IT-Sicherheit:

Authentisierung,Sicherheitsprotokolle

2

Authentisierung

! Ziel

! eindeutige Identifikation und Nachweis der Identität! Abwehr von Spoofing-Angriffen

! Problem:

! Nicht nur Mensch-zu-Gerät Interaktion, sondern auch! Gerät-zu-Gerät bzw. Gerät/Dienst-zu-Gerät/Dienst

! Bemerkung: zunehmende Vernetzung u. Miniaturisierung:Geräte-zu-Geräte-Kommunikation steigt rapide an!

! Notwendig: Konzepte und Verfahren, um sowohl! menschliche Individuen eindeutig zu identifizieren! als auch Geräte (Web-Server, Laptop, Mobiltelefon, ...) und! Dienste (Dateisystem, Amazon, Bankportal, ....)

3

Beispiele für die Authentisierung

! Viele Beispiele in der Praxis:! Benutzer gegenüber PC (Mensch-zu-Gerät)

! Mobiltelefon gegenüber Netzbetreiber (Gerät-zu Gerät)

! Bankkunde gegenüber Bankautomat (Mensch-zu-Gerät)

! WWW-Server gegenüber Nutzer (Dienst-zu-Mensch)

! Laptop gegenüber Access Point im WLAN (Gerät-zu-Gerät)

4

Arten der Authentisierung

! Authentisierung durch

! Wissen: z.B. Passworte, PINs, kryptogr. Schlüssel („Was ich weiß“)

! Besitz: z.B. Smartcard, USB-Token, SIM-Karte („Was ich habe“)

! biometrische Merkmale: z.B. Fingerabdruck („Was ich bin“)

! Mehrfaktor-Authentisierung: Kombination von Konzepten:

! z.B. SIM-Karte + PIN, Biometrie + Zugangskarte, …

! Beispiel: 2-Faktor-Authentisierung beim Mobiltelefon:

(1) Authentisierung über PIN (Wissen) gegenüber SIM-Karte

(2) und Besitz der SIM-Karte (enthält geheimen Schlüssel KSIM)

SIM-Karte authentisiert sich gegenüber dem Netz mit KSIM

5

Authentisierung durchPasswörter

! Vereinbartes Geheimnis zwischen dem Benutzer und dem System! Meist speichert das System nur einen kryptographischen Hashwert des

Passwortes! Zum Beispiel in Unix: /etc/passwd

! Ablauf der Authentisierung durch Passwörter:! Angabe der Identität (Benutzerkennung, Login)! System: „Geben Sie Ihr Passwort ein!“! Benutzer: Eingabe des Passwortes! Überprüfung durch das System:

! Berechne den kryptographischen Hashwert des Passwortes! Vergleiche das Ergebnis dieser Berechnung mit dem Eintrag in der

Passwort-Datei für die Benutzerkennung

6

Angriffe auf Passwort-Systeme (1)

! Angriffe auf die Passwort-Eingabe:! „Über die Schulter schauen“

! Mitschneiden („Sniffen“) von Passwörtern in einem LAN beiunverschlüsselter Kommunikation); Keylogger im Tastaturkabel

! Nicht vertrauenswürdige Rechner: Keylogger im System! Zum Beispiel in einem öffentlichen Terminalraum

! Passwort auf Post-it-Zettel

! Social Engineering-Angriffe! Beispiel: Telefonanruf an einen Administrator:

„Hallo, hier ist die Sekretärin der Geschäftsführung. Mein Chefbraucht dringend das Administrator-Passwort für die AnwendungXYZ!“

7

Angriffe auf Passwort-Systeme (2)

! Angriffe auf den Passwort-Speicher! Besonders leicht bei unverschlüsselten Passwörtern:

Nie Passwörter im Klartext speichern(besser kryptographische Hashwerte)!

! Nutzen von Logging-Informationen: Ein nicht-existenter Login-Name wie z.B. gzu%8yp in einer Log-Datei ist lohnendes Ziel

! Password-Cracking (folgende Folie)

8

Password-Cracking

! Password-Cracker:! Enthalten Wörterbücher (Dictionaries): u.U. in verschiedenen Sprachen! Unterstützen Heuristiken, um Kombinationen aus Sonderzeichen und

Wörtern durchzuprobieren:Das Passwort Cars%ten kann leicht ermittelt werden

! Brute-Force-Angriff (vor allem bei zu kurzen Passwörtern erfolgreich)! Üblicherweise können mit einem Password-Cracker ungefähr 21-25% der

Passwörter eines Systems ermittelt werden (Studie).

! Gängige Password-Cracker:! Crack, L0phtCrack! Cain & Abel, http://www.oxid.it/cain.html, für Windows-Systeme! John the Ripper (JtR), www.openwall.com/john, für Unix und Windows

9

Wahl guter Passwörter

! Richtlinien für die Wahl guter Passwörter1. Nicht weniger als acht Zeichen

2. Kein Name oder Wort, das in einem Wörterbuch nachschlagbar ist

3. Mindestens ein Sonderzeichen

4. Keine Folge von Zeichen, die auf einer Tastatur nebeneinanderliegen

... und Passwörter sollten in regelmäßigen Abständengeändert werden!

10

Sicherheit von Unix-Passwörtern

! Design-Fehler im ursprünglichen Unix:! Passwort-Datei /etc/passwd ist zwar verschlüsselt, aber world-readable!

! Gefahr eines Wörterbuchangriffs durch einen Password-Cracker (offline!)! Lösung des Problemes:

shadow-Passwort Datei; /etc/passwd enthält dann Dummy-Einträge

! Sicherheit von Unix-Passwörtern! Unix-Passwörter können maximal acht Zeichen lang sein,! 95 druckbare Zeichen möglich

Es gibt somit 958 ! 252.6 Möglichkeiten zur Passwortwahl.Eine gut ausgestattete Organisation (z.B. NSA) kann also jedes Unix-Passwort knacken.

11

Zusammenfassung:Authentisierung durch Passwörter

! Passwort-Authentisierung angreifbar! Dictionary-Angriffe! Sniffing! Social Engineering! Angriffe auf die Passwort-Speicherung

! Lösungen: u.a.

! Einmal-Passwort-Verfahren, OTP (One-time Passwort)z.B. S/Key (Hash-Kette) oder RSA SecureID („Key Fob“)

! Authentisierung zwischen Systemen: Ticket-basiert mit Nachweis, dassman der Eigentümer des Tickets ist (z.B. Kerberos)

! Vielen dieser Lösungen ist gemeinsam:Sie basieren auf einem Challenge-Response Verfahren (später).

12

Hardware-basierte OTP-Verfahren: ID-Token

! OTP-Verfahren zur Authentisierung beim ServerBeispiel: Online-Banking

! Benutzer erhält ein Hardware-Token! Token besitzt eindeutige Nummer; Server kennt diese! Token berechnet periodisch eine neue Zahl (Code),

z.B. alle 60 Sekunden, Code ist das OTP! Tokencode hängt von einem Seed ab, der Zeit, der Seriennummer

des Tokens und ggf einer PIN! Benutzer: Eingabe des OTP an einem Terminal

dazu: ablesen des Passwortes vom Display des Tokens! Server muss Seed, Zeit, Seriennummer, PIN kennen, generiert

ebenfalls das Passwort und vergleicht beide

13

Beispiel: RSA SecureID Token

! Basis für 2-Faktor-Authentisierung(Wissen und Besitz)! Zeit-synchronisiertes Vorgehen

! Synchronisation von Server (RSA ACE/Server) und Token

! Admin des Servers richtet Benutzer-Account ein, mit:! Token-Nummer und 64-Bit Seed s! Seed s wird auch auf Token gespeichert! Token wird an Benutzer ausgegeben

! Erzeugen von OTPs:! alle 60 Sekunden generieren Token u. Server neues Passwort:AES-Hashwert: Tokencode = AES(TokenId | s | Zeit)

14

Beispiel: S/Key

! Einmal-Passwörter über Hash-Ketten generieren

! Benutzer und System vereinbaren Passwort s

! Hash-Funktion f wird i-mal wiederholt: fi

! Benutzer erhält s und einen PDA mit f! Alternativ: Benutzer erhält für n Einlogvorgänge fi(s) für 0 < i < n

! System fordert mit n heraus (und merkt sich i=n)! Benutzer antwortet mit fi(s)

! Beim nächsten mal fordert System mit i:=i!" heraus! Benutzer antwortet mit fi-1(s) (nicht aus fi(s) ableitbar!)

15

Probleme von S/Key

! Wie alle Passwort-Mechanismen anfällig gegenmiddleperson-Angriff

! Untergeschobener Server kann Passwort für j abfragenmit j < i; daraus kann fi(s) berechnet werden

! Lösung: Server-Authentisierung

16

Authentisierung durch Biometrie (1)

! „Gilead besetzte die nach Efraim führenden Übergänge über denJordan. Und wenn efraimitische Flüchtlinge (kamen und) sagten: Ichmöchte hinüber!, fragten ihn die Männer aus Gilead: Bist du einEfraimiter? Wenn er Nein sagte, forderten sie ihn auf: Sag docheinmal «Schibbolet». Sagte er dann «Sibbolet», weil er es nichtrichtig aussprechen konnte, ergriffen sie ihn und machten ihn dortan den Furten des Jordan nieder. So fielen damalszweiundvierzigtausend Mann aus Efraim.“, Richter 12:5-6

! Erster dokumentierter militärischer Einsatz eines Protokolls zurAuthentisierung basierend auf einem biometrischen Merkmal:! Hier: der Akzent

! Was ich bin („something you are“)

17

Authentisierung durch Biometrie (2)

! Biometrisches Merkmal:

Verhaltenstypische oder physiologische Eigenschaft eines

Menschen, die diesen eindeutig charakterisieren

! Anforderungen an biometrische Merkmale:! Universalität: Jede Person besitzt das Merkmal.

! Eindeutigkeit: Merkmal ist für jede Person verschieden

! Beständigkeit: Merkmal ist unveränderlich

! quantitative Erfassbarkeit mittels Sensoren

! Performance: Genauigkeit und -geschwindigkeit

! Akzeptanz des Merkmals beim Benutzer

! Fälschungssicherheit

18

Biometrische Verfahren:Beispiele

! Fingerabdruckerkennung:

! weit verbreitetes Verfahren für viele Anwendungen: preiswerte, kompakteSensoren sind verfügbar (auf Mobiltelefon, PDA, Laptop, ...)

! Schreibdynamik ist besonders geeignet für Willenserklärung (z.B.Signaturen): Unterschreiben als bewusster, willentlicher Akt

! Iris-Erkennung sehr fälschungssicher, aber aufwendige Technik undgeringe Akzeptanz (vgl. Fraport-Pilot-Projekt)

! Gesichtskontrolle:

! gute Akzeptanz, aber z.Zt. noch nicht ausgereift, vgl.http://www.bsi.bund.de/literat/studien/biop/biopabschluss.pdf; Studie zuGesichtserkennungssystemen zum Einsatz bei Lichtbildausweisen

19

Iris-Erkennung

20

Problembereiche

! Abweichungen zwischen Referenz- und Verifikationsdaten sindunvermeidlich.

! Zwei Fehlertypen:! Berechtigter Benutzer wird abgewiesen

" Akzeptanzproblem (false negative, FRR false rejection rate)

! Unberechtigter wird authentisiert, Kontrollen zu locker

" Sicherheitsproblem (false positive, FAR false acceptance rate)

Leistungsmaße zur Bewertung der Güte eines Systems

! Ergebnisse einer dreijährigen Studie BioTrusT: www.biotrust.de:

Aktuelle Produkte besitzen noch erhebliche Fehlerraten(Stand 2002, aber durchaus noch aktuell).

21

Aktuelle Diskussion in Deutschland:Biometrie in Ausweisdokumenten

! In Pässen und Personalausweisen dürfen neben dem Lichtbild und der

Unterschrift weitere biometrische Merkmale von Fingern, Händen oder

Gesicht des Inhabers aufgenommen werden.

! Alle Merkmale und Angaben über die Person dürfen auf denAusweispapieren verschlüsselt gespeichert werden.

! Es darf keine bundesweite Datei eingerichtet werden.

! Die biometrischen Merkmale dürfen nur dazu verwendet werden, diewerden, die Echtheit des Dokumentes und die Identität des Inhaberszu prüfen.

Weitere Informationen zum aktuellen Stand der Diskussion:

http://www.bsi.de/fachthem/epass

22

Challenge-Response-Protokolle (1)

! Einfaches Protokoll: PasswortA ! B : KAB

Problem: u.a. Mitschneiden der Passwörter

! Verbesserung: Challenge-Response-Protokoll

Ziel: B authentisiert sich gegenüber A1. A ! B : N

A schickt B eine Herausforderung (challenge) N (nonce)

2. B ! A : {N}KAB

B beantwortet die Challenge mit {N}KAB (response)

23

Challenge-Response-Protokolle (2)

! Mutual Challenge-Response:1. A ! B : NA

2. B ! A : {NA, NB}KAB

3. A ! B : NB

Bemerkung: Dieses einfache Protokoll ist angreifbar (Übung).

! Anwendung von Challenge-Response-Protokollen:! GSM/GPRS/UMTS

! PPP (Authentisierungsprotokoll CHAP)

! Kerberos

Zugangssicherheitin Netzen

Network access security

25

Overview

! Network Access Security: Traditions

! WLAN Security

! WLAN Roaming (not today)

26

Overview

! Network Access Security: Traditions

! WLAN Security

! WLAN Roaming

27

TheHost

The old world

Modem

User DB

Bad, bad world out there

28

Thenetwork

AccessServers

• Basisprotokoll: PPP

• Authentisierungsprotokolle:

• PAP (Passwörter)

• CHAP (Challenge/Response)

• EAP (Plugin-fähig)

29

Intranet X

Accessnetwork

Campusnetwork

world

Routers

AccessServers

30

Intranet X

Accessnetwork

Campusnetwork

world

Routers

RADIUS Server(s)

Centralize

AAA info

31

Elements of traditionalNetwork Access Security

! Handle Network Access Security at L2! PPP and attendant authentication protocols (PAP, CHAP, EAP)

! Mainly user/password based

! RADIUS as “backend protocol”! Access devices (PEPs) stay dumb

! RADIUS server is PDP

! NAIs and RADIUS proxying! Network Access Identifier: cabo@tzi.de

! Use part after @ to identify home RADIUS server

32

802.1X: Network AccessSecurity for Ethernet

! Before 802.1X:Everyone can attach to a switch and get network access

! 802.1X: Run EAP over the LAN! Supplicant: Client trying to obtain access

! Authenticator (PEP): Switch

! Authentication Server (PDP): RADIUS server

! Switch can make decisions such as VLAN assignmentbased on information returned from RADIUS server

33

What is being protected?

! Scarce Network Resources! Dialin pool etc.

! Network Security! Often, Network Access Security was the only Network Security!

! No longer an option in Internet times

! Privileged IP addresses

! Access behind firewall

34

Overview

! Network Access Security: Traditions

! WLAN Security

! WLAN Roaming

35

WLANs are different

! WLANs are radio-based! Everyone can hear everything

! Requirement for confidentiality

! No “line” any more! Rogue devices can insert/modify information

! Less requirement for protection of access resources! WLAN is “fast”

! ISM band radio cannot be protected anyway

36

WLAN Security: Requirements

! Confidentiality (Privacy):

! Nobody can understand foreign traffic

! Insider attacks as likely as outsiders'

! Accountability:

! We can find out who did something

! Prerequisite: Authentication

37

WLAN Security: Approaches

! AP-based Security: AP is network boundary! WEP (broken), WEP fixes

! 802.1X (EAP variants + RADIUS) + 802.11i (“WPA Enterprise”)

! Network based Security: deep security! VPNs needed by mobile people anyway

! SSH, PPTP, IPsec

! Alternative: Web-diverter (temporary MAC/IP address filtering)! No confidentiality at all, though

38

Intranet X

Accessnetwork

Campusnetwork

world

Routers

RADIUS Server(s)

.1X

39

WLAN Access Control:Why 802.1X is better! 802.1X is taking over the world anyway

! The EAP/XYZ people are finally getting it right! Only 5 more revisions before XYZ wins wide vendor support

! Available for more and more systems (Windows 2000 up)

! Distribute hard crypto work to zillions of access points

! Block them as early as possible! More control to visited site admin, too!

! Most of all: It just works™

40

Intranet X

Dockingnetwork

Campusnetwork

world

VPN-Gateways

DHCP, DNS, free Web

VPN

41

WLAN Access Control:Why VPN is better

! Historically, more reason to trust L3 security than L2! IPsec has lots of security analysis behind it

! Can use cheap/dumb/untrustworthy APs

! Available for just about everything (Windows 98, PDA etc.)! Easy to accommodate multiple security contexts

! Even with pre-2003 infrastructure! Data is secure in the air and up to VPN gateway

! Most of all: It just works™

42

Intranet X

Dockingnetwork

Campusnetwork

world

AccessControl Device

DHCP, DNS, free Web

Web redire

ct

Web

43

WLAN Access Control:Why Web-based filtering is better! No client software needed (everybody has a browser)! Ties right into existing user/password schemes! Can be made to work easily for guest users

! It’s what the hotspots use, so guest users will know it already! May be able to tie in with hotspot federations

! Privacy isn’t that important anyway (use TLS and SSH)! Accountability isn’t that important anyway

! Most of all: It just works™

Zurück zur Theorie:

Wie funktionierenSicherheitsprotokolle?

45

Das Needham-Schroeder-Protokoll

! Roger Needham, Michael Schroeder (1978)! Schlüsselaustausch-Protokoll:

Kommunikationspartner A und B vereinbaren mit Hilfe desProtokolls einen gemeinsamen Schlüssel KAB, ohne einPublic-Key-Verfahren zu verwenden.

! Vertrauenswürdige dritte Instanz S (trusted third party),Authentisierungsserver

! Voraussetzung:! A und B besitzen mit S jeweils einen gemeinsamen Schlüssel: KAS

und KBS

46

Die Schritte des Needham-Schroeder-Protokolls (1)

1. A ! S : A, B, NA

! A fragt S nach einem gemeinsamen geheimen Schlüssel KAB fürdie Kommunikation mit B.

2. S ! A : {NA, B, KAB, {KAB,A}KBS }KAS

! S antwortet mit dem geheimen Schlüssel KAB, der mittels KAS

verschlüsselt ist

! das Nonce NA verhindert einen Replay-Angriff

! Nachricht enthält ferner ein „Zertifikat“ für B mit demgemeinsamen geheimen Schlüssel KAB

47

Die Schritte des Needham-Schroeder-Protokolls (2)

3. A ! B :, {KAB,A}KBS

! A sendet das von S ausgestellte „Zertifikat“ an B, d.h. B kennt nunden gemeinsamen Schlüssel KAB

4. B ! A : {NB}KAB

5. A ! B : {NB-1} KAB

! Die Schritte 4. und 5. stellen eine Art Challenge-Response dar: Büberprüft, dass A wirklich mit B kommunizieren will.

48

Sicherheitsproblem desNeedham-Schroeder Protokolls

! Subtiles Sicherheitsproblem:B nimmt an, dass der Schlüssel KAB aktuell von S stammt(vgl. Nachricht 3):

3. S ! A : {NA, B, KAB, {KAB,A}KBS }KAS

! Wiedereinspielungen mit geknacktem KAB sind möglich.! Bei Kompromittierung von KAS kann sich der Angreifer sogar auf

Vorrat Schlüssel KAX für verschiedene KommunikationsteilnehmerX besorgen (nicht nur für B).Selbst wenn A erkennt, dass KAS gebrochen ist, werden dadurchdie Schlüssel KAX nicht automatisch ungültig.

! Lösung: Nachrichten mit Zeitstempel versehen.

49

Design-Prinzipien fürSicherheitsprotokolle (1)

! M. Abadi, R. Needham: Prudent Engineering Practice for

Cryptographic Protocols, IEEE Transactions on SoftwareEngineering, Vol.23, No.3, März 1997

! Regel 1: Vollständige Information:

Alle relevanten Informationen (z.B. Namen der Partner)

sollten in einer Protokollnachricht kodiert werden.

50

Design-Prinzipien fürSicherheitsprotokolle (2)

! Regel 2: Verschlüsselungszweck klären:! Gewährleisten der Vertraulichkeit,

! Nachweis der Authentizität des Absenders

! Verknüpfung unterschiedlicher Nachrichten-Bestandteile

Bemerkung: unterschiedliche Schlüssel für unterschiedliche Zweckeverwenden, z.B. Signieren, Verschlüsseln

! Regel 3: Vorsicht bei Doppelverschlüsselung

Redundanz verursacht unnötige Kosten, ggf. sogar Lücken

51

Design-Prinzipien fürSicherheitsprotokolle (3)

! Regel 4: Digitale Signaturen:

Erst Signieren (nach dem Hashen), dann Verschlüsseln

! Regel 5: frischer Schlüssel

Frischenachweis über Zeitstempel oder Nonces

(vgl. Problem bei Needham-Schroeder Protokoll)

52

Kerberos (1)

! Weit verbreitete Weiterentwicklung des Needham-Schroeder Protokolls! Name: gr. Mythologie: 3-köpfiger Hund, der den Eingang zum Hades

bewacht.! 1983 im Athena Projekt am MIT entwickelt (+ IBM, DEC)! Version 4 (nur TCP/IP, einige Sicherheits-Probleme)! Version 5 (RFC 1510, September 1993)

! Ziele von Kerberos:! Authentisierung von Subjekten (Principals):

u.a. Benutzer, PC/Laptop, Server! Austausch von Sitzungs-Schlüsseln für Principals! Single-Sign-on für Dienste in einer administrativen Domäne

! Beispiele für Dienste: Drucker, NFS, DB

53

Kerberos (2)

! Im Gegensatz zum Needham-Schroeder-Protokoll zwei Server:! Authentisierungsserver (AS)! Ticket-Granting Server (S)! AS und S werden oft zusammen KDC genannt (Key Distribution Center)

! Idee: Trennung von Authentisierung (zentral beim KDC) undÜberprüfung (dezentral bei den einzelnen Dienst-Servern)

! Vorgehen:

! Client C besitzt Passwort für Authentisierungsserver AS! C fordert einen Schlüssel KCS für den Ticket-Granting Server S von AS an

! KCS ist verschlüsselt mit dem Passwort von C (Kerberos v4)! v5: Wörterbuchangriffe durch verschlüsselte Anfragen verhindern

! Client führt korrigierte Variante von Needham-Schroeder mit Hilfe von Sund dem Dienst -Server B durch

54

Kerberos-Architektur

Benutzer

AliceC

Client AS

Schlüssel-

datenbank

Ticket-Granting-Server

S

DB Drucken NFS...

Key Distribution Center – KDC

1.

2.

3.

4.

5.6.

Server Server Server

55

Kerberos: Protokollschritte

! Schritte 1. und 2.: Aushandlung des gemeinsamen Schlüssel KCS fürden Client C und den Ticket-Granting-Server S

! Hier nur das abgewandelte Needham-Schroeder-Protokoll:

3. C ! S : C, B

4. S ! C : {TS, L, KCB, B, {TS, L, KCB,C}KBS }KCS

(T Zeitstempel, LGültigkeitsdauer)

5. C ! B :, {TS, L, KCB,C}KBS , {C,TC}KCB

6. B ! C : {TS+1}KCB

! {TS, L, KCB,C}KBS ist das Ticket für den Zugriff auf den Server

! {C,TC}KCB der Authentikator

56

Nächste Termine

Mo, 13.06.2005 10–12 Uhr:

• Demo: Passwort-Cracker; Schwächen inSicherheitsprotokollen (z.B. Denning-Sacco-Protokoll)

Do, 17.06.2005 08–10 Uhr:

• Sicherheitsprotokolle: EAP, IKE (IPsec)

Übungsblatt 8 bald auf Stud.IP, s.:https://elearning.uni-bremen.de