SlideShare a Scribd company logo

Sicherheit webkommunikation

Download as PPTX, PDF
H
Hans Mittendorfer

Darstellung der Methoden und Verfahren der kryptographischen am Beispiel der Ende-zu-Ende-Verschlüsselung in WhatsApp

Education
1 of 23
Sicherheit in der Webkommunikation Für die Vorlesung „Webkommunikation, H. Mittendorfer, April 2016 1
Studienobjekt: WhatsApp In einem technical white paper veröffentlichte die WhatsApp Inc. am 4. April 2016 unter der Web- Adresse https://www.whatsapp.com/security/WhatsApp- Security-Whitepaper.pdf eine Darstellung jener Ende-zu-Ende Verschlüsselung, welche sowohl für ausgetauschte Nachrichten, als auch für Gespräche zwischen den Teilnehmern, in die gleichnamige Software implementiert wurde. 2
Der Anlass zur Verschlüsselung Als Folge der Aufdeckung skandalöser bzw. ungesetzlicher Verletzungen der Privatsphäre durch Geheim- und Nachrichtendienste während vergangener Jahre im allgemeinen und speziell als Konsequenz, wenngleich gescheiterter Versuche des FBI, das Unternehmen Apple aufzufordern Sicherheitsmechanismen aushebelbar zu gestalten, sehen sich Anbieter von Telekommunikationstechnolgien genötigt, mehr Sicherheit in ihre Produkte einzubauen - der Markt verlangt es! 3
Der Rechtsstreit mit Behörden "Medienberichten zufolge ist Whatsapp in den USA bereits in einen Rechtsstreit mit Behörden verwickelt. Der Messenger-Dienst soll wie das Konkurrenzprodukt Telegram von den Attentätern benutzt worden sein, die im November in Paris 130 Menschen töteten." 4 Quelle: http://www.badische-zeitung.de/computer-medien-1/whatsapp-und-die- verschluesselung--120769267.html -> P
Verschlüsseln Verschlüsseln auch chiffrieren genannt, bedeutet eine, mit allgemein verständlichen Zeichen codierte Nachricht (den Klartext) mittels eines Verfahrens derart um zu codieren, sodass der daraus gewonnene Geheimtext nur unter Verwendung eines geheimen Schlüssels wieder in den Klartext rückgeführt werden kann. Das Ergebnis des Verschlüsselns bzw. Chiffrierens ist demnach der Geheimtext oder das Kryptogramm. Das Rückgewinnen des Klartextes aus dem Kryptogramm nennt sich Dechiffrieren. Die Verallgemeinerung des Chiffrierens und Dechiffrierens wird als Kryptographie bezeichnet. Der Versuch den Klartext ohne Kenntnis des Schlüssels aus dem Kryptogramm zu gewinnen heißt Kryptoanalyse. 5
Allgemeines Konzept der Verschlüsselung 6
Funktionen der Verschlüsselung •Vertraulichkeit der Nachricht: Nur der autorisierte Empfänger/die Empfängerin sollte in der Lage sein, den Inhalt einer verschlüsselten Nachricht zu lesen. • Datenintegrität der Nachricht: Der Empfänger/die Empfängerin sollte in der Lage sein festzustellen, ob die Nachricht während ihrer Übertragung verändert wurde. • Authentifizierung: Der Empfänger/die Empfängerin sollte eindeutig überprüfen können, ob die Nachricht tatsächlich vom angegebenen Absender stammt. • Verbindlichkeit: Der Absender/die Absenderin sollte nicht in der Lage sein, zu bestreiten, dass die Nachricht von ihm/ihr kommt. Quelle: http://www.vorratsdatenspeicherung.de 7 -> P
Angriffspunkte: Übertragung in allgemein zugänglichen Netzen und Zwischenspeicherung bei Dienstanbietern Nachrichten in asynchronen Kanälen werden systembedingt nicht nur übertragen, sondern auch in Ressourcen der Dienstanbieter zwischengespeichert. Eine Korrumpierung der übermittelten Nachrichten ist somit unabhängig voneinander am Übertragungsweg und/oder der Zwischenspeicherung möglich. 8
Zwischenspeicherung bei E-Mail Bedingt durch die Übertragung von E-Mails in getrennten Diensten für den Versand (SMPT-Service) und Empfang (POP oder IMAP-Service) erfolgt die Zwischenspeicherung der Nachrichten in unterschiedlichen Ressourcen Anbietern. 9 -> P
Ende-zu-Ende-Verschlüsselung Die Ende-zu-Ende-Verschlüsselung hat zum Ziel, Nachrichten im Gerät des Senders zu verschlüsseln und erst nach der Weiterleitung an den Empfänger, im Gerät des Empfängers zu entschlüsseln. 10
Vermittlung durch den Dienstanbieter bei synchronen Kommunikationsdiensten Synchrone Kommunikationskanäle werden hingegen durch den Dienstanbieter nur vermittelt, die verschlüsselte Übertragung findet dann auf direktem Wege zwischen den „Gesprächspartnern“ statt. 11
Die Methoden der Verschlüsselung 12
Transposition und Substitution Versetzen und Ersetzen bilden zentrale Methoden der Verschlüsselung. Ersteres, die Transposition belässt die Zeichen des Klartextes unverändert, ändert jedoch deren Position im Text. Die Substitution hingegen ersetzt die Zeichen. Die Skytale (sieh Abb. nebenan) ist ein, in der Antike angewandtes, kryptographisches Verfahren mittels Transposition. 13
Monoalphabetische Substitution Die Rosenkreuzer-Schablone ist eine monoalphabetische Substitution. Jeder Buchstabe wurde mit den Seitenlinien des entsprechenden Feldes und einem Punkt, der die Position des Buchstabens im Feld symbolisiert, dargestellt. 14 Der größte Schwachpunkt der monoalphabetischen Substitution ist in der statistischen Häufung von Zeichen in Texten lebender Sprachen zu finden. Mittels Angriff durch „brut force“ ist jede Anwendung monalpabetischer Substitution in wenigen Sekunden gelöst. Beispiel:
Polyalphabetische Substitution Am einfachsten ist die polyalphabetische Substitution anhand der Chiffrierscheibe des italienischen Architekten Leon Battista Alberti darstellbar. Alberti konstruierte zwei Scheiben, die zueinander verdrehbar sind. Die äußere Scheibe enthält das Klartextalphabet, die innere das Chiffrenalphabet, der Vorgang des Chiffrierens erfolgt durch die Abbildung der Entsprechung von außen nach innen. Die Sicherheit dieser Methode besteht nun darin, dass die Stellung der beiden Scheiben zueinander während der Chiffrierung gewechselt wird. Jede unterschiedliche Stellung der Scheiben zueinander entspricht einem neuen Alphabet. Jede Folge von Stellungswechseln ebenfalls. 15
Ein Schlüssel zur Alberti- Scheibe 1. Bringe die Ziffer „1“ mit dem Buchstaben „i“ in Übereinstimmung. 2. Dechiffriere sodann die ersten 7 Buchstaben. 3. Drehe die Scheibe dann um 9 Schritte gegen den Gang der Sonne. 4. Fahre fort, 13 Buchstaben zu dechiffrieren. 5. Drehe die Scheibe dann 4 Schritte mit dem Gang der Sonne 6. und dechiffriere die folgenden 21 Buchstaben. 7. … 8. Irgendwann - je nach Sicherheitsbedürfnis - wird wieder mit Schritt 1 begonnen. 16 -> P
Enigma und der Anfang der Computerkryptographie Arthur Scherbius entwickelte 1920 die Verschlüsselungsmaschine "Enigma" und diese wurde auch als "legendäre Enigma" noch während des 2. Weltkrieges eingesetzt. Statt Scheiben wurden auswechselbare, rotierende Walzen in schreibmaschinen-ähnliche Apparate eingebaut welche durch Elektromotoren angetrieben eine Fülle unterschiedlicher Chiffrenalphabete erzeugen. Jeder Anschlag auf der Tastatur führt automatisch zu einem neuen Alphabet, bis die rotierende Walze wieder an ihren Ausgangspunkt zurückgekehrt ist. Vorläufer der heutigen "Computer" vermochten - vor allem durch eine große Anzahl von Versuchen - die durch Enigma chiffrierten Texte dennoch zu knacken. Von da an hat sich die Kryptographie zur Computerkryptographie gewandelt. 17
DES Im Jahr 1977 wurde der von der Fa. IBM entwickelte DES, der Data Encryption Standard, als allgemeiner Standard für Datenverschlüsselung in Regierungsbehörden eingeführt. Der Schlüssel im DES-Standard besteht aus einer Folge von acht 8-Byte- Blöcken, dies ergibt 64 Bit. Da je Byte ein Bit als Parity-Bit (Prüfbit) verwendet wird, stehen für die Benutzung nur 56 Bit zur Verfügung. Mit den Augen der Kombinatorik gesehen, ergibt der DES siebzig Quadrillionen Verschlüsselungsmöglichkeiten. Mit der Methode Brute Force (systematisches Ausprobieren sämtlicher Möglichkeiten) gelang es 1998 in 56 Stunden und 1999 in 22 Stunden den DES Code zu knacken. Für einen weiteren Erfolg wurde über das Internet die Kapazität von ca. 100.000 Rechnern zusammengeführt (distributet Net). 18
AES Anstelle von DES wird derzeit der Advanced Encryption Standard eingesetzt. Es handelt sich ebenfalls um eine symmetrisches Verfahren. Es verwendet variable Schlüssellängen und variable Blockgrößen und wird seit dem Jahr 2000 als Nachfolgeverfahren zum DES eingesetzt. Die Vorteile des AES liegen in seiner guten Implementierbarkeit in der Hard- und Software. Bemerkenswert ist, dass sowohl der DES als auch der AES namhaft auf den Methoden Substitution und Transposition beruhen. Seit 2013 wird am UTAH DATA Center der NSA neben dem Speichern der gesamten Internet-Kommunikation auch am Knacken des AES gearbeitet. „According to another top official also involved with the program, the NSA made an enormous breakthrough several years ago in its ability to cryptanalyze, or break, unfathomably complex encryption systems employed by not only governments around the world but also many average computer users in the US. The upshot, according to this official: ‚Everybody’s a target; everybody with communication is a target.‘“ 19 Quelle: http://www.wired.com/2012/03/ff_nsadatacenter/all/
Die asymmetrische Verschlüsselung Fall 1, Vertraulichkeit u. Datenintegrität 20 Da einer der beiden Schlüssel, in diesem Fall der Verschlüsselungs-Schlüssel, veröffentlicht werden kann, spricht man auch von „Public - Key“ (grün). -> P
Die asymmetrische Verschlüsselung Fall 2: Authentifizierung & Verbindlichkeit 21 Die vertrauenswürdige Bestätigung der Verbindung von Entschlüsselungs-Schlüssel und Person über- nehmen sogenannte Zertifizierungsstellen.
Die WhatsApp Verschlüsselung 22 Quelle: https://www.androidpit.de/whatsapp-news-malware-features-tipps-und-tricks-im-ueberblick
Die Restunsicherheit der WhatsApp-Verschlüsselung "Auch wenn nun selbst WhatsApp nicht mehr die Inhalte der Kommunikation mitlesen kann – wer wann mit wem kommuniziert, weiß der Dienst trotzdem.“ "Die wohl größte Gefahr ist, dass der Chat-Partner gar nicht derjenige ist, für den man ihn hält – ein Problem, das in Gruppenchats noch größer ist. Es könnte sein, dass ein Handy gestohlen wurde oder dass ein Dritter in den Besitz der Sim-Karte – und damit an die mit WhatsApp verbundende Telefonnummer – des eigentlichen Gesprächpartners gekommen ist.“ 23 Quelle: http://www.t-online.de/handy/id_77480886/whatsapp-verschluesselung-das- sollten-sie-wissen-.html

Recommended

Kryptographie
KryptographieKryptographie
Kryptographie
Hans Mittendorfer
 
Bit sosem 2016-wieners-sitzung-06_rechnerkommunikation
Bit sosem 2016-wieners-sitzung-06_rechnerkommunikationBit sosem 2016-wieners-sitzung-06_rechnerkommunikation
Bit sosem 2016-wieners-sitzung-06_rechnerkommunikation
Institute for Digital Humanities, University of Cologne
 
Bit sosem 2016-wieners-sitzung-07_rechnerkommunikation-ii
Bit sosem 2016-wieners-sitzung-07_rechnerkommunikation-iiBit sosem 2016-wieners-sitzung-07_rechnerkommunikation-ii
Bit sosem 2016-wieners-sitzung-07_rechnerkommunikation-ii
Institute for Digital Humanities, University of Cologne
 
Menschliche kommunikation
Menschliche kommunikationMenschliche kommunikation
Menschliche kommunikation
Hans Mittendorfer
 
Unternehmeskommunikation
UnternehmeskommunikationUnternehmeskommunikation
Unternehmeskommunikation
Hans Mittendorfer
 
Semiotik ii
Semiotik iiSemiotik ii
Semiotik ii
Hans Mittendorfer
 
Lernblogs ii
Lernblogs iiLernblogs ii
Lernblogs ii
Hans Mittendorfer
 
Watzlawick 1
Watzlawick 1Watzlawick 1
Watzlawick 1
Hans Mittendorfer
 

Recommended

Kryptographie
KryptographieKryptographie
Kryptographie
Hans Mittendorfer
 
Bit sosem 2016-wieners-sitzung-06_rechnerkommunikation
Bit sosem 2016-wieners-sitzung-06_rechnerkommunikationBit sosem 2016-wieners-sitzung-06_rechnerkommunikation
Bit sosem 2016-wieners-sitzung-06_rechnerkommunikation
Institute for Digital Humanities, University of Cologne
 
Bit sosem 2016-wieners-sitzung-07_rechnerkommunikation-ii
Bit sosem 2016-wieners-sitzung-07_rechnerkommunikation-iiBit sosem 2016-wieners-sitzung-07_rechnerkommunikation-ii
Bit sosem 2016-wieners-sitzung-07_rechnerkommunikation-ii
Institute for Digital Humanities, University of Cologne
 
Menschliche kommunikation
Menschliche kommunikationMenschliche kommunikation
Menschliche kommunikation
Hans Mittendorfer
 
Unternehmeskommunikation
UnternehmeskommunikationUnternehmeskommunikation
Unternehmeskommunikation
Hans Mittendorfer
 
Semiotik ii
Semiotik iiSemiotik ii
Semiotik ii
Hans Mittendorfer
 
Lernblogs ii
Lernblogs iiLernblogs ii
Lernblogs ii
Hans Mittendorfer
 
Watzlawick 1
Watzlawick 1Watzlawick 1
Watzlawick 1
Hans Mittendorfer
 
Paul Watzlawick
Paul WatzlawickPaul Watzlawick
Paul Watzlawick
Sagitarius1984
 
Kommunikationsmodell nach paul watzlawick
Kommunikationsmodell nach paul watzlawickKommunikationsmodell nach paul watzlawick
Kommunikationsmodell nach paul watzlawick
waldith
 
Präsentation watzlawick
Präsentation watzlawickPräsentation watzlawick
Präsentation watzlawick
Maria Hoppichler
 
Kommunikationsmodelle
KommunikationsmodelleKommunikationsmodelle
Kommunikationsmodelle
Thomas Stanni
 
Kommunikation
KommunikationKommunikation
Kommunikation
Bettina Ruggeri
 
Schulz von Thun - Kommunikationsmodell
Schulz von Thun - KommunikationsmodellSchulz von Thun - Kommunikationsmodell
Schulz von Thun - Kommunikationsmodell
FreieReferate
 
Das 4-Ohren-Modell von Friedemann Schulz v.Thun
Das 4-Ohren-Modell von Friedemann Schulz v.ThunDas 4-Ohren-Modell von Friedemann Schulz v.Thun
Das 4-Ohren-Modell von Friedemann Schulz v.Thun
Gesa Maren Schmidt
 
Kommunikationsmodelle Höckner Lorenz
Kommunikationsmodelle Höckner LorenzKommunikationsmodelle Höckner Lorenz
Kommunikationsmodelle Höckner Lorenz
Lisa April
 
Grenzen der Kryptographie
Grenzen der KryptographieGrenzen der Kryptographie
Grenzen der Kryptographie
Hans Mittendorfer
 
EN 6.3: 4 Kryptographie
EN 6.3: 4 KryptographieEN 6.3: 4 Kryptographie
EN 6.3: 4 Kryptographie
Sven Wohlgemuth
 
Transportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSTransportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPS
Markus Groß
 
BetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto HardeningBetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto Hardening
Aaron Zauner
 
My Cypher 1.1
My Cypher 1.1My Cypher 1.1
My Cypher 1.1
stefan_schweizer
 
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitWarum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Arian Kriesch
 
BIT I SoSem 2015 | Basisinformationstechnologie II - 02_Rechnerkommunikation II
BIT I SoSem 2015 | Basisinformationstechnologie II - 02_Rechnerkommunikation IIBIT I SoSem 2015 | Basisinformationstechnologie II - 02_Rechnerkommunikation II
BIT I SoSem 2015 | Basisinformationstechnologie II - 02_Rechnerkommunikation II
Institute for Digital Humanities, University of Cologne
 
Verschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisVerschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und Praxis
Peter Tröger
 
BIT I SoSem 2015 | Basisinformationstechnologie II - 01_Rechnerkommunikation I
BIT I SoSem 2015 | Basisinformationstechnologie II - 01_Rechnerkommunikation IBIT I SoSem 2015 | Basisinformationstechnologie II - 01_Rechnerkommunikation I
BIT I SoSem 2015 | Basisinformationstechnologie II - 01_Rechnerkommunikation I
Institute for Digital Humanities, University of Cologne
 
Bit SoSem 2014 | Basisinformationstechnologie II - 02: Rechnerkommunikation II
Bit SoSem 2014 | Basisinformationstechnologie II - 02: Rechnerkommunikation IIBit SoSem 2014 | Basisinformationstechnologie II - 02: Rechnerkommunikation II
Bit SoSem 2014 | Basisinformationstechnologie II - 02: Rechnerkommunikation II
Institute for Digital Humanities, University of Cologne
 
SoSe 2013 | Basisinformationstechnologie II - 02_(Rechner)Kommunikation
SoSe 2013 | Basisinformationstechnologie II - 02_(Rechner)KommunikationSoSe 2013 | Basisinformationstechnologie II - 02_(Rechner)Kommunikation
SoSe 2013 | Basisinformationstechnologie II - 02_(Rechner)Kommunikation
Institute for Digital Humanities, University of Cologne
 
NoSpamProxy mit Weltneuheit S/MIME-4.0-Support auf der it-sa
NoSpamProxy mit Weltneuheit S/MIME-4.0-Support auf der it-saNoSpamProxy mit Weltneuheit S/MIME-4.0-Support auf der it-sa
NoSpamProxy mit Weltneuheit S/MIME-4.0-Support auf der it-sa
bhoeck
 
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Thomas Bahn
 
Messaging im Internet of Things: MQTT
Messaging im Internet of Things: MQTTMessaging im Internet of Things: MQTT
Messaging im Internet of Things: MQTT
Brockhaus Consulting GmbH
 

More Related Content

Viewers also liked

Kommunikationsmodelle
KommunikationsmodelleKommunikationsmodelle
Kommunikationsmodelle
Thomas Stanni
 
Kommunikationsmodelle Höckner Lorenz
Kommunikationsmodelle Höckner LorenzKommunikationsmodelle Höckner Lorenz
Kommunikationsmodelle Höckner Lorenz
Lisa April
 

Viewers also liked (8)

Paul Watzlawick
Paul WatzlawickPaul Watzlawick
Paul Watzlawick
 
Kommunikationsmodell nach paul watzlawick
Kommunikationsmodell nach paul watzlawickKommunikationsmodell nach paul watzlawick
Kommunikationsmodell nach paul watzlawick
 
Präsentation watzlawick
Präsentation watzlawickPräsentation watzlawick
Präsentation watzlawick
 
Kommunikationsmodelle
KommunikationsmodelleKommunikationsmodelle
Kommunikationsmodelle
 
Kommunikation
KommunikationKommunikation
Kommunikation
 
Schulz von Thun - Kommunikationsmodell
Schulz von Thun - KommunikationsmodellSchulz von Thun - Kommunikationsmodell
Schulz von Thun - Kommunikationsmodell
 
Das 4-Ohren-Modell von Friedemann Schulz v.Thun
Das 4-Ohren-Modell von Friedemann Schulz v.ThunDas 4-Ohren-Modell von Friedemann Schulz v.Thun
Das 4-Ohren-Modell von Friedemann Schulz v.Thun
 
Kommunikationsmodelle Höckner Lorenz
Kommunikationsmodelle Höckner LorenzKommunikationsmodelle Höckner Lorenz
Kommunikationsmodelle Höckner Lorenz
 

Similar to Sicherheit webkommunikation

Transportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSTransportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPS
Markus Groß
 
BetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto HardeningBetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto Hardening
Aaron Zauner
 
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Thomas Bahn
 

Similar to Sicherheit webkommunikation (20)

Grenzen der Kryptographie
Grenzen der KryptographieGrenzen der Kryptographie
Grenzen der Kryptographie
 
EN 6.3: 4 Kryptographie
EN 6.3: 4 KryptographieEN 6.3: 4 Kryptographie
EN 6.3: 4 Kryptographie
 
Transportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSTransportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPS
 
BetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto HardeningBetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto Hardening
 
My Cypher 1.1
My Cypher 1.1My Cypher 1.1
My Cypher 1.1
 
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitWarum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
 
BIT I SoSem 2015 | Basisinformationstechnologie II - 02_Rechnerkommunikation II
BIT I SoSem 2015 | Basisinformationstechnologie II - 02_Rechnerkommunikation IIBIT I SoSem 2015 | Basisinformationstechnologie II - 02_Rechnerkommunikation II
BIT I SoSem 2015 | Basisinformationstechnologie II - 02_Rechnerkommunikation II
 
Verschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisVerschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und Praxis
 
BIT I SoSem 2015 | Basisinformationstechnologie II - 01_Rechnerkommunikation I
BIT I SoSem 2015 | Basisinformationstechnologie II - 01_Rechnerkommunikation IBIT I SoSem 2015 | Basisinformationstechnologie II - 01_Rechnerkommunikation I
BIT I SoSem 2015 | Basisinformationstechnologie II - 01_Rechnerkommunikation I
 
Bit SoSem 2014 | Basisinformationstechnologie II - 02: Rechnerkommunikation II
Bit SoSem 2014 | Basisinformationstechnologie II - 02: Rechnerkommunikation IIBit SoSem 2014 | Basisinformationstechnologie II - 02: Rechnerkommunikation II
Bit SoSem 2014 | Basisinformationstechnologie II - 02: Rechnerkommunikation II
 
SoSe 2013 | Basisinformationstechnologie II - 02_(Rechner)Kommunikation
SoSe 2013 | Basisinformationstechnologie II - 02_(Rechner)KommunikationSoSe 2013 | Basisinformationstechnologie II - 02_(Rechner)Kommunikation
SoSe 2013 | Basisinformationstechnologie II - 02_(Rechner)Kommunikation
 
NoSpamProxy mit Weltneuheit S/MIME-4.0-Support auf der it-sa
NoSpamProxy mit Weltneuheit S/MIME-4.0-Support auf der it-saNoSpamProxy mit Weltneuheit S/MIME-4.0-Support auf der it-sa
NoSpamProxy mit Weltneuheit S/MIME-4.0-Support auf der it-sa
 
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
 
Messaging im Internet of Things: MQTT
Messaging im Internet of Things: MQTTMessaging im Internet of Things: MQTT
Messaging im Internet of Things: MQTT
 
Webtechnologien - Technische Anforderungen an Informationssysteme
Webtechnologien - Technische Anforderungen an InformationssystemeWebtechnologien - Technische Anforderungen an Informationssysteme
Webtechnologien - Technische Anforderungen an Informationssysteme
 
SplunkLive! München - Flughafen München
SplunkLive! München - Flughafen MünchenSplunkLive! München - Flughafen München
SplunkLive! München - Flughafen München
 
Beginnr Betakonzept 1
Beginnr Betakonzept 1Beginnr Betakonzept 1
Beginnr Betakonzept 1
 
Übersicht über die IoT Plattform im Freifunk SL-FL
Übersicht über die IoT Plattform im Freifunk SL-FLÜbersicht über die IoT Plattform im Freifunk SL-FL
Übersicht über die IoT Plattform im Freifunk SL-FL
 
WhatsAppverschlüsselung
WhatsAppverschlüsselungWhatsAppverschlüsselung
WhatsAppverschlüsselung
 
Sockets – Theorie und Implementierung
Sockets – Theorie und ImplementierungSockets – Theorie und Implementierung
Sockets – Theorie und Implementierung
 

More from Hans Mittendorfer

Weblogs als partizipative lernbegleitung
Weblogs als partizipative lernbegleitungWeblogs als partizipative lernbegleitung
Weblogs als partizipative lernbegleitung
Hans Mittendorfer
 

More from Hans Mittendorfer (20)

Ki 2
Ki 2Ki 2
Ki 2
 
Ki
KiKi
Ki
 
Ki
KiKi
Ki
 
Meatdaten
MeatdatenMeatdaten
Meatdaten
 
Semiotik iii
Semiotik iiiSemiotik iii
Semiotik iii
 
Webwissenschaften
WebwissenschaftenWebwissenschaften
Webwissenschaften
 
Weblogs als partizipative lernbegleitung
Weblogs als partizipative lernbegleitungWeblogs als partizipative lernbegleitung
Weblogs als partizipative lernbegleitung
 
Grosse zukunft des_buches_2
Grosse zukunft des_buches_2Grosse zukunft des_buches_2
Grosse zukunft des_buches_2
 
Semiotik
SemiotikSemiotik
Semiotik
 
Qr code
Qr codeQr code
Qr code
 
Webkommunikation
WebkommunikationWebkommunikation
Webkommunikation
 
XHTML
XHTMLXHTML
XHTML
 
Semantic html5
Semantic html5Semantic html5
Semantic html5
 
Html5 einführung
Html5 einführungHtml5 einführung
Html5 einführung
 
Semantischer xhtml code 12w
Semantischer xhtml code 12wSemantischer xhtml code 12w
Semantischer xhtml code 12w
 
Partizipative medien
Partizipative medienPartizipative medien
Partizipative medien
 
Datenschutzrecht
DatenschutzrechtDatenschutzrecht
Datenschutzrecht
 
Semantic html5
Semantic html5Semantic html5
Semantic html5
 
Paläofuturologie
PaläofuturologiePaläofuturologie
Paläofuturologie
 
Literary machines
Literary machinesLiterary machines
Literary machines
 

Sicherheit webkommunikation

  • 1. Sicherheit in der Webkommunikation Für die Vorlesung „Webkommunikation, H. Mittendorfer, April 2016 1
  • 2. Studienobjekt: WhatsApp In einem technical white paper veröffentlichte die WhatsApp Inc. am 4. April 2016 unter der Web- Adresse https://www.whatsapp.com/security/WhatsApp- Security-Whitepaper.pdf eine Darstellung jener Ende-zu-Ende Verschlüsselung, welche sowohl für ausgetauschte Nachrichten, als auch für Gespräche zwischen den Teilnehmern, in die gleichnamige Software implementiert wurde. 2
  • 3. Der Anlass zur Verschlüsselung Als Folge der Aufdeckung skandalöser bzw. ungesetzlicher Verletzungen der Privatsphäre durch Geheim- und Nachrichtendienste während vergangener Jahre im allgemeinen und speziell als Konsequenz, wenngleich gescheiterter Versuche des FBI, das Unternehmen Apple aufzufordern Sicherheitsmechanismen aushebelbar zu gestalten, sehen sich Anbieter von Telekommunikationstechnolgien genötigt, mehr Sicherheit in ihre Produkte einzubauen - der Markt verlangt es! 3
  • 4. Der Rechtsstreit mit Behörden "Medienberichten zufolge ist Whatsapp in den USA bereits in einen Rechtsstreit mit Behörden verwickelt. Der Messenger-Dienst soll wie das Konkurrenzprodukt Telegram von den Attentätern benutzt worden sein, die im November in Paris 130 Menschen töteten." 4 Quelle: http://www.badische-zeitung.de/computer-medien-1/whatsapp-und-die- verschluesselung--120769267.html -> P
  • 5. Verschlüsseln Verschlüsseln auch chiffrieren genannt, bedeutet eine, mit allgemein verständlichen Zeichen codierte Nachricht (den Klartext) mittels eines Verfahrens derart um zu codieren, sodass der daraus gewonnene Geheimtext nur unter Verwendung eines geheimen Schlüssels wieder in den Klartext rückgeführt werden kann. Das Ergebnis des Verschlüsselns bzw. Chiffrierens ist demnach der Geheimtext oder das Kryptogramm. Das Rückgewinnen des Klartextes aus dem Kryptogramm nennt sich Dechiffrieren. Die Verallgemeinerung des Chiffrierens und Dechiffrierens wird als Kryptographie bezeichnet. Der Versuch den Klartext ohne Kenntnis des Schlüssels aus dem Kryptogramm zu gewinnen heißt Kryptoanalyse. 5
  • 6. Allgemeines Konzept der Verschlüsselung 6
  • 7. Funktionen der Verschlüsselung •Vertraulichkeit der Nachricht: Nur der autorisierte Empfänger/die Empfängerin sollte in der Lage sein, den Inhalt einer verschlüsselten Nachricht zu lesen. • Datenintegrität der Nachricht: Der Empfänger/die Empfängerin sollte in der Lage sein festzustellen, ob die Nachricht während ihrer Übertragung verändert wurde. • Authentifizierung: Der Empfänger/die Empfängerin sollte eindeutig überprüfen können, ob die Nachricht tatsächlich vom angegebenen Absender stammt. • Verbindlichkeit: Der Absender/die Absenderin sollte nicht in der Lage sein, zu bestreiten, dass die Nachricht von ihm/ihr kommt. Quelle: http://www.vorratsdatenspeicherung.de 7 -> P
  • 8. Angriffspunkte: Übertragung in allgemein zugänglichen Netzen und Zwischenspeicherung bei Dienstanbietern Nachrichten in asynchronen Kanälen werden systembedingt nicht nur übertragen, sondern auch in Ressourcen der Dienstanbieter zwischengespeichert. Eine Korrumpierung der übermittelten Nachrichten ist somit unabhängig voneinander am Übertragungsweg und/oder der Zwischenspeicherung möglich. 8
  • 9. Zwischenspeicherung bei E-Mail Bedingt durch die Übertragung von E-Mails in getrennten Diensten für den Versand (SMPT-Service) und Empfang (POP oder IMAP-Service) erfolgt die Zwischenspeicherung der Nachrichten in unterschiedlichen Ressourcen Anbietern. 9 -> P
  • 10. Ende-zu-Ende-Verschlüsselung Die Ende-zu-Ende-Verschlüsselung hat zum Ziel, Nachrichten im Gerät des Senders zu verschlüsseln und erst nach der Weiterleitung an den Empfänger, im Gerät des Empfängers zu entschlüsseln. 10
  • 11. Vermittlung durch den Dienstanbieter bei synchronen Kommunikationsdiensten Synchrone Kommunikationskanäle werden hingegen durch den Dienstanbieter nur vermittelt, die verschlüsselte Übertragung findet dann auf direktem Wege zwischen den „Gesprächspartnern“ statt. 11
  • 13. Transposition und Substitution Versetzen und Ersetzen bilden zentrale Methoden der Verschlüsselung. Ersteres, die Transposition belässt die Zeichen des Klartextes unverändert, ändert jedoch deren Position im Text. Die Substitution hingegen ersetzt die Zeichen. Die Skytale (sieh Abb. nebenan) ist ein, in der Antike angewandtes, kryptographisches Verfahren mittels Transposition. 13
  • 14. Monoalphabetische Substitution Die Rosenkreuzer-Schablone ist eine monoalphabetische Substitution. Jeder Buchstabe wurde mit den Seitenlinien des entsprechenden Feldes und einem Punkt, der die Position des Buchstabens im Feld symbolisiert, dargestellt. 14 Der größte Schwachpunkt der monoalphabetischen Substitution ist in der statistischen Häufung von Zeichen in Texten lebender Sprachen zu finden. Mittels Angriff durch „brut force“ ist jede Anwendung monalpabetischer Substitution in wenigen Sekunden gelöst. Beispiel:
  • 15. Polyalphabetische Substitution Am einfachsten ist die polyalphabetische Substitution anhand der Chiffrierscheibe des italienischen Architekten Leon Battista Alberti darstellbar. Alberti konstruierte zwei Scheiben, die zueinander verdrehbar sind. Die äußere Scheibe enthält das Klartextalphabet, die innere das Chiffrenalphabet, der Vorgang des Chiffrierens erfolgt durch die Abbildung der Entsprechung von außen nach innen. Die Sicherheit dieser Methode besteht nun darin, dass die Stellung der beiden Scheiben zueinander während der Chiffrierung gewechselt wird. Jede unterschiedliche Stellung der Scheiben zueinander entspricht einem neuen Alphabet. Jede Folge von Stellungswechseln ebenfalls. 15
  • 16. Ein Schlüssel zur Alberti- Scheibe 1. Bringe die Ziffer „1“ mit dem Buchstaben „i“ in Übereinstimmung. 2. Dechiffriere sodann die ersten 7 Buchstaben. 3. Drehe die Scheibe dann um 9 Schritte gegen den Gang der Sonne. 4. Fahre fort, 13 Buchstaben zu dechiffrieren. 5. Drehe die Scheibe dann 4 Schritte mit dem Gang der Sonne 6. und dechiffriere die folgenden 21 Buchstaben. 7. … 8. Irgendwann - je nach Sicherheitsbedürfnis - wird wieder mit Schritt 1 begonnen. 16 -> P
  • 17. Enigma und der Anfang der Computerkryptographie Arthur Scherbius entwickelte 1920 die Verschlüsselungsmaschine "Enigma" und diese wurde auch als "legendäre Enigma" noch während des 2. Weltkrieges eingesetzt. Statt Scheiben wurden auswechselbare, rotierende Walzen in schreibmaschinen-ähnliche Apparate eingebaut welche durch Elektromotoren angetrieben eine Fülle unterschiedlicher Chiffrenalphabete erzeugen. Jeder Anschlag auf der Tastatur führt automatisch zu einem neuen Alphabet, bis die rotierende Walze wieder an ihren Ausgangspunkt zurückgekehrt ist. Vorläufer der heutigen "Computer" vermochten - vor allem durch eine große Anzahl von Versuchen - die durch Enigma chiffrierten Texte dennoch zu knacken. Von da an hat sich die Kryptographie zur Computerkryptographie gewandelt. 17
  • 18. DES Im Jahr 1977 wurde der von der Fa. IBM entwickelte DES, der Data Encryption Standard, als allgemeiner Standard für Datenverschlüsselung in Regierungsbehörden eingeführt. Der Schlüssel im DES-Standard besteht aus einer Folge von acht 8-Byte- Blöcken, dies ergibt 64 Bit. Da je Byte ein Bit als Parity-Bit (Prüfbit) verwendet wird, stehen für die Benutzung nur 56 Bit zur Verfügung. Mit den Augen der Kombinatorik gesehen, ergibt der DES siebzig Quadrillionen Verschlüsselungsmöglichkeiten. Mit der Methode Brute Force (systematisches Ausprobieren sämtlicher Möglichkeiten) gelang es 1998 in 56 Stunden und 1999 in 22 Stunden den DES Code zu knacken. Für einen weiteren Erfolg wurde über das Internet die Kapazität von ca. 100.000 Rechnern zusammengeführt (distributet Net). 18
  • 19. AES Anstelle von DES wird derzeit der Advanced Encryption Standard eingesetzt. Es handelt sich ebenfalls um eine symmetrisches Verfahren. Es verwendet variable Schlüssellängen und variable Blockgrößen und wird seit dem Jahr 2000 als Nachfolgeverfahren zum DES eingesetzt. Die Vorteile des AES liegen in seiner guten Implementierbarkeit in der Hard- und Software. Bemerkenswert ist, dass sowohl der DES als auch der AES namhaft auf den Methoden Substitution und Transposition beruhen. Seit 2013 wird am UTAH DATA Center der NSA neben dem Speichern der gesamten Internet-Kommunikation auch am Knacken des AES gearbeitet. „According to another top official also involved with the program, the NSA made an enormous breakthrough several years ago in its ability to cryptanalyze, or break, unfathomably complex encryption systems employed by not only governments around the world but also many average computer users in the US. The upshot, according to this official: ‚Everybody’s a target; everybody with communication is a target.‘“ 19 Quelle: http://www.wired.com/2012/03/ff_nsadatacenter/all/
  • 20. Die asymmetrische Verschlüsselung Fall 1, Vertraulichkeit u. Datenintegrität 20 Da einer der beiden Schlüssel, in diesem Fall der Verschlüsselungs-Schlüssel, veröffentlicht werden kann, spricht man auch von „Public - Key“ (grün). -> P
  • 21. Die asymmetrische Verschlüsselung Fall 2: Authentifizierung & Verbindlichkeit 21 Die vertrauenswürdige Bestätigung der Verbindung von Entschlüsselungs-Schlüssel und Person über- nehmen sogenannte Zertifizierungsstellen.
  • 23. Die Restunsicherheit der WhatsApp-Verschlüsselung "Auch wenn nun selbst WhatsApp nicht mehr die Inhalte der Kommunikation mitlesen kann – wer wann mit wem kommuniziert, weiß der Dienst trotzdem.“ "Die wohl größte Gefahr ist, dass der Chat-Partner gar nicht derjenige ist, für den man ihn hält – ein Problem, das in Gruppenchats noch größer ist. Es könnte sein, dass ein Handy gestohlen wurde oder dass ein Dritter in den Besitz der Sim-Karte – und damit an die mit WhatsApp verbundende Telefonnummer – des eigentlichen Gesprächpartners gekommen ist.“ 23 Quelle: http://www.t-online.de/handy/id_77480886/whatsapp-verschluesselung-das- sollten-sie-wissen-.html