Termine. Vorlesung FS 2011 Sicherheit in der Informationstechnik

Transkript

1 Vorlesung FS 2011 Sicherheit in der Informationstechnik 2011 Prof. Dr. Rolf Oppliger Folie 1 Termine 21. Februar März März April Mai Mai Mai Juni 2011 (Prüfung) 2011 Prof. Dr. Rolf Oppliger Folie 2

2 Übersicht 1. Einführung 2. Kryptografische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2011 Prof. Dr. Rolf Oppliger Folie 3 Fragen sind jederzeit erwünscht 2011 Prof. Dr. Rolf Oppliger Folie 4

3 Literatur Matt Bishop, Computer Security: Art and Science, Addison-Wesley, 2002 Matt Bishop, Introduction to Computer Security, Addison-Wesley, 2004 Charles P. Pfleeger und Shari L. Pfleeger, Security in Computing, Fourth Edition, Prentice Hall, Prof. Dr. Rolf Oppliger Folie 5 Übersicht 1. Einführung 2. Kryptografische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2011 Prof. Dr. Rolf Oppliger Folie 6

4 1. Einführung 1/21 Sicherheit Zustand des Nichtvorhanden- oder Geschütztseins vor Bedrohungen und Risiken Sicherheit ist eine subjektiv wahrnehmbare Grösse und weder direkt sicht- noch messbar ( es ist schwierig, Sicherheit zu verkaufen ) Was als sicher oder unsicher zu bezeichnen ist, hängt auch vom Betrachter bzw. dessen individuellen Risikobereitschaft ab (z.b. Fliegen) Sicherheit ist immer relativ und situationsbezogen (d.h. abhängig von der aktuellen Bedrohungslage) 2011 Prof. Dr. Rolf Oppliger Folie 7 Einführung 2/21 Dem deutschsprachigen Sicherheitsbegriff entsprechen im Englischen zwei Bedeutungen Sicherheit im Sinne von safety Zuverlässigkeit, Ablauf- und Ausfallsicherheit Sicherheit im Sinne von security Schutz vor beabsichtigten Störungen und Angriffen Die Vorlesung befasst sich schwerpunktmässig mit Sicherheit im Sinne von security Zuweilen werden die zwei Bedeutungen auch unter dem Begriff der Verlässlichkeit subsummiert 2011 Prof. Dr. Rolf Oppliger Folie 8

5 Einführung 3/21 Information Boden Arbeit Information stellt einen vierten, Boden, Kapital und Arbeit ergänzenden Produktionsfaktor dar Unsere Gesellschaft wandelt sich von einer Industrie- zu einer Informationsgesellschaft Kapital 2011 Prof. Dr. Rolf Oppliger Folie 9 Einführung 4/21 Die Informatik- oder IT-Sicherheit befasst sich mit der Sicherheit in der Informatik, d.h. mit der sicheren Speicherung, Verarbeitung und Übertragung von Daten (Informationssicherheit ist weiter gefasst) Sicherheitsziele Verfügbarkeit Vertraulichkeit Integrität Authentizität Verbindlichkeit Anonymität / Pseudonymität 2011 Prof. Dr. Rolf Oppliger Folie 10

6 Einführung 5/21 Es fehlt eine (brauchbare) Metrik für die IT-Sicherheit Entsprechend wird in der Praxis IT-Sicherheit durch Räuber-und-Gendarm -Spiele approximiert (z.b. Penetrationstests und ethisches Hacken) Solche Spiele und Approximationen hat es schon immer gegeben Geldtransporte im Wilden Westen Einbruchsichere Safes Ausbruchsichere Gefängnisse Prof. Dr. Rolf Oppliger Folie 11 Einführung 6/21 Zentrale Frage der IT-Sicherheit Wie kann ein Informatiksystem and seine Betriebsmittel (insbesondere Daten) vor Angriffen (von innen und aussen) geschützt werden? Aufgrund der asymmetrischen Lastverteilung ist es möglich und wahrscheinlich, dass ein Angriff erfolgreich ist Es gibt (zu) viele Möglichkeiten, ein Informatiksystem anzugreifen (z.b. DoS) 2011 Prof. Dr. Rolf Oppliger Folie 12

7 Einführung 7/21 Direkte Angriffe können technisch erschwert werden Indirekte Angriffe sind immer möglich (z.b., Social Engineering -Angriffe) 2011 Prof. Dr. Rolf Oppliger Folie 13 Einführung 8/21 It is easy to run a secure computer system. You merely have to disconnect all dial-up connections and permit only direct-wired terminals, put the machine and its terminals in a shielded room, and post a guard at the door. F.T. Grampp and R.H. Morris, UNIX Operating System Security. AT&T Bell Laboratories Technical Journal, Vol. 63, No. 8, October 1984, pp It is easy to run a secure computer system. You merely have to disconnect all dial-up connections and permit only direct-wired terminals, put the machine and its terminals in a shielded room, post a guard at the door, remove or disable all user accounts, and make sure that no user can get physically close to the system Prof. Dr. Rolf Oppliger Folie 14

8 Einführung 9/21 Natürliche Feinde der Informatiksicherheit Menschliche Benutzer Komplexität Windows XP hat ca Programmzeilen Bei einem sicherheitsrelevanten Programm(ier)fehler pro Programmzeilen ergeben sich Fehler Nur ein Teil dieser Fehler wird gefunden bzw. korrigiert Geschwindigkeit Produktions- und Time-to-Market -Zyklen werden immer kürzer Beta-Testen hat das Austesten von Software ersetzt 2011 Prof. Dr. Rolf Oppliger Folie 15 Einführung 10/21 Aufgrund dieser Ausgangslage kann kurzfristig nicht mit einer Verbesserung gerechnet werden Im Informatiksicherheitsbereich gibt es keinen heiligen Gral (oder Indiz für dessen Existenz) Dennoch gibt es Firmen, die versuchen, ihre Produkte oder Dienstleistungen als heiligen Gral anzupreisen und zu verkaufen Vor einer solchen Praxis muss gewarnt werden Ähnliche Vorbehalte gelten auch gegenüber Zertifikaten 2011 Prof. Dr. Rolf Oppliger Folie 16

9 Einführung 11/21 Bill Cheswick, Steve Bellovin, und Aviel Rubin, Firewall and Internet Security, 2 nd Edition, Addison- Wesley, 2003 There is no such thing as absolute security Security is always a question of economics Keep the level of all your defenses at about the same height An attacker doesn t go through security, but around it Put your defenses in layers (defense-in-depth) It s a bad idea to rely on security through obscurity Keep it simple 2011 Prof. Dr. Rolf Oppliger Folie 17 Einführung 12/21 Don t give a person or a program any more privileges than those neceassry to do the job Programming is hard Security should be an integral part of the original design If you do not run a program, it does not matter if it has security holes A program or protocol is insecure until proven secure A chain is only as strong as ist weakest link Security is a trade-off with convenience Don t underestimate the value of your assets 2011 Prof. Dr. Rolf Oppliger Folie 18

10 Einführung 13/21 Bedrohungsmodell Sicherheitsleitbild oder -politik Bedrohungs- und Risikoanalyse Sicherheitsstrategie Entwurf Implementation Implementationsrichtlinien Sicherheitsmassnahmen Technisch Organisatorisch Rechtlich Verbesserung Überprüfung 2011 Prof. Dr. Rolf Oppliger Folie 19 Einführung 14/21 Die Erarbeitung einer Bedrohungs- und Risikoanalyse ist schwierig In der Theorie errechnet sich das Risiko eines Schadenereignisses als Risiko = Eintretenswahrscheinlichkeit * Schadenausmass Leider sind sowohl die Eintretenswahrscheinlichkeit als auch das Schadenausmass schwierig abzuschätzen (bzw. zu quantifizieren) In der Praxis begnügt man sich mit qualitativen Risikoanalysen und Grundschutzansätzen (nicht Gegenstand der Vorlesung) 2011 Prof. Dr. Rolf Oppliger Folie 20

11 Einführung 15/21 Die Formulierung einer Sicherheitspolitik erfordert ein Abwägen von Funktionalität vs. Sicherheit Beispiel: POP3- bzw. IMAP4-Zugänge zu externen Mailboxen Funktionalität Sicherheit 2011 Prof. Dr. Rolf Oppliger Folie 21 Einführung 16/21 Prävention (prevention) Erkennung (detection) Reaktion (response) 2011 Prof. Dr. Rolf Oppliger Folie 22

12 Einführung 17/21 Die Aufgabe eines Informatiksicherheitsverantwortlichen ist ähnlich wie die eines Architekten (vgl. R. Oppliger, IT Security: In Search of the Holy Grail, Communications of the ACM, 50(2), February 2007, pp ) Sicherheitsarchitektur(en) ist (sind) wichtig Sicherheits- und Penetrationstests sind weniger wichtig Die Aussagekraft solcher Tests ist nicht sehr gross 2011 Prof. Dr. Rolf Oppliger Folie 23 Einführung 18/21 In der realen Welt gibt es auch keine ethischen Einbrecher bzw. entsprechende Dienstleistungen Dafür gibt es Kontroll- und Überwachungsdienstleister Analoge Dienstleistungen werden sinnvollerweise auch in der digitalen Welt angeboten und nachgefragt 2011 Prof. Dr. Rolf Oppliger Folie 24

13 Einführung 19/21 Im Strassenverkehr haben wir uns daran gewöhnt, dass es eine absolute Sicherheit nicht gibt Ein sinnvolles Mass an Sicherheit resultiert aus dem Zusammenspiel von verschiedenen Sicherheitsmassnahmen Führerprüfungen Fahrzeugprüfungen Ausbildungsprogramme Sensibilisierungskampagnen Verkehrsgesetze Polizeieinsätze und Kontrollen 2011 Prof. Dr. Rolf Oppliger Folie 25 Einführung 20/21 Je komplexer eine Materie ist, umso mehr will man sich üblicherweise auf Standards (ab-)stützen Dies gilt namentlich auch für die Informatiksicherheit Entsprechend viele Standards gibt es Besondere Verbreitung finden Standards über Best Practices bzw. Informationssicherheitsmanagementsysteme (ISMS) z.b. BS :2002 bzw. ISO/IEC 27001:2005) Zum Teil werden Standards auch sektoriell übernommen bzw. adaptiert z.b. Payment Card Industry Data Security Standard (PCI DSS) 2011 Prof. Dr. Rolf Oppliger Folie 26

14 Einführung 21/21 Je sektorieller und spezifischer ein Informatiksicherheitsstandard ist, umso besser ist seine Ausgangslage (aber umso kleiner ist auch sein Potential) PCI DSS wird sich wahrscheinlich durchsetzen und etablieren (in konkretisierter Form) Hingegen ist die weitere Entwicklung bzw. Durchsetzung von ISO/IEC 27001:2005 offen Die Entwicklung ist auch abhängig von wirtschaftspolitischen Einflussfaktoren und gruppendynamischen Effekten (analog zu ISO 9000) 2011 Prof. Dr. Rolf Oppliger Folie 27 Übersicht 1. Einführung 2. Kryptografische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2011 Prof. Dr. Rolf Oppliger Folie 28

15 2. Kryptografische Grundlagen 1/18 Artech House (2005) ISBN Prof. Dr. Rolf Oppliger Folie 29 Kryptografische Grundlagen 2/18 Der Begriff Kryptologie (cryptology) leitet sich von zwei griechischen Wörtern ab kryptós hidden lógos word Die Bedeutung verstecktes Wort repräsentiert den ursprünglichen Einsatzzweck der Kryptografie (insb. Datenvertraulichkeitsschutz) Der Begriff Kryptologie wird heute breiter verwendet Er umfasst alle sicherheitsbezogenen Einsatzgebiete und Anwendungen (in Ergänzung zum Datenvertraulichkeitsschutz) 2011 Prof. Dr. Rolf Oppliger Folie 30

16 Kryptografische Grundlagen 3/18 Beispiele Datenintegritätsschutz Authentizität von Entitäten Authentizität des Datenursprungs Zugriffskontrolle ( conditional access, DRM, ) Verbindlichkeit Zurechenbarkeit (accountability) Anonymität Pseudonymität Einige Ziele und Anwendungen sind wiedersprüchlich oder sich sogar gegenseitig ausschliessend 2011 Prof. Dr. Rolf Oppliger Folie 31 Kryptografische Grundlagen 4/18 Kryptologie Kryptografie Kryptoanalyse Steganografie 2011 Prof. Dr. Rolf Oppliger Folie 32

17 Kryptografische Grundlagen 5/18 Gemäss RFC 2828 ist ein kryptografisches System oder Kryptosystem A set of algorithms together with the key management processes that support use of the algorithm in some application context In der Literatur werden kryptografische Systeme zuweilen auch als kryptografische Schemata bezeichnet (z.b. digital signature schemes) Ein Protokoll ist ein von mehreren Parteien auszuführender (verteilter) Algorithmus 2011 Prof. Dr. Rolf Oppliger Folie 33 Kryptografische Grundlagen 6/18 Notation für Protokolle A ( Inputparamter ) Berechnungsschritt B ( Inputparamter ) Berechnungsschritt Berechnungsschritt ( Outputparamter ) Berechnungsschritt ( Outputparamter ) 2011 Prof. Dr. Rolf Oppliger Folie 34

18 Kryptografische Grundlagen 7/18 Klassen von Kryptosystemen Schlüssellose Kryptosysteme Keine kryptografischen Parameter Kryptosysteme mit geheimen Schlüsseln (symmetrische Kryptosysteme) Kryptografische Parameter sind allen Beteiligten bekannt Kryptosysteme mit öffentlichen Schlüsseln (asymmetrische Kryptosysteme) Kryptografische Parameter sind nicht notwendigerweise allen Beteiligten bekannt 2011 Prof. Dr. Rolf Oppliger Folie 35 Kryptografische Grundlagen 8/18 Das Ziel der Kryptografie ist der Entwurf, die Entwicklung und der Einsatz von sicheren Kryptosystemen Um präzise Aussagen über die Sicherheit eines Kryptosystems machen zu können, muss der Begriff Sicherheit präzis (z.b. formal) definiert sein Insbesondere muss der Angreifer definiert sein und es muss klar sein, was dieser Angreifer machen muss, um erfolgreich zu sein (d.h. um die Sicherheit zu brechen) Starke Sicherheitsdefinitionen gehen von einem starken Angreifer und einer einfachen Aufgabe aus 2011 Prof. Dr. Rolf Oppliger Folie 36

19 Kryptografische Grundlagen 9/18 Beispiele aus der realen Welt 2011 Prof. Dr. Rolf Oppliger Folie 37 Kryptografische Grundlagen 10/18 Ein Kryptosystem gilt als sicher wenn ein definierter Angreifer eine definierte Aufgabe nicht lösen kann Wenn der Angreifer die Aufgabe grundsätzlich nicht lösen kann, spricht man von bedingungsloser bzw. informationstheoretischer Sicherheit ( Wahrscheinlichkeitsrechnung und Informationstheorie) Wenn der Angreifer die Aufgabe grundsätzlich schon lösen könnte, im Moment aber nicht fähig ist, dies zu tun, spricht man von bedingter bzw. berechenbarer Sicherheit ( Komplexitätstheorie) 2011 Prof. Dr. Rolf Oppliger Folie 38

20 Kryptografische Grundlagen 11/18 In der Literatur ist zuweilen auch von beweisbar sicheren Kryptosystemen die Rede Für ein solches Kryptosystem kann ein komplexitätstheoretischer Reduktionsbeweis geführt werden, d.h. es kann gezeigt werden, dass die Brechung des Systems gleichbedeutend ist mit der Lösung eines (schwierigen) mathematischen Problems Unter der Annahme, dass das mathematische Problem nicht gelöst werden kann, gilt im Umkehrschluss, dass das System nicht gebrochen werden kann 2011 Prof. Dr. Rolf Oppliger Folie 39 Kryptografische Grundlagen 12/18 In einigen Sicherheitsbeweisen bzw. -analysen wird zudem die Annahme gemacht, dass sich ein kryptografisches System (typischerweise eine kryptografische Hashfunktion) gleich verhält wie eine Zufallsfunktion Solche Beweise gelten nur im sogenannten Random Oracle Model und nicht im Standardmodell (z.b. OAEP, PSS, ) Beweise im Random Oracle Model werden kontravers diskutiert 2011 Prof. Dr. Rolf Oppliger Folie 40

21 Kryptografische Grundlagen 13/18 Es entspricht einer leider weit verbreiteten Meinung, dass man die Sicherheit eines (kryptografischen) Systems dadurch verbessern kann, dass man dessen Entwurfskriterien und Informationen über die interne Funktions- und Arbeitsweise geheim hält Diesen Ansatz bezeichnet man auch etwa als security through obscurity Viele Systeme, die auf security through obscurity aufsetzen, bieten keine adäquate Sicherheit 2011 Prof. Dr. Rolf Oppliger Folie 41 Kryptografische Grundlagen 14/18 Demgegenüber besagt das Prinzip von Kerckhoffs, dass ein kryptografisches System so entworfen werden soll, dass es auch dann noch sicher ist, wenn der Angreifer alle Einzelheiten des Systems (ausser den Schlüsselwerten) kennt Das Prinzip von Kerckhoffs ist beim Entwurf von kryptografischen Systemen angebracht und akzeptiert In anderen Einsatzumgebungen ist das Prinzip allerdings umstritten 2011 Prof. Dr. Rolf Oppliger Folie 42

22 Kryptografische Grundlagen 15/18 Die Implementation eines (theoretisch sicheren) Kryptosystems muss nicht sicher sein Es gibt viele Angriffsmöglichkeiten gegen eine spezifische Implementation Insbesondere gibt es zunehmend viele Seitenkanal- Angriffe, die zum Teil sehr erfolgreich sind Timing Attacks Differential Fault Analysis (DFA) Differential Power Analysis (DPA) 2011 Prof. Dr. Rolf Oppliger Folie 43 Kryptografische Grundlagen 16/18 Bis zum Zweiten Weltkrieg wurde die Kryptografie mehr als Kunst denn als Wissenschaft betrachtet und vor allem vom Militär und in der Diplomatie genutzt Zwei wissenschaftliche Errungenschaften haben die Kryptografie zu einer Wissenschaft gemacht 2011 Prof. Dr. Rolf Oppliger Folie 44

23 Kryptografische Grundlagen 17/18 Während des Zweiten Weltkrieges hat Claude E. Shannon die Informationstheorie entwickelt, die es erlaubt, wissenschaftlich über Verschlüsselungssysteme zu argumentieren 2011 Prof. Dr. Rolf Oppliger Folie 45 Kryptografische Grundlagen 18/18 In den 70-Jahren haben Whitfield Diffie und Martin Hellman (mit Ralph Merkle) den Einsatz von Trapdoor (Einweg-)Funktionen vorgeschlagen und damit die Kryptografie mit öffentlichen Schlüsseln (public key cryptography) begründet Seit den frühen 90-Jahren findet eine Verberitung und Kommerzialisierung der Kryptografie statt 2011 Prof. Dr. Rolf Oppliger Folie 46

24 Übersicht 1. Einführung 2. Kryptographische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2011 Prof. Dr. Rolf Oppliger Folie Kryptosysteme (Übersicht) 1/61 c't 20/2004 Schlagseite 2011 Prof. Dr. Rolf Oppliger Folie 48

25 Kryptosysteme Schlüssellose Kryptosysteme 2/61 Einweg-Funktionen Kryptografische Hashfunktionen Zufallsbitgeneratoren 2011 Prof. Dr. Rolf Oppliger Folie 49 Kryptosysteme Schlüssellose Kryptosysteme Einweg-Funktionen 3/61 Einweg-Funktionen spielen in der modernen Kryptografie eine zentrale Rolle Informelle Definition: Eine Funktion f: X Y ist Einweg wenn sie effizient berechenbar aber nicht effizient invertiert werden kann X Y effizient berechenbar x? y 2011 Prof. Dr. Rolf Oppliger Folie 50

26 Kryptosysteme Schlüssellose Kryptosysteme Einweg-Funktionen 4/61 Formale(re) Definition: Eine Funktion f: X Y ist Einweg wenn für x R X f(x) effizient berechnet werden kann für y R Y f -1 (y) nicht effizient berechnet werden kann In der realen Welt gibt es viele Funktionen, die eine Einweg-Eigenschaft haben Ermitteln einer Telefonnummer in einem (alphabetisch sortierten) Telefonbuch Zerschlagen einer Flasche Zeitabhängige Prozesse (z.b. Alterundprozess) 2011 Prof. Dr. Rolf Oppliger Folie 51 Kryptosysteme Schlüssellose Kryptosysteme Einweg-Funktionen 5/61 In der Mathematik gibt es nur wenige Funktionen, von denen man annimmt, dass sie Einweg sind Diskrete Exponentialfunktion (Exp): y = g x (mod p) Modulares Potenzieren (RSA): y = x e (mod n) Modulares Quadrieren (Square): y = x 2 (mod n) Keine dieser Funktionen ist bewiesenermassen Einweg Es ist theoretisch nicht einmal klar, ob es überhaupt Einweg-Funktionen gibt (bzw. geben kann) 2011 Prof. Dr. Rolf Oppliger Folie 52

27 Kryptosysteme Schlüssellose Kryptosysteme Einweg-Funktionen 6/61 Eine Einweg-Funktion f: X Y ist eine Trapdoor (Einweg-)Funktion wenn es Zusatzinformation gibt, mit der f effizient invertiert werden kann, d.h. f -1 (y) kann für y R Y effizient berechnet werden Das mechanische Analogon für eine Trapdoor (Einweg-)Funktion ist ein Vorhängeschloss Um formal korrekt argumentieren zu können, muss man Familien von Einweg-Funktionen bzw. Trapdoor (Einweg-) Funktionen betrachten 2011 Prof. Dr. Rolf Oppliger Folie 53 Kryptosysteme Schlüssellose Kryptosysteme Kryptografische Hashfunktionen 7/61 Hashfunktionen werden in der Informatik häufig verwendet Dabei stellt eine Hashfunktion eine effizient berechenbare Funktion h: Σ * Σ n dar, die aus einem beliebig langen Eingabe-String einen Ausgabe-String fester Länge n erzeugt Entsprechend erzeugt h Hashwerte der Länge n Technisch gibt es eine maximale Länge n max für Eingabe-Strings (d.h. h: Σ n max Σ n ) 2011 Prof. Dr. Rolf Oppliger Folie 54

28 Kryptosysteme Schlüssellose Kryptosysteme Kryptografische Hashfunktionen 8/61 In der Kryptografie ist man an Hashfunktionen interessiert, die spezielle Eigenschaften haben Urbild-resistent (preimage resistent one way) Zweites-Urbild-resistent (second-preimage resistent) Kollisionsresistent (collision resistent) Eine kryptografische Hashfunktion ist eine Hashfunktion, die entweder Urbild-resistent und Zweites- Urbild-resistent oder Urbild-resistent und Kollisionsresistent ist 2011 Prof. Dr. Rolf Oppliger Folie 55 Kryptosysteme Schlüssellose Kryptosysteme Kryptografische Hashfunktionen 9/61 Die Ausgabe einer kryptografischen Hashfunktion ist eine charakteristische Repräsentation des Eingabe- Strings (Nachricht) Fingerprint oder Digest This is a file that includes some inportant but long statements. Consequently, we may need a short representation of this file. h E4 23 AB 7D D1 3E F6 EA EA Prof. Dr. Rolf Oppliger Folie 56

29 Kryptosysteme Schlüssellose Kryptosysteme Kryptografische Hashfunktionen 10/61 Dabei ist es zu aufwändig, zwei oder mehr Nachrichten zu finden, die den gleichen Hashwert haben Beispiele MD5 SHA-1, SHA-2 family SHA-3 (~ 2012) Die aktuellen Forschungsbemühungen zielen auf Kollisionen in gängigen Hashfunktionen und die Entwicklung von kryptografischen Hashfunktionen ab, die inhärent kollisionsresistent(er) sind 2011 Prof. Dr. Rolf Oppliger Folie 57 Kryptosysteme Schlüssellose Kryptosysteme Zufallsbitgeneratoren 11/61 Die Möglichkeit, geheime und nicht vorhersehbare Zufallsgrössen (d.h. Zufallsbits) erzeugen zu können, ist eine notwendige aber nicht hinreichende Bedingung für die Sicherheit eines Kryptosystems Ob es eine solche Möglichkeit gibt, ist umstritten Die Quantenphysik suggeriert, dass es zufällige Ereignisse und damit auch solche Möglichkeiten gibt Ein Zufallsbitgenerator ist ein (idealisiertes Modell eines) Gerät(es), das ohne Eingabe Zufallsbits erzeugen und ausgeben kann 2011 Prof. Dr. Rolf Oppliger Folie 58

30 Kryptosysteme Schlüssellose Kryptosysteme Zufallsbitgeneratoren 12/61 Zufallsbitgenerator Die Ausgabe ist eine Sequenz von statistisch unabhängigen und gleichverteilten Bits Die Bits treten mit der gleichen Wahrscheinlichkeit auf, d.h. Pr[0] = Pr[1] = ½ Für k 1 treten alle 2k k-tupel von Bits mit der gleichen Wahrscheinlichkeit auf, d.h. Pr[00 0] = Pr[00 1] = = Pr[11 1] = 1/2 k 2011 Prof. Dr. Rolf Oppliger Folie 59 Kryptosysteme Schlüssellose Kryptosysteme Zufallsbitgeneratoren 13/61 Es gibt statistische Tests, um die Güte eines Zufallbitgenerators (oder seiner Ausgaben) abzuschätzen Der Entwurf eines guten Zufallbitgenerators ist eine schwierige und anspruchsvolle Aufgabe Es braucht eine natürliche Quelle von Zufall Dazu können verschiedene physikalische Phänomene oder Ereignisse genutzt werden (z.b. radioaktiver Zerfall) 2011 Prof. Dr. Rolf Oppliger Folie 60

31 Kryptosysteme Symmetrische Kryptosysteme 14/61 Verschlüsselungssysteme Nachrichtenauthentifikationscodes Pseudozufallsbitgeneratoren Pseudozufallsfunktionen 2011 Prof. Dr. Rolf Oppliger Folie 61 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 15/61 Mit einem symmetrischen Verschlüsselungssystem können mit einem geheimen Schlüssel k Daten verund entschlüsselt werden Im Rahmen einer Verschlüsselung wird ein Klartext auf einen Chiffretext (Chiffrat) c abgebildet Die Entschlüsselung is der Umkehrprozess, d.h. ein Chiffretext c wird auf einen Klartext m abgebildet k k m E c D m 2011 Prof. Dr. Rolf Oppliger Folie 62

32 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 16/61 Ein symmetrisches Verschlüsselungssystem besteht aus 5 Komponenten Klartextnachrichtenraum M Chiffretextraum C Schlüsselraum K Familie E = {E k : k K} von (probabilistischen) Verschlüsselungsfunktionen E k : M C Familie D = {D k : k K} von Entschlüsselungsfunktionen D k : C M D k und E k müssen invers zueinander sein, d.h. D k (E k (m)) = E k (D k (m)) = m ( k K, m M) 2011 Prof. Dr. Rolf Oppliger Folie 63 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 17/61 Typische Werte sind M = C = {0,1}* K = {0,1} l für eine konstante Schlüssellänge l (z.b. l = 128) Beispiele Data Encryption Standard (DES), DESX, 3DES International Data Encryption Algorithm (IDEA) Advanced Encryption Standard (AES) RC2, RC4, RC5, 2011 Prof. Dr. Rolf Oppliger Folie 64

33 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 18/61 In den 1970er Jahren führte das National Bureau of Standards (NBS) einen Wettbewerb für einen standardisierten Verschlüsselungsalgorithmus durch Der Lucifer-Algorithmus von IBM wurde 1977 vom NBS als DES (FIPS PUB 46) spezifiziert Das NIST (vormals NBS) bestätigte den Standard 1983, 1988, 1993 und 1999 Im Rahmen von FIPS PUB 46-3 (1999) wurde der Triple Data Encryption Algrotihm (TDEA) eingeführt 2004 wurde DES als Standard aufgehoben 2011 Prof. Dr. Rolf Oppliger Folie 65 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 19/61 DES stellt eine Substitution-Permutation-Verschlüsselung bzw. Feistel-Verschlüsselung dar Σ = Z 2 = {0,1} Blocklänge 2t r Runden Für jedes k K müssen r Rundenschlüssel k 1, k r generiert werden 2011 Prof. Dr. Rolf Oppliger Folie 66

34 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 20/61 Die Verschlüsselungsfinktion E k beginnt mit der Aufteilung eines Klartextblocks m in zwei Hälften zu je t Bits, d.h. m = (L 0,R 0 ) Eine Sequenz von Paaren (L i,r i ) für i=1,,r wird rekursiv berechnet (L i,r i ) = (R i-1,l i-1 f ki (R i-1 )) (1) (L r,r r ) in umgekehrten Reihenfolge stellt den Chiffretextblock dar, d.h. c = (R r,l r ) Entsprechend gilt c = E k (m) = E k (L 0,R 0 ) = (R r,l r ) 2011 Prof. Dr. Rolf Oppliger Folie 67 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 21/61 Die rekursive Formel (1) kann umgeschrieben werden (L i-1,r i-1 ) = (R i f ki (L i ),L i ) Damit können L i-1 and R i-1 rekursiv aus L i, R i und k i berechnet und m = (L 0,R 0 ) aus c = (R r,l r ) bestimmt werden (Rundenschlüssel k r,,k 1 in umgekehrter Reihenfolge) DES ist eine Feistel-Verschlüsselung mit Blocklänge 2t = 64 Bits und r = 16 Runden 2011 Prof. Dr. Rolf Oppliger Folie 68

35 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 22/61 DES-Schlüssel sind 64-Bit Strings mit ungerader Parität (pro Byte) K = {(k 1,,k 64 ) {0,1} 64 Σ j=1,,8 k 8i+j 1 (mod 2) for i = 0,,7} Zum Beispiel ist F1DFBC9B ein gültiger DES-Schlüssel F1 = DF = BC = Prof. Dr. Rolf Oppliger Folie 69 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 23/61 Um ein Klartextnachrichtenblock m mit dem Schlüssel k zu chiffrieren, operiert der DES-Verschlüsselungsalgorithmus in 3 Schritten 1. Es wird eine initiale Permutation (IP) auf m angewandt 2. Es wird eine 16-Runden Feistel-Verschlüsselung auf IP(m) angewandt das beinhaltet die abschliessende Vertauschung von L 16 und R Es wird die inverse initiale Permutation (IP -1 ) auf das Result von Schritt 2 angewandt 2011 Prof. Dr. Rolf Oppliger Folie 70

36 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 24/ Prof. Dr. Rolf Oppliger Folie 71 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 25/61 DES setzt eine Rundenfunktion f ein, die 16 mal iteriert wird Die Rundenfunktion f hat als Input einen 32- Bit R-Block und einen 48-Bit Rundenschlüssel k i Sie erzeugt als Ausgabe einen Bitstring der Länge Prof. Dr. Rolf Oppliger Folie 72

37 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 26/61 Der DES Key Schedule nimmt einen 56 oder 64 Bit langen DES-Schlüssel entgegen und erzeugt Bit lange Rundenschlüssel k 1,k 2,,k 16 Permuted choice (PC) Funktionen PC1: {0,1} 64 {0,1} 28 x {0,1} 28 PC2: {0,1} 28 x {0,1} 28 {0,1} 64 1 position for 1, 2, 9, 16 2 positions for 3, 4, 5, 6, 7, 8, 10, 11, 12, 13, 14, Prof. Dr. Rolf Oppliger Folie 73 Kryptosysteme Symmetrische Kryptosysteme Nachrichtenauthentifikationscodes 27/61 Es ist manchmal ausreichend, die Authentizität und Integrität einer Nachricht zu schützen (anstelle der Datenvertraulichkeit) In einer solchen Situation kann ein Authentifizierungstag an die Nachricht angehängt werden, das vom Empfänger verifiziert werden kann Nachricht Nachricht Tag 2011 Prof. Dr. Rolf Oppliger Folie 74

38 Kryptosysteme Symmetrische Kryptosysteme Nachrichtenauthentifikationscodes 28/61 Möglichkeiten zur Erzeugung und Verifikation von Authentifizierungstags Public Key Cryptography Digitale Signaturen Secret Key Cryptography Nachrichtenauthentifizierungscodes (message authentication codes, MACs no nonrepudiation) Ein Nachrichtenauthentifizierungssystem (message authentication system) ist ein System zur Erzeugung und Verifizierung von MACs 2011 Prof. Dr. Rolf Oppliger Folie 75 Kryptosysteme Symmetrische Kryptosysteme Nachrichtenauthentifikationscodes 29/61 Ein Nachrichtenauthentifizierungssystem besteht aus 5 Komponenten Nachrichetnraum M Tagraum T Schlüsselraum K Familie A = {A k : k K} von Nachrichtenauthentifikationsfunktionen A k : M T Familie V = {V k : k K} von Verifikationsfunktionen verification functions V k : M x T {valid,invalid} 2011 Prof. Dr. Rolf Oppliger Folie 76

39 Kryptosysteme Symmetrische Kryptosysteme Nachrichtenauthentifikationscodes 30/61 V k (m,t) gültig t gültiges Authentifizierungstag für Nachricht m und Schlüssel k (d.h. t = A k (m)) Damit ist V k (m, A k (m)) gültig k K, m K Typischerweise M = {0,1}* T = {0,1} l tag für konstante Taglänge ltag K = {0,1} l key für konstante Schlüssellänge lkey Z.B. l tag = l key = Prof. Dr. Rolf Oppliger Folie 77 Kryptosysteme Symmetrische Kryptosysteme Nachrichtenauthentifikationscodes 31/61 In der Theorie sind viele (bedingungslos oder bedingt sichere) Nachrichtenauthentifizierungssysteme bekannt In der Praxis wird vor allem eine auf Hashfunktionen mit Schlüsseln basierende Konstruktion (HMAC) eingesetzt (RFC 2104) HMAC k (m) = h(k opad h(k ipad m) Die meisten Internet-Sicherheitsprotokolle (z.b. IPsec, TLS, ) setzen die HMAC-Konstruktion ein 2011 Prof. Dr. Rolf Oppliger Folie 78

40 Kryptosysteme Symmetrische Kryptosysteme Pseudozufallsbitgeneratoren 32/61 Ein Zufallsbitgenerator kann nicht deterministisch implementiert werden Demgegenüber ist ein Pseudozufallsbitgenerator (PRBG) ein effizienter deterministischer Algorithmus, der als Eingabe eine zufällige Bitfolge der Länge k (seed) entgegennimmt und als Ausgabe eine Bitfolge der Länge l >> k erzeugt Seed PRBG Prof. Dr. Rolf Oppliger Folie 79 Kryptosysteme Symmetrische Kryptosysteme Pseudozufallsbitgeneratoren 33/61 Im Gegensatz zu einem Zufallsbitgenerator nimmt ein PRBG eine Eingabe entgegen und stellt einen deterministischen Algorithmus dar Konsequenzen Ein PRBG ist ein endlicher Automat Jede erzeugte Bitfolge ist zyklisch (mit einem möglicherweise sehr langen Zyklus) Man kann nicht verlangen, dass die Ausgabe eines PRBG echt zufällig ist, sondern nur dass sie so erscheint (d.h. dass sie von einer echten Zufallsfolge nicht unterschieden werden kann) 2011 Prof. Dr. Rolf Oppliger Folie 80

41 Kryptosysteme Symmetrische Kryptosysteme Pseudozufallsbitgeneratoren 34/61 Ähnlich wie bei Zufallsbitgeneratoren kann mithilfe von statistischen Testverfahren die Zufälligkeit einer mit einem PRBG erzeugten Bitfolge untersucht werden Ein PRBG gibt Bitfolgen aus, die bestimmte Anforderungen an die Zufälligkeit erfüllen 2011 Prof. Dr. Rolf Oppliger Folie 81 Kryptosysteme Symmetrische Kryptosysteme Pseudozufallsfunktionen 35/61 Als Zufallsfunktion (random function oder random oracle) bezeichnet man eine Funktion f: X Y, die zufällig aus allen Funktionen von X auf Y ausgewählt worden ist Für x X gibt eine Zufallsfunktion f ein beliebiges (aber immer gleiches) y = f(x) f(x) Y aus Mit einer Familie von Pseudozufallsfunktionen kann eine Zufallsfunktion emuliert werden (kein effizienter Algorithmus kann entscheiden, ob eine Funktion aus einer Familie von Pseudozufallsfunktionen stammt oder eine echte Zufallsfunktion darstellt) 2011 Prof. Dr. Rolf Oppliger Folie 82

42 Kryptosysteme Symmetrische Kryptosysteme Pseudozufallsfunktionen 36/61 Trotz aller Unterschiede sind Pseudozufallsbitgeneratoren und Familien von Pseudozufallsfunktionen verwandt bzw. können auseinander konstruiert werden Aus einer Familie von Pseudozufallsfunktionen kann ein Pseudozufallsbitgenerator konstruiert werden Aus einem Pseudozufallsbitgenerator kann eine Familie von Pseudozufallsfunktionen konstruiert werden 2011 Prof. Dr. Rolf Oppliger Folie 83 Kryptosysteme Asymmetrische Kryptosysteme 37/61 Verschlüsselungssysteme Digitale Signatursysteme Schlüsselvereinbarung 2011 Prof. Dr. Rolf Oppliger Folie 84

43 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 38/61 In einem Kryptosystem mit öffentlichen Schlüsseln verfügt jede Entität über ein Paar mathematisch verwandter Schlüssel (k,k -1 ) Öffentlicher Schlüssel k Privater Schlüssel k -1 Eine notwendige (aber nicht hinreichende) Bedingung für die Sicherheit eines Kryptosystems mit öffentlichen Schlüsseln ist die berechenbare Unmöglichkeit k -1 aus k zu berechnen k kann dann publiziert werden (z.b. in einem Verzeichnisdienst) 2011 Prof. Dr. Rolf Oppliger Folie 85 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 39/61 Kryptosysteme mit öffentlichen Schlüsseln sind viel weniger effizient als Kryptosysteme mit geheimen Schlüsseln (ungefährt Faktor 1 000) In der Praxis werden deshalb beide Arten von Kryptosystemen in hybriden Systemen kombiniert (z.b. Secure Messaging) Nachricht verschlüsselt mit Session Key Session Key verschlüsselt mit dem öffentlichen Schlüssel des Empfängers 2011 Prof. Dr. Rolf Oppliger Folie 86

44 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 40/61 Mit einem asymmetrischen Verschlüsselungssystem können Daten ver- und entschlüsselt werden Dazu wird eine (Familie von) Trapdoor (Einweg-) Funktionen benötigt Öffentlicher Schlüssel k B entspricht Einweg-Funktion Privater Schlüssel k -1 B entspricht Trapdoor (der Einweg-Funktion) -1 k B k B m E c D m 2011 Prof. Dr. Rolf Oppliger Folie 87 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 41/61 Ein asymmetrisches Verschlüsselungssystem besteht aus drei effizient berechenbaren Algorithmen Generate(1 l ) ist ein probabilistischer Schlüsselerzeugungsalgorithmus, der auf der Basis eines Sicherheitparameters l ein Schlüsselpaar (k,k -1 ) erzeugt Encrypt(k,m) ist ein deterministischer oder probabilistischer Verschlüsselungsalgorithmus (c = Encrypt(k,m)) Decrypt(k -1,c) ist ein deterministischer Entschlüsselungsalgorithmus (m = Decrypt(k -1,c)) 2011 Prof. Dr. Rolf Oppliger Folie 88

45 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 42/61 Sicherheitsparameter Öffentlicher Schlüssel Klartext Privater Schlüssel Chiffretext Generate Encrypt Decrypt Öffentlicher Schlüssel Privater Schlüssel Chiffretext Klartext 2011 Prof. Dr. Rolf Oppliger Folie 89 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 43/61 Rivest, Shamir, and Adleman (MIT, 1977) Communications of the ACM (February 1978) U.S. Patent 4,405,829 (bis September 2000) ACM Turing Award Prof. Dr. Rolf Oppliger Folie 90

46 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 44/61 Der RSA-Schlüsselerzeugungsalgorithmus erzeugt ein Schlüsselpaar ((n,e),d) in zwei Schritten Er wählt zufällig zwei l/2-bit lange Primzahlen p und q aus und berechnet den RSA-Modul n = pq Er wählt zufällig ein 1<e<φ(n) mit gcd(e,φ(n)) = 1 aus, und berechnet (z.b. mil Hilfe des Erweiterten Euklidschen Algorithmus) das multiplikativ inverse Element 1<d<φ(n) mit de 1 (mod φ(n)) 2011 Prof. Dr. Rolf Oppliger Folie 91 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 45/61 Zahlenbeispiel Schritt 1 p = 11 und q = 23 n = = 253 φ(n) = φ(253) = = 220 Schritt 2 e = 3 (gcd(3,220)=1) d = 147 modulo 220 (3 147 = (mod 220)) (n,e) = (253,3) ist der öffentliche Schlüssel d = 147 ist der private Schlüssel 2011 Prof. Dr. Rolf Oppliger Folie 92

47 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 46/61 RSA-Verschlüsselung c = RSA n,e (m) m e (mod n) RSA-Entschlüsselung m = RSA n,d (c) c d (mod n) 2011 Prof. Dr. Rolf Oppliger Folie 93 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 47/61 Zahlenbeispiel Verschlüsselung von m = 26 c 26 3 (mod 253) 17,576 (mod 253) = 119 Entschlüsselung von c = 119 m (mod 253) = Prof. Dr. Rolf Oppliger Folie 94

48 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 48/61 Digitale Signaturen können verwendet werden, um die Authentizität und Integrität von Nachrichten zu schützen und um Verbindlichkeitsdienste umzusetzen Mit dem Aufkommen des elektronischen Handels haben sich digitale Signaturen und deren Rechtsetzung zu wichtigen Themen entwickelt Die meisten Staaten verfügen über ein Signaturgesetz Allerdings ist der Erfolg von Signaturgesetzen bis heute bescheiden geblieben 2011 Prof. Dr. Rolf Oppliger Folie 95 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 49/61 Definition einer digitalen Signatur A value computed with a cryptographic algorithm and appended to a data object in such a way that any recipient of the data can use the signature to verify the data s origin and integrity (RFC 2828) Data appended to, or a cryptographic transformation of, a data unit that allows a recipient of the data unit to prove the source and integrity of the data unit and protect against forgery, e.g. by the recipient (ISO/IEC ) 2011 Prof. Dr. Rolf Oppliger Folie 96

49 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 50/61 Typen von digitalen Signaturen Digital signature with appendix Digitale Signatur wird der Dateneinheit angefügt (ISO/IEC 14888) Digital signature giving message recovery Die Dateneinheit wird kryptografisch in eine Form transformiert, die sowohl die Dateneinheit als auch die Signatur beinhaltet (ISO/IEC 9796) 2011 Prof. Dr. Rolf Oppliger Folie 97 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 51/61 Arbeitsweise Der Signierer (signatory) A berechnet mit dem privaten Schlüssel k A -1 die Signatur s = D A (m) Der Verifizierer (verifier) überprüft mit dem öffentlichen Schlüssel k A von A die Signatur s Public verifiability -1 k A k A m D [m,] s gültig / ungültig E 2011 Prof. Dr. Rolf Oppliger Folie 98

50 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 52/61 Ein digitales Signatursystem mit Anhang besteht aus drei effizient berechenbaren Algorithmen 2011 Prof. Dr. Rolf Oppliger Folie 99 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 53/61 Signierschlüssel Nachricht Verifikationsschlüssel Nachricht Signatur Generate Sign Verify Signierschlüssel Generate(1 l ) ist ein probabilistischer Schlüsselerzeugungsalgorithmus Sign(k -1,m) ist ein deterministischer oder probabilistischer Signaturerzeugungsalgorithmus (s = Sign(k -1,m) Verify(k,m,s) ist ein deterministischer Signaturverifikationsalgorithmus Sicherheitsparameter Verifikationsschlüssel Signatur valid invalid 2011 Prof. Dr. Rolf Oppliger Folie 100

51 Kryptosysteme Kryptosysteme mit öffentlichen Digitale Signatursysteme 54/61 Ein digitales Signatursystem mit Nachrichtenrekonstruktion besteht aus drei effizient berechenbaren Algorithmen Generate(1 l ) ist ein probabilistischer Schlüsselerzeugungsalgorithmus 2011 Prof. Dr. Rolf Oppliger Folie 101 Kryptosysteme Kryptosysteme mit öffentlichen Digitale Signatursysteme 55/61 Security parameter Signierschlüssel Nachricht Verifikationsschlüssel Verifikationsschlüssel Signatur Generate Sign Recover Signierschlüssel Sign(k -1,m) ist ein deterministischer oder probabilistischer Signaturerzeugungsalgorithmus, der eine Signatur mit Nachrichtenrekonstruktion erzeugt Recover(k,s) ist ein deterministischer Nachrichtenrekonstruktionsalgorithmus Signatur Nachricht ungültig 2011 Prof. Dr. Rolf Oppliger Folie 102

52 Kryptosysteme Kryptosysteme mit öffentlichen Schlüsselvereinbarung 56/61 Wenn zwei (oder mehr) Entitäten kryptografische Verfahren nutzen wollen, brauchen sie einen Schlüssel In grossen Systmen müssen viele Schlüssel sicher erzeugt, gespeichert, verwaltet und vernichtet werden Bei n Entitäten sind das n 2 = n(n-1) 1 2 = n2 -n 1 2 Schlüssel (z.b. 499,500 Schlüssel für n=1,000) Das resultierende Skalierbarkeitsproblem wird auch als n 2 -Problem bezeichnet 2011 Prof. Dr. Rolf Oppliger Folie 103 Kryptosysteme Kryptosysteme mit öffentlichen Schlüsselvereinbarung 57/61 Ansätze zur Lösung des n 2 -Problems Schlüsselverteilzentralen (e.g., Kerberos) Schlüsseletablierungsprotokolle Typen von Schlüsseletablierungsprotokollen Key distribution protocols (z.b. SSL/TLS Handshake) Key agreement protocols (z.b. Diffie-Hellman key exchange) Mit dem Diffie-Hellman key exchange protocol begann die Geschichte der Public Key Kryptografie 2011 Prof. Dr. Rolf Oppliger Folie 104

53 Kryptosysteme Kryptosysteme mit öffentlichen Schlüsselvereinbarung 58/61 A (p,g) B (p,g) x A R Z p * x B R Z p * y A g xa (mod p) y B g xb (mod p) K AB y B x A (mod p) K BA y A x B (mod p) (K AB ) (K BA ) 2011 Prof. Dr. Rolf Oppliger Folie 105 Kryptosysteme Kryptosysteme mit öffentlichen Schlüsselvereinbarung 59/61 Zahlenbeispiel (1) p = 17 und g = 3 A wählt zufällig x A = 7, berechnet y A 3 7 (mod 17) = 11 und sendet diesen Wert an B B wählt zufällig x B = 4, berechnet y B 3 4 (mod 17) = 13 und sendet diesen Wert an A A berechnet y B x A 137 (mod 17) = 4 B berechnet y A x B 114 (mod 17) = 4 K = 4 kann als Sitzungsschlüssel eingesetzt werden 2011 Prof. Dr. Rolf Oppliger Folie 106

54 Kryptosysteme Kryptosysteme mit öffentlichen Schlüsselvereinbarung 60/61 Zahlenbeispiel (2) p = 347 und g = 11 A wählt zufällig x A = 240, berechnet y A (mod 347) = 49 und sendet diesen Wert an B B wählt zufällig x B = 39, berechnet y B (mod 347) = 285 und sendet diesen Wert an A A berechnet y B xa (mod 347) = 268 B berechnet y A xb (mod 347) = 268 K = 268 kann als Sitzungsschlüssel eingesetzt werden 2011 Prof. Dr. Rolf Oppliger Folie 107 Kryptosysteme Kryptosysteme mit öffentlichen Schlüsselvereinbarung 61/61 Das Hauptproblem des Diffie-Hellman Schlüsselaustauschprotokolls stellen Man-in-the-middle (MITM) Angriffe dar Bei einem MITM-Angriff tauscht der Angreifer mit A und B jeweils einen Sitzungsschlüssel aus und agiert dann als Umschlüsselungszentrale 2011 Prof. Dr. Rolf Oppliger Folie 108

55 Übersicht 1. Einführung 2. Kryptographische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2011 Prof. Dr. Rolf Oppliger Folie Authentifikation 1/27 Bei der Authentifikation geht es um die Verifikation einer vorgegebenen Identität (der Begriff Identität wird in Kapitel 14 erörtert und vertieft) Ansätze Etwas haben Etwas wissen Etwas sein Irgendwo sein Alle Ansätze haben Vor- und Nachteile Alle Ansätze können kombiniert werden ( Multi- Faktoren-Authentifizierung) 2011 Prof. Dr. Rolf Oppliger Folie 110

56 Authentifikation 2/27 Etwas-haben -Ansätze basieren auf (physischen) Tokens, die bei der Authentifikation vorgewiesen und überprüft werden müssen Die Überprüfung der Tokens kann grundsätzlich durch Menschen oder Maschinen efolgen Beispiele Schlüssel Billete Mitgliederausweise (häufig kombiniert mit Fotos) Kundenkarten (z.b. Coop Supercard, Culumus,... ) Hauptproblem: Benutzer kann Token weitergeben 2011 Prof. Dr. Rolf Oppliger Folie 111 Authentifikation 3/27 Etwas-wissen -Ansätze basieren auf (geheimen) Informationen, deren Kenntnis bei der Authentifikation bewiesen und überprüft werden muss Information kann (muss aber nicht) persönlich sein Die Überprüfung der Information kann durch Menschen oder Maschinen efolgen Beispiele PIN, Passwort, Passsatz, Krytographisches Geheimnis Hauptproblem: Benutzer kann Authentifikationsinformation(en) weitergeben 2011 Prof. Dr. Rolf Oppliger Folie 112

57 Authentifikation 4/27 Etwas-sein -Ansätze basieren auf (persönlichen) biometrischen Merkmalen, die bei der Authentifikation überprüft werden müssen Die Überprüfung kann grundsätzlich durch Menschen oder Maschinen efolgen Beispiele Gesichtszüge Fingerabdrücke Handgeometrien DNA-Proben 2011 Prof. Dr. Rolf Oppliger Folie 113 Authentifikation 5/27 Probleme Benutzer kann nur authentifiziert werden, wenn seine Referenzdaten vorliegen ( Datenbank) Es gibt Fehler ( FAR und FRR müssen gegeneinander abgewogen werden) Grundsätzliche Bedenken und Einwände aus der Sicht des Datenschutzes Die Biometrie eignet sich eher zur Authentifikation als zur Identifikation Sie stellt eine High-end -Technologie dar 2011 Prof. Dr. Rolf Oppliger Folie 114

58 Authentifikation 6/ Prof. Dr. Rolf Oppliger Folie 115 Authentifikation 7/27 Irgendwo-sein -Ansätze basieren auf Informationen über den aktuellen Aufenthaltsort von Personen Location-based Authentifikation Die Auswertung der Informationen kann grundsätzlich durch Menschen oder Maschinen efolgen Man beachte aber, dass Informationen über den aktuellen Aufenthaltsort nicht authentisch sein muss bzw. leicht gefälscht werden kann (z.b. IP-Adressen) 2011 Prof. Dr. Rolf Oppliger Folie 116

59 Authentifikation 8/27 Beispiele Telefonnummernerkennungs- und Rückrufsysteme Berkeley r-tools (rlogin, rsh, rexec, ) Verifikationssysteme für IP-Adressen GPS-basierte Lokationssysteme WLAN-basierte Lokationssysteme 2011 Prof. Dr. Rolf Oppliger Folie 117 Authentifikation 9/27 In der Informatik überwiegen Etwas-wissen -Ansätze in Form von Passwortsystemen Dabei müssen Passworte Server-seitig nicht notwendigerweise im Klartext abgelegt sein Die Passworte können auch als Bilder unter einer Einwegfunktion f abgelegt und verglichen werden Eingegebenes Passwort (pw ) f f(pw )? = f(pw) 2011 Prof. Dr. Rolf Oppliger Folie 118

60 Authentifikation 10/27 Beispiel: UNIX Die Einwegfunktion f wird durch die crypt()-funktion realisiert Crypt() implementiert eine (modifizierte) DES- Chiffrierung (25 Runden), wobei der Nullstrings mit dem Passwort des Benutzers als Schlüssel chiffriert wird Heute werden zum Teil auch andere Einwegfunktionen eingesetzt (z.b. MD5) Um Off-line Wörterbuchangriffe zu erschweren, kann ein Salt -Mechanismus eingesetzt werden Dabei wird die Funktion f durch einen pro Benutzer zufällig gewählten 12-Bit-Wert ( Salt ) parametrisiert 2011 Prof. Dr. Rolf Oppliger Folie 119 Authentifikation 11/27 Das Salt wird im Klartext zusammen mit dem Einwegchiffrierten Passwort in der Passwortdatei abgelegt Salt Passwort Eintrag in der Passwortdatei Salt = 2 druckbare Zeichen Passwort = 11 druckbare Zeichen f Passworteingabe des Benutzers In frühen Systemen war die Passwortdatei öffentlich lesbar Heute werden Passwortdateien meist geshadowed 2011 Prof. Dr. Rolf Oppliger Folie 120

61 Authentifikation 12/27 Probleme von Passwortsystemen Benutzer wählen einfache und einfach zu erratende Passworte ( Password aging, proaktive Passwortchecker, Passwortgeneratoren,... ) Kenntnis einer ganzen Passwortdatei oder einzelner Einweg-chiffrierten Passwörtern ermöglicht Off-line- Wörterbuchangriffe ( Salt -Mechanismus) Werden Passworte in Computernetzen übertragen, können sie entweder direkt mitgelesen oder im Rahmen von Wörterbuchangriffen ermittelt werden ( starke Authentifikationsverfahren) 2011 Prof. Dr. Rolf Oppliger Folie 121 Authentifikation 13/27 Möglichkeit zur Weitergabe von Passworten führt unter anderem zu Phishing -Angriffen Goscinny/Uderzo, Grosser Asterix-Band X, Asterix als Legionär, EHAPA-Verlag GmbH, Stuttgart, 1973, Seite Prof. Dr. Rolf Oppliger Folie 122

62 Authentifikation 14/27 Zudem sind bei Passwortsystemen meist Bruteforce -Angriffe möglich Goscinny/Uderzo, Grosser Asterix-Band X, Asterix als Legionär, EHAPA-Verlag GmbH, Stuttgart, 1973, Seite Prof. Dr. Rolf Oppliger Folie 123 Authentifikation 15/ Prof. Dr. Rolf Oppliger Folie 124

63 Authentifikation 16/ Prof. Dr. Rolf Oppliger Folie 125 Authentifikation 17/27 Base-64 encoded version of <Username>:<Password> 2011 Prof. Dr. Rolf Oppliger Folie 126

64 Authentifikation 18/27 Ein Authentifikationsverfahren kann als stark bezeichnet werden, wenn ein passiver Angreifer im Netz abgehorchte Daten nicht wiederverwenden kann Authentifikationsdaten? 2011 Prof. Dr. Rolf Oppliger Folie 127 Authentifikation 19/27 Beispiele Einweg-Passworte Streichlisten und Transaktionsnummern (TANs) SecurID- und SecOVID-Token Challenge-Response-Verfahren S/Key und OPIE Racal-, Vasco- und andere C/R-Token HTTP Digest Authentication Verfahren auf der Basis von Kryptosystemen mit öffentlichen Schlüsseln 2011 Prof. Dr. Rolf Oppliger Folie 128

65 Authentifikation 20/27 S/Key (MD4) und OPIE (MD5) Initialisierung mit h t (pw) Authentifizierung mit h t-i (pw) für i=1,..., t-1 Ersetzung von h t-i+1 (pw) mit h t-i (pw) in der Passwortdatei h 1000 (pw) = a 0 h 999 (pw) = a 1 h 998 (pw) = a 2... h 2 (pw) = a 998? h(a i ) = a i-1 h(pw) = a Prof. Dr. Rolf Oppliger Folie 129 Authentifikation 21/27 In vernetzten und verteilten Systemen spielen Verfahren und Protokolle auf der Basis von Kryptosystemen mit öffentlichen Schlüsseln eine zunehmend wichtige Rolle Einige dieser Protokolle basieren auf interaktiven Beweis(system)en In einem interaktiven Beweissystem kann ein Teilnehmer durch ein (interaktives) Protokoll etwas beweisen - z.b. eine bestimmte Fähigkeit oder die Kenntnis eines bestimmten Geheimnisses Es handelt sich um Tatbeweise 2011 Prof. Dr. Rolf Oppliger Folie 130

66 Authentifikation 22/27 Beispiele Fähigkeit, Coca Cola und Pepsi zu unterscheiden ( Pepsi-Test) Fähigkeit, Gedanken zu lesen Kenntnis einer mathematischen Formel (z.b. Formel zum Ziehen von Quadrat- oder Kubikwurzeln) Im Gegensatz zu normalen (d.h. nicht-interaktiven) Beweisen, sind interaktive Beweise nicht übertragbar, d.h. aussenstehende Dritte können durch solche Beweise in der Regel nicht überzeugt werden 2011 Prof. Dr. Rolf Oppliger Folie 131 Authentifikation 23/27 Es gibt interaktive Beweissysteme, die die Zero- Knowledge-Eigenschaft haben (Goldwasser, Micali und Rackoff, 1985) Diese Eigenschaft bewirkt, dass im Rahmen einer konkreten Beweisführung (im interaktiven Beweissystem) beweisbar keine Information über den zu beweisenden Gegenstand (d.h. das Geheimnis) freigegeben wird Der Beweiser kann gegenüber dem Verifizierer beweisen, dass er ein Geheimnis kennt, ohne dass der Verifizierer Informationen über dieses Geheimnis erhält 2011 Prof. Dr. Rolf Oppliger Folie 132

67 Authentifikation 24/27 Entsprechend interessant (und vielfältig einsetzbar) sind Authentifikationsprotokolle, die die Zero-Knowledge-Eigenschaft haben Diese Protokolle geben (beweisbar) keine Information über die Authentifikationsinformation preis Formal wird die Zero-Knowledge-Eigenschaft (eines Authentifikationsprotokolles) über die Simulierbarkeit der auszutauschenden Nachrichten bewiesen Für jeden Verifizierer gibt es einen Simulator, der (ohne Kenntnis der Authentifikationsinformation) einen Mitschrieb der Kommunikation (d.h. der auszutauschenden Nachrichten) selbst erzeugen kann 2011 Prof. Dr. Rolf Oppliger Folie 133 Authentifikation 25/27 Beispiel: Fiat-Shamir (FS) Protokoll Annahmen Öffentlich bekannter RSA-Modul n = pq (p und q sind geheim bzw. werden nicht verwendet) Teilnehmer P ( Prover ) hat einen zufällig aus Z n * ausgewählten privaten Schlüssel x P Teilnehmer V ( Verifier ) hat den entsprechenden öffentlichen Schlüssel (n,y P ) mit y P = (x P ) 2 mod n Man kann zeigen, dass es ebenso schwer ist in Z n * Quadratwurzeln zu ziehen wie n zu faktorisieren Entsprechend basiert die Sicherheit des FS-Protokolls auf der Schwierigkeit des Faktorisierungsproblems 2011 Prof. Dr. Rolf Oppliger Folie 134

68 Authentifikation 26/27 Protokollrunde Zufällig aus Z n * gewähltes r s = r 2 e {0,1} Prover t = r (x P ) e e = 0: t = r e = 1: t = r x P Verifier t 2? = s (y P ) e Die Protokollrunde wird k mal wiederholt (k ist Sicher- heitsparameter z.b. k = 20) 2011 Prof. Dr. Rolf Oppliger Folie 135 Authentifikation 27/27 Wenn jemand auf beide e (0 und 1) richtig antworten kann, kann er auch x P berechnen (x P = r x P /r) Entsprechend muss ein Angreifer in jeder Runde e richtig erraten, damit er sich vorbereiten kann e = 0 normaler Protokolllauf (für e=1 fehlt aber x P ) e = 1 t wird zufällig gewählt; s = t 2 /y P ; Protokoll wird mit s angestossen (für e=0 fehlt aber r) In jeder Runde beträgt die Betrugswahrscheinlichkeit 1/2 In k Runden beträgt die Betrugswahrscheinlichkeit (1/2) k = 1/2 k 2011 Prof. Dr. Rolf Oppliger Folie 136

69 Übersicht 1. Einführung 2. Kryptographische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2011 Prof. Dr. Rolf Oppliger Folie Autorisation und Zugriffskontrolle 1/14 Autorisationsdatenbank Subjekt Referenzmonitor Objekt Authentifikation Autorisation Überwachung (Auditing) 2011 Prof. Dr. Rolf Oppliger Folie 138

70 Autorisation und Zugriffskontrolle 2/14 Zugriffskontrollmodelle Modelle für diskrete Zugriffskontrollen (discretionary access control, DAC) Modelle für regelbasierte Zugriffskontrollen (mandatory access control, MAC) Modelle für rollenbasierte Zugriffskontrollen (role-based access control, RBAC) Zum Teil sind diese (und andere) Modelle historisch bedingt ( TCSEC) In der Praxis werden vor allem RBACs eingesetzt 2011 Prof. Dr. Rolf Oppliger Folie 139 Autorisation und Zugriffskontrolle 3/14 Systemkomponenten einer DAC Subjekte s i (i = 1,...,n) aktive Komponenten Objekte o j (j = 1,...,m) passive Komponenten Zugriffsrechte / Privilegien R ij Eigentümerparadigma: In einer DAC ist der Eigentümer eines (Schutz-) Objektes zuständig für die Autorisierung 2011 Prof. Dr. Rolf Oppliger Folie 140

71 Autorisation und Zugriffskontrolle 4/14 Implementation als Zugriffskontrollmatrix (engl. access control matrix, ACM) ist nicht effizient o 1 o 2 o j s 1 s 2 s i R ij 2011 Prof. Dr. Rolf Oppliger Folie 141 Autorisation und Zugriffskontrolle 5/14 Implementationsmöglichkeit 1: Objekt-spezifische (linear verkettete) Listen Zugriffskontrolllisten (engl. access control lists, ACLs) o 1 o 2 o j 2011 Prof. Dr. Rolf Oppliger Folie 142

72 Autorisation und Zugriffskontrolle 6/14 Implementationsmöglichkeit 2: Subjekt-spezifische (linear verkettete) Listen Fähigkeits- oder C-Listen (engl. capabilities lists) s 1 s Prof. Dr. Rolf Oppliger Folie 143 Autorisation und Zugriffskontrolle 7/14 Praktische Probleme Entscheidbarkeit Die Frage, ob ein Subjekt in den Besitz eines Zugriffs- rechtes für ein Objekt kommen kann, ist i.a. nicht bzw. nur für eingeschränkte Befehlssätze entscheidbar Widerrufung von Zugriffsrechten Im Prinzip muss die Historie der Ausbreitung der Zugriffsrechte aufgezeichnet und verwaltet werden Die Unterwanderungen einer DAC ist für berechtigte Benutzer immer möglich ( keine Informations- flusskontrolle) 2011 Prof. Dr. Rolf Oppliger Folie 144

73 Autorisation und Zugriffskontrolle 8/14 Im Rahmen einer MAC ist der Ersteller der Regeln für die Informationsflüsse und deren Autorisierung zuständig (anstelle des Eigentümers) Entsprechend werden Informationsflüsse (ohne Einfluss der Objekteigentümer) kontrolliert Damit verspricht man sich Vorteile in bezug auf die Unterwanderung der Zugriffskontrolle Um eine MAC umzusetzen, müssen Subjekte ermächtigt und Objekte eingestuft werden 2011 Prof. Dr. Rolf Oppliger Folie 145 Autorisation und Zugriffskontrolle 9/14 Beispiel 1: Militärsiches Modell Sicherheitsklassen stammen aus dem Produkteverband eines total geordneten Verbands und eines Untermengenverbands Auf ein Objekt (SECRET,{A}) können z.b. Subjekte zugreifen, die als (TOP SECRET,{A}) oder (SECRET,{A,B}) ermächtigt worden sind, nicht aber Subjekte, die als (CONFIDENTIAL,{A}) oder (SECRET,{B,C}) ermächtigt worden sind 2011 Prof. Dr. Rolf Oppliger Folie 146

74 Autorisation und Zugriffskontrolle 10/14 Beispiel 2 Bell-LaPadula-Modell (1973) Vertraulichkeitsschutz Einfache Sicherheitseigenschaft ( no read up ) s i darf o j nur lesen, wenn C(s i ) C(o j ) erfüllt ist *-Eigenschaft ( no write down ) s i darf auf o j nur schreiben, wenn C(s i ) C(o j ) erfüllt ist 2011 Prof. Dr. Rolf Oppliger Folie 147 Autorisation und Zugriffskontrolle 11/14 Beispiel 3 Biba-Modell (1977) Integritätsschutz (zum Bell- LaPadula-Modell duales Modell) Einfache Integritätseigenschaft ( no read down ) s i darf o j nur lesen, wenn I(s i ) I(o j ) erfüllt ist *- Integritätseigenschaft ( no write up ) s i darf auf o j nur schreiben, wenn I(s i ) I(o j ) erfüllt ist 2011 Prof. Dr. Rolf Oppliger Folie 148

75 Autorisation und Zugriffskontrolle 12/14 WRITE READ S i READ Bell-LaPadula- Modell Biba-Modell WRITE 2011 Prof. Dr. Rolf Oppliger Folie 149 Autorisation und Zugriffskontrolle 13/14 Eine RBAC ist i.p. eine DAC (die Zuordnung der Zugriffsrechte findet aber über Rollen statt) Subjekte treten in bestimmten Rollen auf Auf Objekte können Subjekte in Rollen zugreifen CTO Systemadministrator Zugriffsberechtigt: Systemadministratoren Leiter Projekt X 2011 Prof. Dr. Rolf Oppliger Folie 150

76 Autorisation und Zugriffskontrolle 14/14 RBACs entsprechen dem Stand der Technik Beispiel: Windows XP 2011 Prof. Dr. Rolf Oppliger Folie 151 Übersicht 1. Einführung 2. Kryptographische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2011 Prof. Dr. Rolf Oppliger Folie 152