Klaus Schmeh. Kryptografie. Verfahren, Protokolle, Infrastrukturen. 4., aktualisierte und erweiterte Auflage. dpunkt.verlag

Transkript

1 Klaus Schmeh Kryptografie Verfahren, Protokolle, Infrastrukturen 4., aktualisierte und erweiterte Auflage dpunkt.verlag

2 XIII 1 Einleitung Kryptografie heute Die vierte Auflage Mein Bedauern, meine Bitten und mein Dank 6 2 Was ist Kryptografie und warum ist sie so wichtig? The Name of the Game Die kurze Antwort Die lange Antwort Die Kryptografie - ein wichtiges Teilgebiet Warum ist die Kryptografie so wichtig? Wirtschaftsspionage Kommerz im Netz Die Privatsphäre Anwendungen der Kryptografie Und wer zum Teufel ist Alice? 15 3 Wie Daten abgehört werden können Mallory am Übertragungsmedium Kupferkabel Koaxialkabel Glasfaser Drahtlose Datenübertragung Satellit 19

3 xiv 3.2 Mallory in Computernetzen \, Mitlesen und Verändern von Dateien Abhören analoger Telefonleitungen Abhören im LAN ISDN-Sicherheitsprobleme DSL Mobilfunk WLANs Mallory im Internet ARP-Spoofing Abhörangriffe auf Router und Gateways IP-Spoofing DNS-Spoofing Mitlesen von s URL-Spoofing Abhören von Internettelefonie Ein paar Fälle aus der Praxis Passwort-Schnüffeleien Abgehörte s Echelon Weitere Fälle Ist Kryptografie gefährlich? Nachteile einer Krypto-Beschränkung Vorteile einer Krypto-Beschränkung Fazit 39 4 Symmetrische Verschlüsselung Symmetrische Verschlüsselung Kryptografische Fachbegriffe Angriffe auf Verschlüsselungsverfahren Monoalphabetische Substitutionschiffren Cäsar-Chiffre Weitere Substitutionschiffren Homophone Chiffre, Polyalphabetische Substitutionschiffren Vigenere-Chiffre Vernam-Chiffre One-Time-Pad... : Permutationschiffren 53

4 xv I 4.5 Ungelöste Verschlüsselungen Das Voynich-Manuskript Rohonczi-Kodex Dorabella-Chiffre 58 5 Die Enigma und andere Verschlüsselungsmaschinen Rotorchiffren Heberns Rotormaschine Die Enigma Weitere Rotor-Chiffriermaschinen Andere Verschlüsselungsmaschinen Die Kryha-Maschine Hagelin-Maschinen Die Purple Der Geheimschreiber Lorenz-Maschine Schlüsselgerät 41 (Hitler-Mühle) 76 Jfodtfo*Kryptogrvftat. 6 Der Data Encryption Standard DES-Grundlagen Funktionsweise des DES Die Rundenfunktion F Die Schlüsselaufbereitung des DES Entschlüsseln mit dem DES Sicherheit des DES Vollständige Schlüsselsuche bis Die DES-Challenge Differenzielle Kryptoanalyse Lineare Kryptoanalyse Schwache Schlüssel Wie sicher ist der DES heute? DES-Fazit 91 7 Weitere symmetrische Verschlüsselungsverfahren Chiffren-Design Anforderungen an die Sicherheit Die ideale Schlüssellänge Aufbau symmetrischer Verschlüsselungsverfahren 100

5 xvi 7.2 Triple-DES Doppel-DES Triple-DES SAFER Funktionsweise von SAFER Bewertung von SAFER+ Ill 7.4 RC2, RC5 und RC RC RC RC Blowfish und Twofish Blowfish Twofish Der Advanced Encryption Standard (AES) Funktionsweise des AES Rundenaufbau Entschlüsselung mit dem AES Schlüsselaufbereitung Mathematische Betrachtung des AES Bewertung des AES AES als algebraische Formel Quadratische Kryptoanalyse Noch weitere symmetrische Verschlüsseiungsverfahren MISTY1, KASUMI und Camellia MISTY KASUMI Camellia Serpent Funktionsweise von Serpent S-Box-Design Schlüsselaufbereitung von Serpent Bewertung von Serpent AES-Kandidaten Die besten drei Die weiteren zwei Finalisten Wegen geringer Performanz ausgeschieden Die Unsicheren Einige AES-Kandidaten im Detail Fazit 154

6 xvül 9.4 Weitere Verfahren Chiasmus und Libelle IDEA und IDEA NXT Skipjack TEA Weitere Verfahren Asymmetrische Verschlüsselung Ein bisschen Mathematik Modulo-Rechnen Einwegfunktionen und Falltürfunktionen Der Diffie-Hellman-Schiüsselaustausch Funktionsweise von Diffie-Hellman MQV RSA Funktionsweise des RSA-Verfahrens Ein Beispiel Sicherheit des RSA-Verfahrens Symmetrisch und asymmetrisch im Zusammenspiel Unterschiede zwischen symmetrisch und asymmetrisch Hybridverfahren Digitale Signaturen Was ist eine digitale Signatur? RSA als Signaturverfahren Funktionsweise Sicherheit von RSA-Signaturen Signaturen auf Basis des diskreten Logarithmus ElGamal-Verfahren DSA Unterschiede zwischen DLSSs und RSA Weitere asymmetrische Krypto-Verfahren Krypto-Systeme auf Basis elliptischer Kurven Mathematische Grundlagen ECC-Verfahren Die wichtigsten ECC-Verfahren 198

7 I xviii 12.2 Weitere asymmetrische Verfahren NTRU XTR Krypto-Systeme auf Basis hyperelliptischer Kurven HFE Weitere asymmetrische Verfahren Kryptografische Hashfunktionen Was ist eine kryptografische Hashfunktion? Nichtkryptografische Hashfunktionen Kryptografische Hashfunktionen Angriffe auf kryptografische Hashfunktionen Die wichtigsten kryptografischen Hashfunktionen SHA Neue SHA-Varianten MD MD RIPEMD Tiger WHIRLPOOL RadioGatün Weitere kryptografische Hashfunktionen Hashfunktionen aus Verschlüsselungsverfahren SHA Schlüsselabhängige Hashfunktionen Anwendungsbereiche Die wichtigsten schlüsselabhängigen Hashfunktionen Weitere Anwendungen kryptografischer Hashfunktionen Hashbäume Weitere Anwendungen Kryptografische Zufallsgeneratoren Zufallszahlen in der Kryptografie Anforderungen der Kryptografie Echte Zufallsgeneratoren Pseudozufallsgeneratoren Die Grauzone zwischen echt und pseudo Mischen von Zufallsquellen 250

8 xix 14.2 Die wichtigsten Pseudozufallsgeneratoren Kryptografische Hashfunktionen als Fortschaltfunktion Schlüsselabhängige Hashfunktionen als Fortschaltfunktion ' Blockchiffren als Fortschaltfunktion Linear rückgekoppelte Schieberegister Nichtlinear rückgekoppelte Schieberegister Zahlentheoretische Pseudozufallsgeneratoren Primzahlgeneratoren Stromchiffren Aufbau und Eigenschaften von Stromchiffren Wie eine Stromchiffre funktioniert Angriffe auf Stromchiffren Stromchiffren und Blockchiffren im Vergleich RC Funktionsweise von RC Bewertung von RC A Funktionsweise von A Bewertung von A E Funktionsweise von EQ Schlüsselaufbereitung von EQ Bewertung von E Cryptol Funktionsweise von Cryptol Bewertung von Cryptol Die Verfahren des estream-wettbewerbs HC Rabbit Salsa Sosemanuk Trivium Grain MICKEY Erkenntnisse aus dem estream-wettbewerb Welche Stromchiffre ist die beste? Weitere Stromchiffren Welche Stromchiffren sind empfehlenswert? 297

9 I xx 16 Real-World-Attacken Seitenkanalangriffe Zeitangriffe Stromangriffe Fehlerangriffe Weitere Seitenkanalangriffe Malware-Angriffe Malware und digitale Signaturen Vom Entwickler eingebaute Hintertüren Gegenmaßnahmen Physikalische Angriffe Die wichtigsten physikalischen Angriffe Gegenmaßnahmen Schwachstellen durch Implementierungsfehler Implementierungsfehler in der Praxis Implementierungsfehler in vielen Variationen Gegenmaßnahmen Insiderangriffe Unterschätzte Insider Gegenmaßnahmen Der Anwender als Schwachstelle Schwachstellen durch Anwenderfehler Gegenmaßnahmen Fazit Standardisierung in der Kryptografie Standards Standardisierungsgremien Standardisierung im Internet Wissenswertes zum Thema Standards Standards und die Realität OIDs Wichtige Krypto-Standards PKCS IEEE P ANSI X NSA Suite В 336

10 xxi 17.4 Standards für verschlüsselte und signierte Daten PKCS# XML Signature und XML Encryption Weitere Formate Betriebsarten und Datenformatierung Betriebsarten von Blockchiffren Electronic-Codebook-Modus Cipher-Block-Chaining-Modus Output-Feedback-Modus Cipher-Feedback-Modus Counter-Modus Fazit Datenformatierung für das RSA-Verfahren Der PKCS#1-Standard Datenformatierung für die RSA-Verschlüsselung Datenformatierung für RSA-Signaturen Datenformatierung für DLSSs Kryptografische Protokolle Protokolle Konzeptprotokolle Netzwerkprotokolle Eigenschaften von Netzwerkprotokollen Protokolle in der Kryptografie Eigenschaften kryptografischer Netzwerkprotokolle Angriffe auf kryptografische Protokolle Replay-Attacke Spoofing-Attacke Man-in-the-Middle-Attacke Hijacking-Attacke Known-Key-Attacken Verkehrsflussanalyse Denial-of-Service-Attacke Sonstige Angriffe Beispielprotokolle Beispielprotokoll: Messgerät sendet an PC Weitere Beispielprotokolle 378

11 xxii 20 Authentifizierung Authentifizierung im Überblick Etwas, was man weiß Was man hat Was man ist Biometrische Authentifizierung Grundsätzliches zur biometrischen Authentifizierung Biometrische Merkmale Fazit Authentifizierung in Computernetzen Passwörter im Internet Authentifizierung mit asymmetrischen Verfahren Biometrie im Internet» Verteilte Authentifizierung Single Sign-On Credential-Synchronisation Lokales SSO Ticket-SSO Web-SSO Kerberos Vereinfachtes Kerberos-Protokoll Vollständiges Kerberos-Protokoll Vor- und Nachteile von Kerberos RADIUS und andere Triple-A-Server Triple-A-Server Beispiele für Triple-A-Server SAML Funktionsweise von SAML SAML in der Praxis Krypto-Hardware und Krypto-Software Krypto-Hardware oder Krypto-Software? Pro Software Pro Hardware Ist Hardware oder Software besser? Smartcards Smartcards und andere Chipkarten Smartcard-Formfaktoren Smartcards und Kryptografie 421

12 xxiii 22.3 Kryptografie und elektronische Ausweise Elektronische Reisepässe Elektronische Personalausweise Elektronische Gesundheitskarten Weitere elektronische Ausweise Hardware-Security-Module Kryptografie in eingebetteten Systemen Eingebettete Systeme und Kryptografie Kryptografische Herausforderungen in eingebetteten Systemen RFID und Kryptografie Sicherheitsprobleme beim Einsatz von EPC-Chips RFID und Kryptografie Weitere kryptografische Werkzeuge Management geheimer Schlüssel Schlüsselgenerierung Schlüsselspeicherung Schlüsselauthentifizierung Schlüsseltransport und Schlüssel-Backup Schlüsselaufteilung Schlüsselwechsel Löschen eines Schlüssels Key Recovery Trusted Computing und Kryptografie Trusted Computing und Kryptografie Das Trusted Platform Module Funktionen und Anwendungen des TPM Fazit Krypto-APIs PKCS# MS-CAPI Cryptography API Next Generation (CNG) КОЛЕС Universelle Krypto-APIs 464 [ 24 Evaluierung und Zertifizierung ITSEC 469 [ 24.2 Common Criteria 471

13 I xxiv 24.3 FIPS Die vier Stufen von FIPS Die Sicherheitsbereiche von FIPS Bewertung von FIPS Fazit und Alternativen Open Source als Alternative Theorie und Praxis 488 Teil 4 Public-Key-Infrastrukturen И^ИВМИВИиЯЯВНИМРШНИВДНЯ^ИиЯИЯИЯИЯВЯИНИиИЯНИвИиИ 25 Public-Key-Infrastrukturen Digitale Zertifikate Probleme asymmetrischer Verfahren Digitale Zertifikate Vertrauensmodelle Direct Trust Web of Trust Hierarchical Trust PKI-Varianten PKI-Standards X PKIX ISIS-MTT OpenPGP Aufbau und Funktionsweise einer PKI Komponenten einer PKI Rollen in einer PKI Prozesse in einer PKI Identitätsbasierte Krypto-Systeme Funktionsweise Das Boneh-Franklin-Verfahren Digitale Zertifikate X.509vl- und X.509v2-Zertifikate Das Format...: Nachteile von X.509vl und v X.509v3-Zertifikate Die X.509v3-Standarderweiterungen 524

14 xxv 26.3 Weitere X.509-Profile Die PKIX-Erweiterungen Die ISIS-MTT-Erweiterungen X.509-Attribut-Zertifikate X.509-Fazit OpenPGP-Zertifikate OpenPGP-Pakete OpenPGP-Zertifikatsformat Unterschiede zu X CV-Zertifikate PKI-Prozesse im Detail Anwender-Enrollment Schritt 1: Registrierung Schritt 2: Zertifikate-Generierung Schritt 3: PSE-Übergabe Enrollment-Beispiele Zertifizierungsanträge Recovery Schlüsselverlust-Problem Chef-Sekretärin-Problem Urlauber-Vertreter-Problem Virenscanner-Problem Abruf von Sperrinformationen Sperrlisten Online-Sperrprüfung Weitere Formen des Abrufs von Sperrinformationen Spezielle Fragen beim Betrieb einer PKI Outsourcing oder Eigenbetrieb? Gültigkeitsmodelle Schalenmodell Kettenmodell Certificate Policy und CPS Was steht in einem CPS und einer Certification Policy? Nachteile von RFC Policy-Hierarchien Hierarchietiefe Policy Mapping Policy-Hierarchien in der Praxis 577

15 Ixxvi 29 Beispiel-PKIs Signaturgesetze und dazugehörende PKIs EU-Signaturrichtlinie Deutsches Signaturgesetz Österreichisches Signaturgesetz Schweizer ZertES Fazit Die PKIs elektronischer Ausweise Die PKI des elektronischen Reisepasses PKIs elektronischer Personalausweise PKIs elektronischer Krankenversichertenkarten Weitere PKIs Organisationsinterne PKIs Kommerzielle Trust Center Übergreifende PKIs Verwaltungs-PKI European Bridge-CA DFN-PCA Wurzel-CAs Kryptografie im OSl-Modell Das OSI-Modell Die Schichten des OSI-Modells Die wichtigsten Netzwerkprotokolle im OSI-Modell In welcher Schicht wird verschlüsselt? Kryptografie in Schicht 7 (Anwendungsschicht) Kryptografie in Schicht 4 (Transportschicht) Schicht 3 (Vermittlungsschicht) Schicht 2 (Sicherungsschicht) Schicht 1 (Bit-Übertragungsschicht) Fazit Krypto-StandardsfürOSI-Schichtl Krypto-Erweiterungen für ISDN Kryptografie im GSM-Standard Wie GSM Kryptografie einsetzt Sicherheit von GSM 611

16 xxvii 31.3 Kryptografie im UMTS-Standard Von UMTS verwendete Krypto-Verfahren UMTS-Krypto-Protokolle Krypto-StandardsfürOSI-Schicht Krypto-Erweiterungen für PPP CHAP und MS-CHAP EAP ECP und MPPE Virtuelle Private Netze in Schicht Kryptografie für WLANs WEP WPA WPA Kryptografie für Bluetooth Grundlagen der Bluetooth-Kryptografie Bluetooth-Authentifizierung und -Verschlüsselung Angriffe auf die Bluetooth-Sicherheitsarchitektur IPsec (Schicht 3) Bestandteile von IPsec ESP AH IKE ISAKMP Wie IKE ISAKMP nutzt Kritik an IPsec Virtuelle Private Netze mit IPsec SSL und TLS (Schicht 4) Funktionsweise von SSL Protokolleigenschaften SSL-Teilprotokolle SSL-Protokollablauf Das Handshake-Protokoll Das ChangeCipherSpec-Protokoll Das Alert-Protokoll Das ApplicationData-Protokoll SSL in der Praxis Vergleich zwischen IPsec und SSL VPNs mit SSL 655

17 I xxviii 35 Verschlüsselte und signierte s (Schicht 7) und Kryptografie Kryptografie für s S/MIME S/MIME-Format S/MIME-Profil von ISIS-MTT Bewertung von S/MIME OpenPGP OpenPGP Bewertung von OpenPGP Abholen von s: POP und IMAP Gefahren beim Abholen von s Krypto-Zusätze für IMAP Krypto-Zusätze für POP Weitere Krypto-Protokolle der Anwendungsschicht Kryptografie im World Wide Web Basic Authentication Digest Access Authentication NTLM HTTP über SSL (HTTPS) Was es sonst noch gibt Kryptografie für Echtzeitdaten im Internet (RTP) SRTP SRTP-Schlüsselaustausch Bewertung von SRTP Secure Shell (SSH) Entstehungsgeschichte der Secure Shell Funktionsweise der Secure Shell Bewertung der Secure Shell Online-Banking mit HBCI Der Standard Bewertung von HBCI und FinTS Weitere Krypto-Protokolle in Schicht Krypto-Erweiterungen für SNMP DNSSEC und TSIG Kryptografie für SAP R/ SASL Sicheres NTP und sicheres SNTP 691

18 xxix 37 Noch mehr Kryptografie in der Anwendungsschicht Dateiverschlüsselung Manuelle Dateiverschlüsselung Transparente Dateiverschlüsselung Code Signing Online-Bezahlsysteme Kreditkartensysteme Kontensysteme Bargeldsysteme Einige aktuelle Online-Bezahlsysteme Digital Rights Management DRM und Kryptografie Beispiele für DRM-Systeme Krypto-Wettbewerbe Kryptoanalyse-Wettbewerbe Algorithmen-Wettbewerbe Wer in der Kryptografie eine Rolle spielt Die zehn wichtigsten Personen Die zehn wichtigsten Unternehmen Die fünf wichtigsten Non-Profit-Organisationen Wo Sie mehr zum Thema erfahren Die wichtigsten Informationsquellen Die zehn wichtigsten Bücher Die zehn wichtigsten Webseiten Das letzte Kapitel Die zehn größten Krypto-Flops Schlangenöl Zehn populäre KryptoTrrtümer Murphys zehn Gesetze der Kryptografie 783

19 I xxx ШНЩЩЩШфШЩЩЩШШШШШШяШШШШШ Bildnachweis 787 Literatur 789 Index 811