5: Angriffe 5.1: Mechanische Schlösser

Transkript

1 5: Angriffe 5.1: Mechanische Schlösser Mediensicherheit / Kryptologie verwenden (methaphorisch?) Begriffe der mechanischen Schlösser (z.b. Schlüssel ). Warum nicht den Spieß umdrehen und die Verfahren der mechanischen Schlösser mit den Begriffen der Mediensicherheit / Kryptologie analysieren? Dies ist unterhaltsam... und hilft Ihnen hoffentlich auch, die Denkweise der Kryptographie besser zu verstehen : Angriffe 5.1: Mechanische Schlösser

2 Mechanische Schlösser Man kann Schlösser/Türen mit Gewalt aufbrechen, mit Lockpicking -Techniken öffnen (siehe Abb. rechts),... oder einen un-authorisierten Nachschlüssel generieren. Unser Thema: Einfache und riskikolose Methode, un-authorisiert einen Generalschlüssel für eine Wohnanlage (oder dergl.) zu generieren. Dazu genügt ein eigener Wohnungsschlüssel : Angriffe 5.1: Mechanische Schlösser

3 Die Funktion eines mechanischen Schlosses typischerweise 4 bis 7 Abtast-Stifte für jeden Stift 4 bis 10 mögliche Positionen Anzahl der verschiedenen Schließungen: Positionen Abtast-Stifte (also theoretisch zwischen 4 4 = 256 und 10 7 = ) idealerweise soll das Schloss nur eine einzige Schließung akzeptieren 158 5: Angriffe 5.1: Mechanische Schlösser

4 Generalschlüssel ein Schloss, zwei verschiedene Schließungen idealerweise sollte das Schloss nur diese beiden Schließungen akzeptieren... meistens akzeptiert es mehr! 159 5: Angriffe 5.1: Mechanische Schlösser

5 Wie funktioniert ein typisches Schloss (6 Abtast-Stifte)? 160 5: Angriffe 5.1: Mechanische Schlösser

6 Schloss mit passendem Schlüssel (der Zylinder lässt sich drehen) 161 5: Angriffe 5.1: Mechanische Schlösser

7 Schloss mit unpassendem Schlüssel (der Zylinder ist blockiert) 162 5: Angriffe 5.1: Mechanische Schlösser

8 Schloss mit doppelter Schließung (für Generalschlüssel) 163 5: Angriffe 5.1: Mechanische Schlösser

9 Etwas Rechnerei jeder Abtast-Stift hat typischerweise zwei verschiedene zulässige Positionen, die unabhängig von den anderen Abtast-Stiften sind. Beispiel: 6 Abtast-Stifte, jeweils 8 verschiedene Positionen: 8 6 = verschiedene Schließungen akzeptiert werden 2 6 = 64 Schließungen (etwa jede 4000-ste) 164 5: Angriffe 5.1: Mechanische Schlösser

10 Ein Sicherheitsproblem? (Fortsetzung des Zahlenbeispiels): Ein Angreifer mit 4000 zufälligen Schlüsseln könnte knapp die Hälfte aller Türen öffnen wenn man ihm die Zeit dazu lässt. Is das ein praktisches Sicherheitsproblem? Lockpicking dürfte effektiver sein : Angriffe 5.1: Mechanische Schlösser

11 Der Angriff (konkretes Szenario) Angreifer hat einen Individualschlüssel Angreifer kann eine begrenzte Anzahl von Schlüsseln mit vorgegebener Schließung anfertigen (mit den üblichen Werkzeugen eines Schlüsseldienstes) Angreifer will Generalschlüssel erzeugen. Angreifer hat Orakel-Zugriff zu einem Schloss zu dem an der eigenen Wohnungstür : Angriffe 5.1: Mechanische Schlösser

12 Der Angriff (abstraktes Szenario) Gegeben: Angreifer hat eigenen Schlüssel (mit der Schließung S 0 ) und ein Schloss, dass den eigenen Schlüssel und den Generalschlüssel (mit der ihm unbekannten Schließung S ) akzeptiert. Fragephase: Angreifer wählt q = Abtaststifte ( Positionen 1) Schließungen S 1,..., S q und testet, welchen dieser Schlüssel das eigene Schloss akzeptiert. Ratephase: Angreifer gewinnt, wenn es ihm nun gelingt, die Schließung S des Master-Schlüssels zu errechnen : Angriffe 5.1: Mechanische Schlösser

13 Der Angriff ( Tafel) Beispiel: Abtaststifte = 6, Positionen = 8, q = 42. Der 43-ste Schlüssel, den der Angreifer nachmachen lässt, ist der Generalschlüssel : Angriffe 5.1: Mechanische Schlösser

14 Bemerkungen Nicht alle Systeme für Schließanlagen mit Generalschlüssel arbeiten so wie hier dargestellt. Das hier angegriffene System ist aber besonders weit verbreitet. Bei einer hinreichend abstrakten Betrachtungsweise erscheint die Schwäche dieses Systems offensichtlich. Nur muss man zuerst wissen, wie das System eigentlich funktioniert. Tatsächlich war diese Schwäche unter Schloßherstellern (und vermutlich unter Einbrechern) gut bekannt. Nur die Kunden kannten das Problem meistens nicht : Angriffe 5.1: Mechanische Schlösser

15 Matt Blaze, Autor des Angriffs (Januar 2003) For a few days, my inbox was full of angry letters from locksmiths, the majority of which made both the point that I m a moron, because everyone knew about this already, as well as the point that I m irresponsible, because this method is much too dangerous to publish. [It] strikes me as a classic instance of the failure of the keep vulnerabilities secret security model. I m told that the industry has known about this vulnerability and chosen to do nothing not even warn its customers for over a century. The tragic part is that there are alternatives. There are several lock designs that turn out to resist this threat [...] 170 5: Angriffe 5.1: Mechanische Schlösser

16 Zerlege den Schlüsselraum in unabhängige Teile Generelle Angriffstechnik nicht nur für Generalschlüssel Was kann einem Passwort-Vergleich schon schief gehen? Require: Password[1,..., Length], Input[1, L] for i := 1 to Length do if i > L then return error! else if Password[i] Input[i] then return error! end if end for Perform_Authorised_Action Timing -Angriff: Stimmen die ersten i Zeichen der Eingabe mit dem Passwort überein? 171 5: Angriffe 5.1: Mechanische Schlösser

17 5.2: Differentielle Kryptanalyse Sei f eine kryptographische Funktion. Gegeben zwei zufällige Eingaben x und x mit einer festgelegten Differenz x = x x. Wie wahrscheinlich ist es, eine bestimmte Ausgabedifferenz zu erhalten? y = f(x) f(x ) 172 5: Angriffe 5.2: Differentielle Kryptanalyse

18 Beispiel: Die DES S-Box S1: {0, 1} 6 {0, 1} 4 Für jeden Wert x {0, 1} 6 gibt es 64 Paare x, x {0, 1} 6 mit x x = x. Idealfall : Für jedes y {0, 1} 4 gibt es genau 4 derartige Paare x, x mit S1(x) S1(x ) = y. Tatsächlich aber (Beispiel für x = (110100)): y Anzahl y Anzahl : Angriffe 5.2: Differentielle Kryptanalyse

19 Beispiel (Fortsetzung) y Anzahl y Anzahl Wenn wir ein zufälliges Paar von Inputs x, x mit x x = (110100) wählen, dann gilt: Die Output-Differenz ist nie 0000, 0101,... Mit der Wahrscheinlichkeit 16/64 = 0.25 ist y = In diesem Fall ändert sich (nur!) bit 23 der Ausgabe (wegen der P-Permutation ) : Angriffe 5.2: Differentielle Kryptanalyse

20 Differentielle Charakteristiken Eine r-runden-charakteristik beschreibt alle auftretenden Differenzen von Runde zu Runde. Die Klartext-Differenzen sind bekannt (bzw. sogar von Angreifer gewählt). Eine Charakteristik besitzt eine bestimmte Wahrscheinlichkeit. Bei deren Berechnung geht man vereinfachend davon aus, dass die Rundenschlüssel zufällig und voneinander unabhängig sind. Ist die Wahrscheinlichkeit einer r-runden-charakteristik signifikant, kann man sie typischerweise als Unterscheidungsangriff auf r Runden der Chiffre auffassen : Angriffe 5.2: Differentielle Kryptanalyse

21 Beispiel Wir definieren x = a = f(x) = b = Bei dieser Differenz existiert nur eine einzige aktive S-Box. Die anderen sieben S-Boxen haben Ein- und Ausgangsdifferenz 0 (mit Wahrscheinlichkeit 1). Für die f-funktion des DES gilt p = Pr[ f(x) = b x = a] = 1/4. 3-Runden Charakteristik mit der WS p 2 = 1/16 ( Tafel) Key-Recovery für 5 Runden des DES ( Tafel) 176 5: Angriffe 5.2: Differentielle Kryptanalyse

22 Kann man mit Differentieller Kryptanalyse den vollen DES (alle 16 Runden) knacken? Theoretisch ja praktisch eher nicht! Bester bekannter differentieller Angriff: 2 47 gewählte oder 2 55 zufällige Klartexte vergleichsweise geringer Rechenaufwand 13-Runden Charakteristik drei aktive S-Boxen pro Runde Die meisten Blockchiffren aus den 1970er und 1980er Jahren und die meisten Varianten des DES mit veränderten S-Boxen sind erheblich verwundbarer! Die Entwickler des DES kannten die diff. Kryptanalyse. Die Schlüssellänge von 56 bit entspricht nicht zufällig der Sicherheit bei zufälligen Klartexten : Angriffe 5.2: Differentielle Kryptanalyse

23 Die S-Box des AES: differentielle Wahrscheinlichkeit 2 6 S : {0, 1} 8 {0, 1} 8 X 0, Y : Pr [S(X) S(X X) = δy ] 2 6 X,Y Sub Bytes S 178 5: Angriffe 5.2: Differentielle Kryptanalyse

24 Die Rundenoperationen des AES Diffusion im vollen AES Klartexte: bekannte Differenz (1 Byte); beste r-runden-charakteristik: M, M K 0 SB SR MC K 1 r WS SB SR MC K : Angriffe 5.2: Differentielle Kryptanalyse

25 Kann man den AES mit differentieller Kryptanalyse knacken? r WS NEIN! 4-Runden AES: 25 aktive S-Boxen ( Branch Number ) Jede aktive S-Box: WS 2 6. Resistenz gegen differentielle Kryptanalyse: Wichtig beim AES-Wettbewerb : Angriffe 5.2: Differentielle Kryptanalyse

26 5.3: Seitenkanalangriffe Angreifer hat Zugang zu Information, die er nach der mathematischen Beschreibung des Kryptosystems nicht haben dürfte: Berechnungszeit ( Passwort-Vergleich) Stromverbrauch Elektromagnetische Abstrahlung Speicherzugriffe (Cache-Speicher) : Angriffe 5.3: Seitenkanalangriffe

27 Power Analysis Was sieht man mit einem Oszilloskop, wenn man eine AES-Berechung durchführt? 182 5: Angriffe 5.3: Seitenkanalangriffe (Standaert, Pereira, Yu, Crypto 2013)

28 Und was hat der Angreifer, wenn er einen solchen Leakage-Trail sieht? h: Höhe des Peaks w: Hamming-Gewicht des S-Box Outputs R: Rauschen w = f(h) + R (Standaert, Pereira, Yu, Crypto 2013) 183 5: Angriffe 5.3: Seitenkanalangriffe

29 Differential Power Analysis (DPA) auf den AES DPA: viele M i, viele Messungen bei den jeweiligen Berechnungen der C i = E K(M i) Klartexte M i, Differenz in einem Byte Hamming-Gewicht w i nach der ersten SB-Operation M i K 0 SB Finde das entsprechende Byte von K : Angriffe 5.3: Seitenkanalangriffe

30 Kann man mit DPA den AES Knacken? Manchmal! M i K 0 SB Es kommt auf die Implementation an (Hardware und Software), und darauf, ob und wo die Messsonden angeschlossen werden können, und darauf, ob wir die M i tatsächlich so frei wählen können. Manchmal reichen wenige Leakage-Trails, manchmal braucht es Tausende und manchmal mehr, als der Angreifer je messen kann : Angriffe 5.3: Seitenkanalangriffe

31 Bemerkungen Sie sollten erklären können, warum es verheerend ist, wenn man Teile des Schlüsselraums unabhängig von anderen Teilen angreifen kann (Beispiel: Generalschlüssel, Passwort-Vergleich), wissen, wie die differentielle Kryptanalyse funktioniert, sie am Beispiel des DES und des AES erläutern können, sie in ähnlichen Fällen auch selbst zur Analyse von Kryptosystemen einsetzen können, den Begriff der Seitenkanalangriffe verstanden haben, insbesondere Timing-Angriffe und Differential Power Analysis an Beispielen erläutern können, und diese Methoden in einfachen Fällen auch selbst einsetzen können : Angriffe 5.4: Bemerkungen