kügler | Professional Services ruediger.kuegler@wibu.com Alvaro Forero | Security Expert Alvaro.Forero@wibu.com CodeMeter
  2. 2. Legendäre Fehler Verschlüsseltes Geschlecht Krankenakte mit AES-CTR Bild mit AES-ECB 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 2
  3. 3. Verschlüsseltes Geschlechtsmerkmal 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 3  Implementierung:  Datenfeld mit „0“ aufgefüllt  Verschlüsselt mit AES ohne IV  Fehler  Entropie der Daten ist zu gering  IV und Padding mit „0“  Hack  Erraten der Feldes
  4. 4. Datenbank Dump (Auszug) 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 4 ID LastName Gender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
  5. 5. Verschlüsseltes Geschlechtsmerkmal 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 5  Implementierung:  Datenfeld mit „0“ aufgefüllt  Verschlüsselt mit AES ohne IV  Fehler  Entropie der Daten ist zu gering  IV und Padding mit „0“  Hack  Erraten der Feldes Sichere Lösung Verschlüsselte Daten sind größer als unverschlüsselte Daten:  Initialization Vector,  Nonce oder  Auffüllen mit zufälligen Daten
  6. 6. Verschlüsselte Krankenakte 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 6  Implementierung  Verschlüsselung von xml/docx mit AES-CTR  Fehler  Implementierungsfehler: Nonce = „0“  Hack  Stehlen der verschlüsselten Datenbank  Eigene Krankenakte besorgen (unverschlüsselt)  Record = MyPlainRecord XOR MyEncRecord XOR EncRecord EncRecord MyPlainRecord MyEncRecord Record
  7. 7. Verschlüsseltes Bild 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 7 Electronic Codebook Cipher-Block Chaining ECB erhält die Struktur der Daten.
  8. 8. Kryptographie - Grundlagen Symmetrische Verschlüsselung Hash Funktionen Asymmetrische Verschlüsselung 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 8
  9. 9. Symmetrische Verschlüsselung Data Encrypted Data Encrypted Data Data Shared Key Shared Key 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 9
  10. 10. Hash Data Hash (Digest) Data Hash (Digest) 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 10
  11. 11. Hash mit Salt Data Hash (Digest) Data Hash (Digest) Salt Salt 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 11
  12. 12. Signaturen Data Private Key Hash (Digest) Signature Yes / No Public Key Data Hash (Digest)Signature Signature 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 12
  13. 13. Asymmetrische Verschlüsselung Data Encrypted Data Encrypted Data Data Public Key Private Key 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 13
  14. 14. Block Cipher Modes Electronic Codebook (ECB) Cipher-Block Chaining (CBC) Counter (CTR) 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 14
  15. 15. Electronic Codebook (ECB) – Verschlüsselung 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 15 Plaintext Ciphertext AES Encryption Plaintext Ciphertext AES Encryption Plaintext Ciphertext AES Encryption
  16. 16. Electronic Codebook (ECB) – Entschlüsselung 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 16 Ciphertext Plaintext AES Decryption Ciphertext Plaintext AES Decryption Ciphertext Plaintext AES Decryption
  17. 17. Cipher-Block Chaining (CBC) – Verschlüsselung 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 17 Plaintext Ciphertext AES Encryption IV Plaintext Ciphertext AES Encryption Plaintext Ciphertext AES Encryption
  18. 18. Cipher-Block Chaining (CBC) – Entschlüsselung 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 18 Ciphertext Plaintext AES Decryption IV Ciphertext Plaintext AES Decryption Ciphertext Plaintext AES Decryption
  19. 19. Counter (CTR) – Verschlüsselung 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 19 Plaintext Ciphertext AES Encryption Counter (0) Nonce Add Plaintext Ciphertext AES Encryption Counter (1) Nonce Add Plaintext Ciphertext AES Encryption Counter (2) Nonce Add
  20. 20. Counter (CTR) – Entschlüsselung 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 20 Ciphertext Plaintext AES Encryption Counter (0) Nonce Add Ciphertext Plaintext AES Encryption Counter (1) Nonce Add Ciphertext Plaintext AES Encryption Counter (2) Nonce Add
  21. 21. CodeMeter API Verschlüsselung Signatur Schlüsselspeicher 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 21
  22. 22. CodeMeter API – Unterstützte Algorithmen  Symmetrische Verschlüsselung: AES 128 bit  Asymmetrische Verschlüsselung : ECC 224 bit  Signaturen: ECC 224 bit (ECDSA)  Hash: SHA 256  Legacy: RSA 2048 bit 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 22
  23. 23. CodeMeter API – Schlüsselquellen  FirmKey mit Schlüsselableitung  Direkt (ECB)  Indirekt (ECB, CBC) mit P1363 KDF2  Secret Data / Hidden Data mit Schlüsselableitung  Direkt (ECB)  Indirekt (ECB, CBC) mit P1363 KDF2  Secret Data / Hidden Data ohne Schlüsselableitung  Direkt (ECB) 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 23
  24. 24. Schlüsselableitung – Firm Key – Direkt 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 24 Plaintext CmDongle AES ECBSHA 256 Firm Code Product Code Feature Code Release Data Encryption Code Enc. Code Options Feature Map Maint. Period Black Key Firm Key Ciphertext Product Code Firm Code
  25. 25. Schlüsselableitung – Secret Data / Hidden Data – Direkt 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 25 Plaintext CmDongle AES ECBSHA 256 Firm Code Product Code Feature Code Release Data Encryption Code Enc. Code Options Feature Map Maint. Period Black Key Secret Data Ciphertext Product Code Firm Code
  26. 26. Schlüsselableitung – Firm Key – Indirekt (Standard) 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 26 InitKey Plaintext CmDongle AES ECBSHA 256 Firm Code Product Code Feature Code Release Data Encryption Code Enc. Code Options Feature Map Maint. Period Black Key Firm Key Ciphertext Product Code Firm Code KDF2 P1363 AES
  27. 27. Schlüsselableitung – Secret Data / Hidden Data – Indirekt 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 27 InitKey Plaintext CmDongle AES ECBSHA 256 Firm Code Product Code Feature Code Release Data Encryption Code Enc. Code Options Feature Map Maint. Period Black Key Secret Data Ciphertext Product Code Firm Code KDF2 P1363 AES
  28. 28. Ohne Schlüsselableitung – Secret Data / Hidden Data – Direkt 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 28 Plaintext CmDongle AES ECB Firm Code Product Code Feature Map Maint. Period Black Key Secret Data Ciphertext
  29. 29. CodeMeter Anwendungsbeispiele Challenge Response Check Bekanntes Shared Secret Verschlüsselte Kommunikation 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 29
  30. 30. Challenge Response Check  Stellt sicher, dass ein gültiger CmDongle vorhanden ist  Private Key im CmDongle (mit Lizenz, für alle Kunden gleich)  Public Key in der Software  Software erzeugt eine Challenge  CmDongle signiert die Challenge  Software überprüft die Response  Verhindert eine Record Playback Attacke auf den CmDongle  Verhindert eine Simulation des CmDongles 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 30
  31. 31. Bekanntes Shared Secret 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 31  Sicheres Speichern eines AES-Schlüssels, der auf einem PC verwendet werden kann  Speicher des AES-Schlüssels in Secret Data  Verwendung von Secret Data als Schlüssel-Quelle  Einsatzsszenario:  Datentransfer zwischen Embedded Device / Cloud und PC  Schlüssel in Embedded Device / Cloud sind bereits sicher  Verwendung des CmDongles am PC  Verhindert das Kompromittieren des Schlüssels am PC
  32. 32. Verschlüsselte Kommunikation 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 32  Übermittlung der Fischfänge an einen zentralen Server (über Satellit)  Anforderungen: Authentisch und Vertraulich  Implementierung:  Schlüsselpaar auf dem Server und jedem Schiff  Tagebuch verschlüsselt mit Public Key des Servers  Tagebuch signiert mit Private Key des Schiffs  Ergebnis: Authentisch und Vertraulich 603 4711
  33. 33. Zusammenfassung 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 33  Starten Sie mit der Bedrohungsanalyse  Wählen Sie Algorithmus, Schlüssellänge und Modus sorgfältig  Wählen Sie den richtigen Platz zum Speichern (Dongle, Software, …)  Vermeiden Sie Implementierungsfehler  Überprüfen Sie die Implementierung regelmäßig Wibu Professional Services unterstützt Sie von Analyse bis Implementierung und Überwachung.
  34. 34. Vielen Dank für Ihre Aufmerksamkeit WIBU-SYSTEMS AG www.wibu.com 04.09.2014 Ihr Führerschein zum Kryptographie-Experten 34

×