... schuld war die Chipstüte

Transkript

1 Grundlagen der Kryptographie Sebastian Oerding 02. Oktober 2015

2 Warum die Chipstüte schuld ist Rekonstruktion von Ton aus den Vibrationen der Chipstüte.

3 Was der Vortrag vermitteln soll grundlegendes Verständnis für asymmetrische Kryptographie Kenntnis der häufigsten Schlagworte Bewusstsein für Sicherheit abseits der Kryptographie

4 Alice und...

5 ... werden belauscht Alice und Ver- und Entschlüsselung von Nachrichten Einigung auf ein verwendetes Verfahren Austausch von Schlüsseln Alice und können kein Verfahren verwenden welches einfach rückwärts angewendet werden kann (z.b. Verschiebung von Buchstaben). bei welchem zum Entschlüsseln benötigte Schlüssel übertragen werden.

6 Asymmetrische Kryptographie Schlüsselpaare mit öffentlichem (public key) und privatem Schlüssel (private key) public key erlaubt keinen Rückschluss auf den private key erzeugt jeder Kommunikationsteilnehmer für sich selbst

7 Zertifikate Autoritätsbasierte public key infrastructure (PKI) public keys werden von einer (vertrauenswürdigen) Instanz (certificate authority = CA) signiert und als Zertifikate veröffentlicht (kein web of trust) CA benutzt privaten Signaturschlüssel zur Signierung Signatur mit public key der CA überprüfbar

8 Zertifikatsvalidierung - I Prüfung von Zertifikaten 1. Zertifikat bereits als vertrauenswürdig bekannt? 2. ja fertig, Zertifikat akzeptieren. 3. nein prüfe das Signatur mit dem entsprechendem Signaturzertifikat. 4. Prüfung fehlgeschlagen Zertifikat ablehnen 5. Prüfung erfolgreich gehe zu 1. und prüfe das Signaturzertifikat

9 Zertifikatsvalidierung - II Das root certificate Durch Validierung ergibt sich ein Zertifikatsbaum, dessen Wurzel ein selbstsigniertes Zertifikat (Signatur mit korrespondierendem private key) ist Diesem Zertifikat (root certificate) muss dann per Konfiguration vertraut werden, z.b. Betriebssystems und Browser haben Liste vertrauenswürdiger Zertifikate

10 ... schuld war die Chipstu te Was bedeutet Signatur Soll man diesem Mann vertrauen? I die Verwendung eines public key sagt nichts u ber den Verwender aus I mit digitaler Signatur Beweis, dass man private key zu einem bestimmten public key kennt I Pru fung auf Authentizita t von Nachrichten c 2015 Sebastian Oerding

11 Hashfunktionen Erzeugung von Signaturen Abbildung von einer vergleichsweise großen Menge auf eine vergleichsweise kleine Menge, z.b. f mod2 Z {0,1}. f mod 2 (1) f mod 2 (3) Hash-Kollisionen

12 Kryptographische Hash-Funktionen Für kryptographische Operationen benötigt man Hash-Verfahren, die sicher sind: es muss z.b. für einen gegebenen Hashwert schwer sein, die Eingabe zu finden, die diesen Wert ergibt. Hash-Kollisionen müssen möglichst selten sein (also gleichmäßige Verteilung der Bilder). Standardverfahren: SHA1, SHA2,... ganz neu SHA3.

13 Kommunikation mit Verschlüsselung und Signatur Schlüsselpaare jeder Kommunikationsteilnehmer hat normalerweise seine eigenen Schlüsselpaare üblicherweise verschiedene Schlüsselpaare für Ver-/Entschlüsselung und Signierung / Verifikation benutzt

14 public Key enc, Alice public Key sig, To: Alice public ( public Key enc, Alice public Key enc, Alice public Key sig, To: Alice public Key enc, Alice public Key sig, To: Alice public Key sig, To: Alice schickt Alice eine Nachricht private Key enc, Alice private Key sig, public Key enc, Alice Alice public Key sig, BOB BOB To: Alice ( ) To: Alice ) To: Alice To: Alice

15 private public Key enc, Alice public Key sig, To: Alice public Key enc, Alice public Key sig, To: Alice public Key enc, Alice public Key sig, To: Alice Alice verifiziert und entschlüsselt Alice ( ) To: Alice ( To: Alice ) To: Alice

16 public Key enc, Alice public Key sig, To: Alice Falls die Verifikation fehlschlägt Alice ( ) To: Alice

17 Alice schreibt zurück Wenn Alice eine Nachricht schickt, dann benutzt sie s public key pu enc, zum Verschlüsseln und ihren privaten Signaturschlüssel pr sig,alice zum Signieren. benutzt dann entsprechend pu sig,alice zur Signaturprüfung und pr enc, zum entschlüsseln. Jeder muss nur die öffentlichen Schlüssel der Kommunikationspartner und seine privaten Schlüssel kennen.

18 Asymmetrische Kryptographie II public key kann nicht aus private key errechnet werden Funktionen, die einfach ausgeführt dabei aber nur schwer rückwärts ausgeführt (= invertiert) werden können. z.b. ist die Multiplikation zweier Zahlen deutlich einfacher als die Faktorisierung des entstandenen Produkts. das Problem der Bestimmung des diskreten Logarithmus über elliptischen Kurven (ECDLP) ist noch besser.

19 Elliptische Kurven in der Kryptographie elliptische Kurven über endlichen Körpern, d.h. eine Menge mit endlich vielen Elementen mit Addition, Multiplikation und Eigenschaften eines Körpers. Definition einer zyklischen Gruppe G p := p n n N mit einem Punkt p der Kurve als Erzeuger, in der Addition / Muliplikation von Punkten einfach, die Division aber schwer ist. D.h. es ist schwer für einen gegebenen Punkt A in einer von einem Punkt P erzeugten Gruppe eine natürliche Zahl n mit np = A zu finden. Dieses Problem wird Diskreter-Logarithmus-Problem genannt. Beispiel: Zyklische Gruppe Z/3Z ist die Menge {0, 1, 2}, log 2 1 = 2, da mod 3.

20 Anwendung elliptischer Kurven zur Verschlüsselung die Bits der Nachricht auf irgendeine Weise den Punkten einer bekannten elliptischen Kurve zuordnen und auf den Punkten (Bits) die Verschlüsselungsfunktion P ap mit einer festen natürlichen Zahl a > 1 anwenden. Berechnung von a (= diskreter Logarithmus) ist deutlich schwerer als die Berechnung des diskreten Logarithmus in endlichen Körpern oder die Faktorisierung ganzer Zahlen. Kryptosysteme auf Basis elliptischer Kurven bieten bei deutlich kürzeren Schlüsseln ein vergleichbares Sicherheitsniveau, z.b. EC mit 160 Bit entspricht ungefähr RSA mit 1024 Bit.

21 Angriff auf Kryptosysteme - brute force Durchprobieren aller Möglichkeiten bis die richtige gefunden wurde, z.b. teile Zahl n durch {1, 2,..., n }, solange bis eine Zahl a N mit ab = n gefunden wurde.

22 Angriff auf Kryptosysteme - rainbow tables Verwendung von Hashfunktionen an vielen Stellen - Angriffe auf Hashfunktionen sind üblicher Weg zum Angriff auf Kryptoverfahren Rainbow tables ermöglichen eine schnelle Suche nach einem Ausgangswert zu einem gegebenen Hashwert In Rainbow tables sind für eine festgelegte Anzahl an Iterationen Ausgangswerte und finale Hashwerte abgelegt

23 Beispiel rainbow tables - I Berechne einmalig die Tabelle für Kennwörter mit 6 Stellen aus einem Satz von 64 Zeichen 64 6 mögliche Passwörter, Tabelle mit vorberechneten MD5 Hashes ca. 1,4 Terabyte Wähle Startwert, führe Hashfunktion / Reduktionsfunktion (macht aus einem Hash wieder ein Passwort) iterativ für eine festgelegte Anzahl an Iterationen durch, speichere Hashwert der letzten Iteration zusammen mit Startwert in rainbow table

24 Beispiel rainbow tables - II Benutze die vorberechnete Tabelle Wende für gegebenen Hashwert die Reduktions-/Hashfunktion iterativ solange an, bis ein finaler Hashwert errechnet wird Nehme zum finalen Hashwert das Startkennwort und wende Hash-/Reduktionsfunktion solange an, bis der gegebene Hashwert errechnet wird Letzte Eingabe der Hashfunktion ist das Passwort

25 Schutz gegen rainbow tables: Salting Zufällig generierten Wert, das Salt an das Passwort anhängen. Salt im Klartext zusammen mit dem Hashwert speichern, ist also kein Geheimnis Erstellung einer rainbow table für jeden möglichen Salt macht diesen Angriff unwirtschaftlich Salting wirkungslos gegen Brute Force, verhindert Angriffe mittels Rainbow tables.

26 Schutz gegen brute force: Iterationen Passwörter mehrfach hashen, üblicherweise mehrere tausend Iterationen Hashfunktionen sollen hinreichend komplex sein, um Angriffe mittels Brute Force auszubremsen Z.B. bcrypt, benötigt viel Speicher, was die Nutzung von Spezialhardware verhindert Hashfunktionen ohne Salts oder Iterationen sind unsicher

27 Angriff durch schwache Zufallszahlengeneratoren Verwendung zufälliger großer Zahlen für asymmetrische Kryptographie. Z.B. Erzeugung von Schlüsseln mittels Zufallszahlen - da nur der Zufall gewährleistet, dass ein Angreifer die Zahlen nicht kennt. Ein guter Generator ist möglichst chaotisch und nicht vorhersagbar In Dual EC DRBG, verabschiedet vom NIST, gezielt von der NSA eine Schwachstelle eingebaut. Als Lösung können nur andere (hoffentlich starke) Generatoren verwendet werden.

28 Seitenkanalangriffe Angriff auf bestimmte Implementierung eines Kryptosystems. Unterschiede im Erdungspotential des entschlüsselnden Rechners. charakteristische Geräusche der Hardware. Alternative Angriffsformen: Erpressung, KeyLogger, Diebstahl von Hardware (mit Schlüsselmaterial).

29 Schutz mit Perfect Forward Secrecy - I Schlüsselpaare für asymmetrische Kryptographie werden relativ selten neu erstellt. Aufgezeichnete verschlüsselte Kommunikation kann bei Bekanntwerden des private key entschlüsselt werden - PFS verhindert dies. Erzeugung eines geheimen Schlüssels für jede Sitzung (unter Verwendung des Langzeitschlüssels), der aber nicht nachträglich aus dem Langzeitschlüssel rekonstruiert werden kann.

30 Schutz mit Perfect Forward Secrecy - II Kennt ein Angreifer den Sitzungsschlüssel, so kann er nur diese eine Sitzung entschlüsseln. PFS bei TLS Langzeitschlüssel nur, um Kurzzeitschlüssel zu signieren. Mit dem Kurzzeitschlüssel dann Schlüsselaustausch (z.b. Diffie-Hellman) zur Erzeugung eines symmetrischen und geheimen Sitzungsschlüssels. Bei Kompromittierung der Server erhalten Angreifer nur (naja) den langfristigen Signaturschlüssel und die Sitzungschlüssel gerade aktiver Verbindungen.

31 Sicherheitslücken - I Heartbleed Speicherüberlauf in OpenSSL ermöglicht Zugriff auf bis zu 64KB Speicherinhalt von einem beliebigem Client aus. Shellshock In der bash kann eine String-Variable als Wert ausführbaren Code enthalten, der dann ungeprüft ausgeführt wird. Rawhammer Kippen von Bits durch massive Leseoperationen auf benachbarte Speicherbereiche, dadurch z.b. Erhöhung der Rechte. Logjam Schwäche im DH key exchange (nicht ECDH, also Diffie-Hellman mit elliptischen Kurven) ermöglicht Man-In-The-Middle-Angriffe. Ölpipeline 2008 Explosion einer türkischen Ölpipeline, wahrscheinlich durch eine Cyberattacke verursacht.

32 Sicherheitslücken - II Hochofen Aus dem BSI-Sicherheitsbericht 2014: Schwere Schäden an einem Hochofen durch eine Cyberattacke. Ashley-Madison Hashen der Passwörter mit MD5 ermöglicht das Knacken von ca. 15 Millionen Passwörtern in wenigen Wochen, in der Folge Suizide. java.util.date ist mutable Date als Argument übergeben und ändern nachdem der aufrufende Code alle Prüfungen durchgeführt hat. DigiNotar CA für niederländische PKI (public key infrastructure) gehackt, (SSL-)Zertifikate für Domains wie google.com, microsoft.com ausgestellt, Insolvenz der CA 3 Wochen später.

33 Glossar - I certificate path validation Validierung von Zertifikaten (siehe Folie Zertifikate ) CRL certificate revocation list, Liste mit Seriennummern zurückgezogener Zertifikate DH key exchange Diffie-Hellman-Schlüsselaustausch EC elliptic curve KDF key derivation function, Funktion zur Ableitung eines Schlüssels (z.b. symmetrischer Sitzungschlüssel) MAC message authentication code, HMAC hashed MAC MessageDigest Hash-Wert einer Nachricht bzw. die Hash-Funktion

34 Glossar - II PBKDF password based KDF, welche ein Geheimnis benutzt PKI public key infrastructure Sperrliste CRL PFS perfect forward secrecy Shodan jap. niedrigster Lehrergrad im Kampfsport und Go (Brettspiel), auch: Suchmaschine für verwundbare Systeme web of trust Gegenmodel zu Zertifikaten mit einer Root CA als Vertrauensanker X.509 Zertifikat Zertifikat nach RFC (aktuell RFC 5280), signierter public key, welcher mit zusätzl. Informationen (Gültigkeitszeitraum, Zertifikatsaussteller, Zertifikatsinhaber) kombiniert wird

35 Copyright Foto auf Folie Warum die Chipstüte schuld ist Creative Commons Attribution Non-commercial 2.0, Urheber Sebastian Oerding. Zeichnungen auf den Folien schickt Alice eine Nachricht, Alice verifiziert und entschlüsselt und Falls die Verifikation fehlschlägt Creative Commons Attribution Non-commercial 2.0, Urheber Polina Belonozhka & Sebastian Oerding. Alle sonstigen Clip arts openclipart, sind Public Domain. Der Vortrag in seiner Gesamtheit und alle nicht hier aufgelisteten Teile Creative Commons Attribution Non-commercial 2.0, Urheber Sebastian Oerding.