Framework 2.0 Neue Security Features Dominick Baier Sebastian Weber

1. .NET Framework 2.0 Neue Security Features Dominick BaierSebastian Weber

2. .NET Framework 2.0 Neue Security Features Dominick Baier DevelopMentor dbaier@leastprivilege.com http://www.leastprivilege.com

3. Agenda Windows Sicherheits-Infrastruktur nutzen Sichere Kommunikation Sichere Datenspeicherung

4. Accounts & SIDs Benutzer und Gruppen Accounts NTAccount und SecurityIdentifier Übersetzung zwischen beiden Formaten möglich Basis für viele andere Windows Security Funktionen On Windows Server 2003, use the whoami command to see the groups you have been assigned to, including the SID for each group: C:>whoami /groups > mygroups.txt C:>notepad mygroups.txt You may see the term “Alias” used to describe some groups. This is just an internal term for “Local Group”. On Windows Server 2003, use the whoami command to see the groups you have been assigned to, including the SID for each group: C:>whoami /groups > mygroups.txt C:>notepad mygroups.txt You may see the term “Alias” used to describe some groups. This is just an internal term for “Local Group”.

5. Übersetzen zwischen den Formaten

6. Zugriff auf Windows Gruppen

7. Sprachunabhängige Gruppen-Überprüfungen

8. Zugriffssicherheit Schutz von Ressourcen Dateien, Registry-Einträge, Semaphoren, ... Zugriffsrechte werden in Access Control Lists (ACL) beschrieben Keine direkte Unterstützung in .NET 1.x

9. ACL Support in .NET 2.0 System.Security.AccessControl FileSecurity DirectorySecurity MutexSecurity RegistrySecurity SemaphoreSecurity Verwendet NTAccount / SecurityIdentifier

10. Dateirechte lesen

11. Dateirechte setzen

12. Agenda Windows Sicherheits-Infrastruktur nutzen Sichere Kommunikation Sichere Datenspeicherung

13. Kommunikations-Protokolle Sichere Kommunikation Vertraulichkeit Integrität Authentizität Authentifizierung mit Windows Accounts Kerberos, NTLM Single Sign On

14. Szenarien

15. AuthenticatedStream Support für Kerberos/NTLM/SSL Kann beliebige andere Streams „wrappen“

16. NegotiateStream Der Client ruft AuthenticateAsClient auf und gibt an Seine Credentials Den Service Principal Name Gewünschte Impersonierung und Verschlüsselung Der Server ruft AuthenticateAsServer auf und Gibt sein Server Credentials zurück Gibt den mindest Impersonierungs-Levels sowie die Verschlüsselungs-Stärke an

17. NegotiateStream Client

18. NegotiateStream Server

19. Remoting – Secure TCP Channel Benutzt NegotiateStream

20. Remoting – IPC Channel Nur lokale Verbindungen möglich

21. Agenda Windows Sicherheits-Infrastruktur nutzen Sichere Kommunikation Sichere Datenspeicherung

22. Sichere Datenspeicherung Integration von Standards SHA / HMACSHA 1-512 XML Encryption & Digital Signatures PKCS#5 X509 / PKCS Kein P/Invoke mehr nötig Crypto API / CAPICOM DPAPI

23. PKCS#5 Standard-Algorithmus zur sicheren Speicherung von Passwörtern

24. Symmetrische Krypto Verschlüsselung und Entschlüsselung erfolgt mit dem gleichen Schlüssel

25. Symmetrische Krypto Schlüsselmanagement ist die Herausforderung Wer passt auf den Schlüssel auf? Data Protection API (DPAPI) bietet Lösungsansätze Windows verwaltet den Schlüssel Verschlüsselung unterliegt einem Scope

26. Symmetrische Krypto .NET Framework 2.0 Support SymmetricAlgorithm DES, TripleDES, RC2, Rijndael DPAPI ProtectedData, ProtectedMemory Scope: User, Machine, Process

27. Symmetrische Verschlüsselung

28. DPAPI Verschlüsselung

29. Asymmetrische Krypto / PKCS Durch Trennung der Schlüssel sind interessante Architekturen möglich

30. Asymmetrische Krypto / PKCS .NET 1.1 unterstützt RSA Schlüssel Zertifikate Aber keine Verbindung zwischen beiden Technologien In 2.0 volle Unterstützung für Windows Zertifikats-Speicher Standard PKCS Datentypen für Verschlüsselung und Signaturen SignedCms, EnvelopedCms CmsSigner, CmsRecipient

31. SignedCms

32. EnvelopedCms

33. Agenda Windows Sicherheits-Infrastruktur nutzen Sichere Kommunikation Sichere Datenspeicherung

34. Fazit Noch viele andere neue Features und Verbesserungen Code Access Security Deployment ASP.NET Konsequente Integration von Standards Performance Verbesserung Anzahl P/Invoke erheblich verringert

35. Fragen und Antworten

36. Mehr Informationen Dominick Blog: http://www.leastprivilege.com Email: dbaier@leastprivilege.com Sebastian Blog: http://sebastianweber.org Email: sebastian.weber@microsoft.com

37. Ihr Potenzial. Unser Antrieb.