1.2. Schlüssel
Total Page:16
File Type:pdf, Size:1020Kb
Pretty Good Privacy Usability im Web of Trust Masterarbeit Zur Erlangung des akademischen Grades Master of Science in Engineering der Fachhochschule FH Campus Wien Masterstudiengang IT-Security Jahrgang ITS16 Vorgelegt von: Daniel Buchberger Personenkennzeichen 1410537028 Erstbegutachter: DI Dr. Martin Schmiedecker Zweitbegutachterin: DI Katharina Krombholz Eingereicht am: 28. 07. 2017 Erklärung: Ich erkläre, dass die vorliegende Masterarbeit von mir selbst verfasst wurde und ich keine anderen als die angeführten Behelfe verwendet bzw. mich auch sonst keiner unerlaubter Hilfe bedient habe. Ich versichere, dass ich diese Masterarbeit bisher weder im In- noch im Ausland (einer Beurteilerin/einem Beurteiler zur Begutachtung) in irgendeiner Form als Prüfungsarbeit vorgelegt habe. Weiters versichere ich, dass die von mir eingereichten Exemplare (ausgedruckt und elektronisch) identisch sind. Datum: ................................ Unterschrift: ............................................................................. Danksagung Zunächst möchte ich mich an dieser Stelle bei meinen Eltern, Hermann und Barbara Buchberger für die tatkräftige Unterstützung und Motivation während der Anfertigung dieser Arbeit und des gesamten Studiums bedanken. Daneben gilt mein Dank Herrn DI Dr. Martin Schmiedecker , da er meine Arbeit und somit auch mich betreut, mir mit wertvollen Ratschlägen und Hinweisen geholfen und mit moralischer Unterstützung durch diese Arbeit begleitet, hat. Ebenfalls möchte ich mich bei meinen Studienkollegen und Freunden Carina Kloibhofer, Nenad Milanovic und Rudolf Toro für die außerordentliche Gemeinschaft, Humor und gegenseitige Unterstützung bedanken. Zuletzt möchte ich meinen Freunden, im Besonderen Matthias Klettner und Ronald Peer, für die Hilfestellung und die Mitwirkung dieser Masterarbeit meinen Dank aussprechen. i Kurzfassung Sowohl für den einfachen Privatanwender, als auch für Unternehmen jeglicher Größe ist der Schutz von vertraulichen Daten von grundlegender Bedeutung und vor allem im Bereich der IT hat dieser Aspekt, in den letzten Jahren, enorm an Gewichtung gewonnen. Einen besonders interessanten Ansatz für die Realisierung einer verschlüsselten und sicheren Kommunikation bietet das Konzept des Web of Trusts sowie die darauf basierende Software Pretty Good Privacy. Ziel der vorliegenden Masterarbeit ist es dem Leser einen Einblick in die Thematik der Kryptographie, Public-Key-Verschlüsselungsverfahren und der als Vorreiter geltenden Verschlüsselungssoftware Pretty Good Privacy zu bieten. Gemeinsam mit dem Konzept des Web of Trusts werden diese Themen behandelt, um anschließend die potenziellen Schwächen solcher Verfahren aufzuzeigen. Ein weiteres Bestreben ist die Entwicklung einer Android-Applikation, welche als Hilfestellung für den Schlüsselaustausch von Benutzern dienen soll, gefolgt von einem Fazit der zukünftigen Entwicklung der behandelten Themengebiete. ii Abstract For private users, as well as for companies, the protection of sensitive data is one of the key objectives and especially in the last years, the IT-security sector has gained in importance and prioritization. An interesting approach to realize an encrypted and secure communication is offered by the so called web of trust and the based on software Pretty Good Privacy. This thesis aims to give an insight into cryptography, public-key encryption and particularly the encryption program PGP. Another focus is the concept of a web of trust and the potential weaknesses of those implementations. Followed by the development of an android application, supporting the process of key exchanging. Conclusively a summary of all the covered topics and an outlook for future work and research will be given. iii Inhaltsverzeichnis 1. PGP 2 1.1. Funktionsumfang ...................................................................................... 2 1.2. Schlüssel ................................................................................................... 3 1.3. Web of Trust ............................................................................................ 12 1.4. OpenPGP Implementierungen ............................................................... 15 1.5. Geschichtlicher Hintergrund ................................................................. 20 1.6. Schwächen von PGP .............................................................................. 24 2. APPLIKATION 33 2.1. Ziel der Applikation ................................................................................ 33 2.2. Alternativen zur Applikation .................................................................. 33 2.3. Implementierung ..................................................................................... 35 2.4. Benutzeroberflächen .............................................................................. 36 2.5. Standardszenario .................................................................................... 46 2.6. Anwendungsszenarien ........................................................................... 47 3. EVALUATION 50 3.1. Verfahren ................................................................................................. 50 3.2. Funktions-Test ........................................................................................ 50 3.3. Usability-Test .......................................................................................... 51 3.4. Ergebnisse .............................................................................................. 55 4. DISKUSSION UND FAZIT 64 ANHANG 66 GRUNDLAGEN 66 Kryptographie ...................................................................................................... 66 (Digitale) Zertifikate ............................................................................................. 71 ABBILDUNGSVERZEICHNIS 75 LITERATURVERZEICHNIS 77 iv Einleitung Einleitung Motivation Sicherheit hat sich in den letzten Jahren zu einer der wichtigsten Thematiken im Bereich der IT entwickelt. Es vergeht kaum ein Tag, an dem nicht wieder ein Artikel über einen Zero-Day-Exploit, einer weiteren Sicherheitslücke oder gar einem Angriff auf Computersysteme publiziert wird. Vor allem die vom ehemaligen CIA-Mitarbeiter Edward Snowden aufgedeckten Enthüllungen weckten das Interesse der Allgemeinheit für dieses Gebiet. Das Hauptaugenmerk eines jeden Nutzers obliegt dabei zumeist dem Schutz der eigenen Daten. Um dieses Ziel umzusetzen, behilft man sich der Kryptographie. Mit den als sicher geltenden Verfahren werden Daten, bei der Übertragung und auch bei der Speicherung, verschlüsselt, um die vier Hauptziele der Computersicherheit - Vertraulichkeit, Integrität, Authentizität und Verbindlichkeit gewährleisten zu können. Besonders Public-Key- Verschlüsselungsverfahren erwiesen sich als wichtiger Bestandteil hierfür. Ein Vorreiter in diesem Bereich ist das von Phil Zimmermann entwickelte Programm Pretty Good Privacy, kurz PGP. Dieses 1991 veröffentlichte Programm ermöglicht die verschlüsselte End-to- End-Kommunikation zweier oder mehrerer User und wird noch heutzutage als sicher angesehen. PGP baut auf dem sogenannten Web of Trust, einem Prinzip, bei dem die zentrale Zertifizierungsstelle durch Vertrauensverbindungen der Benutzer selbst ersetzt wird, auf und ist darauf ausgelegt Nachrichten dauerhaft entschlüsseln zu können. In den letzten Jahren haben auch namentliche Firmen den Nutzen an einem solchen Prinzip erkannt und versuchen sich an ihrer eigenen Implementierung dessen. So ist zum Beispiel Mailvelope [MV16], eine freie Software die eine Ende-zu-Ende-Verschlüsselung von E-Mails ermöglicht ein neuer Ansatz der chiffrierten Kommunikation. Ziel der Arbeit Ziel dieser Arbeit ist es dem Leser einen Einblick in Public-Key- Verschlüsselungsverfahren, im speziellen auf Pretty Good Privacy sowie die Funktionsweise eines Web of Trusts zu geben, die Schwächen und Stärken dieser aufzuarbeiten und die Entwicklung einer Android Applikation, die den Benutzer bei dem Vorgang des Schlüsselaustausches unterstützen soll. Beginnend mit einer Einsicht in die gängigsten Verfahren und einer Erläuterung der Grundtechniken, sowie die Geschichte PGPs wird kontinuierlich das benötigte Wissen vermittelt. Anschließend werden potenzielle Schwächen und Angriffe solcher Sicherheitsverfahren behandelt, gefolgt von der Entwicklung einer Applikation, die als Hilfestellung für den Schlüsselaustausch bei Keysigning-Partys dienen soll. Abschließend wird ein Fazit aller behandelten Thematiken und ein Ausblick für zukünftige Arbeiten abgegeben. 1 1. PGP 1. PGP 1.1. Funktionsumfang Pretty Good Privacy, ist ein Verschlüsselungsprogramm um die Privatsphäre von (persönlichen) Dateien und Mails zu schützen. Zusätzlich ermöglicht PGP das Signieren von Dateien, Nachrichten und Schlüsseln. Pretty Good Privacy und die Kryptographie an sich beschäftigen sich mit der Realisierung der drei Hauptziele der Informationssicherheit. Diese sind: • Vertraulichkeit (Confidentiality) – Das erste Schutzziel Vertraulichkeit bezeichnet die Tatsache, dass lediglich autorisierte Personen Zugang zu den für sie bestimmten Daten haben. Dies wird anhand von Verschlüsselung, Passwörtern oder anderen Zugangskontrollen umgesetzt. • Integrität (Integrity) – Ein weiteres Ziel befasst sich mit der unbemerkten Modifizierung, der Richtigkeit und der Vollständigkeit von Daten. Integrität stellt nicht sicher, dass Daten nicht modifiziert werden können, sondern, dass diese nicht unbemerkt verändert werden können. • Verfügbarkeit (Availability) – Das dritte Ziel der