SlideShare ist ein Scribd-Unternehmen logo

Zertifikate für Authetizität, Authentifizierung oder beides?

Als PPTX, PDF herunterladen
team-WIBU
team-WIBU

Digitale Zertifikate gehören zu den Meilensteinen der Sicherheitshistorie. Seitdem Zertifikate eingesetzt werden, nutzen Hersteller und Anwender die Vorteile einer verschlüsselten Kommunikation, beispielsweise beim sicheren Mailverkehr, Datei- und Festplattenverschlüsselung oder der sicheren Anmeldung auf lokale Rechner oder Webseiten. Gesetzgeber haben maßgebende Schritte eingeleitet, um den Einsatz von Zertifikaten zu fördern und zu regeln. Trotz ihrer Wirksamkeit scheinen Zertifikate für einige immer noch kryptisch und umständlich zu sein. Mit Zertifikaten können Software- und Geräte-Hersteller ihre Software auf Echtheit prüfen oder eine Benutzerauthentifizierung aufbauen und auf diese Weise Software-Integrität gewährleisten und Zugangsrechte verwalten. - Was sind Zertifikate? * Grundlagen der asymmetrischen Kryptographie * Wie kann ein Schlüssel als authentisch erkannt werden? * Selbst signierte Zertifikate * Root-Zertifikate * Zertifikatsketten * Rücknahmelisten - Übersicht der Anwendungsfälle für Zertifikate - Anwendungsfall Server-Zertifikat * Erstellung eines Server-Zertifikates. * Einrichtung des Servers - Anwendungsfall Client Zertifikat * Erstellen Client-Zertifikates * Einrichtung des Servers * Speichern des Client-Zertifikates auf dem PC. * Beispiel mit der CodeMeter License Central - Speicherorte für Zertifikate * Als Datei auf einem PC * Auf einem PC mit der CSSI Middleware - Zertifikate im Bereich Software Security * Authenticode * CodeMeter Universal Firm Code basierend auf Zertifikaten * Code-Integrität im AxProtector mit Zertifikaten Egal, ob Sie mit Standardsoftware oder Embedded-Software arbeiten – Zertifikate zählen in beiden Fällen als Bestandteil der Softwaresicherheit. Unsere Technologie ist so vorbereitet, dass Sie Zertifikate direkt einsetzen können. Die Schutzhardware enthält SmartCard-Chips und die Sicherheitstools zum einfachen Einsatz von Zertifikaten gehören bereits zu unseren Lösungen. Webinar anschauen: https://youtu.be/nA-JGAIKqzU

Software
1 von 54
Zertifikate für Authentizität, Authentifizierung oder beides? Wolfgang Völker | Director Product Management wolfgang.voelker@wibu.com Rüdiger Kügler | Security Expert ruediger.kuegler@wibu.com Zertifikate 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 1
Was sind Zertifikate 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 2
Sender Verschicken einer signierten Nachricht 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 3 Data Data Signature Hash berechnen Signatur berechnen Private Key Data Signature Hash berechnen Signatur prüfen Public Key Empfänger Ja Nein
Die Herausforderung! 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 4 Woher weiß ich, dass der Public Key echt ist?
Die Lösung 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 5 Zertifikate (Public Key Zertifikate, X.509)
Ein Zertifikat 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 6  Bestätigt den Eigentümer eines öffentlichen Schlüssels  Identität:  Person  Organisation  IT-System (z.B. Server)  Unterschrieben vom Aussteller  Attribute Zertifikat Issued for: Common name (CN): Wolfgang Voelker Company (O): WIBU-SYSTEMS AG Business unit (OU): WOPS Serial number: 1be10001000220613… Public key: 0x15, 0x3c, 0xd0, 0x26, 0xd6, 0x71, 0xfa, 0xae, 0x20, 0xa6, 0x15, 0x58, 0xea, 0x3d, 0xdd, 0x36, 0x89, … Issued by: Common name (CN): Root Company (O): WIBU-SYSTEMS AG .. Valid until: 31.12.2015
Die nächste Herausforderung! 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 7 Woher weiß ich, dass das Zertifikat echt ist?
Die nächste Lösung 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 8 Das Zertifikat ist vom Herausgeber unterschrieben. (Prüfung mit dem Public Key des Herausgebers)
Die … Herausforderung! 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 9 …?
Die finale Lösung 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 10 Ich kenne bereits ein Stammzertifikat von einer Zertifzierungsstelle. (Root Certificate / Certificate Authority)
Beispiele für Stammzertifkate 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 11
Zertifikatshierarchie 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 12 Stammzertifikat CN: Root Zertifikat CN: Inter 2 Zertifikat CN: Wolfgang Zertifikat CN: Daniel Zertifikat CN: Marc Zertifikat CN: Christian Zertifikat CN: Rüdiger Zertifikat CN: Stefan Zertifikat CN: Inter 1 Zertifikat CN: Inter 3
Selbst signiertes Zertifikat (Selfsigned Certificate) 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 13  Selbst unterschrieben  Es gibt kein Stammzertifikat  Wird in der Regel nicht akzeptiert  Anwender muss dem Zertifikat manuell vertrauen Zertifikat Ausgestellt für: Allgemeiner Name (CN): Rüdiger Kügler Organisation (O): WIBU-SYSTEMS AG Organisationseinheit (OU): Professional Services Seriennummer: 1be10001000220613… Ausgestellt von: Allgemeiner Name (CN): Rüdiger Kügler Organisation (O): WIBU-SYSTEMS AG .. Gültig bis: 31.12.2015
Sperrlisten  CRL (Certificate Revokation List)  Beinhaltet ungültige (zurückgezogene) Zertifikate  Online Abfrage möglich, Online Certificate Status Protocol (OCSP) 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 14
Anwendungsfälle 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 15
Anwendungsfälle  Server Zertifikate  Client Zertifikate  E-Mail Zertifikate / VPN Zertifikate  OPC UA Zertifikate  Authenticode  Code Integrität von Software  … 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 16
Server-Zertifikate 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 17
So sieht es aus: 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 18 Server Zertifikat Ausgestellt für: Allgemeiner Name (CN): www.wibu.de Organisation (O): WIBU-SYSTEMS AG Organisationseinheit (OU): Hosting Seriennummer: 0003 Ausgestellt von: Allgemeiner Name (CN): Root Organisation (O): WIBU-SYSTEMS AG .. Gültig bis: 31.12.2015 Client Private Key Client überprüft die Identität des Servers Stammzertifikat CN: Root
Konfiguration des Servers … SSLEngine on SSLCertificateKeyFile "c:/cert/my_private_key.pem" SSLCertificateFile "c:/cert/the_cert_I_got_from_verisign.crt" 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 19
… Konfiguration des Servers  SSLEngine on  Schaltet SSL ein, Mod SSL muss auch aktiviert sein  SSLCertificateKeyFile „c:/cert/my_private_key.pem“  Der private Schlüssel  SSLCertificateFile „c:/cert/the_cert_I_got_from_verisign.crt“  Das Zertifikat 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 20
Client-Zertifikate 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 21
So sieht es aus: 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 22 Server Server-Zertifikat Ausgestellt für: Allgemeiner Name (CN): www.wibu.de Organisation (O): WIBU-SYSTEMS AG Organisationseinheit (OU): Hosting Seriennummer: 0003 Ausgestellt von: Allgemeiner Name (CN): Root Organisation (O): WIBU-SYSTEMS AG .. Gültig bis: 31.12.2015 Client Client-Zertifikat Ausgestellt für: Allgemeiner Name (CN): Rüdiger Kügler Organisation (O): WIBU-SYSTEMS AG Organisationseinheit (OU): Professional Services Seriennummer: 0001 Ausgestellt von: Allgemeiner Name (CN): Root Organisation (O): WIBU-SYSTEMS AG .. Gültig bis: 31.12.2015 Client Private Key Server Private Key Server überprüft die Identität des Clients
Konfiguration des Servers für Clientzertifikate … SSLEngine on SSLCertificateKeyFile "c:/cert/my_private_key.pem" SSLCertificateFile "c:/cert/the_cert_I_got_from_verisign.crt" SSLCACertificateFile "c:/cert/my_own_ca_root_cert.crt" SSLVerifyClient require SSLVerifyDepth 10 SSLRequire %{SSL_CLIENT_S_DN_CN} eq "user@domain.de" SSLOptions +StdEnvVars 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 23
… Konfiguration des Servers für Clientzertifikate  SSLCACertificateFile „c:/cert/my_own_ca_root_cert.crt “  Certificate Authority (CA) für Client Zertifikate  SSLVerifyClient require  Client Zertifikat benötigt  SSLRequire %{SSL_CLIENT_S_DN_CN} eq user@domain.de  Beispiel für eine Überprüfung  SSLOptions +StdEnvVars  Durchreichen der Parameter an PHP / Anwendung 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 24
Erstellung eines Clientzertifikates (empfohlen)  Client:  Schlüsselpaar erzeugen  Certificate Signing Request (CSR) erzeugen  CSR an CA schicken  CA / Server:  Zertifikat erzeugen  Zertifikat an Client schicken  Client:  Zertifikat einspielen 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 25
Erstellung eines Clientzertifikates (einfach)  CA / Server:  Schlüsselpaar erzeugen  Zertifikat erzeugen  Private Key exportieren  Zertifikat + Private Key an Client schicken  Client:  Zertifikat einspielen  Private Key einspielen 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 26
Speicherorte für Zertifikate und Private Schlüssel 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 27
Speicherorte für private Schlüssel  Datei auf dem Dateisystem (PEM-Datei mit Schlüssel)  Zertifikatsspeicher  PKCS#11  Microsoft CSP (Crypto Service Provider)  Physikalisch  Auf der Platte  In einem Token 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 28
PKCS#11 / Microsoft CSP 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 29 PKCS#11 Microsoft CSP CmDongle Internet Explorer OutlookFirefox OpenVPN Meine Anwendung
Beispiel Token: CSSI Middleware 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 30
Authenticode 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 31
Motivation: Die Anwendung 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 32  Signierte Anwendung
Motivation: Der Patch 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 33
Motivation: Die Frage 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 34  Läuft die Anwendung noch?
Die Antwort 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 35 Die erschreckende Antwort: JA
Zusammenfassung  Microsoft Windows startet jede Anwendung  Ohne Signatur  Mit gültiger Signatur  Mit ungültiger Signatur  Bordmittel sind nicht für Kopierschutz / Integritätsschutz geeignet 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 36
Ja aber … Ja, aber … 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 37
Überprüfung in der Software  Überprüfung der Signatur  Gültig / ungültig?  Wer hat unterzeichnet?  Wann wurde unterzeichnet?  Reaktion bei Fehlern  Beenden (Verstecken des Calls?)  „Falsch rechnen“ !? 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 38
Die Schwachstelle 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 39 Eigene Software WINTRUST.DLL
Die Schwachstelle  Bekanntes und dokumentiertes Windows API überprüft die Signatur !?  Angriffe:  Patchen der WINTRUST.DLL  Hooken der Funktion mit Standard-Tools  Überscheiben der Funktion in der Dll zur Laufzeit aus der gepatchten Anwendung 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 40
Überschreiben zur Laufzeit ... fake[0] := $31; fake[1] := $C0; fake[2] := $C3; lib := LoadLibrary('WINTRUST.DLL'); p := GetProcAddress(lib, 'WinVerifyTrust'); VirtualProtect(p, 3, PAGE_EXECUTE_READWRITE, old); move(fake, p^, 3); VirtualProtect(p, 3, old, old); ... 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 41
Fazit Authenticode  Zertifikate bieten nur dann eine Sicherheit, wenn die Prüfstelle in einem vertrauenswürdigem Umfeld läuft.  Authenticode = Schutz des Anwenders vor Viren  Authenticode ≠ Schutz gegen Raubkopien 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 42
Codesignatur mit AxProtector 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 43
Protection Suite Protection Suite 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? Automatischer Schutz (IP Protection) Anti-Debug Methoden Verwendete CodeMeter Variante Individuelle Funktionsverschlüsselung Integritätsschutz (Tamper Protection) Authentizität der Software (Secure Loader / Authenticity) Java SE Java EE Embedded Operating System .NETPC (Windows, Linux, OS X) CodeMeter Runtime CodeMeter Runtime CodeMeter Runtime CodeMeter Embedded CodeMeter Embedded IxProtector AxProtector AxProtector .NET AxProtector Java AxProtector CmE ExProtector 44
Funktionen der Wibu-Systems Protection Suite  Authentizität der Software (Secure Load)  Verhindert die Ausführung nicht freigegebener Software  Integritätsschutz (Tamper Protection)  Erkennt Veränderungen (im Speicher!) und reagiert  Automatischer Schutz (IP Protection)  Schützt gegen Reverse Engineering und Raubkopien  Anti-Debug Methoden  Individuelle Funktionsverschlüsselung  Verschlüsselung auf Funktionsebene 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 45
AxProtector 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 46 Geschützte AnwendungKompilierte Anwendung Header AxEngine (Security Engine + Public Key) AxProtector Verschlüsselte Code Section Verschlüsselte Data Section Verschlüsselte Resource Section Header Data Section Resource Section Code Section Signatur Private Key Public Key
Selbstprüfung Executable Signature Überprüfe Signatur (Hash, Public Key, Signature) Berechne Hash des Executable Fehler Ja Nein AxEngine (Security Engine + Public Key) 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 47
Überprüfung eines anderen Modules Executable Dynamic Link Library AxEngine (Security Engine + Public Key) Signature AxEngine (Security Engine + Public Key) Signature exe - exe exe - dll dll - dll dll - exe 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 48
AxProtector [WIBU-SYSTEMS Control File] ... [Commandline] ... -cav ... [CheckCodeIntegrity Dlls] Image1 = ShowHex.dll ... 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 49 Prüfung anderer Module Selbst- Prüfung
ExProtector  ExProtector = Schutz von ausführbaren Dateien auf Embedded Betriebssystemen  Integration der „AxEngine“ als ExEngine in den Loader des Betriebssystems / Bootloader  Verwendung von Signaturen und Zertifikaten  Rechte-Management: Wer darf welche Anwendungen unterschreiben? 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 50
Verwendung von Zertifikaten in CodeMeter 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 51
Sicheres Firmware Update  Es gibt ein Wibu-Stammzertifikat  Vom Stammzertifikat werden Produktions-Zertifikate abgeleitet  Jeder CmDongle erhält während der Produktion den öffentlichen Stammschlüssel  Das Firmware Update wird mit einem Produktions-Zertifikat unterschrieben  Die alte Firmware überprüft das Update (Signatur und Zertifikat), bevor es die neue Firmware übernimmt 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 52
CodeMeter Universal Firm Code  Lizenzen werden vom Hersteller unterschrieben  Lizenzen bestehen aus einem Zertifikat und einem verschlüsselten Teil  Das Lizenzzertifikat kann eine Weitergabe-Berechtigung enthalten (License Transfer)  Bei der Weitergabe wird das originale Zertifikat mitgegeben und ein neues Zertifikat des abgebenden CmContainers erstellt  Alles erfolgt transparent im Hintergrund in CodeMeter 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 53
Deutschland: +49-721-931720 USA: +1-425-7756900 China: +86-21-55661790 http://www.wibu.com info@wibu.com Deutschland: +49-721-931720 USA: +1-425-7756900 China: +86-21-55661790 http://www.wibu.com info@wibu.com Vielen Dank für Ihre Aufmerksamkeit 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 54 Vielen Dank für Ihre Aufmerksamkeit

Empfohlen

Wer bin ich? Authentifizierung durch Zertifikate
Wer bin ich? Authentifizierung durch ZertifikateWer bin ich? Authentifizierung durch Zertifikate
Wer bin ich? Authentifizierung durch Zertifikateteam-WIBU
 
Bündeln oder Schachteln? Das ist hier die Frage
Bündeln oder Schachteln? Das ist hier die FrageBündeln oder Schachteln? Das ist hier die Frage
Bündeln oder Schachteln? Das ist hier die Frageteam-WIBU
 
To Bundle or To Nest? That is the Question
To Bundle or To Nest? That is the QuestionTo Bundle or To Nest? That is the Question
To Bundle or To Nest? That is the Questionteam-WIBU
 
OPC UA Security: Native and Add-on Solutions
OPC UA Security: Native and Add-on SolutionsOPC UA Security: Native and Add-on Solutions
OPC UA Security: Native and Add-on Solutionsteam-WIBU
 
Protecting IIoT Endpoints - an inside look at the Industrial Internet Securit...
Protecting IIoT Endpoints - an inside look at the Industrial Internet Securit...Protecting IIoT Endpoints - an inside look at the Industrial Internet Securit...
Protecting IIoT Endpoints - an inside look at the Industrial Internet Securit...team-WIBU
 
Sichere Backend-Calls mit Nutzerkontext
Sichere Backend-Calls mit NutzerkontextSichere Backend-Calls mit Nutzerkontext
Sichere Backend-Calls mit NutzerkontextQAware GmbH
 
SSL-Zertifikate - Sicherheit, Vertraulichkeit und Integrität
SSL-Zertifikate - Sicherheit, Vertraulichkeit und IntegritätSSL-Zertifikate - Sicherheit, Vertraulichkeit und Integrität
SSL-Zertifikate - Sicherheit, Vertraulichkeit und Integritätpswgroup
 
So funktioniert es: Identitätsprüfung via online ausweischeck
So funktioniert es: Identitätsprüfung via online ausweischeckSo funktioniert es: Identitätsprüfung via online ausweischeck
So funktioniert es: Identitätsprüfung via online ausweischeckLiondint
 

Empfohlen

Wer bin ich? Authentifizierung durch Zertifikate
Wer bin ich? Authentifizierung durch ZertifikateWer bin ich? Authentifizierung durch Zertifikate
Wer bin ich? Authentifizierung durch Zertifikateteam-WIBU
 
Bündeln oder Schachteln? Das ist hier die Frage
Bündeln oder Schachteln? Das ist hier die FrageBündeln oder Schachteln? Das ist hier die Frage
Bündeln oder Schachteln? Das ist hier die Frageteam-WIBU
 
To Bundle or To Nest? That is the Question
To Bundle or To Nest? That is the QuestionTo Bundle or To Nest? That is the Question
To Bundle or To Nest? That is the Questionteam-WIBU
 
OPC UA Security: Native and Add-on Solutions
OPC UA Security: Native and Add-on SolutionsOPC UA Security: Native and Add-on Solutions
OPC UA Security: Native and Add-on Solutionsteam-WIBU
 
Protecting IIoT Endpoints - an inside look at the Industrial Internet Securit...
Protecting IIoT Endpoints - an inside look at the Industrial Internet Securit...Protecting IIoT Endpoints - an inside look at the Industrial Internet Securit...
Protecting IIoT Endpoints - an inside look at the Industrial Internet Securit...team-WIBU
 
Sichere Backend-Calls mit Nutzerkontext
Sichere Backend-Calls mit NutzerkontextSichere Backend-Calls mit Nutzerkontext
Sichere Backend-Calls mit NutzerkontextQAware GmbH
 
SSL-Zertifikate - Sicherheit, Vertraulichkeit und Integrität
SSL-Zertifikate - Sicherheit, Vertraulichkeit und IntegritätSSL-Zertifikate - Sicherheit, Vertraulichkeit und Integrität
SSL-Zertifikate - Sicherheit, Vertraulichkeit und Integritätpswgroup
 
So funktioniert es: Identitätsprüfung via online ausweischeck
So funktioniert es: Identitätsprüfung via online ausweischeckSo funktioniert es: Identitätsprüfung via online ausweischeck
So funktioniert es: Identitätsprüfung via online ausweischeckLiondint
 
Aufbau einer PKI in einer Domino Umgebung
Aufbau einer PKI in einer Domino UmgebungAufbau einer PKI in einer Domino Umgebung
Aufbau einer PKI in einer Domino UmgebungAlexander Kluge
 
REST - Hypermedia und Sicherheit
REST - Hypermedia und SicherheitREST - Hypermedia und Sicherheit
REST - Hypermedia und SicherheitMayflower GmbH
 
IT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer Geschäftsverkehr
IT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer GeschäftsverkehrIT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer Geschäftsverkehr
IT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer GeschäftsverkehreBusinessLotse-Suedwestfalen-Hagen
 
Cloud – Intune
Cloud – IntuneCloud – Intune
Cloud – IntuneDigicomp Academy AG
 
Token statt Cookies dank JWT (Java Land 2016)
Token statt Cookies dank JWT (Java Land 2016)Token statt Cookies dank JWT (Java Land 2016)
Token statt Cookies dank JWT (Java Land 2016)Markus Schlichting
 
CLT 2011: E-Mail-Verschlüsselung mit GPG
CLT 2011: E-Mail-Verschlüsselung mit GPGCLT 2011: E-Mail-Verschlüsselung mit GPG
CLT 2011: E-Mail-Verschlüsselung mit GPGBirgit Hüsken
 
Globals Reporting mit Pentaho Business Analytics
Globals Reporting mit Pentaho Business AnalyticsGlobals Reporting mit Pentaho Business Analytics
Globals Reporting mit Pentaho Business Analyticsinovex GmbH
 
SharePoint Konferenz 2014 Munich - Wie Sie Office 365 mit Windows Azure steue...
SharePoint Konferenz 2014 Munich - Wie Sie Office 365 mit Windows Azure steue...SharePoint Konferenz 2014 Munich - Wie Sie Office 365 mit Windows Azure steue...
SharePoint Konferenz 2014 Munich - Wie Sie Office 365 mit Windows Azure steue...atwork
 
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!Thomas Bahn
 
Gelangensbestätigung u12
Gelangensbestätigung u12Gelangensbestätigung u12
Gelangensbestätigung u12Michael Steckling
 
Conversion Tracking Optionen im Vergleich
Conversion Tracking Optionen im VergleichConversion Tracking Optionen im Vergleich
Conversion Tracking Optionen im Vergleich📊 Markus Baersch
 
SecurityForum April 2015 - Das SSL Dilemma - or One Million Ways to Die in th...
SecurityForum April 2015 - Das SSL Dilemma - or One Million Ways to Die in th...SecurityForum April 2015 - Das SSL Dilemma - or One Million Ways to Die in th...
SecurityForum April 2015 - Das SSL Dilemma - or One Million Ways to Die in th...Christopher Bleckmann-Dreher
 
TÜV-Zertifizierung „Geprüfte App“
TÜV-Zertifizierung „Geprüfte App“TÜV-Zertifizierung „Geprüfte App“
TÜV-Zertifizierung „Geprüfte App“Connected-Blog
 
TÜV-Zertifizierung "Geprüfte App"
TÜV-Zertifizierung "Geprüfte App"TÜV-Zertifizierung "Geprüfte App"
TÜV-Zertifizierung "Geprüfte App"Connected-Blog
 
D3 000908 Lotusday Hagen Bcc Id Vault
D3 000908 Lotusday Hagen Bcc Id VaultD3 000908 Lotusday Hagen Bcc Id Vault
D3 000908 Lotusday Hagen Bcc Id VaultAndreas Schulte
 
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?GWAVA
 
2 Faktor Authentifizierung - WordPress Login absichern
2 Faktor Authentifizierung - WordPress Login absichern2 Faktor Authentifizierung - WordPress Login absichern
2 Faktor Authentifizierung - WordPress Login absichernfrankstaude
 
Risiko Datensicherheit - End-to-End-Verschlüsselung von Anwendungsdaten
Risiko Datensicherheit - End-to-End-Verschlüsselung von AnwendungsdatenRisiko Datensicherheit - End-to-End-Verschlüsselung von Anwendungsdaten
Risiko Datensicherheit - End-to-End-Verschlüsselung von AnwendungsdatenPeter Kirchner
 
Daten statt Raten - Affiliate Methoden für Experten
Daten statt Raten - Affiliate Methoden für ExpertenDaten statt Raten - Affiliate Methoden für Experten
Daten statt Raten - Affiliate Methoden für ExpertenMaximilian Schirmer
 
Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26faltmannPR
 
Post Quantum Cryptography – The Impact on Identity
Post Quantum Cryptography – The Impact on IdentityPost Quantum Cryptography – The Impact on Identity
Post Quantum Cryptography – The Impact on Identityteam-WIBU
 
Unlocking the Future: Empowering Industrial Security
Unlocking the Future: Empowering Industrial SecurityUnlocking the Future: Empowering Industrial Security
Unlocking the Future: Empowering Industrial Securityteam-WIBU
 

Weitere ähnliche Inhalte

Ähnlich wie Zertifikate für Authetizität, Authentifizierung oder beides?

Aufbau einer PKI in einer Domino Umgebung
Aufbau einer PKI in einer Domino UmgebungAufbau einer PKI in einer Domino Umgebung
Aufbau einer PKI in einer Domino UmgebungAlexander Kluge
 
REST - Hypermedia und Sicherheit
REST - Hypermedia und SicherheitREST - Hypermedia und Sicherheit
REST - Hypermedia und SicherheitMayflower GmbH
 
IT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer Geschäftsverkehr
IT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer GeschäftsverkehrIT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer Geschäftsverkehr
IT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer GeschäftsverkehreBusinessLotse-Suedwestfalen-Hagen
 
Token statt Cookies dank JWT (Java Land 2016)
Token statt Cookies dank JWT (Java Land 2016)Token statt Cookies dank JWT (Java Land 2016)
Token statt Cookies dank JWT (Java Land 2016)Markus Schlichting
 
CLT 2011: E-Mail-Verschlüsselung mit GPG
CLT 2011: E-Mail-Verschlüsselung mit GPGCLT 2011: E-Mail-Verschlüsselung mit GPG
CLT 2011: E-Mail-Verschlüsselung mit GPGBirgit Hüsken
 
Globals Reporting mit Pentaho Business Analytics
Globals Reporting mit Pentaho Business AnalyticsGlobals Reporting mit Pentaho Business Analytics
Globals Reporting mit Pentaho Business Analyticsinovex GmbH
 
SharePoint Konferenz 2014 Munich - Wie Sie Office 365 mit Windows Azure steue...
SharePoint Konferenz 2014 Munich - Wie Sie Office 365 mit Windows Azure steue...SharePoint Konferenz 2014 Munich - Wie Sie Office 365 mit Windows Azure steue...
SharePoint Konferenz 2014 Munich - Wie Sie Office 365 mit Windows Azure steue...atwork
 
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!Thomas Bahn
 
Conversion Tracking Optionen im Vergleich
Conversion Tracking Optionen im VergleichConversion Tracking Optionen im Vergleich
Conversion Tracking Optionen im Vergleich📊 Markus Baersch
 
SecurityForum April 2015 - Das SSL Dilemma - or One Million Ways to Die in th...
SecurityForum April 2015 - Das SSL Dilemma - or One Million Ways to Die in th...SecurityForum April 2015 - Das SSL Dilemma - or One Million Ways to Die in th...
SecurityForum April 2015 - Das SSL Dilemma - or One Million Ways to Die in th...Christopher Bleckmann-Dreher
 
TÜV-Zertifizierung „Geprüfte App“
TÜV-Zertifizierung „Geprüfte App“TÜV-Zertifizierung „Geprüfte App“
TÜV-Zertifizierung „Geprüfte App“Connected-Blog
 
TÜV-Zertifizierung "Geprüfte App"
TÜV-Zertifizierung "Geprüfte App"TÜV-Zertifizierung "Geprüfte App"
TÜV-Zertifizierung "Geprüfte App"Connected-Blog
 
D3 000908 Lotusday Hagen Bcc Id Vault
D3 000908 Lotusday Hagen Bcc Id VaultD3 000908 Lotusday Hagen Bcc Id Vault
D3 000908 Lotusday Hagen Bcc Id VaultAndreas Schulte
 
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?GWAVA
 
2 Faktor Authentifizierung - WordPress Login absichern
2 Faktor Authentifizierung - WordPress Login absichern2 Faktor Authentifizierung - WordPress Login absichern
2 Faktor Authentifizierung - WordPress Login absichernfrankstaude
 
Risiko Datensicherheit - End-to-End-Verschlüsselung von Anwendungsdaten
Risiko Datensicherheit - End-to-End-Verschlüsselung von AnwendungsdatenRisiko Datensicherheit - End-to-End-Verschlüsselung von Anwendungsdaten
Risiko Datensicherheit - End-to-End-Verschlüsselung von AnwendungsdatenPeter Kirchner
 
Daten statt Raten - Affiliate Methoden für Experten
Daten statt Raten - Affiliate Methoden für ExpertenDaten statt Raten - Affiliate Methoden für Experten
Daten statt Raten - Affiliate Methoden für ExpertenMaximilian Schirmer
 
Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26faltmannPR
 

Ähnlich wie Zertifikate für Authetizität, Authentifizierung oder beides? (20)

Aufbau einer PKI in einer Domino Umgebung
Aufbau einer PKI in einer Domino UmgebungAufbau einer PKI in einer Domino Umgebung
Aufbau einer PKI in einer Domino Umgebung
 
REST - Hypermedia und Sicherheit
REST - Hypermedia und SicherheitREST - Hypermedia und Sicherheit
REST - Hypermedia und Sicherheit
 
IT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer Geschäftsverkehr
IT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer GeschäftsverkehrIT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer Geschäftsverkehr
IT-Sicherheit - Themenfokus Website - Netzwerk Elektronischer Geschäftsverkehr
 
Cloud – Intune
Cloud – IntuneCloud – Intune
Cloud – Intune
 
Token statt Cookies dank JWT (Java Land 2016)
Token statt Cookies dank JWT (Java Land 2016)Token statt Cookies dank JWT (Java Land 2016)
Token statt Cookies dank JWT (Java Land 2016)
 
CLT 2011: E-Mail-Verschlüsselung mit GPG
CLT 2011: E-Mail-Verschlüsselung mit GPGCLT 2011: E-Mail-Verschlüsselung mit GPG
CLT 2011: E-Mail-Verschlüsselung mit GPG
 
Globals Reporting mit Pentaho Business Analytics
Globals Reporting mit Pentaho Business AnalyticsGlobals Reporting mit Pentaho Business Analytics
Globals Reporting mit Pentaho Business Analytics
 
SharePoint Konferenz 2014 Munich - Wie Sie Office 365 mit Windows Azure steue...
SharePoint Konferenz 2014 Munich - Wie Sie Office 365 mit Windows Azure steue...SharePoint Konferenz 2014 Munich - Wie Sie Office 365 mit Windows Azure steue...
SharePoint Konferenz 2014 Munich - Wie Sie Office 365 mit Windows Azure steue...
 
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
 
Gelangensbestätigung u12
Gelangensbestätigung u12Gelangensbestätigung u12
Gelangensbestätigung u12
 
Conversion Tracking Optionen im Vergleich
Conversion Tracking Optionen im VergleichConversion Tracking Optionen im Vergleich
Conversion Tracking Optionen im Vergleich
 
SecurityForum April 2015 - Das SSL Dilemma - or One Million Ways to Die in th...
SecurityForum April 2015 - Das SSL Dilemma - or One Million Ways to Die in th...SecurityForum April 2015 - Das SSL Dilemma - or One Million Ways to Die in th...
SecurityForum April 2015 - Das SSL Dilemma - or One Million Ways to Die in th...
 
TÜV-Zertifizierung „Geprüfte App“
TÜV-Zertifizierung „Geprüfte App“TÜV-Zertifizierung „Geprüfte App“
TÜV-Zertifizierung „Geprüfte App“
 
TÜV-Zertifizierung "Geprüfte App"
TÜV-Zertifizierung "Geprüfte App"TÜV-Zertifizierung "Geprüfte App"
TÜV-Zertifizierung "Geprüfte App"
 
D3 000908 Lotusday Hagen Bcc Id Vault
D3 000908 Lotusday Hagen Bcc Id VaultD3 000908 Lotusday Hagen Bcc Id Vault
D3 000908 Lotusday Hagen Bcc Id Vault
 
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
 
2 Faktor Authentifizierung - WordPress Login absichern
2 Faktor Authentifizierung - WordPress Login absichern2 Faktor Authentifizierung - WordPress Login absichern
2 Faktor Authentifizierung - WordPress Login absichern
 
Risiko Datensicherheit - End-to-End-Verschlüsselung von Anwendungsdaten
Risiko Datensicherheit - End-to-End-Verschlüsselung von AnwendungsdatenRisiko Datensicherheit - End-to-End-Verschlüsselung von Anwendungsdaten
Risiko Datensicherheit - End-to-End-Verschlüsselung von Anwendungsdaten
 
Daten statt Raten - Affiliate Methoden für Experten
Daten statt Raten - Affiliate Methoden für ExpertenDaten statt Raten - Affiliate Methoden für Experten
Daten statt Raten - Affiliate Methoden für Experten
 
Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26
 

Mehr von team-WIBU

Post Quantum Cryptography – The Impact on Identity
Post Quantum Cryptography – The Impact on IdentityPost Quantum Cryptography – The Impact on Identity
Post Quantum Cryptography – The Impact on Identityteam-WIBU
 
Unlocking the Future: Empowering Industrial Security
Unlocking the Future: Empowering Industrial SecurityUnlocking the Future: Empowering Industrial Security
Unlocking the Future: Empowering Industrial Securityteam-WIBU
 
The Power of Partnership: Enabling Success Together
The Power of Partnership: Enabling Success TogetherThe Power of Partnership: Enabling Success Together
The Power of Partnership: Enabling Success Togetherteam-WIBU
 
Unleash the Power of CodeMeter - CodeMeter Basics
Unleash the Power of CodeMeter - CodeMeter BasicsUnleash the Power of CodeMeter - CodeMeter Basics
Unleash the Power of CodeMeter - CodeMeter Basicsteam-WIBU
 
Keine Zeit für Leerlauf – Lizenzverfügbarkeit für Geschäftskontinuität
Keine Zeit für Leerlauf – Lizenzverfügbarkeit für GeschäftskontinuitätKeine Zeit für Leerlauf – Lizenzverfügbarkeit für Geschäftskontinuität
Keine Zeit für Leerlauf – Lizenzverfügbarkeit für Geschäftskontinuitätteam-WIBU
 
No Time to Idle – License availability for business continuity
No Time to Idle – License availability for business continuityNo Time to Idle – License availability for business continuity
No Time to Idle – License availability for business continuityteam-WIBU
 
Cloud-Based Licensing in Offline Scenarios
Cloud-Based Licensing in Offline ScenariosCloud-Based Licensing in Offline Scenarios
Cloud-Based Licensing in Offline Scenariosteam-WIBU
 
Optimizing Cloud Licensing: Strategies and Best Practices
Optimizing Cloud Licensing: Strategies and Best PracticesOptimizing Cloud Licensing: Strategies and Best Practices
Optimizing Cloud Licensing: Strategies and Best Practicesteam-WIBU
 
For a Few Licenses More
For a Few Licenses MoreFor a Few Licenses More
For a Few Licenses Moreteam-WIBU
 
App Management on the Edge
App Management on the EdgeApp Management on the Edge
App Management on the Edgeteam-WIBU
 
Protecting and Licensing .NET Applications
Protecting and Licensing .NET ApplicationsProtecting and Licensing .NET Applications
Protecting and Licensing .NET Applicationsteam-WIBU
 
A Bit of License Management Magic
A Bit of License Management MagicA Bit of License Management Magic
A Bit of License Management Magicteam-WIBU
 
The first step is always the most decisive
The first step is always the most decisiveThe first step is always the most decisive
The first step is always the most decisiveteam-WIBU
 
Protection and monetization of 3D printed objects in the spare parts business...
Protection and monetization of 3D printed objects in the spare parts business...Protection and monetization of 3D printed objects in the spare parts business...
Protection and monetization of 3D printed objects in the spare parts business...team-WIBU
 
Authenticate and authorize your IIoTdevices
Authenticate and authorize your IIoTdevicesAuthenticate and authorize your IIoTdevices
Authenticate and authorize your IIoTdevicesteam-WIBU
 
How and Why to Create and Sell Consumption-Based Licenses
How and Why to Create and Sell Consumption-Based LicensesHow and Why to Create and Sell Consumption-Based Licenses
How and Why to Create and Sell Consumption-Based Licensesteam-WIBU
 
Serving Up Features-on-Demand for Every Appetite
Serving Up Features-on-Demand for Every AppetiteServing Up Features-on-Demand for Every Appetite
Serving Up Features-on-Demand for Every Appetiteteam-WIBU
 
Security and Protection for Machine Learning.pptx
Security and Protection for Machine Learning.pptxSecurity and Protection for Machine Learning.pptx
Security and Protection for Machine Learning.pptxteam-WIBU
 
License Portal - The DIY Solution
License Portal - The DIY SolutionLicense Portal - The DIY Solution
License Portal - The DIY Solutionteam-WIBU
 
Running code in secure hardware or cloud environments
Running code in secure hardware or cloud environmentsRunning code in secure hardware or cloud environments
Running code in secure hardware or cloud environmentsteam-WIBU
 

Mehr von team-WIBU (20)

Post Quantum Cryptography – The Impact on Identity
Post Quantum Cryptography – The Impact on IdentityPost Quantum Cryptography – The Impact on Identity
Post Quantum Cryptography – The Impact on Identity
 
Unlocking the Future: Empowering Industrial Security
Unlocking the Future: Empowering Industrial SecurityUnlocking the Future: Empowering Industrial Security
Unlocking the Future: Empowering Industrial Security
 
The Power of Partnership: Enabling Success Together
The Power of Partnership: Enabling Success TogetherThe Power of Partnership: Enabling Success Together
The Power of Partnership: Enabling Success Together
 
Unleash the Power of CodeMeter - CodeMeter Basics
Unleash the Power of CodeMeter - CodeMeter BasicsUnleash the Power of CodeMeter - CodeMeter Basics
Unleash the Power of CodeMeter - CodeMeter Basics
 
Keine Zeit für Leerlauf – Lizenzverfügbarkeit für Geschäftskontinuität
Keine Zeit für Leerlauf – Lizenzverfügbarkeit für GeschäftskontinuitätKeine Zeit für Leerlauf – Lizenzverfügbarkeit für Geschäftskontinuität
Keine Zeit für Leerlauf – Lizenzverfügbarkeit für Geschäftskontinuität
 
No Time to Idle – License availability for business continuity
No Time to Idle – License availability for business continuityNo Time to Idle – License availability for business continuity
No Time to Idle – License availability for business continuity
 
Cloud-Based Licensing in Offline Scenarios
Cloud-Based Licensing in Offline ScenariosCloud-Based Licensing in Offline Scenarios
Cloud-Based Licensing in Offline Scenarios
 
Optimizing Cloud Licensing: Strategies and Best Practices
Optimizing Cloud Licensing: Strategies and Best PracticesOptimizing Cloud Licensing: Strategies and Best Practices
Optimizing Cloud Licensing: Strategies and Best Practices
 
For a Few Licenses More
For a Few Licenses MoreFor a Few Licenses More
For a Few Licenses More
 
App Management on the Edge
App Management on the EdgeApp Management on the Edge
App Management on the Edge
 
Protecting and Licensing .NET Applications
Protecting and Licensing .NET ApplicationsProtecting and Licensing .NET Applications
Protecting and Licensing .NET Applications
 
A Bit of License Management Magic
A Bit of License Management MagicA Bit of License Management Magic
A Bit of License Management Magic
 
The first step is always the most decisive
The first step is always the most decisiveThe first step is always the most decisive
The first step is always the most decisive
 
Protection and monetization of 3D printed objects in the spare parts business...
Protection and monetization of 3D printed objects in the spare parts business...Protection and monetization of 3D printed objects in the spare parts business...
Protection and monetization of 3D printed objects in the spare parts business...
 
Authenticate and authorize your IIoTdevices
Authenticate and authorize your IIoTdevicesAuthenticate and authorize your IIoTdevices
Authenticate and authorize your IIoTdevices
 
How and Why to Create and Sell Consumption-Based Licenses
How and Why to Create and Sell Consumption-Based LicensesHow and Why to Create and Sell Consumption-Based Licenses
How and Why to Create and Sell Consumption-Based Licenses
 
Serving Up Features-on-Demand for Every Appetite
Serving Up Features-on-Demand for Every AppetiteServing Up Features-on-Demand for Every Appetite
Serving Up Features-on-Demand for Every Appetite
 
Security and Protection for Machine Learning.pptx
Security and Protection for Machine Learning.pptxSecurity and Protection for Machine Learning.pptx
Security and Protection for Machine Learning.pptx
 
License Portal - The DIY Solution
License Portal - The DIY SolutionLicense Portal - The DIY Solution
License Portal - The DIY Solution
 
Running code in secure hardware or cloud environments
Running code in secure hardware or cloud environmentsRunning code in secure hardware or cloud environments
Running code in secure hardware or cloud environments
 

Zertifikate für Authetizität, Authentifizierung oder beides?

  • 1. Zertifikate für Authentizität, Authentifizierung oder beides? Wolfgang Völker | Director Product Management wolfgang.voelker@wibu.com Rüdiger Kügler | Security Expert ruediger.kuegler@wibu.com Zertifikate 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 1
  • 2. Was sind Zertifikate 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 2
  • 3. Sender Verschicken einer signierten Nachricht 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 3 Data Data Signature Hash berechnen Signatur berechnen Private Key Data Signature Hash berechnen Signatur prüfen Public Key Empfänger Ja Nein
  • 4. Die Herausforderung! 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 4 Woher weiß ich, dass der Public Key echt ist?
  • 5. Die Lösung 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 5 Zertifikate (Public Key Zertifikate, X.509)
  • 6. Ein Zertifikat 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 6  Bestätigt den Eigentümer eines öffentlichen Schlüssels  Identität:  Person  Organisation  IT-System (z.B. Server)  Unterschrieben vom Aussteller  Attribute Zertifikat Issued for: Common name (CN): Wolfgang Voelker Company (O): WIBU-SYSTEMS AG Business unit (OU): WOPS Serial number: 1be10001000220613… Public key: 0x15, 0x3c, 0xd0, 0x26, 0xd6, 0x71, 0xfa, 0xae, 0x20, 0xa6, 0x15, 0x58, 0xea, 0x3d, 0xdd, 0x36, 0x89, … Issued by: Common name (CN): Root Company (O): WIBU-SYSTEMS AG .. Valid until: 31.12.2015
  • 7. Die nächste Herausforderung! 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 7 Woher weiß ich, dass das Zertifikat echt ist?
  • 8. Die nächste Lösung 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 8 Das Zertifikat ist vom Herausgeber unterschrieben. (Prüfung mit dem Public Key des Herausgebers)
  • 9. Die … Herausforderung! 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 9 …?
  • 10. Die finale Lösung 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 10 Ich kenne bereits ein Stammzertifikat von einer Zertifzierungsstelle. (Root Certificate / Certificate Authority)
  • 11. Beispiele für Stammzertifkate 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 11
  • 12. Zertifikatshierarchie 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 12 Stammzertifikat CN: Root Zertifikat CN: Inter 2 Zertifikat CN: Wolfgang Zertifikat CN: Daniel Zertifikat CN: Marc Zertifikat CN: Christian Zertifikat CN: Rüdiger Zertifikat CN: Stefan Zertifikat CN: Inter 1 Zertifikat CN: Inter 3
  • 13. Selbst signiertes Zertifikat (Selfsigned Certificate) 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 13  Selbst unterschrieben  Es gibt kein Stammzertifikat  Wird in der Regel nicht akzeptiert  Anwender muss dem Zertifikat manuell vertrauen Zertifikat Ausgestellt für: Allgemeiner Name (CN): Rüdiger Kügler Organisation (O): WIBU-SYSTEMS AG Organisationseinheit (OU): Professional Services Seriennummer: 1be10001000220613… Ausgestellt von: Allgemeiner Name (CN): Rüdiger Kügler Organisation (O): WIBU-SYSTEMS AG .. Gültig bis: 31.12.2015
  • 14. Sperrlisten  CRL (Certificate Revokation List)  Beinhaltet ungültige (zurückgezogene) Zertifikate  Online Abfrage möglich, Online Certificate Status Protocol (OCSP) 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 14
  • 15. Anwendungsfälle 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 15
  • 16. Anwendungsfälle  Server Zertifikate  Client Zertifikate  E-Mail Zertifikate / VPN Zertifikate  OPC UA Zertifikate  Authenticode  Code Integrität von Software  … 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 16
  • 17. Server-Zertifikate 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 17
  • 18. So sieht es aus: 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 18 Server Zertifikat Ausgestellt für: Allgemeiner Name (CN): www.wibu.de Organisation (O): WIBU-SYSTEMS AG Organisationseinheit (OU): Hosting Seriennummer: 0003 Ausgestellt von: Allgemeiner Name (CN): Root Organisation (O): WIBU-SYSTEMS AG .. Gültig bis: 31.12.2015 Client Private Key Client überprüft die Identität des Servers Stammzertifikat CN: Root
  • 19. Konfiguration des Servers … SSLEngine on SSLCertificateKeyFile "c:/cert/my_private_key.pem" SSLCertificateFile "c:/cert/the_cert_I_got_from_verisign.crt" 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 19
  • 20. … Konfiguration des Servers  SSLEngine on  Schaltet SSL ein, Mod SSL muss auch aktiviert sein  SSLCertificateKeyFile „c:/cert/my_private_key.pem“  Der private Schlüssel  SSLCertificateFile „c:/cert/the_cert_I_got_from_verisign.crt“  Das Zertifikat 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 20
  • 21. Client-Zertifikate 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 21
  • 22. So sieht es aus: 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 22 Server Server-Zertifikat Ausgestellt für: Allgemeiner Name (CN): www.wibu.de Organisation (O): WIBU-SYSTEMS AG Organisationseinheit (OU): Hosting Seriennummer: 0003 Ausgestellt von: Allgemeiner Name (CN): Root Organisation (O): WIBU-SYSTEMS AG .. Gültig bis: 31.12.2015 Client Client-Zertifikat Ausgestellt für: Allgemeiner Name (CN): Rüdiger Kügler Organisation (O): WIBU-SYSTEMS AG Organisationseinheit (OU): Professional Services Seriennummer: 0001 Ausgestellt von: Allgemeiner Name (CN): Root Organisation (O): WIBU-SYSTEMS AG .. Gültig bis: 31.12.2015 Client Private Key Server Private Key Server überprüft die Identität des Clients
  • 23. Konfiguration des Servers für Clientzertifikate … SSLEngine on SSLCertificateKeyFile "c:/cert/my_private_key.pem" SSLCertificateFile "c:/cert/the_cert_I_got_from_verisign.crt" SSLCACertificateFile "c:/cert/my_own_ca_root_cert.crt" SSLVerifyClient require SSLVerifyDepth 10 SSLRequire %{SSL_CLIENT_S_DN_CN} eq "user@domain.de" SSLOptions +StdEnvVars 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 23
  • 24. … Konfiguration des Servers für Clientzertifikate  SSLCACertificateFile „c:/cert/my_own_ca_root_cert.crt “  Certificate Authority (CA) für Client Zertifikate  SSLVerifyClient require  Client Zertifikat benötigt  SSLRequire %{SSL_CLIENT_S_DN_CN} eq user@domain.de  Beispiel für eine Überprüfung  SSLOptions +StdEnvVars  Durchreichen der Parameter an PHP / Anwendung 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 24
  • 25. Erstellung eines Clientzertifikates (empfohlen)  Client:  Schlüsselpaar erzeugen  Certificate Signing Request (CSR) erzeugen  CSR an CA schicken  CA / Server:  Zertifikat erzeugen  Zertifikat an Client schicken  Client:  Zertifikat einspielen 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 25
  • 26. Erstellung eines Clientzertifikates (einfach)  CA / Server:  Schlüsselpaar erzeugen  Zertifikat erzeugen  Private Key exportieren  Zertifikat + Private Key an Client schicken  Client:  Zertifikat einspielen  Private Key einspielen 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 26
  • 27. Speicherorte für Zertifikate und Private Schlüssel 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 27
  • 28. Speicherorte für private Schlüssel  Datei auf dem Dateisystem (PEM-Datei mit Schlüssel)  Zertifikatsspeicher  PKCS#11  Microsoft CSP (Crypto Service Provider)  Physikalisch  Auf der Platte  In einem Token 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 28
  • 29. PKCS#11 / Microsoft CSP 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 29 PKCS#11 Microsoft CSP CmDongle Internet Explorer OutlookFirefox OpenVPN Meine Anwendung
  • 30. Beispiel Token: CSSI Middleware 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 30
  • 31. Authenticode 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 31
  • 32. Motivation: Die Anwendung 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 32  Signierte Anwendung
  • 33. Motivation: Der Patch 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 33
  • 34. Motivation: Die Frage 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 34  Läuft die Anwendung noch?
  • 35. Die Antwort 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 35 Die erschreckende Antwort: JA
  • 36. Zusammenfassung  Microsoft Windows startet jede Anwendung  Ohne Signatur  Mit gültiger Signatur  Mit ungültiger Signatur  Bordmittel sind nicht für Kopierschutz / Integritätsschutz geeignet 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 36
  • 37. Ja aber … Ja, aber … 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 37
  • 38. Überprüfung in der Software  Überprüfung der Signatur  Gültig / ungültig?  Wer hat unterzeichnet?  Wann wurde unterzeichnet?  Reaktion bei Fehlern  Beenden (Verstecken des Calls?)  „Falsch rechnen“ !? 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 38
  • 39. Die Schwachstelle 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 39 Eigene Software WINTRUST.DLL
  • 40. Die Schwachstelle  Bekanntes und dokumentiertes Windows API überprüft die Signatur !?  Angriffe:  Patchen der WINTRUST.DLL  Hooken der Funktion mit Standard-Tools  Überscheiben der Funktion in der Dll zur Laufzeit aus der gepatchten Anwendung 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 40
  • 41. Überschreiben zur Laufzeit ... fake[0] := $31; fake[1] := $C0; fake[2] := $C3; lib := LoadLibrary('WINTRUST.DLL'); p := GetProcAddress(lib, 'WinVerifyTrust'); VirtualProtect(p, 3, PAGE_EXECUTE_READWRITE, old); move(fake, p^, 3); VirtualProtect(p, 3, old, old); ... 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 41
  • 42. Fazit Authenticode  Zertifikate bieten nur dann eine Sicherheit, wenn die Prüfstelle in einem vertrauenswürdigem Umfeld läuft.  Authenticode = Schutz des Anwenders vor Viren  Authenticode ≠ Schutz gegen Raubkopien 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 42
  • 43. Codesignatur mit AxProtector 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 43
  • 44. Protection Suite Protection Suite 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? Automatischer Schutz (IP Protection) Anti-Debug Methoden Verwendete CodeMeter Variante Individuelle Funktionsverschlüsselung Integritätsschutz (Tamper Protection) Authentizität der Software (Secure Loader / Authenticity) Java SE Java EE Embedded Operating System .NETPC (Windows, Linux, OS X) CodeMeter Runtime CodeMeter Runtime CodeMeter Runtime CodeMeter Embedded CodeMeter Embedded IxProtector AxProtector AxProtector .NET AxProtector Java AxProtector CmE ExProtector 44
  • 45. Funktionen der Wibu-Systems Protection Suite  Authentizität der Software (Secure Load)  Verhindert die Ausführung nicht freigegebener Software  Integritätsschutz (Tamper Protection)  Erkennt Veränderungen (im Speicher!) und reagiert  Automatischer Schutz (IP Protection)  Schützt gegen Reverse Engineering und Raubkopien  Anti-Debug Methoden  Individuelle Funktionsverschlüsselung  Verschlüsselung auf Funktionsebene 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 45
  • 46. AxProtector 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 46 Geschützte AnwendungKompilierte Anwendung Header AxEngine (Security Engine + Public Key) AxProtector Verschlüsselte Code Section Verschlüsselte Data Section Verschlüsselte Resource Section Header Data Section Resource Section Code Section Signatur Private Key Public Key
  • 47. Selbstprüfung Executable Signature Überprüfe Signatur (Hash, Public Key, Signature) Berechne Hash des Executable Fehler Ja Nein AxEngine (Security Engine + Public Key) 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 47
  • 48. Überprüfung eines anderen Modules Executable Dynamic Link Library AxEngine (Security Engine + Public Key) Signature AxEngine (Security Engine + Public Key) Signature exe - exe exe - dll dll - dll dll - exe 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 48
  • 49. AxProtector [WIBU-SYSTEMS Control File] ... [Commandline] ... -cav ... [CheckCodeIntegrity Dlls] Image1 = ShowHex.dll ... 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 49 Prüfung anderer Module Selbst- Prüfung
  • 50. ExProtector  ExProtector = Schutz von ausführbaren Dateien auf Embedded Betriebssystemen  Integration der „AxEngine“ als ExEngine in den Loader des Betriebssystems / Bootloader  Verwendung von Signaturen und Zertifikaten  Rechte-Management: Wer darf welche Anwendungen unterschreiben? 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 50
  • 51. Verwendung von Zertifikaten in CodeMeter 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 51
  • 52. Sicheres Firmware Update  Es gibt ein Wibu-Stammzertifikat  Vom Stammzertifikat werden Produktions-Zertifikate abgeleitet  Jeder CmDongle erhält während der Produktion den öffentlichen Stammschlüssel  Das Firmware Update wird mit einem Produktions-Zertifikat unterschrieben  Die alte Firmware überprüft das Update (Signatur und Zertifikat), bevor es die neue Firmware übernimmt 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 52
  • 53. CodeMeter Universal Firm Code  Lizenzen werden vom Hersteller unterschrieben  Lizenzen bestehen aus einem Zertifikat und einem verschlüsselten Teil  Das Lizenzzertifikat kann eine Weitergabe-Berechtigung enthalten (License Transfer)  Bei der Weitergabe wird das originale Zertifikat mitgegeben und ein neues Zertifikat des abgebenden CmContainers erstellt  Alles erfolgt transparent im Hintergrund in CodeMeter 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 53
  • 54. Deutschland: +49-721-931720 USA: +1-425-7756900 China: +86-21-55661790 http://www.wibu.com info@wibu.com Deutschland: +49-721-931720 USA: +1-425-7756900 China: +86-21-55661790 http://www.wibu.com info@wibu.com Vielen Dank für Ihre Aufmerksamkeit 11.07.2016 Zertifikate für Authentizität, Authentifizierung oder beides? 54 Vielen Dank für Ihre Aufmerksamkeit