Font and animations damaged or not working in this uploaded version. To support my security and PKI trainings, I made a first version of this presentation in 2003. Several modifications have led to this 2009 version. If you want the full -working- version, please let me know ...

1. Computercryptografie “ Xbboajoojhf Xjtlvoef” Computercryptografie Lex Zwetsloot Lex Zwetsloot Introductie PKI Introductie PKI “ Xbboajoojhf Xjtlvoef ”

4. Vertrouwelijk Transport ( Confidential ) Kom vrijdag om 14:00u naar Café Hendrik Kom vrijdag om 14:00u naar Café Hendrik Alice Bob Eve

8. 4. Symmetrische Encryptie INTERNET Décryptie

9. K O M O M 4 U U R B I J G E H E I M G E H E I M G E H E R T U E X Z G 9 H Z 3 4 G H P O … met 48-bits blokcijfer … 48-bits symmetrische key Vercijferd blok 4.1 Symmetrische Encryptie Voorbeeld blokvercijfering

10. 4.1 Symmetrische Encryptie Voorbeeld blok ont cijfering K O M O M 4 U U R B I J G E H E I M G E H E I M G E H E R T U E X Z G 9 H Z 3 4 G H P O … met dezelfde symmetrische sleutel …

11. 4.2 Schema symmetrische encryptie

14. 4.5 Oplossing voor het sleuteldistributieprobleem: Principe Diffie-Hellman Key-Exchange

15. 4.5b Diffie-Hellman Group

18. 5. Asymmetrische Encryptie Voorbeeld RSA met complementaire sleutels (basis van PKI)

19. 5.1 Principe Asymmetrische Encryptie Kom vrijdag om 14:00u naar Café Hendrik Alice’s Public Key Bob’s Public Key Directory Service C42$l1*h&f33 v*^%xpT;”]6s G!lyefHaUry+ 32Cfh01bvKs #@  *!

20. 5.1 Principe Asymmetrische Encryptie Kom vrijdag om 14:00u naar Café Hendrik Alice’s Public Key Bob’s Public Key Directory Service C42$l1*h&f33 v*^%xpT;”]6s G!lyefHaUry+ 32Cfh01bvKs Kom vrijdag om 14:00u naar Café Hendrik Encryptie met Bob’s Public Key Decryptie met Bob’s Private Key

21. Schema Asymmetrische Encryptie

22. Principe RSA Kom vrijdag om 14:00u naar Café Hendrik Alice’s Public Key Bob’s Public Key Directory Service C42$l1*h&f33 v*^%xpT;”]6s G!lyefHaUry+ 32Cfh01bvKs CSP Random symmetrische sleutel, Bulk Encryption Key of BEK Symmetrisch algoritme, Bijv. DES Asymmetrisch algoritme, Bijv. RSA 3e7c2b00f439001fdc0345 Met BEK symmetrisch vercijferde message content Met Bob’s Public key asymmetrisch vercijferde BEK

23. Principe RSA Kom vrijdag om 14:00u naar Café Hendrik Alice’s Public Key Bob’s Public Key Directory Service C42$l1*h&f33 v*^%xpT;”]6s G!lyefHaUry+ 32Cfh01bvKs CSP 3e7c2b00f439001fdc0345 Kom vrijdag om 14:00u naar Café Hendrik

24. Asymm.Encryptie: Schema Sealing

30. 6.3 Principe Digital Signing Kom vrijdag om 14:00u naar Café Hendrik Alice’s Public Key Directory Service BB7A057E76 … 25A95600D 3 … SHA-1 hash RSA-encrypted hash “Thumbprint” Kom vrijdag om 14:00u naar Café Hendrik BB7A057E76 … Cleartext message Door Bob (opnieuw) berekende SHA-1 hash 25A95600D 3 … BB7A057E76 … Oorspronkelijke hash van Alice Kom vrijdag om 14:00u naar Café Hendrik 25A95600D 3 …

31. 6.4 Schema Digital Signing

37. PKI: Installatie CA CSP Version: X.509 V3 Issued to: Acme-Root CA Issued by: Acme-Root CA Valid from: 01-01-2006 Valid until: 01-01-2031 Key Usage: Authentication Serial No: 32 88 8e 9a d2 .. Subject: Acme-Root CA Public Key: RSA (1024 bits) Hash algorithm: MD5 Bf 9c 0d 32 bd 5c 88 20 1a 08 01 07 bc 59 90 1c 2b 3e 77 .. MD5-hash van data in pseudo-certificaat met Public Key Met Private Key versleutelde hash; De “Thumbprint” De Cryptographic Service Provider (CSP) van Windows genereert een keypair (Private- en Public Key) Voorbeeld van de omvang van een 1024-bits Public Key Attributen worden aan de Public Key toegevoegd MD5

38. PKI: Installatie CA Version: X.509 V3 Issued to: Acme-Root CA Issued by: Acme-Root CA Valid from: 01-01-2006 Valid until: 01-01-2031 Key Usage: Authentication Serial No: 32 88 8e 9a d2 .. Subject: Acme-Root CA Public Key: RSA (1024 bits) Hash algorithm: MD5 Bf 9c 0d 32 bd 5c 88 20 1a 08 01 07 bc 59 90 1c 2b 3e 77 .. MD5

39. PKI: Installatie CA Version: X.509 V3 Issued to: Acme-Root CA Issued by: Acme Root CA Valid from: 01-01-2006 Valid until: 01-01-2031 Key Usage: Authentication Serial No: 32 88 8e 9a d2 .. Subject: Acme-Root CA Public Key: RSA (1024 bits) Hash algorithm: MD5 01 07 bc 59 90 1c 2b 3e 77 ..

40. PKI: Installatie CA Version: X.509 V3 Issued to: Acme-Root CA Issued by: Acme Root CA Valid from: 01-01-2006 Valid until: 01-01-2031 Key Usage: Authentication Serial No: 32 88 8e 9a d2 .. Subject: Acme-Root CA Public Key: RSA (1024 bits) Hash algorithm: MD5 01 07 bc 59 90 1c 2b 3e 77 .. Version: X.509 V3 Issued to: Acme-Root CA Issued by: Acme Root CA Valid from: 01-01-2006 Valid until: 01-01-2031 Key Usage: Authentication Serial No: 32 88 8e 9a d2 .. Subject: Acme-Root CA Public Key: RSA (1024 bits) Hash algorithm: MD5 01 07 bc 59 90 1c 2b 3e 77 .. CA Root Certificate

41. PKI: Installatie CA

42. 7.5 Distributie van het Root Certificate Export en distributie van root-certificaat in de vorm van *.cer bestand. (formaat: pkcs#7) Acme Root CA

43. 7.5 Distributie van het Root Certificate Acme Root CA Alle computers waarop een kopie van het Root-certificate van de CA is geïnstalleerd zien deze CA nu als een vertrouwde instantie

45. 7.6 Aanvraag SSL Certificaat http://www.abc.com CSP CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits) Acme Root CA

46. http://www.abc.com ac 2e 9d 01 ec 79 88 20 1a 08 2b 12 0f 28 ec 4c 2f 39 d7 .. 7.6 Aanvraag SSL Certificaat MD5 CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits)

47. http://www.abc.com 2b 12 0f 28 ec 4c 2f 39 d7 .. 7.6 Aanvraag SSL Certificaat CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits)

48. http://www.abc.com 7.6 Aanvraag SSL Certificaat CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits) 2b 12 0f 28 ec 4c 2f 39 d7 .. CERTIFICATE Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits) 2b 12 0f 28 ec 4c 2f 39 d7 ..

49. http://www.abc.com 7.6 Aanvraag SSL Certificaat CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits) 2b 12 0f 28 ec 4c 2f 39 CERTIFICATE Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits) 2b 12 0f 28 ec 4c 2f 39 d7 ..

50. http://www.abc.com 7.6 Aanvraag SSL Certificaat CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits) 2b 12 0f 28 ec 4c 2f 39 CERTIFICATE REQUEST Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits) 2b 12 0f 28 ec 4c 2f 39

51. http://www.abc.com http s ://www.abc.com 7.6 Aanvraag SSL Certificaat

52. 7.7 Client-sessie met SSL-Website

53. 7.7 Client-sessie met SSL-Website https://www.abc.com Client in bezit van kopie CA-Root Certificate Get https://www.abc.com Send certificate

54. https://www.abc.com 7.7 Client-sessie met SSL-Website CERTIFICATE Issued to: ABC.com Issued by: Acme Root CA Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits) 2b 12 0f 28 ec 4c 2f 39 d7 ..

55. https://www.abc.com CERTIFICATE Issued to: ABC.com Issued by: Acme Root CA Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits) 2b 12 0f 28 ec 4c 2f 39 d7 .. 3b 9c 01 bf 77 d3 21 fc .. 3b 9c 01 bf 77 d3 21 fc ..  Er is een ‘match’ tussen de meegezonden, -encrypted- hash (de thumbprint) en de hérberekende hash; De webserver kan het certificaat dus alleen van Acme Root CA hebben verkregen!!! 7.7 Client-sessie met SSL-Website Public Key van Acme Root CA

56. https://www.abc.com CERTIFICATE Issued to: ABC.com Issued by: Acme Root CA Key Usage: SSL - Auth. Company: ABC Corp. Department: IT-Services State: MA City: Boston Common Name: www.abc.com Public Key: RSA (1024 bits) 2b 12 0f 28 ec 4c 2f 39 d7 .. 3b 9c 01 bf 77 d3 21 fc .. 3b 9c 01 bf 77 d3 21 fc ..  Er is een ‘match’ tussen de meegezonden, -encrypted- hash (de thumbprint) en de hérberekende hash; De webserver kan het certificaat dus alleen van Acme Root CA hebben verkregen!!! 7.7 Client-sessie met SSL-Website

57. 7.8 SSL-Client sessie: Key-Exchange

58. 7.8 SSL-Client sessie: Key-Exchange https://www.abc.com CSP Symmetrische (DES) Key, aangemaakt door CSP van client PC Public Key van www.abc.com

59. 7.8 SSL-Client sessie: Key-Exchange https://www.abc.com

60. 7.8 SSL-Client sessie: Key-Exchange https://www.abc.com Beide partijen beschikken nu over dezelfde symmetrische Sessiesleutel

61. 7.9 Confidential Data Exchange (Zeer snel!!)

62. 7.9 Confidential Data Exchange https://www.abc.com Credit card No: 1124 4523 2514 7896 Credit card No: 1124 4523 2514 7896 (SSL) Enter Credit Card No (SSL) Enter Credit Card No

65. 8.2 Samenstelling X.509 V1 Certificaat Version Serial Number CA Signature Alg. Issuer Name Validity Period Subject Name Subject Public Key Signature Value Ondertekend door CA V1 Velden in een X.509 Version 1 Certificaat

66. 8.3 Samenstelling X.509 V2 Certificaat Version Serial Number Issuer Name Validity Period Subject Name Subject Public Key Signature Value Ondertekend door CA Velden in een X.509 Version 2 Certificaat Issuer Unique ID Subject Unique ID CA Signature Alg. V1 V2

67. 8.4 Samenstelling X.509 V3 Certificaat Version Serial Number CA Signature Alg. Issuer Name Validity Period Subject Name Subject Public Key Signature Value Ondertekend door CA V3 Velden in een X.509 Version 3 Certificaat Issuer Unique ID Subject Unique ID Extensions … X.509 v3 Extensions: Authority Key Identifier Subject Key Identifier Key Usage Private KeyUsagePeriod Certificate Policies Policy Mappings SubjectAlternativeName IssuerAlternativeName SubjectDirAttribute Basic Constraints Name Constraints Policy Constraints Extended Key Usage Application Policies AIA CDP

74. 9.3 Elliptic Curve Cryptography (ECC) Gebaseerd op vergelijking: y 2 =x 3 +ax+b Zie ook: http://www.certicom.com/index.php/ecc-tutorial

76. RFC’s

77. Vragen???