Kryptografie 2 - Rechnernetze und...

Seite 1 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

Kryptografie2


Kryptografie

SchlüsselverwaltungKey-Management

sichere Schlüsselübertragung zw. TeilnehmernSchlüsselverwaltungszentrumunerwartet komplexes Problem

bei Kommunikation zwischen N Terminals verschiedene Schlüssel zu verwalten

verschiedene Verfahren IBM ISO 8732in der Regel O(N) Schlüssel

N � N �12


KryptografieSchlüsselverwaltung

Schlüsselhierarchie Master-Terminal- und Sitzungsschlüssel

Schlüsselverwaltungszentrumkey distribution center auch security center

geheimer Terminalschlüssel kt

geheime Nachrichten an Terminalinsb. Sitzungsschlüssel ks


Kryptografie

Key-ManagementSchlüsselverteilung

Schlüsselverwaltungszentrum sendetSitzungschlüssel ks an beide Stationen


KryptografieKey-Management

SchlüsselverteilungSchlüsselverwaltungszentrum sendet an eine Station

Sitzungschlüssel ks

verschlüsselten Sitzungschlüssel Ekt2(ks)



SchlüsselverteilungAuthentifizierung von T1 gegenüber T2



SchlüsselverteilungAuthentifizierung von T1 gegenüber Schlüsselzentrum



SchlüsselverteilungAuthentifizierung von T2 gegenüber T1



SchlüsselverteilungZeitmarken, um Sammeln von Schlüsseln zu verhindern



Tamper Resistant ModuleVerteilung der Terminal-Schlüssel2 Master-Schlüssel



Tamper Resistant ModuleVerschlüsseln für Host



Tamper Resistant ModuleEntschlüsseln für Host



Tamper Resistant ModuleDechiffrieren von ks, falls km0=km1.



Tamper Resistant ModuleDechiffrieren von ks, falls km0≠km1.


KryptografieKey-ManagementSchlüsselverteilung im Internet

ISAKMP (Internet Security Association and Key Management Protocol, RFC 2408)

Rahmenwerk: Authentifizierung, Schlüsselaustausch von speziellen Verfahren unabhängig

Oakley (RFC 2412)mehrere Schlüsselaustauschverfahren für

Sicherheit, Identitätsschutz Authentifizierung

SKEME: Versatile Secure Key Exchange IKE (Internet Key Exchange, RFC 2409)


KryptografieKey-ManagementSchlüsselverteilung im Internet

ISAKMPOakley (RFC 2412)SKEME: Versatile Secure Key Exchange

Anonymität, Nachweisbarkeit schnelle Schlüsselerneuerung

IKE (Internet Key Exchange, RFC 2409) Erstellung authentifizierter Schlüssel IPsec bezieht sich auf Oakley und Teilen von SKEME


KryptografieKey-ManagementInternet Key Exchange (IKE)

vereinfachtes Verfahren zum Aufbau sicherer, authentifizierter VerbindungenModes, in denen Schlüssel ausgetauscht werden

eine oder zwei Phasen

1. Phasesichere, authentisierte Verbindung

2. Phase Schlüssel ausgetauschtin verschiedenen Protokollen benötigteinzelne Schlüssel von Masterschlüssel abgeleitet

VerschlüsselungHashen


KryptografieIKE: Phase 1sichere Verbindung zw. 2 Teilnehmern aufgebauen

RFC 2409: ISAKMP Security Association (SA) 2 Modi

Hauptmodus (main mode) drei Nachrichtenpaare

jeweils einer Anfrage und einer Antwort

1. Nachrichtenpaar handelt Verfahren aus2. Nachrichtenpaar

öffentliche Werte für Diffie-Hellman-Verfahrenweitere Daten für Schlüsselaustausch

2. Nachrichtenpaarauthentisieren Diffie-Hellman-Daten

verschlüsselt verbergen Identität der jeweiligen Teilnehmer


KryptografieIKE: Phase 1

Agressiver Modus (agressive mode)ersten Paket gleichzeitig

Verfahren ausgehandeltöffentliche Werte für Diffie-Hellman-Verfahren gesendet Daten für Schlüsselaustausch zur Identifizierung der Teilnehmer

Antwortnachricht umfasst gleiche Daten identifiziert zusätzlich Absender

dritte Nachricht authentifiziert Initiatorbelegt dessen Berechtigung


KryptografieIKE: Phase 2

Verwendet ISAKMP SAhandelt Security Association mittels sicherem Dienst aus

Für IPsec

Für irgendein anderer DienstesInformational Exchange

Datenverschlüsselt

mit geeignetem Hash-Algorithmus vor Verfälschung geschützt


Kryptografie

Public-Key-Systeme

Nur ein Schlüssel verwendenhoher Aufwand bei Schlüsselaustausch

Bote

Eigener Kanal (Post, Telefon, usw.)

AlternativeMehrere Schlüssel verwenden

Public-Key-Systeme

Asymmetrische kryptografische Systeme

Mehrschlüssel-Systeme


Kryptografie

Grundlagen der Public Key-Systeme

1976 von Diffie und Hellman vorgestellt

Abstraktes Verschlüsselungskonzept Öffentliche und private Schlüssel

Aus Schlüssel ks zwei Schlüssel ke und kd generiert

F: ks � ke: öffentlicher Schlüssel zum Verschlüsseln

G: ks � kd: privater Schlüssel zum Entschlüsseln (privat = geheim)

kd nicht einfach aus ke ableitbar


Kryptografie

Grundlagen der Public Key-SystemeText H einfach durch Eke(H) verschlüsselbar

� ke nicht einfach aus Klar- und Chiffretext generierbar

Ver- und Entschlüsselungsfunktionen D und E gleich Dkd(Eke(H))=Eke(Dkd(H))=H,

Reihenfolge von Ver- und des Entschlüsselns vertauschbar

mit Potenzierungsfunktion Hx mod m realisierbarProdukt H·H·…·H·H jeweils Modulo m

Umkehrung (Logarithmierung) dieser FunktionVorgabe von Hx mod m, m und x

m und x groß nur lösbar in Zeit der GrößenordnungBei ca. 500 Bit langen Zahlen m etwa 1020 Operationen

Löst verschiedene Probleme

�e ln m � ln ln m


Kryptografie

Schlüsselverteilung nach Diffie und Hellman

Ziel: Teilnehmern A und B Schlüssel bereitstellenA und B wählen beliebige geheime Zahlen x und yvereinbaren H und m öffentlich

Angreiferkennt nur m, H und Hx bzw. Hy

Kann weder x noch y errechnensomit auch nicht Hxy


Kryptografie

Authentisierung durch Passwörter

Angreifer kann sich dazwischen schalten

Auch z.B. 'geheimen Schlüssel' nach Diffie-Hellman berechnen

� keine sichere Identifierung


Kryptografie


A und B senden abwechselnd Hälften der verschlüsselten Passwörter Ek(PA)/ Ek(PB)

Passwort kann nicht vorgetäuscht werden


Kryptografie


Passwort nach einmaligem Gebrauch 'verbrannt'!

Sende PasswortVerschlüsselt

Gehasht

Mit Eimal-Tag

Zufallszahl

Datum, Uhrzeit

Angreifer kann Passwort nicht errechnen

Empfänger kann Passwort + Einmal-Tag neu hashen


Kryptografie

Geheimhaltung ohne Schlüssel


Kryptografie

Geheime Datenübertragung

Übertrage geheime Daten von A nach B


Kryptografie

Authentisierte Datenübertragung

B will sicher sein, dass Information von A stammt


Kryptografie

Geheime authentisierte Datenübertragung


Kryptografie

Integre Datenübertragung

Daten nicht vorsätzlich verändert!

Verschlüsselung mit authentisiertem SchlüsselRedundante Information

Zähler, Datum, Namen

Statt Daten auch Hashwert verschlüsseltDSA


KryptografieDigital Signature Algorithm das

ZertifizierungsstellenPerson/Institution lässt öffentlichen Schlüssel zertifizieren Zertifizierungsstellen Richtigkeit öffentlichen Schlüssels keA


KryptografieDigital Signature Standard DSS

National Institute of Standards and Technology NISTNummer PUB 186-2. DSS ab 27. July 2000 gültig von amtlichen Stellen in USA verwendet


Kryptografie

Schlüsselbildung bei Public-Key-SystemenPublic-Key-System zwei verschiedene Schlüssel

Zum Ver- und Entschlüsseln von Nachrichten

Schlüssel nicht auseinander ableitbarimmer wieder neue Algorithmen entwickeltwichtigste und verbreitetste: RSA

RSA: Shamir, Adleman und Rivest

MIT 1978

Neueres VerfahrenElliptische Funktion (Koblitz)


Kryptografie

Schlüsselbildung beim RSA-VerfahrenGrundlage

für sehr große Zahlen (mehrere hundert Dezimalstellen) Aufwand für Zerlegung in Primfaktoren extrem hoch

Exponentiation einer Nachricht H mit Schlüssel e reziprokem Wert d=e-1

Ee(H) = He mod mDd(H

e) = (He)d = He·d = H1 = H mod m

Aus m und e kann d berechnetwenn m Primzahl einfachWenn m=p·q keine Primzahl schwierigLösung: zunächst Primfaktoren von m bestimmenZerlegung in Primfaktoren 'schwieriges' Problem


Kryptografie

Schlüsselbildung beim RSA-Verfahren

Lösung: zunächst Primfaktoren von m bestimmenZerlegung in Primfaktoren 'schwieriges' Problem

zeitaufwendig

für großes p und q praktisch nicht durchführbar

Auswahl/Berechnung des SchlüsselsWählen zweier großer (>100 Stellen) Primzahlen p und q

Berechnung von m = p*q und r = KGV [p-1, q-1]

Zahl e, zu (p-1) und (q-1) relativ prim

Zahl d=e-1, so dass d·e=1 mod r


Kryptografie

Schlüsselbildung beim RSA-Verfahren

Verschlüsselungsverfahren zu übertragende Information in Blöcke zerlegen

als Binärzahlen aufgefasst kleiner als m

erhebt Binärzahlen in e-te Potenz, Arithmetik modulo m

Entschlüsselung analog

Blöcke zur d-ten Potenz erheben


KryptografieSchlüsselbildung beim RSA-Verfahren

Periode kHk+1=H für kleinstes k.

aus k und e reziproker Wert d=e-1 einfach bestimmbarIst m Primzahl, so ist Periode gleich m

m keine Primzahl, Berechnung der Periode nur möglich, wenn Primfaktoren von m bekannt

Primfaktorenzerlegung nur schwierig lösbarbekanntes zahlentheoretisches Problembis heute noch nicht einfach gelöst Sicherheit dieses Verfahrens basiert auf ungelöstem mathematischen Problem!

RSA-Verfahren wurde patentiertPatente mittlerweile ausgelaufenVerfahren frei verfügbar ist


Kryptografie

Zero-Knowledge-ProtokolleAlf

kenne Geheimnis s will dies Bert beweisen, ohne Bert s zu nennen

Alf bereitet sein Geheimnis s folgendermaßen aufwähle Modul m=p*q, p, q prim veröffentliche m und v=s2 mod m

Alf geht folgendermaßen vorAlf wählt eine zufällige Zahl rAlf sendet deren Quadrat x=r2 mod m an Bert.

Bert wählt zufällig ein der Zahlen von Alf

r oder y=s/r mod m


KryptografieZero-Knowledge-Protokolle

Alf geht folgendermaßen vorAlf wählt eine zufällige Zahl rAlf sendet deren Quadrat x=r2 mod m an Bert.

Bert wählt zufällig eine der Zahlen von Alf

r oder y=s/r mod m

Fordere Bert rBert kann prüfen, ob r Quadratwurzel von x=r2 mod m

Fordere Bert yBert prüft, ob y2*x=s2/r2*r2=v Quadrat des Geheimnisses

Vorgang wird solange wiederholt, bis Bert mit ausreichender Wahrscheinlichkeit sicher ist, dass Alf das Geheimnis s kennt.


Kryptografie

Zero-Knowledge-ProtokolleSicherheit

zu v und einem beliebigen y einfach x=v/y2 berechnen, aber aus x=r2 kann Alf nicht einfach r bestimmen; zu beliebigem r einfach x=r2 bestimmen, aber aus diesem x nicht einfach y bestimmen

Bert überprüft also, ob Alf wirklich Quadratwurzel aus x kennt, und ob y2*x=v ist.

Alf darf nicht gleichzeitig y und r sendeny=s/r kann einfach s berechnet werden

Daher folgtNur eine der beiden Zahlen r oder y kann gefälscht werden


Kryptografie

Zero-Knowledge-ProtokolleBert kann sich durch zufällige Auswahl von Richtigkeit einer dieser beiden Zahlen überzeugenbei jedem Durchgang nur zu 50% überzeugtÜberprüfung jedoch mehrfach wiederholt

nach n Schritten kann Alf nur betrügen mit Wahrscheinlichkeit 0,5n nach 10 Schritten 0,1%, nach 20 Schritten 0,0001% usw

Bert kann selbst bestimmen, mit welcher Sicherheit er Alfs Legitimität nachweisen will


Kryptografie

Challenge-Response-Verfahren CHAPZiel: Person A identifizieren

A muss bestimmte Handlung vollführen B kann Ergebnis nachprüfen kanndritter kann aus Ergebnis Handlung selbst nicht erkennen Handlung meist gemeinsam vereinbarte Berechnung

Challenge-Handshake Authentication ProtocolCHAPRFC 1994B (authenticator) will Identität von A nachweisenIn mehreren Phasen abgewickelt


Kryptografie

Challenge-Response-Verfahren CHAPChallenge-Handshake Authentication Protocol1. B sendet Datensatz (challenge) an A.

2. A berechnet mittels "Ein-Weg-Hashfunktion" einen Wert sendet diesen an B zurück

3. B überprüft Antwort anhand eigener BerechnungStimmen Ergebnisse überein, Authensierung abgeschlossenStimmen die Ergebnisse nicht überein, Authensierung schlug fehl

4. B sendet in zufälligen Abständen neue Anfragen an A, A muss diese bestätigen


Kryptografie

Challenge-Response-Verfahren CHAP

Schutz gegen Playback-Angriffen durch Awenn Datensatz (challenge) ständig verändert wird

B kann sich nach Belieben von Identität von A überzeugenAuthentisierung hängt ab

von gemeinsamem Geheimnisdarf nur A und B bekannt sein

Authentisierung in beiden Richtungen von B nach A und von A nach B


Kryptografie

Challenge-Response-Verfahren CHAP

Nachteil"Geheimnis" muss im Klartext vorliegen

keine Ein-Weg-Verschlüsselte Passwortdatenbanken

Geheimnis muss bei A und B verwahrt werdenbei sehr großen Installation schwierig

Standard schlägt vorGeheimnis an zentralem Server verwalten und überprüfen� Schlüsselzentrum oder Zertifizierungsstelle

möglicher Hash-Algorithmus: MD5 (obligatorisch)

auch andere Verfahren aushandelbar


Kryptografie

Challenge-Response Authentication Mechanism (CRAM)

Erweiterungen von CHAP

Keyed-Hashing for Message Authentication

HMAC: (RFC 2104)

Abfrageprotokoll für E-Mail-Server

IMAP=Internet Message Access Protocol - Version 4rev1, RFC 2060


Kryptografie

HashenText auf Verfälschungen überprüft

üblicherweise Prüfsumme gebildetstatt Text die Prüfsumme überprüfen / signierenVerfahren: Hashen Prüfsumme:

Fingerabdruck (finger print) auch Digest oder Message Digest

Anforderungen an Prüfsummenrechentechnisch schwierig zu Fingerabdruck entsprechende Nachricht findenrechentechnisch schwierig, zwei verschiedene Texte mit gleichem Fingerabdruck finden


Kryptografie

HashenHeute zwei Verfahren

MD5 Ronald L. Rivest

SHA-1 National Institute of Standards and Technology (NIST)

Beide Verfahren sehr ähnlich basieren auf MD4-Verfahren von Ronald L. Rivest

Einfacher, weniger sicherMD5 unsicher wegen kurzem Digests (128 Bits)

Geburtsangriff SHA-1 MD5 Digital Signature Algorithm (DSA)HMAC

Digest aus gemeinsamem Schlüssel


Kryptografie

SHA-1verarbeitet Blöcke fester Länge

512 Bits oder 64 Bytes,


Kryptografie

MD5-1verarbeitet Blöcke fester Länge

512 Bits oder 64 Bytes,


Kryptografie

HMAC: Verschlüsseltes Hashing

Verfahren zur Authentisierung ohne Public KeyRFC 2104

Hashwert von Schlüssel abhängigParteien kennen geheimen Schlüssel

Beweis der Unverfälschtheit einer Nachricht bei Übertragung

bei Speicherung

vorsätzlich von aktivem Angreifer verfälscht


KryptografieHMAC: Verschlüsseltes Hashing

HMAC fügt in Dokument geheimen Schlüssel ein hashed das so entstandene neue Dokumentkann von Angreifer nicht nachvollzogen werden

könnte höchstens Hashwert fälschen

RFC 2104 nennt folgende Entwurfsziele1. Vorhandene Hash-Funktionen unverändert einsetzen

in Hardware oder Software Code frei verfügbar Schnelligkeit der Hash-Funktionen ausnutzbar

2. Schlüssel auf einfache Weise behandeln 3. gut verstandene kryptographische Analyse

vernünftigen Annahmen der Hash-Funktionen 4. Hashfunktion einfach ersetzbar

schnellere oder sicherere Hashfunktionen


Kryptografie

GeburtstagsangriffStatistisches Gesetz

In sehr kleiner Gruppe haben wenigstens zwei Personen mit 50%iger Wahrscheinlichkeit am gleichen Tag Geburtstag.

gefälschtes Dokument signieren:zwei Dokumente D und F erzeugen

Originaler und veränderter Text Beide Dokumente durch unwesentliche Änderungen variiert

Leerzeichen, Backspaces, Tabs usw.Hashwerte vergleichen bis zwei Dokumente mit gleichen Fingerabdrücken gefunden ein Dokument vorlegenHashwert signieren lassen das andere vorlegen und auf Erfüllung pochen


Kryptografie

Sicherheitsarchitektur für das InternetIPsecRFC 2401Sicherheitsanforderungen für IPv4 und IPv6Sicherheitsdienste

Zugangskontrolle (access control)Datenintegrität (connectionless integrity)Authentisierung (data origin authentication)Schutz vor Wiederholung (protection against replays)Vertraulichkeit durch Verschlüsselung (confidentiality by encryption)Verkehrflußvertraulichkeit (limited traffic flow confidentiality)IP-Kompression (IP compression)


Kryptografie

Sicherheitsarchitektur für das InternetErweiterungsheader

Authentisierungsheader (Authentication Header)DatenintegritätAuthentisierung Schutz vor Wiederholung

Encapsulating Security Payload-Header (ESP) DatenintegritätAuthentisierung Schutz vor WiederholungVertraulichkeit durch Verschlüsselung Verkehrflussvertraulichkeit

Header zum Austausch kryptographischer Schlüsselr


Kryptografie

Sicherheitsarchitektur für das InternetErweiterungsheader


Kryptografie

Sicherheitsarchitektur für das InternetKritikpunkte an IPsec

Komplexität des ProtokollsVerhindert korrekte ImplementierungNicht vernünftig testbarzu viele unterschiedliche Interessenerhebliche Vertrauensunsicherheit

schlechte DokumentationBeweggründe für Entwurfsentscheidungen

zu viele VariantenSchlüsselaustauschverfahren

Authentifizierungsheader + Transportmodus verzichtbarVerringt Komplexität drastisch


Kryptografie

Sicherheitsarchitektur für das Internet

Kritikpunkte an IPsec – 2Sicherung auf Vermittlungsschicht widerspricht verbindungslosem Kommunikationskonzept

Konzepte (Verbindungsdaten, Verbindungsstrategien) benötigt, die in IP nicht vorhanden

natürlicher verbindungsorientiertem Protokoll zugeordnet

TCP

Anwendung (http, SMTP)

Verbindungsdaten sowieso vorhanden

Nur Geheimhaltung der Verkehrsbeziehung sinnvoll

Authentifizierung überflüssig

Kryptografie 2 - Rechnernetze und...

Documents

Transcript of Kryptografie 2 - Rechnernetze und...