22. Diffie-Hellman-Schlüsselaustausch Die Kommunikationspartner seien Alice und Bob . Das Beispiel benutzt sehr kleine Zahlen. In der tatsächlichen Anwendung werden Zahlen mit mehreren hundert Dezimalstellen benutzt. Alice und Bob einigen sich auf p = 13 und g = 2. Alice wählt die Zufallszahl a = 5. Bob wählt die Zufallszahl b = 7. Alice berechnet A = 25mod 13 = 6 und sendet dieses Ergebnis an Bob. Bob berechnet B = 27mod 13 = 11 und sendet dieses Ergebnis an Alice. Alice berechnet K = 115mod 13 = 7. Bob berechnet K = 67mod 13 = 7. Beide erhalten das gleiche Ergebnis K = 7. Ein eventuell vorhandener Lauscher könnte zwar die Zahlen 13, 2, 6 und 11 mithören, das eigentliche gemeinsame Geheimnis von Alice und Bob K = 7 bleibt ihm aber verborgen.
23. Diffie-Hellman-Problem Man-in-the-Middle-Angriff Um einen solchen Man-In-The-Middle-Angriff auszuschließen, müssen die ausgetauschten Nachrichten authentifiziert werden. Dazu verwendet man digitale Signaturen und Message Authentication Codes .
24. Diffie-Hellman-Schlüsselaustausch CA Eine Zertifizierungsstelle (englisch Certificate Authority , kurz CA ) ist eine Organisation, die digitale Zertifikate herausgibt. Ein digitales Zertifikat ist gewissermaßen das Cyberspaceäquivalent eines Personalausweises und dient dazu, einen bestimmten öffentlichen Schlüssel einer Person oder Organisation zuzuordnen. Diese Zuordnung wird von der Zertifizierungsstelle beglaubigt, indem sie sie mit ihrer eigenen digitalen Unterschrift versieht. Die Zertifikate enthalten „Schlüssel“ und Zusatzinformationen, die zur Authentifizierung sowie zur Verschlüsselung und Entschlüsselung vertraulicher Daten dienen, die über das Internet und andere Netze verbreitet werden. Als Zusatzinformationen sind zum Beispiel Lebensdauer, Verweise auf Zertifikatsperrlisten , etc. enthalten, die durch die CA mit in das Zertifikat eingebracht werden. Die Aufgabe einer Beglaubigungsinstitution ist es, solche digitalen Zertifikate herauszugeben und zu überprüfen. Sie ist dabei für die Bereitstellung, Zuweisung und Integritätssicherung der von ihr ausgegebenen Zertifikate verantwortlich. Damit ist sie ein wichtiger Teil der Public-Key-Infrastruktur . Eine Zertifizierungsstelle kann ein spezielles Unternehmen sein oder eine Institution innerhalb eines Unternehmens, das einen entsprechenden eigenen Server installiert hat (zum Beispiel mit OpenSSL ). Auch öffentliche Organisationen oder Regierungsstellen können als Zertifizierungsstelle dienen, z. B. die Bundesnetzagentur .
25. Zertifikat Ein Digitales Zertifikat (auch Zertifikat oder Public-Key-Zertifikat ) sind strukturierte Daten, die den Eigentümer sowie weitere Eigenschaften eines öffentlichen Schlüssels bestätigen. Durch ein digitales Zertifikat können Nutzer eines asymmetrischen Kryptosystems den öffentlichen Schlüssel einer Identität (z. B. einer Person , einer Organisation oder einem IT-System) zuordnen und seinen Geltungsbereich bestimmen. Damit ermöglichen digitale Zertifikate den Schutz der Vertraulichkeit , Authentizität und Integrität von Daten durch die korrekte Anwendung der öffentlichen Schlüssel. Im Kontext elektronischer Signaturen wird der Begriff Zertifikat technikneutraler aufgefasst (siehe Abschnitt Rechtliche Aspekte), so dass ein Zertifikat sich nicht notwendigerweise auf einen kryptographischen Schlüssel, sondern allgemein auf „ Signaturprüfdaten“ beziehen muss.
28. Luna HSM Product Range Luna PCI Luna SA PKI Root Key Protection Network Attached HSM for PKI Luna SP and XML Network Attached Developer - Programmable Luna CA4 Luna PCM “ Portable” HSM
29.
30. Fragen und Antworten Stefan Schweizer [email_address] 089 - 288 90 295 0175 – 20 50 616 www.safenet-inc.com
34. Layer 2 vs. Layer 3 Encryption Layer 2 encryption provides the most efficient solution for High Speed point-to-point links SONET (OC48) Cloud Layer 2 SONET 2.39 Gbps 1.3 Gbps Layer 3 IPSec
35.
36.
37.
38. Vorteile Performance Full-duplex operation at line speed with no packet loss for all modes of operation Cut-through data streaming for low latency vs. store and forward architectures Key change without interruption Network Ethernet II, IEEE 802.3 Jumbo frame support VLAN, MPLS transparency Interfaces SFP fiber modules (Multi-mode: 850nm, Single-mode: 1310nm) SFP electrical modules Cryptography AES algorithm - 256-bit key CFB providing automatic crypto resynchronization Key Features Full-duplex line rate AES encryption for 10Mbps, FastEthernet (100Mbps), and up to 10 Gigabit Ethernet (10GbE) networks Standards-based authentication, digital certificates, and key management Bump-in-the-wire design for easy installation into existing network environments Part of world's first complete family of High-Speed Encryption devices for network security interface independence Central remote configuration, monitoring, and management through SafeEnterprise Security Management Center