11Sicherheit und Schutz

Transkript

1 11Sicherheit und Schutz durch die Offenheit verteilter Systeme sind Sicherheit und Schutz wichtige Themenfelder in Abhängigkeit der Systeme und ihrer Anwendungen müssen verschiedene Sicherheitsdienste realisiert werden, die über Sicherheitsmechanismen implementiert werden. die Bedrohung eines verteilten Systems geschieht auf dem Weg des Informationsflusses von einer Quelle zu einer Senke. Quelle und Senke können dabei sein: Dateien, Daten im Speicher, Datenpakete im Netz, Benutzer.

2 2 11 Sicherheit und Schutz Bedrohungen Unterbrechen Ein Teil des Systems, d.h. des gesamten Informationskanals, wird zerstört oder unbrauchbar. z.b. Durchtrennen eines Netzwerkkabels oder die Zerstörung einer Festplatte. Unterbrechungen sind ein Angriff auf die Verfügbarkeit des Gesamtsystems. Abhören, Mitschneiden ein nichtautorisierter Teilnehmer verschafft sich Zugang zu Informationen. z.b. Abhören von Netzwerkleitungen oder illegales Beschaffen von Dateikopien. Abhören ist ein Angriff auf die Vertraulichkeit der Informationen, die autorisierte Partner austauschen. Fälschen ein nichtautorisierter Teilnehmer verändert Nachrichten, Daten oder Programme. dies ist ein Angriff auf die Integrität der betroffenen Informationen. Hinzufügen, Generieren ein nichtautorisierter Teilnehmer ahmt Verhalten nach. z.b. Erzeugen falscher Nachrichten oder falscher Daten. dies ist ein Angriff gegen die Glaubwürdigkeit.

3 3 Angriffsformen für einen Angriff, muss ein Zugang zu dem System bestehen. meist über die Kommunikationskanäle des verteilten Systems. Lauschangriff das unbemerkte Abhören oder Mitschneiden des Kommunikationsstroms (engl.: eavesdropping). Selbst wenn die Information verschlüsselt ist, können evtl. Zugriffs- oder Kommunikationsmuster abgeleitet werden. der Lauschangriff ist eine passive Angriffsform, da der Inhalt nicht verändert wird. Maskerade ein Beteiligter gibt sich als jemand anderes aus (engl.: masquerading). bei Personen meist mittels eines anderen Passworts. bei Prozessen durch Nachahmen anderer Prozesse. Intrigieren Nachrichten werden im Verlauf der Übertragung verfälscht (engl.: tampering). der Empfänger erhält die Nachrichten anders, als sie der ursprüngliche Sender abgeschickt hat. Wiederholen Speichern von Nachrichten und deren verspätetes, aber unverändertes Abschicken (engl.: replay). mitgeschnittene Nachrichten werden erneut abgespielt, um z.b. nicht autorisierte Vorgänge zu starten. eine Verschlüsselung der Information reicht nicht aus.

4 4 11 Sicherheit und Schutz Verweigerung eine eingeschleuste Komponente verhindert die geforderte Diensterbringung, indem sie Nachrichten nicht weiterleitet, umleitet oder verfälscht (engl.: denial of service). Überfluten des Netzes mit willkürlichen Nachrichten kann z.b. zu Dienstverweigerung führen. Infiltration Passwort knacken Infiltrationsmethode für Personen um sich unberechtigten Zugang zum System zu verschaffen. ist das Passwort bekannt, ist das System des Benutzers vollkommen offengelegt. Abhilfe bzw. deutliche Erschwerung des Knackens von Passwörtern schafft eine gute Wahl und häufiges Wechseln des eigenen Passworts. Virus ein Programm, das an ein legitimes Programm oder Dokument angehängt ist. um große Verbreitung zu erlangen, sind oft Shareware-Programme oder Standard-Dokumente infiziert. Viren replizieren sich selbständig und infizieren so immer mehr legitime Ressourcen. die Übertragung erfolgt über das Netz oder durch den Austausch von Datenträgern mit infizierten Ressourcen.

5 5 Wurm nutzt gegebene Möglichkeiten Programme entfernt auszuführen, wobei sich ein Wurm repliziert und über das Netz verbreitet. Würmer sind durchaus auch sinnvolle Programme. der bekannteste Wurm ist wohl der Internet Wurm, der 1988 von einem Studenten programmiert, in kürzester Zeit das gesamte Internet lahmlegte. Trojanisches Pferd Programme, die vorgeben, sinnvoll zu laufen, aber im Verborgenen eine andere Funktion ausführen. z.b. spoof login, das den Ablauf eines Anmeldevorgangs vortäuscht, sich aber Benutzernamen und Passwort merkt.

6 6 11 Sicherheit und Schutz vertrauenswürdiges verteiltes System ausgehend von einer minimalen, vertrauenswürdigen Basis aus: Abgesicherte Kommunikationskanäle verhindert/erschwert das Abhören des Inhalts der Nachrichten. kann durch Verschlüsselung erfolgen. Gegenseitiges Mißtrauen es ist immer eine Authentisierung notwendig, um sicherzustellen, dass der Klient ein rechtmäßiger Vertreter seiner Klasse ist, um zu prüfen, ob ein Server authentisch ist. Frische der Nachrichten Nachrichten dürfen nicht veraltet sein. dies kann durch Zeitstempel, Tickets oder sogenannte Nonces erreicht werden. eine Nonce ist z.b. eine zufällig gewählte Zahl, die in verschiedenen Nachrichten eines Protokolls eingefügt wird, um erneutes Abspielen zu erschweren.

7 7 Mechanismen Verschlüsselung Kryptographie dient der Chiffrierung und Dechiffrierung von Nachrichten oder Informationen. sie dient auch als Basis für Authentisierung und digitale Signaturen. Authentisierung die Identität beteiligter Komponenten soll verifizierbar sein. z.b.: wer einen bestimmten geheimen Schlüssel besitzt, ist authentisch. oft ist die Authentisierung über Authentisierungs- und Schlüsselverteildienste implementiert, die Bestandteil der vertrauenswürdigen Basis sind. Zugriffskontrollmechanismen Zugriffskontrollisten bzw. Capabilities regeln den Zugriff auf Ressourcen. Sicherheitsaspekt lokaler Betriebssysteme und deswegen hier nicht weiter betrachtet.

8 8 11 Sicherheit und Schutz 11.1 Verschlüsselung Verschlüsselung stellt die Basis der Sicherheitsstrategien in verteilten Systemen dar. Die Verschlüsselung einer Information erfolgt durch eine Verschlüsselungsfunktion und einen Schlüssel. Schreibweise: F(K, M) {M} K, wobei F die Verschlüsselungsfunktion, K den Schlüssel, M die unverschlüsselte Nachricht {M} K, das mit K verschlüsselte M bezeichnet. alternativ E K (P) = C D K (C) = P P = Plain Text; C = Cipher Text die Schlüssel K müssen, falls notwendig, sicher verteilt und in jedem Fall sicher gespeichert werden. die Vergabe und das Verteilen von Schlüsseln wird oft durch einen vertrauenswürdigen Schlüsseldienst erledigt.

9 11.1 Verschlüsselung Verfahren mit geheimen Schlüsseln die Schlüssel sind nur dem Sender und Empfänger bekannt. die Kodier- und Dekodierfunktionen können durchaus öffentlich sein. die Kodier- und Dekodierfunktionen sind oft zu sich selbst invers. Ablauf Sender und Empfänger besorgen sich auf sicherem Weg den geheimen Schlüssel. Dann kann der Sender seine Nachricht mit dem Schlüssel verschlüsseln und dem Empfänger zuschicken. die gesendete Nachricht kann ohne den richtigen Schlüssel nicht ohne Aufwand dechiffriert werden. der Empfänger hat den Schlüssel und kann die Nachricht auspakken und lesen. Sender 1. Besorge K; 2. F(K, M) {M} K ; 3. Sende {M} K ; {M} K 1. Besorge K; Empfänger 4. Empfange {M} K ; 5. F -1 (K, {M} K ) M; Bild 11.1 Kommunikation mit geheimen Schlüsseln

10 10 11 Sicherheit und Schutz Data Encryption Standard, DES [NIS77]. Eingabe: 64-bit Klartext und 56-bit Schlüssel. 16 schlüsselabhängige Runden mit Bitrotationen. 3 schlüsselunabhängige Transpositionen. Ausgabe: 64-bit verschlüsselter Text. Mit dem gleichen Schlüssel kann die Entschlüsselung erfolgen, d.h. DES ist symmetrisch. für DES gibt es VLSI-Chips, die auf der Netzwerkkarte verwendet werden können, um in Echtzeit die Daten zu ver- und entschlüsseln. DES wurde insbesondere für eine Umsetzung als Hardwarebaustein konzipiert. DES Schlüssel lassen sich zurückrechnen, indem zu einem bekannten chiffrierten und dechiffrierten Text alle 2 56 = 7, Möglichkeiten überprüft werden. dies dauert beim Test von 1 Million Schlüssel pro Sekunde 1142 Jahre im Mittel. mit massiv parallelem Ansatz lassen sich DES-verschlüsselte Informationen in Minuten entschlüsseln. zur weiteren Sicherheit: der Schlüssel kann für jedes Nachrichtenpaket nach einem beiden Seiten bekannten Schema gewechselt werden. Verfahren mit längeren Schlüsseln einsetzen, z.b. triple DES mit 168-bit Schlüssel für 64-bit Daten International Data Encryption Algorithm, IDEA mit 128- bit Schlüssel für 64-bit Daten.

11 11.1 Verschlüsselung 11 Bewertung Nachteil: Sender und Empfänger müssen den Schlüssel zur Verfügung haben. es muss also immer ein Austausch des Schlüssels stattfinden. gerade der Austausch von sicherheitskritischen Komponenten ist anfällig gegen Angriffe. Vorteil: Geschwindigkeit in Software ca. 1 Mbit/s in Hardware ca. 100 Mbit/s

12 12 11 Sicherheit und Schutz Verfahren mit öffentlichen Schlüsseln Ziel: Verzicht auf Vertrauen zwischen Sender und Empfänger. erstmals Diffie Hellman mathematisch basieren öffentliche Schlüsselverfahren oft auf Einwegfunktionen d.h. wenig aufwendig in die eine, sehr aufwendig in die andere Richtung anwendbar. z.b. das Produkt zweier sehr großer Primzahlen (> ) und der Tatsache, dass eine Zerlegung in Primfaktoren sehr aufwendig ist. ein Empfänger bildet ein Schlüsselpaar aus einem öffentlichen und einem privaten Schlüssel. mit dem öffentlichen Schlüssel (PK e ) können Sender Nachrichten kodieren. nur der Besitzer des privaten Schlüssels (SK d ) kann dekodieren. beide Schlüssel werden unter Verwendung einer Einwegfunktion gebildet. d.h. aus Kenntnis eines Schlüssels kann der andere Schlüssel nur extrem aufwendig hergeleitet werden kann. die Kodierfunktion E und die Dekodierfunktion D dürfen öffentlich bekannt sein. eine mit E und dem öffentlichen Kodierschlüssel PK e verschlüsselte Nachricht lässt sich nur mit D und dem passenden Dekodierschlüssel SK d entpacken. oft sind PK und SK symmetrisch anwendbar d.h. beide können chiffrieren und dechiffrieren.

13 11.1 Verschlüsselung 13 Ablauf Ermittlung des Schlüsselpaars beim Empfänger. der Kodierschlüssel wird bei einem Schlüsseldienst hinterlegt. will ein Sender eine Nachricht zum Empfänger schicken, besorgt er sich beim Schlüsseldienst den Kodierschlüssel der Sender verschlüsselt mit der bekannten Kodierfunktion und dem Schlüssel die Nachricht. die verschlüsselte Nachricht kann nur der Empfänger, der allein den Dekodierschlüssel kennt, wieder auspacken. Schlüsseldienst Datenbank für öffentliche Schlüssel request PK e PK e PK e Sender 3. Besorge PK e ; 4. E(PK e, M) {M} PKe ; 5. Sende {M} PKe ; {M} PKe Empfänger 1. Berechne PK e, SK d ; 2. Veröffentliche PK e 6. Empfange {M} PKe ; 7. D(SK d, {M} PKe ) M; Bild 11.2 Kommunikation mit öffentlichen Schlüsseln

14 14 11 Sicherheit und Schutz Verfahren von Rivest, Shamir und Adelman (RSA), 1978 Auffinden zweier Zahlen e und d, die als Kodier- und Dekodierschlüssel dienen: 1. Wähle zwei Primzahlen P und Q (beide > ) und bilde N = P Q und Z = (P-1) (Q-1) 2. Wähle d frei als eine Zahl, die relativ prim zu Z ist. d.h. wähle d so, dass ggt (d, Z) = 1 erfüllt ist. 3. Die Zahl e ergibt sich aus der Lösung der Gleichung e d = 1 mod Z, mit e < Z. d.h. auch e muss relativ prim zu Z sein. Daraus ergeben sich die zwei Schlüssel: Kodierschlüssel: K e = <e, N> Dekodierschlüssel: K d = <d, N> Die zugehörigen Funktionen: Kodierfunktion: E(e, N, M) := M e mod N = {M} Dekodierfunktion: D(d, N, {M}) := {M} d mod N = M kodiert werden Nachrichtenblöcke deren ganzzahlige Repräsentation kleiner N ist, d.h. ein Block mit k Bit kann kodiert werden, wobei 2 k < N.

15 11.1 Verschlüsselung 15 Zahlenbeispiel mit kleinen Primzahlen: 1. Wähle P und Q und bestimme N und Z: P = 13; Q = 17; N = 221; Z = 192; 2. Wähle d relativ prim zu Z: d = 5; 3. Ermittle e mit e 5 = 1 mod 192: 1 mod 192 = 1, 193, 385, 577, ; 385 ist durch 5 teilbar; e = 385/5 = 77; Die Schlüssel sind daher: K e = <77, 221> K d = <5, 221>. Funktionen zum Ver- und Entschlüsseln: E(e, N, M) = M 77 mod 221 D(d, N, {M}) = {M} 5 mod 221. Anzahl der zu kodierenden Bits: N = 221, also ergibt sich k = 7. d.h. es können Nachrichtenblöcke mit einer Länge von 7 Bit kodiert werden.

16 16 11 Sicherheit und Schutz Bewertung Vorteil: nur eine Faktorisierung von N lässt Rückschlüsse auf P und Q zu, die eine Berechnung von d erlauben würde. eine Faktorisierung einer Zahl der Größenordnung dauert einige Milliarden Jahre auf einer Maschine, die 1 Million Instruktionen pro Sekunde durchführt. Nachteil: Geschwindigkeit in Software ca. 10 kbit/s in Hardware ca. 1 Mbit/s

17 11.2 Authentisierung Authentisierung Authentisierung ist der Vorgang, der sicherstellt, dass ein Teilnehmer tatsächlich der ist, der er vorgibt zu sein. z.b. Anmeldung eines Benutzers und dessen Authentisierung durch sein Passwort die Echtheit eines Prozesses als Kommunikationspartner. Authentisierung (und sichere Aufbewahrung und Verteilund von Schlüsseln) wird oft von einem eigenen Authentisierungsserver unterstützt. Authentisierung kann auf Basis geheimer oder öffentlicher Schlüsselverfahren entwickelt werden Authentisierung mit geheimen Schlüsseln der Authentisierungsserver verwaltet eine Liste mit Tupeln <Name, geheimer Schlüssel> jedes Akteurs (Principal). Aufgabe des Servers: zwei Kommunikationspartnern einen sicheren Weg zum Erhalt eines Kommunikationsschlüssels bieten. gleichzeitig sollen sich die Kommunikationspartner gegenseitig authentisieren können.

18 18 11 Sicherheit und Schutz Needham-Schroeder Protokoll mit geheimen Schlüsseln, 1978 der Authentisierungsdienst S kennt alle geheimen Schlüssel aller Teilnehmer. Sender A möchte mit Empfänger B kommunizieren. Senderichtung Nachricht Erläuterung 1.: A S A, B, N A A möchte mit B kommunizieren, N A ist eine beliebig gewählte, aber eindeutige Zahl (engl.: nonce). 2.: S A Server sendet geheimen N A, BK, AB,{ K AB, A} Kommunikations-Schlüssel K AB und ein KB K A mit B s Schlüssel K B versehenes Ticket verschlüsselt an A. A traut S, weil ausser A nur noch S den Schlüssel K A kennt. 3.: A B { K AB, A} A schickt das Ticket zu B, das nur B KB entschlüsseln kann. 4.: B A { N B } B entschlüsselt das Ticket und schickt KAB seine Nonce, um zu prüfen, ob A authentisch ist oder Nachrichten wiederholt. 5.: A B { N B 1} A bestätigt durch eine vereinbarte KAB Rückantwort. Bild 11.3 Needham-Schroeder Protokoll mit geheimen Schlüsseln Schwachstelle: B kann nicht sicher sein, dass das Ticket in Nachricht 3 frisch ist. ein Klient könnte sich später als A ausgeben, falls er sich das Ticket besorgt hat. Lösung: man fügt einen Zeitstempel zum Ticket hinzu: K AB At,. {, } KB

19 11.2 Authentisierung Authentisierung mit öffentlichen Schlüsseln Needham-Schroeder Protokoll mit öffentlichen Schlüsseln, 1978 jeder hat einen öffentlichen Schlüsselteil PK (public key) und einen geheimen Schlüsselteil SK (secret key). der Authentisierungsserver kennt alle öffentlichen Schlüssel. Senderichtung Nachricht Erläuterung 1.: A S A, B A möchte mit B kommunizieren. 2.: S A { PK Server sendet öffentlichen Schlüssel von B, PK B. B, B} SKS Jeder kann mit dem öffentlichen Schlüssel PK S entschlüsseln. Die Übertragung wird verschlüsselt, um Tampering zu verhindern und um die Nachricht als von S kommend zu authentisieren. 3.: A B { N A schickt an B eine Nonce. A, A} PKB Nur B kann das entschlüsseln. 4.: B S B, A B holt sich öffentlichen Schlüssel von A. 5.: S B { PK B erhält öffentlichen Schlüssel von A. A, A} SKS 6.: B A { N B prüft A durch die erhaltene und eine eigene A, N B } PKA Frischeinformationen. 7.: A B { N B } A ist tatsächlich A, weil nur A Nachricht 6 PKB entschlüsseln konnte. Bild 11.4 Needham-Schroeder Protokoll mit öffentlichen Schlüsseln Schwachstelle: A und B müssen glauben, dass die öffentlichen Schlüssel, die von S kommen (Nachrichten 2 und 5) frisch sind. durch zusätzliche Zeitstempel kann dies abgesichert werden.

20 20 11 Sicherheit und Schutz Kerberos Kerberos wurde am MIT als Teil des Athena-Projekts entwickelt. basiert auf dem Needham-Schroeder Protokoll mit geheimen Schlüsseln. der Kerberos Server heisst Key Distribution Centre, KDC. er beinhaltet: Authentication Service, A. Ticket-granting Service, T. Kerberos verwendet drei Sicherheitsobjekte: Ticket ticket( C, S) =,,,, { } KS { C S t 1 t 2 K CS } KS das Ticket erhält ein Klient, um sich bei einem Server S auszuweisen. Es enthält: Name des Klienten C, die Serveridentifikation S, Gültigkeits-Zeitintervall (t 1, t 2 ), Session-Key für C und S, von Kerberos erzeugt. Authenticator { C, t} KCT = { auth( C) } KCT der Authenticator sichert die Identität des Klienten gegenüber dem Server. er wird vom Klienten erzeugt und mit einem Session- Key verschlüsselt. Session-Key dient der verschlüsselten Kommunikation zwischen Klient und Server.

21 11.2 Authentisierung 21 Key Distribution Centre Authentication Service (A) (2) Ticket-granting Service (T) (4) Klient (C) (1) (3) Server (S) Login session setup Server session setup Operation (6) (5) Bild 11.5 Systemarchitektur von Kerberos

22 22 11 Sicherheit und Schutz Kerberos Protokoll (Kerberos Version 5) Pro Einlog-Sitzung eines Benutzers: 1.: C A C, T, N C möchte ein Ticket für den Ticket-granting Service T. 2.: A C { K CT, N}, { ticket( C, T) } C erhält in seiner KC KT Verschlüsselung K C den Session-Key K CT mit der Nonce aus Nachricht 1, um mit T zu kommunizieren und das notwendige Ticket verschlüsselt mit Ts Schlüssel. Pro verwendetem Service: 3.: C T { auth( C) } KCT, { ticket( C, T) } KT, S, N C möchte mit S kommunizieren und identifiziert sich gegenüber T mit seiner Autorisierung und dem erhaltenen Ticket. 4.: T C { K CS, N}, { ticket( C, S) } T prüft das Ticket und KCT KS generiert einen Session-Key K CS, sowie ein Ticket für S. Pro Nutzung eines Services: 5.: C S { auth( C) } KCS, { ticket( C, S) } KS, request, N C schickt Request an den Server. Er authentisiert sich und hat ein Ticket. Wenn die Daten des Requests zu sichern sind, werden sie mittels K S verschlüsselt. 6.: S C { N} KCS Optional schickt der Server eine Nonce, um sich selbst gegenüber dem Klienten zu authentisieren. Bild 11.6 Kerberos Protokoll

23 11.2 Authentisierung 23 Einlogphase: der Benutzer tippt seinen Namen ein. dieser wird zum Kerberos Authentisierungsdienst geschickt. der Schlüssel K C wird aus dem Passwort des Nutzers gebildet, das beim Authentisierungsdienst gespeichert ist. das Login-Programm entschlüsselt den erhaltenen Session- Key anhand des eingetippten Passworts. das Passwort erscheint somit nicht auf dem Netz. kleiner Nachteil von Kerberos: jedes Ticket hat ein Gültigkeitsintervall. die Gültigkeit ist zeitabhängig. also benötigen alle beteiligten Rechner eine gemeinsame (lose) Zeitbasis. Tickets sind typischerweise 12 Stunden gültig.

24 24 11 Sicherheit und Schutz 11.3 Digitale Signaturen eine digitale Signatur dient der Sicherstellung, dass eine Nachricht M ursprünglich vom Absender A kommt. die Integrität von M ist gewahrt. Idee: A verschickt die Nachricht M zusammen mit seinem Namen A und der verschlüsselten Nachricht {M} KA. bei Besitz der Entschlüsselungsfunktion (inkl. Schlüssel) können beide Nachrichten verglichen werden. bei Gleichheit wurde nichts verändert. bei großen Nachrichten ist die Verschlüsselung und die Versendung der doppelten Nachricht zu aufwendig. deswegen verschlüsselt man nicht die ganze Nachricht, sondern nur den sogenannten Digest, D(M). die Digestfunktion, meist eine Hashfunktion, ist so gewählt, dass sie für ähnliche Nachrichten stark unterschiedliche D(M) produziert. bekannte Digestfunktionen sind MD5 oder SHA-1. Digitale Signaturen können mit geheimen oder öffentlichen Schlüsseln gebildet werden.

25 11.3 Digitale Signaturen 25 2.: S A { A, { D( M) }, t} KS Der Server erstellt eine unterschriebene und datierte Zertifizierung der Signatur von A für das Dokument. Er sendet dies geheim verschlüsselt zu A. 3.: A B M, { A, { D( M) }, t} K A schickt die Nachricht und S das Zertifikat zu B. 4.: B S B, { A, { D( M) }, t} K B läßt sich das Zertifikat von S S entschlüsseln. 5.: S B { A, { D( M) }, t} KB Der Server entschlüsselt das Zertifikat und schickt es verschlüsselt mit dem Schlüssel von B zurück. Bild 11.7 Protokoll für digitale Signaturen mit geheimen Schlüsseln Bild 11.8 Protokoll für digitale Signaturen mit öffentlichen Schlüsseln Senderichtung Nachricht Erläuterung 1.: A S A, { D( M) } KA A schickt den mit seinem geheimen Schlüssel verschlüsselten Digest zum Authentisierungsdienst. Senderichtung Nachricht Erläuterung 1.: A B M, A, { D( M) } SKA A schickt das Original und die mit dem privaten Schlüssel verschlüsselte Signatur zu B. 2.: B S A B erfragt den öffentlichen Schlüssel von A beim Schlüsseldienst S. 3.: S B A, PK A B entschlüsselt die Signatur und vergleicht mit einem selbst berechneten D(M). Anwendungen: z.b. Privacy Enhanced Mail, PEM, Pretty Good Privacy, PGP, Zertifikatsbasierte Authentisierung