Betriebssysteme und Sicherheit

Transkript

1 Betriebssysteme und Sicherheit Symmetrische Kryptographie WS 2012/2012 Dr.-Ing. Elke Franz 1

2 Überblick 1 Einführung 2 Erreichbare Schutzziele 3 Prinzip symmetrischer Systeme 4 Anmerkungen zur Sicherheit Beispiel: Vernam-Chiffre 5 Beispiel: AES Betriebssysteme und Sicherheit Symmetrische Kryptographie 2

3 1 Einführung Kryptologie Kryptographie Kryptoanalyse Kryptographie (griech. kryptos + graphein ) Wissenschaft von den Methoden der Ver- und Entschlüsselung von Informationen. Kryptoanalyse (griech. kryptos + analyein ) Wissenschaft vom Entschlüsseln von Nachrichten ohne Kenntnis dazu notwendiger geheimer Informationen. Betriebssysteme und Sicherheit Symmetrische Kryptographie 3

4 1 Einführung Historische Verfahren Transpositionen Verwürfeln der Klartextzeichen, Permutation der Stellen des Klartextes (Permutationschiffren) Beispiel: Skytala (Matrixtransposition) transpositionschiffre t r a n s p o s i t i o n s c h i y f r e x y z x TPIHEROOIXASNYYNISFZSTCRX Betriebssysteme und Sicherheit Symmetrische Kryptographie 4

5 1 Einführung Historische Verfahren MM-Substitutionen (monoalphabetisch, monographisch) Beispiel: Cäsarchiffre Nachricht a b c d e f g x y z Schlüsseltext D E F G H I J A B C b e i s p i e l E H L V S L H O PM-Substitutionen (polyalphabetisch, monographisch) Beispiel: Vigenère-Chiffre Betriebssysteme und Sicherheit Symmetrische Kryptographie 5

6 2 Erreichbare Schutzziele Mögliche Bedrohungen durch Angriffe Unbefugte Kenntnisnahme der Informationen Verfälschen von Informationen (bei Nachrichten auch von deren Absendern) Stören der Verfügbarkeit Betriebssysteme und Sicherheit Symmetrische Kryptographie 6

7 2 Erreichbare Schutzziele Unterteilung der Schutzziele Inhalte Umstände Unerwünschtes verhindern Vertraulichkeit Verdecktheit Anonymität Unbeobachtbarkeit Erwünschtes leisten Integrität Verfügbarkeit Zurechenbarkeit Erreichbarkeit Verbindlichkeit Betriebssysteme und Sicherheit Symmetrische Kryptographie 7

8 2 Erreichbare Schutzziele Mittels Kryptographie erreichbare Schutzziele Vertraulichkeit Informationen werden nur Berechtigten bekannt. Integrität Informationen können nicht unerkannt modifiziert werden. Zurechenbarkeit Dem Sender einer Nachricht kann das Senden (auch gegenüber Dritten) nachgewiesen werden. (Nachweis des Empfangs sowie des Zeitpunktes des Sendens/Empfangens erfordert weitere Maßnahmen.) Betriebssysteme und Sicherheit Symmetrische Kryptographie 8

9 3 Prinzip symmetrischer Systeme Kriterien für eine Einteilung Zweck Konzelationssysteme Systeme zum Schutz der Vertraulichkeit der Daten Authentikationssysteme Systeme zum Schutz der Integrität der Daten - digitale Signatursysteme (spezielle Authentikationssysteme) Systeme zur Realisierung von Zurechenbarkeit von Daten Schlüsselverteilung Symmetrische Verfahren: k e = k d Asymmetrische Verfahren: k e k d Notation: k A,B : k e,a /k d,a : symmetrischer Schlüssel für Kommunikation zwischen Teilnehmern A und B Schlüssel zur Ver-/Entschlüsselung des Teilnehmers A (asymmetrisches System) Betriebssysteme und Sicherheit Symmetrische Kryptographie 9

10 3 Prinzip symmetrischer Systeme Symmetrisches Konzelationssystem Zufallszahl r Schlüsselgenerierung k A,B keygen(r) Alice Nachricht geheimer Schlüssel k A,B m Verschlüsselung enc Angriffsbereich Schlüsseltext c c enc(k A,B, m) Entschlüsselung dec geheimer Schlüssel k A,B Nachricht Bob m dec(k A,B, c) Vertrauensbereich Sicherer Kanal für Schlüsselaustausch öffentlich bekannter Algorithmus Betriebssysteme und Sicherheit Symmetrische Kryptographie 10

11 3 Prinzip symmetrischer Systeme Symmetrisches Konzelationssystem Alice Bob Betriebssysteme und Sicherheit Symmetrische Kryptographie 11

12 3 Prinzip symmetrischer Systeme Schlüsselaustausch Notwendig: sicherer Kanal für Schlüsselaustausch Offenes System: Sender und Empfänger können sich nicht vorab treffen Lösung: Schlüsselverteilzentrale X Jeder Teilnehmer (z.b. A) meldet sich an und tauscht einen geheimen Schlüssel k A,X mit X aus Kommunikation mit Teilnehmer B: Anfrage an X nach geheimem Schlüssel k A,B X generiert Schlüssel k A,B und sendet ihn an A und B Problem: X kann alle Nachrichten lesen Verbesserung: verschiedene Schlüsselverteilzentralen verwenden und geheime Schlüssel lokal berechnen Betriebssysteme und Sicherheit Symmetrische Kryptographie 12

13 3 Prinzip symmetrischer Systeme Symmetrisches Authentikationssystem Zufallszahl r Schlüsselgenerierung k A,B keygen(r) Alice Nachricht geheimer Schlüssel k A,B m MAC berechnen auth Angriffsbereich Nachricht, MAC (message authentication code) m, MAC MAC auth(k A,B, m) MAC testen geheimer Schlüssel k A,B? auth(k A,B, m) = MAC Bob Vertrauensbereich öffentlich bekannter Algorithmus Sicherer Kanal für Schlüsselaustausch Betriebssysteme und Sicherheit Symmetrische Kryptographie 13

14 4 Anmerkungen zur Sicherheit Kerckhoffs-Prinzip Die Sicherheit eines Verfahrens darf nicht von der Geheimhaltung des Verfahrens abhängen, sondern nur von der Geheimhaltung des Schlüssels. [Auguste Kerkhoffs: La Cryptographie militaire. Journal des Sciences Militaires, Januar 1883.] Keine Security by Obscurity Annahme: Angreifer kennt das Verfahren und die öffentlichen Parameter Sicherheit des Verfahrens begrenzt durch Sicherheit der Schlüsselgenerierung und Sicherheit des Schlüsselaustauschs Betriebssysteme und Sicherheit Symmetrische Kryptographie 14

15 4 Anmerkungen zur Sicherheit Klassifizierung von Kryptosystemen nach ihrer Sicherheit informationstheoretisch sicher Auch einem unbeschränkten Angreifer gelingt es nicht, das System zu brechen. ( unconditional security, perfect secrecy ) beste erreichbare Sicherheit Verschiedene Begriffe zur Bewertung der Sicherheit der übrigen Systeme Annahmen über Möglichkeiten des Angreifers, Betrachtung der Sicherheit unter bestimmten Angriffen Betriebssysteme und Sicherheit Symmetrische Kryptographie 15

16 4 Anmerkungen zur Sicherheit Informationstheoretische (perfekte) Sicherheit [Claude Shannon: Communication Theory of Secrecy Systems. Bell Systems Technical Journal, 28(1949), ] Informelle Beschreibung (bzgl. Konzelationssystem): Selbst ein unbeschränkter Angreifer gewinnt aus seinen Beobachtungen keinerlei zusätzliche Informationen über Klartext oder Schlüssel. unbeschränkt : beliebiger Rechen- und Zeitaufwand zusätzliche Informationen : nicht besser als bloßes Raten Aussagen bzgl. Sicherheit gelten nur für den Algorithmus! Betriebssysteme und Sicherheit Symmetrische Kryptographie 16

17 4 Anmerkungen zur Sicherheit Notwendige und hinreichende Bedingung für informationstheoretische Sicherheit: m M c C: p(c m) = p(c). Nachrichten und Schlüsseltexte müssen stochastisch unabhängig voneinander sein. Daraus abgeleitet: Anforderungen an die Schlüssel - Notwendige Anzahl - Wahrscheinlichkeiten - Auswahl Betriebssysteme und Sicherheit Symmetrische Kryptographie 17

18 4 Anmerkungen zur Sicherheit Beispiel für die Anforderungen an die Schlüssel Nachrichten Schlüsseltexte Verschlüsselung enc(00, m) enc(01, m) nicht informationstheoretisch sicher Beispiel: Anzahl der Schlüssel Betriebssysteme und Sicherheit Symmetrische Kryptographie 18

19 4 Anmerkungen zur Sicherheit Vernam-Chiffre (one-time pad) Jeder Schlüssel wird nur einmal verwendet Schlüssellänge und Länge des Klartextes sind gleich Schlüssel sind zufällig Einzige informationstheoretisch sicheres Chiffre. Binäre Vernam-Chiffre c = enc(k i, m i ) = m i k i m = dec(k i, c i ) = c i k i Nachrichten Schlüsseltexte Verschlüsselung 0 0 enc(0, m) enc(1, m) 1 1 p(k 0 ) = p(k 1 ) = 0,5 Betriebssysteme und Sicherheit Symmetrische Kryptographie 19

20 4 Anmerkungen zur Sicherheit Anmerkungen zur informationstheoretischen Sicherheit Informationstheoretische Sicherheit kann nur von symmetrischen Systemen erreicht werden Systeme, die ein und denselben Schlüssel mehrfach verwenden, können nicht informationstheoretisch sicher sein Probleme: Schlüsselmanagement Schutzziel Zurechenbarkeit kann nicht mit symmetrischen System erbracht werden Verwendung von nicht informationstheoretisch sicheren Systemen notwendig Annahmen über den Angreifer notwendig (notwendige Berechnungen des Angreifers sind nicht effizient möglich) Betriebssysteme und Sicherheit Symmetrische Kryptographie 20

21 5 Beispiel: AES AES (Advanced Encryption Standard) 1997 Ausschreibung eines öffentlichen Wettbewerbs für die Einreichung eines kryptographischen Algorithmus AES als Nachfolger des DES durch das National Institute of Standards and Technology (NIST) der USA Sieger des Wettbewerbs: Rijndael (Vincent Rijmen und Joan Daemen, Belgien) Publikation als Standard im Herbst 2001 (FIPS Standard Specification for the Advanced Encryption Standard, FIPS 197) 2002 trat AES in Kraft Einsatz z.b.: Verschlüsselungsstandard für Wireless LAN bzw. für Wi-Fi WPA2, SSH, IPSec, 7-Zip, PGP Betriebssysteme und Sicherheit Symmetrische Kryptographie 21

22 5 Beispiel: AES Überblick über den Algorithmus Verschlüsselung von Klartextblöcken der Länge 128 Bit (vorgeschlagene Längen von 192 und 256 Bits nicht standardisiert) Schlüssellänge wahlweise 128, 192 oder 256 Bits Mehrere Runden, jeweils Substitutionen, Permutationen und Schlüsseladdition Anzahl der Runden r hängt von Schlüssel- und Klartextlänge ab: Schlüssel- Blocklänge des Klartextes n b länge n k 128 Bit 192 Bit 256 Bit 128 Bit Bit Bit Betriebssysteme und Sicherheit Symmetrische Kryptographie 22

23 5 Beispiel: AES Struktur des AES k n k m i n b n b k 0 Iterationsrunde 1 Iterationsrunde 2. n b n b. k 1 k 2 Teilschlüsselgenerierung Iterationsrunde r n b k r c i n b Betriebssysteme und Sicherheit Symmetrische Kryptographie 23

24 5 Beispiel: AES Struktur der Iterationsrunden s i s r s i,a SubByte s i,b ShiftRow s i,c MixColumn s r,a SubByte s r,b ShiftRow s r,c k r s i,d k i s i+1 Runde i, i = 1, 2,, r-1 Runde r Betriebssysteme und Sicherheit Symmetrische Kryptographie 24

25 5 Beispiel: AES Notation Darstellung eines Bytes als Folge von Bits: a = {a 7 a 6 a 5 a 4 a 3 a 2 a 1 a 0 } 2, a i {0,1} Darstellung als Polynom: a 7 i 0 i a i x Darstellung als Hexadezimalzahl Betriebssysteme und Sicherheit Symmetrische Kryptographie 25

26 5 Beispiel: AES Darstellung der Operanden Byte-Matrizen mit 4 Zeilen und N b (N k ) Spalten mit N b (N k ): Blocklänge n b (Schlüssellänge n k ) / 32 a 0,0 a 0,1 a 0,2 a 0,3 a 0,4 a 0,5 a 0,6 a 0,7 a 1,0 a 1,1 a 1,2 a 1,3 a 1,4 a 1,5 a 1,6 a 1,7 a 2,0 a 2,1 a 2,2 a 2,3 a 2,4 a 2,5 a 2,6 a 2,7 a 3,0 a 3,1 a 3,2 a 3,3 a 3,4 a 3,5 a 3,6 a 3,7 Matrix (state) für Blocklänge 128, 192, 256 Bit Schlüssel für Schlüssellänge 128, 192, 256 Bit k 0,0 k 0,1 k 0,2 k 0,3 k 0,4 k 0,5 k 0,6 k 0,7 k 1,0 k 1,1 k 1,2 k 1,3 k 1,4 k 1,5 k 1,6 k 1,7 k 2,0 k 2,1 k 2,2 k 2,3 k 2,4 k 2,5 k 2,6 k 2,7 k 3,0 k 3,1 k 3,2 k 3,3 k 3,4 k 3,5 k 3,6 k 3,7 Betriebssysteme und Sicherheit Symmetrische Kryptographie 26

27 5 Beispiel: AES Mathematische Grundlagen Alle Verschlüsselungsschritte basieren auf Operationen in endlichen Körpern Alle Bytes als Elemente des Körpers GF(2 8 ) interpretierbar: a 7 x 7 + a 6 x 6 + a 5 x 5 + a 4 x 4 + a 3 x 3 + a 2 x 2 + a 1 x + a 0 mod m(x) mit m(x) = x 8 + x 4 + x 3 + x + 1 (irreduzibles Polynom) Addition : a = {a 7 a 6 a 5 a 4 a 3 a 2 a 1 a 0 }, b = {b 7 b 6 b 5 b 4 b 3 b 2 b 1 b 0 } c = a b mit c i = a i b i Multiplikation : c = a b = a b mod m(x) Betriebssysteme und Sicherheit Symmetrische Kryptographie 27

28 5 Beispiel: AES Polynome dritten Grades mit Koeffizienten aus GF(2 8 ): Polynomring GF(2 8 )[x]/(x 4 +1) a(x) = a 3 x 3 + a 2 x 2 + a 1 x + a 0 mit a i GF(2 8 ) Addition : c(x) = a(x) b(x) = (a 3 b 3 )x 3 + (a 2 b 2 )x 2 + (a 1 b 1 )x + (a 0 b 0 ) Multiplikation : c(x) = a(x) b(x) = a(x) b(x) mod (x 4 +1) Betriebssysteme und Sicherheit Symmetrische Kryptographie 28

29 5 Beispiel: AES Schritt 1: SubByte Alle Bytes einer Matrix werden unabhängig voneinander substituiert b i,j := S 8 (a i,j ) a 0,0 a 0,1 a 0,2 a 0,3 b 0,0 b 0,1 b 0,2 b 0,3 s i,a = a 1,0 a 1,1 a 1,2 a 1,3 b 1,0 b 1,1 b 1,2 b 1,3 a 2,0 a 2,1 a 2,2 a 2,3 b 2,0 b 2,1 b 2,2 b 2,3 = s i,b a 3,0 a 3,1 a 3,2 a 3,3 b 3,0 b 3,1 b 3,2 b 3,3 Betriebssysteme und Sicherheit Symmetrische Kryptographie 29

30 5 Beispiel: AES Substitutionsbox S 8 (a 7 a 6 a 5 a 4 a 3 a 2 a 1 a 0 ) a 7 a 6 a 5 a 4 a 3 a 2 a 1 a A B C D E F CA B7 7C 82 FD 77 C9 93 7B 7D 26 F2 FA 36 6B 59 3F 6F 47 F7 C5 F0 CC 30 AD D4 A5 67 A2 E5 2B AF F1 FE 9C 71 D7 A4 D8 AB C C7 23 C A E2 EB 27 B C 1A 1B 6E 5A A0 52 3B D6 B3 29 E3 2F D1 00 ED 20 FC B1 5B 6A CB BE 39 4A 4C 58 CF 6 7 D0 51 EF A3 AA 40 FB 8F D 9D F5 45 BC F9 B6 02 DA 7F C FF 9F F3 A8 D2.. C BA E 1C A6 B4 C6 E8 DD 74 1F 4B BD 8B 8A D E F 70 E1 8C 3E F8 A1 B D BF 03 D9 E6 F6 8E 42 0E B E D B9 E9 0F 86 CE B0 C D 28 BB 9E DF 16 Betriebssysteme und Sicherheit Symmetrische Kryptographie 30

31 5 Beispiel: AES Schritt 2: ShiftRow Zyklische Verschiebung der Zeilen nach links Zeile N b = N b = N b = b 0,0 b 0,1 b 0,2 b 0,3 c 0,0 c 0,1 c 0,2 c 0,3 s i,b = b 1,0 b 1,1 b 1,2 b 1,3 c 1,0 c 1,1 c 1,2 c 1,3 = s i,c b 2,0 b 2,1 b 2,2 b 2,3 c 2,0 c 2,1 c 2,2 c 2,3 b 3,0 b 3,1 b 3,2 b 3,3 c 3,0 c 3,1 c 3,2 c 3,3 Betriebssysteme und Sicherheit Symmetrische Kryptographie 31

32 5 Beispiel: AES Schritt 3: MixColumn Operiert jeweils auf Spalten der Matrix (32-Bit Substitution) Diffusion d i := a(x) c i mod (x 4 + 1) c 0,1 c 0,0 c 0,1 c 0,2 c 0,3 d 0,1 d 0,0 d 0,1 d 0,2 d 0,3 s i,c = c 1,1 c 1,0 c 1,1 c 1,2 c 1,3 d 1,1 d 1,0 d 1,1 d 1,2 d 1,3 = s i,d c 2,1 c 2,0 c 2,1 c 2,2 c 2,3 d 2,1 d 2,0 d 2,1 d 2,2 d 2,3 c 3,0 c 3,1 c 3,2 c 3,3 c 3,1 d 3,0 d 3,1 d 3,2 d 3,3 d 3,1 Betriebssysteme und Sicherheit Symmetrische Kryptographie 32

33 5 Beispiel: AES d i := a(x) c i mod (x 4 +1) a(x) = {03} x 3 + {01} x 2 + {01} x + {02} d 0,i d 1,i d 2,i d 3,i = c 0,i c 1,i c 2,i c 3,i d 0,i = ({02} c 0,i ) ({03} c 1,i ) c 2,i c 3,i d 1,i = c 0,i ({02} c 1,i ) ({03} c 2,i ) c 3,i d 2,i = c 0,i c 1,i ({02} c 2,i ) ({03} c 3,i ) d 3,i = ({03} c 0,i ) c 1,i c 2,i ({02} c 3,i ) Betriebssysteme und Sicherheit Symmetrische Kryptographie 33

34 5 Beispiel: AES Schritt 4: AddRoundKey Macht Iterationsrunden schlüsselabhängig Länge des Rundenschlüssels k i : n b s i,d k i s i+1,a d 0,0 d 0,1 d 0,2 d 0,3 k 0,0 k 0,1 k 0,2 k 0,3 a 0,0 a 0,1 a 0,2 a 0,3 d 1,0 d 1,1 d 1,2 d 1,3 k 1,0 k 1,1 k 1,2 k 1,3 = a 1,0 a 1,1 a 1,2 a 1,3 d 2,0 d 2,1 d 2,2 d 2,3 k 2,0 k 2,1 k 2,2 k 2,3 a 2,0 a 2,1 a 2,2 a 2,3 d 3,0 d 3,1 d 3,2 d 3,3 k 3,0 k 3,1 k 3,2 k 3,3 a 3,0 a 3,1 a 3,2 a 3,3 Betriebssysteme und Sicherheit Symmetrische Kryptographie 34

35 5 Beispiel: AES Teilschlüsselgenerierung Expansion des AES-Schlüssels, abhängig von n b und n k n b bestimmt Länge der Rundenschlüssel n b und n k bestimmen Anzahl der Runden Anzahl der Rundenschlüssel Länge des expandierten Schlüssels in Byte = 4N b (r+1): Schlüssel- Blocklänge des Klartextes n b länge n k 128 Bit 192 Bit 256 Bit 128 Bit Bit Bit Betriebssysteme und Sicherheit Symmetrische Kryptographie 35

36 5 Beispiel: AES Entschlüsselung Umgekehrte Reihenfolge, inverse Funktionen s i+1 k r k i s r,c s i ShiftRow -1 s r,b SubByte -1 s r,a s r s i,d MixColumn -1 s i,c ShiftRow -1 s i,b SubBytes -1 s i,a s i Runde r Runde i, i = r-1, r-2,, 1 Zum Schluss Addition des Rundenschlüssels k 0 Betriebssysteme und Sicherheit Symmetrische Kryptographie 36

37 5 Beispiel: AES Inverse Funktionen ShiftRow -1 : zyklische Verschiebung nach rechts SubByte -1 : Anwendung der inversen Substitution a i,j := S -1 8 (b i,j ) MixColumn -1 : Multiplikation mit dem multiplikativen Inversen mod (x 4 + 1) a -1 (x) = ({03} x 3 + {01} x 2 + {01} x + {02}) -1 mod (x 4 + 1) = {0b} x 3 + {0d} x 2 + {09} x + {0e} Betriebssysteme und Sicherheit Symmetrische Kryptographie 37

38 5 Beispiel: AES Entschlüsselung in äquivalenter Reihenfolge SubByte(ShiftRow(s i )) = ShiftRow(SubByte(s i )) und SubByte -1 (ShiftRow -1 (s i )) = ShiftRow -1 (SubByte -1 (s i )) MixColumn(s i k i ) = MixColumn(s i ) MixColumn(k i ) und MixColumn -1 (s i k i ) = MixColumn -1 (s i ) MixColumn -1 (k i ) Reihenfolge der Abarbeitung wie bei Verschlüsselung k i = MixColumn -1 (k i ), i = 1, 2,, r-1 Betriebssysteme und Sicherheit Symmetrische Kryptographie 38

39 5 Beispiel: AES Entschlüsselung in äquivalenter Reihenfolge Addition des Rundenschlüssels k r s i+1 s 1 s i,a SubByte -1 s 1,a SubByte -1 s i,b ShiftRow -1 s i,c MixColumn -1 s 1,b ShiftRow -1 s 1,c k 0 s i,d k i s i Runde i, i = r-1, r-2,, 1 Betriebssysteme und Sicherheit Symmetrische Kryptographie 39

40 5 Beispiel: AES Analyse des AES Darstellung als algebraische Formel 2001 [FeSW_01] (für n k = 128 ca Terme, für n k = 256 ca Terme) XSL-Angriff (Extended Sparse Linearisation) [CoPi_02] (Darstellung mit Hilfe eines quadratischen Gleichungssystems; für n k = 128: 8000 Gleichungen mit 1600 Variablen) Weitere Angriffe wie z.b. Collision attacks, Related-key attacks und Seitenkanalangriffe Übersicht über Angriffe z.b. unter: Betriebssysteme und Sicherheit Symmetrische Kryptographie 40