Sicherheit in IT-Systemen WS 07/08 Kapitel 3: Identifikation und Authentisierung

Transkript

1 Seite 1 Sicherheit in IT-Systemen WS 07/08 Kapitel 3: Identifikation und Authentisierung

2 Folie 2 Identifikation Do I know you? Disney/Pixar

3 Folie 3 Identifikation (Identification) Definitionen: MODINIS: The identity of an entity is the dynamic collection of all of the entity s attributes. An entity has only one identity. Eigene Definition: Die Identität einer Einheit ist eine eindeutige und unabänderlich mit dieser Einheit verknüpfte Eigenschaft (oder Menge von Eigenschaften), welche bei einer Einheit während ihrer gesamten Existenz gleich bleibt und auch nicht auf andere Objekte übertragen werden kann. Bishop: A principal is a unique entity. An identity specifies a principal.

4 Folie 4 Identifikator (Identifier) Definitionen: MODINIS: An identifier is an attribute or a set of attributes of an entity which uniquely identifies the entity within a certain context. Eigene Definition: Ein Identifikator ist ein Merkmal (oder eine Menge von Merkmalen), welches geeignet ist, eine Einheit zu identifizieren, das heißt, ihre Identität im gegebenen Kontext zweifelsfrei festzustellen, und welches den Kriterien der Identität (Eindeutigkeit, unveränderliche Verknüpfung, lebenslange Gültigkeit, keine Übertragbarkeit auf andere Objekte) genügt.

5 Folie 5 Identifikator (Identifier) Beispiele: Fahrzeug-Identifikationsnummer (FIN, ISO-3779) WF0NXXGCDNYL67233 (WF0: Ford, Deutschland) ISBN (ISBN-13: ) Electronic Product Code (EPC, 128 bit) Unix User Identifier (UID, ursprünglich 15/16 bit unsiged integer, heute meist 32 bit) Windows Security Identifier (SID, S ) Wartenummer in einer Behörde Aufgabe: Ermitteln Sie, inwiefern die obigen Beispiele die Kriterien für einen Identifikator im Sinne der vorherigen Identitäts-Definitionen erfüllen.

6 Folie 6 Verwendung von Identifikatoren Zweck Zuordenbarkeit (Accountability) Zugangskontrolle (Access-Control) Implizite Annahme (durch Authentifizierung geprüft) Korrekte Zuordnung von Identität und Identifikator Bsp.: alle Unix Prozesse mit UID 0 gehören dem Administrator Subjekte vs. Objekte Identifikatoren für Subjekte, z.b. Benutzer, Prozesse Identifikatoren für Objekte, z.b. Filenamen, URIs Menschen vs. Maschinen Identifikatoren für Menschen, z.b. Filenamen, Mailadressen Identifikatoren für Maschinen, z.b. Filehandles, Tabellen-Indizes Temporär vs. Persistent Temporäre Identifikatoren, z.b. Aliase, UIDs Persistente Identifikatoren, z.b. Passnummern Achtung: nicht immer sind alle Kriterien der vorherigen Definition erfüllt!

7 Folie 7 Authentisierung (Authentication) Definitionen: Wikipedia: Authentication is [ ] the process by which a computer, computer program, or another user attempts to confirm that the computer, computer program, or user from whom the second party has received some communication is, or is not, the claimed first party. MODINIS: Authentication is the corroboration of a claimed set of attributes or facts with a specified, or understood, level of confidence. Im Deutschen (BSI): Authentisierung: Vorlage eines Identitätsnachweises Authentifizierung: Prüfung einer Authentisierung Authentizität des Kommunikationspartners

8 Folie 8 Authentisierung (Authentication) Formen Entity Authentication MODINIS: Entity authentication is the corroboration of the claimed identity of an entity and a set of its observed attributes. Something you know Passwörter Something you have Chipkarten Something you are Biometrie Data Authentication MODINIS: Data authentication is the corroboration that the origin and integrity of data is as claimed. Attribute Authentication Attribute authentication is the corroboration of the claimed attributes. Where you are Lokationsbasierte Authentisierung

9 Folie 9 Begriffe (MODINIS) Principal: A principal is synonymous with an identifiable entity. Berechtigungsnachweis (Credential): A credential is a piece of information attesting to the integrity of certain stated facts. Typischer Ablauf der Authentisierung: Benutzer (Principals) präsentieren dem System zur Authentisierung einen Berechtigungsnachweis (Credentials)

10 Folie 10 Passwort Authentisierung Definition: Ein Passwort ist eine geheime, mit einer Entität verknüpfte Information, welche die Identität der Entität bestätigt. Beispiele Unix Passwort EC Karten PIN Geheimes Codewort

11 Folie 11 UNIX Passworte (1) Ablauf des Login Prozesses (ursprünglich): 1. init Prozess startet getty auf Terminal 2. getty fragt Benutzernamen u ab und startet /bin/login 3. /bin/login fragt Passwort p ab (ohne Echo) 4. /bin/login sucht in /etc/passwd nach dem entsprechenden Benutzereintrag Aufbau: user:hashedpw:uid:gid:gecos:homedir:loginshell 5. /bin/login prüft, ob h(p) == hashedpw wenn ja: weiter; wenn nein: erneute Abfrage (3.) oder Abbruch 6. /bin/login startet (exec) loginshell Welche Probleme können hier auftreten?

12 Folie 12 UNIX Passworte (2) 1. Schlecht gewählte Passworte können erraten und ausprobiert werden 2. Offline Wörterbuch Angriffe (Dictionary Attack) passwort Wörterbuch + Regeln password password passwort1 hash hash /etc/passwd G%ght6s'? Datei kopieren G%ght6s'? 3. Brute-Force bis ~7-8 Zeichen, mit Wörterbuch und Regeln werden auch längere einfache Passworte gefunden. Lösungen: SALT: Berechne h(password, salt) und speichere den zufälligen Salt Wert mit dem gehashten Passwort; keine Rainbow Tables, keine triviale Kollisionserkennung Shadow Password Files: können nur vom Administrator gelesen werden

13 Folie 13 UNIX Passworte (3) Bekannte Tools: John the Ripper Umfangreiche Wörterbuchsammlungen, viele verschiedene Passwort- Formate, viele Regeln für Abwandlungen L0phtcrack (Windows) Brute Force oder Dictionary Modus Nutzt bekannte Schwachstellen im Windows PW Mechanismus PW-Sniffer integriert Können auch von Admins zur Prüfung der PW-Qualität genutzt werden

14 Folie 14 UNIX Passworte (4) 4. Online Wörterbuch Angriffe Lösung: Backoff, Disconnection, Disabling Andersons Formel: P TG N mit P: Wahrscheinlichkeit für korrektes Erraten, G: Zahl der Versuche pro Zeiteinheit, T: Zahl der verfügbaren Zeiteinheiten, N: Zahl der möglichen Passworte 5. Wenn Passworte lange nicht geändert werden, findet ein Angriff irgendwann sicher ein Passwort Passwort Aging: Passwörter müssen nach gewisser Zeit geändert werden 6. Implementierungsfehler/Trojanische Pferde z.b. Backdoor in /bin/login, die festes Passwort akzeptiert siehe

15 Folie 15 UNIX Passworte (5) 7. Ausspähen von Passwörtern möglich Idee: Einmal Passwörter (One-Time Passwords) z.b. PIN/TAN Kombination oder Challenge Response Verfahren 8. Veränderung des gespeicherten Passwortes z.b. Rücksetzen des Root PW durch Remote Buffer Overflow 9. Unsichere/schlecht implementierte Hash Funktion erlaubt Invertierung z.b. Windows 95 Passwörter

16 Folie 16 Challenge-Response Verfahren Problem von Passwörtern: Wiederverwendbarkeit Lösung: Einmalpasswörter (One-time passwords) fest vorgegebene PW Listen Challenge-Response Verfahren Ablauf 1. Benutzer U identifiziert sich gegenüber System S, S und U haben eine geheime Funktion f(c) = r vereinbart 2. S schickt U eine zufällige Challenge c, U antwortet mit der Response r 3. S prüft, ob r = f(c) S/Key 1. System generiert Hash-Kette (hash chain), ausgehend von Seed s h(s)=p 1, h(p 1 )=p 2, h(p 2 )=p 3, h(p n-1 )=p n 2. Bei der i.ten Authentisierung fragt S nach dem Passwort p n+1-i 3. Benutzer druckt sich die Passwörter aus oder benutzt Hardware- Token

17 Folie 17 Authentisierung mit Hardware-Tokens Problem mit Passwörter: leicht zu kopieren Lösung: Challenge Response mit Hardware-Token ( something you have ) Algorithmus zur Generierung neuer Einmalpasswörter in Hardware implementiert Zusätzlicher Input für den Algorithmus PIN Zeit Ort? Beispiel RSA Secure ID Card

18 Folie 18 Biometrische Authentisierung (1) Unterschied Verifikation und Erkennung Verifikation: 1:1 Vergleich Benutzer gibt an, wer er ist; System authentifiziert den Benutzer Erkennung: 1:n Vergleich System erkennt den Benutzer (ohne weitere Eingabe) Beispiele Fingerabdrücke Sprache Retina Muster DNA

19 Folie 19 Biometrische Authentisierung (2) Ablauf 1. Einmalige Erfassung und Speicherung der biom. Referenzdaten (Enrollment) 2. Erfassung der biometrischen Vergleichsdaten 3. Entscheidung auf Übereinstimmung Vergleichsalgorithmus liefert nur Grad der Übereinstimmung Entscheidung auf Übereinstimmung anhand von Schwellwert (threshold). Wie wird dieser gewählt? Varianten Richtig positiv: die richtige Person wird korrekt erkannt Richtig negativ: die falsche Person wird korrekt abgelehnt Falsch positiv: die falsche Person wird fälschlich akzeptiert (false accept) Falsch negativ: die richtige Person wird fälschlich abgelehnt (false reject) 60% 50% 40% 30% 20% 10% 0% FAR FRR 0 threshold 1 FAR: false acceptance rate FRR: false rejection rate EER: equal error rate (~1-5%) BioFinger Studie:

20 Folie 20 PAM (1) Identifikation und Authentisierung unter Unix Früher: von der Anwendung selbst implementiert (z.b. login, ftp...) Fehleranfälligkeit Änderung der Authentifizierungsmechanismen nur durch Austausch/Modifikation der Applikation Neuere Mechanismen (wie biometrische oder chipkartenbasierte Verfahren) sind nur schwierig integrierbar Lösung: Pluggable Authentication Modules (PAM) Sun 1995 Auslagerung der Authentisierung in externe Bibliotheken Genauer Ablauf der Authentisierung durch Administrator festgelegt In vielen Unix Systemen verfügbar SunOS HP UX BSD / MacOS Linux

21 Folie 21 PAM (2) Architektur login telnet... ftp ppp PAM-API Anwendung Configfiles libpam.so PAM-API PAM PW Kerberos... LDAP Smartcards Mechanismen 4 Managementaufgaben: Authentication Management Account Management Session Management Password Management

22 Folie 22 PAM (3) Konfigurationsfile (/etc/pam.conf oder /etc/pam.d/application) Aufbau: service type control module-path module-arguments auth required pam_env.so auth sufficient pam_unix.so likeauth nullok auth required pam_deny.so account required pam_unix.so password required pam_cracklib.so minlen=8 retry=3 password sufficient pam_unix.so nullok md5 shadow use_authtok password required pam_deny.so session required pam_limits.so session required pam_unix.so

23 Folie 23 PAM (4) Service Dienst welcher PAM nutzt in /etc/pam.d gegeben durch Filenamen Type account: Account Management (z.b. Zugang basierend auf Tageszeit) auth: Authentisierung (z.b. über Passwort) password: Verwaltung der Authentisierungsinformation (z.b. PW ändern) session: Sitzungverwaltung (z.b. Logging, MotD, ) Control Verhalten, wenn Modul success/failed zurückgibt Einfache Syntax required: Vorgang wird abgebrochen, restliche Module werden ausgeführt requisite: Vorgang wird abgebrochen, rest. Module werden nicht ausgeführt sufficient: Vorgang erfolgreich, restliche Module werden nicht ausgeführt optional: keine Auswirkung

24 Folie 24 PAM (5) Module (Auszug) pam_unix: standard Unix Verhalten pam_deny: lehnt immer ab pam_cracklib: prüft auf schwache Passwörter pam_limits: limitiert Resourcen Weitere Konfiguration in /etc/security/* Aufgabe: Was sind aus Sicherheitssicht die Vor-/Nachteile von PAM?

25 Folie 25 Netzwerk Authentisierung (1) System Authentisierung Netzwerk Authentisierung Benutzer System Benutzer System1 Angreifer System2 Vertrauenswürdiger Bereich Probleme: Authentisierung über unsicheres Netzwerk Sichere Netzwerkkommunikation (Authentisierung, Vertraulichkeit und Integrität)

26 Folie 26 Netzwerk Authentisierung (2) Authentisierung über unsicheres Netzwerk Keine Klartextpassworte Kryptographische Auth., z.b. mit Challenge-Response Beispiele Klartext: Telnet, FTP, POP, IMAP HTTP Basic (Klartext) und Digest Authentication (Chall.-Res.) Kryptographische Authentisierung

27 Folie 27 Netzwerk Authentisierung (3) Idee: Einsatz von Kryptographie kann Problem der sicheren Netzwerkkommunikation transformieren Symmetrische Kryptographie: sicherer Schlüsselaustausch? k k I,C {I,C} k {I,C} k Benutzer System1 System2 Asymmetrische Kryptographie: Zuordnung öffentlicher Schlüssel privater Schlüssel Benutzer pk I,C sig sk (I,C) ver pk (I,C) sk I,pk I pk=pk I? Benutzer System1 System2

28 Folie 28 Sicherer Schlüsselaustausch Needham-Schroeder Protokoll (1978) 1. A T: A, B, N a 2. T A: {N a, B, k AB, {k AB, A}k BT }k AT 3. A B: {k AB, A}k BT 4. B A: {N b }k AB 5. A B: {N b -1}k AB Welche Probleme treten bei diesem Protokoll auf? Formale Analyse des Needham-Schroeder Protokolls mit BAN Logik

29 Folie 29 BAN-Logik - Burrows, Abadi, Needham (1) Temporale Logik zur Untersuchung von Authentisierungsprotokollen Erlaubt Aussagen über das Wissen von Teilnehmern nach Protokollablauf Seien P, Q, R Teilnehmer (principals), K Schlüssel (encryption keys), X, Y Formeln (Statements) Notation: P X : P glaubt X P verhält sich so, als ob X wahr ist. P X : P sieht X P hat die Nachricht X (von einem nicht näher bezeichneten Absender) erhalten und kann X (evtl. nach Entschlüsselung) lesen. P ~ X : P sagte X Hierbei wird keine Aussage gemacht, ob X im aktuellen Protokolllauf (Gegenwart) oder in einem früheren Durchlauf (Vergangenheit) gesendet wurde; zum ursprünglichen Sendezeitpunkt galt jedoch: P X.

30 Folie 30 BAN-Logik (2) Notation (fort.): P X : P hat Autorität über X P ist vertrauenswürdig in Bezug auf X; P kann z. B. ein Server mit spezieller Funktionalität X sein (Schlüsselerzeugung, Signatur etc.). #(X) : X ist frisch X wurde noch in keinem früheren Protokolllauf verwendet; X wird auch als Nonce bezeichnet. P Q : P und Q besitzen einen geheimen Schlüssel K Niemand sonst kennt K oder kann K erlangen, außer P oder Q vertrauen ihm. P : K ist öffentlicher Schlüssel von P Den zugehörigen geheimen Schlüssel K 1 kennen nur P und evtl. seine Vertrauten. P Q : P und Q besitzen ein gemeinsames Geheimnis X Evtl. kennen noch weitere vertrauenswürdige Instanzen X, nur P und Q dürfen jedoch X zum gegenseitigen Identitätsnachweis verwenden.

31 Folie 31 BAN-Logik (3) Notation (fort.): {X} K : X ist mit K verschlüsselt Jeweils abhängig vom Typ von K wird symmetrisch oder asymmetrisch verschlüsselt. Kein Knoten interpretiert von ihm selbst verschlüsselte Nachrichten. X Y : Y beweist die Identität des Absenders von X Y kann z. B. ein Passwort sein, mit welchem durch eine keyed hash Funktion eine Signatur von X erzeugt wird. Schlussregeln Aus bestehenden Aussagen können neue Aussagen abgeleitet werden. Notation : aus X folgt Y X, Y: X UND Y (Konjunktion)

32 Folie 32 BAN-Logik (4) Message Meaning Regeln Nonce-Verification Regel Jurisdiction Regel

33 Folie 33 BAN-Logik (5) Zusammengesetzte Aussagen Entschlüsselung von Nachrichten

34 Folie 34 BAN-Logik (6) Kommutativität von Operatoren Ablauf Protokollanalyse 1. Protokoll-Idealisierung Nur verschlüsselte Anteile betrachtet, Nachrichten als Formeln mit (beabsichtiger) Funktion 2. Anfangsbedingungen festlegen 3. Nachbedingungen nach jedem Protokollschritt 4. Schlussregeln anwenden

35 Folie 35 BAN-Logik (7) Idealisiertes Needham-Schroeder Protokoll (P) 1. Nachricht irrelevant 2. T A: {N a, K AB, {K AB, A}K BT }K AT 3. A B: {K AB, A}K BT 4. B A: {N b }K AB 5. A B: {N b -1}K AB Anfangsbedingungen (AB) 1. A,T (A T), B,T (B T), T (A B) 2. A #(N a ), B #(N b ), S #(A B), B #(A B) 3. A,B (S A B) K AT K BT K AB K AB K AB K AB

36 Folie 36 BAN-Logik (8) Nachbedingungen (NB) und Schlussregeln (3.1) A T ~ (A B), (3.5) A # (A B) (3.2) A T (A B) (3.3) A (A B) 3. (3.1) B T ~ (A B), (AB2) B # (A B) (3.2) B T (A B) (3.3) B (A B) 4. (3.1) A B ~ N b 5. (3.1) B A ~ N b -1, (AB2) B A (A B) Bemerkungen K AB K AB K AB K AB Erst durch korrekt verschlüsselte Nachricht: A B (A B) K AB K AB K AB K AB K AB K AB

37 Folie 37 BAN-Logik (9) Analyse klärt implizite Annahmen, unnötige Verschlüsselungen, etc. Analyse ist automatisierbar Idealisierung des Protokolls ist fehlerträchtig Keine formale Semantik, Schlussregeln nur intuitiv begründet Verbesserungen, z.b. GNY

38 Folie 38 Denning-Sacco Angriff und Otway-Rees Problem bei Needham-Schroeder: Wenn Angreifer M K AB kennt, dann Replay Attacke möglich Vorschlag: Benutzung von Zeitstempeln im Ticket Weiteres Problem: Synchronisierte Uhren notwendig Lösung: Otway-Rees Protokoll 1. A B: S, A, B, {S, A, B, N a }k AT 2. B T: S, A, B, {S, A, B, N a }k AT, {S, A, B, N b }k BT 3. T B: S, {N a, k AB }k AT, {N b, k AB }k BT 4. B A: S, {N a, k AB }k AT Aufgabe: Weitere Probleme mit diesem Protokoll? 1) M fängt Nachricht 4 ab, schickt Nachricht 2 erneut an den Server T, erhält eine neue Nachricht 3 (wird ebenfalls abgefangen) mit {N a, k AB }k AT, welches er an A weiterleitet. A und B haben danach unterschiedliche Schlüssel 2) In Nachricht 3 bekommt B eine Nachricht von T mit einer Nonce von A. B kennt die Nonce nicht und ist nicht sicher, ob der Nachrichtenaustausch wirklich frisch ist (Nachricht 1 könnte ein Replay sein!)

39 Folie 39 Kerberos (1) Netzwerk-Authentisierungsprotokoll, basierend auf Needham- Schroeder Prot. + Dennis-Sacco Zeitstempel entwickelt ~1987 am MIT im Rahmen des Athena Projects Implementierungen z.b. für UNIX, Apache, Windows 2000 Verwendet sog. Tickets: ticket X = {K AX, A, L}K XS bzw. ticket TGS = {K A,TGS, A, L 2 }K S,TGS Protokollablauf (vereinfacht) 1. A KAS: A, TGS, N a 2. KAS A: {K A,TGS, N a, L 1, TGS}k AS, ticket TGS 3. A TGS: ticket TGS, {A, T A }K A,TGS, B, N a 4. TGS A: {K AB, N a, L 2, B}K A,TGS, ticket B 5. A B: ticket B, {A,T A}K AB 6. B A: {T A}K AB KAS: Kerberos Authentication Server (steuert Realm), auch Key Distribution Center (KDC) TGS: Ticket Granting Server, ticket TGS = Ticket Granting Ticket (TGT) K AS generiert als h(passwort), L: Gültigkeitsdauer eines Tickets

40 Folie 40 Kerberos (2) Kritik: Zentral gesteuertes Authentisierungs-/Autorisierungssystem Zeitstempel setzen synchronisierte Uhren voraus Server (KAS, TGS) müssen online verfügbar sein Session-Keys werden von Servern erzeugt Keys und Tickets müssen auf Client-System sicher gespeichert werden Nachricht 1 nicht authentisiert Überlast- oder Chosen-Plaintext-Angriffe möglich

41 Folie 41 Diffie-Hellman Verfahren (1) Veröffentlicht 1976, gilt als eines der ersten asymmetrischen Verfahren Ablauf 1. Alice wählt Primzahl p und g mit 2 g p-2 2. Alice wählt zufällige Zufallszahl a, berechnet A = g a mod p und schickt p, g und A an Bob 3. Bob wählt zufällige Zufallszahl b, berechnet B = g b mod p und schickt B an Alice 4. Alice berechnet K a = B a mod p, Bob berechnet K b = A b mod p Es gilt K=K a =K b, weil K a = B a mod p = (g b mod p) a mod p = (g a mod p) b mod p = A b mod p = K b (p,g,a) bzw. (p,g,b) sind die öffentlichen Schlüssel von A bzw. B K wird dann als Schlüssel für ein symmetrisches Kryptosystem verwendet

42 Folie 42 Diffie-Hellman Verfahren (2) Problem bei Diffie-Hellman: Man-in-the-Middle Angriff g a mod p g z mod p g z mod p g b mod p Alice Mallory Bob Lösung: Authentisierung der öffentlichen Schlüssel z.b. mit elektronischen Signaturen S x : Signaturschlüssel von x zur Erstellung von Signaturen P x : Signaturprüfschlüssel zur Verifikation von mit S x erstellten Signaturen sig Sx (d): Signatur mit Signaturschlüssel S x von x über d Station-to-Station Protokoll (1992) 1. A B: g a 2. B A: g b, { sig Sb (g a, g b ) } K 3. A B: { sig Sa (g a, g b ) } K Was ist jetzt das Problem?

43 Folie 43 Perfect Forward Secrecy Die Kompromittierung eines langfristigen Geheimnisses (z.b. Secret Keys) zum Zeitpunkt T gefährdet nicht die Sicherheit der kurzfristigen Geheimnisse (z.b. Sitzungsschlüssel), die vor T vereinbart wurden. Besitzt STS Protokoll die Eigenschaft der Perfect Forward Secrecy?

44 Folie 44 Zertifizierung Problem: wie wird sichergestellt, dass der Signaturschlüssel S x wirklich zur Identität X gehört? Lösung: Vertrauenswürdige Verknüpfung von Schlüssel und Identität Symmetrische Verschlüsselung: Vertrauenswürdige Instanz (Trusted-Third-Party / TTP) hat jeweils gemeinsames Geheimnis mit allen Teilnehmern und generiert Sitzungsschlüssel Asymmetrische Verschlüsselung: Vertrauenswürdige Instanz (TTP) bindet Schlüssel an Subjekte/Identifikatoren Weniger gängige Alternativen Offline-Verifikation: z.b. Vergleich von Fingerprint via Telefon Verwendung von Trusted Hardware verhindert Manipulationen

45 Folie 45 Zertifikat Definition Elektronische Bescheinigungen, mit denen Signaturprüfschlüssel einer Person zugeordnet werden und die Identität dieser Person bestätigt wird. (Quelle: SigG, 2) Aufbau cert Alice = sig STrent { P Alice, Alice, T } T: Gültigkeitsdauer des Zertifikats Varianten Attribut-Zertifikate: Bestätigen, dass ein bestimmtes Subjekt bestimmte Attribute aufweist (Attestation) Autorisierungs-Zertifikate: Bestätigen, dass ein bestimmter Schlüssel bestimmte Rechte besitzt

46 Folie 46 Certification Authority (CA) (1) Herausgeber (Issuer) der Zertifikate oder auch Zertifizierungsstelle (Certification Authority) Gesamte Infrastruktur: Public Key Infrastructure (PKI) Wurzel-CA / Policy-CA 6. Cross-Zertifizierung PCA Policy-Dokumente 1. Zertifikat CA CA CA CA Sperrliste (Certificate Revocation List / CRL) Registration Authority 4. Weiterleitung 3. Prüfung 2. Zertifikatsantrag RA RA 5. Ausstellung Zertifikat Alice 7. Zertifikatsprüfung Bob

47 Folie 47 CA (2) Woher kommt der Signaturprüfschlüssel für die eigene Wurzel- CA? Muss über einen sicheren Kanal übertragen oder überprüft werden. Fingerprint: h(p x ) Wird heute meist mit Software mitgeliefert. Vertrauenswürdigkeit des Transports und der CAs? Weitere PKI Elemente (manche optional) und Begriffe Verzeichnisdienst zur Suche nach Zertifikaten Validierungsdienst: Online-Statusprüfung z.b. mit OCSP oder SCVP Protokoll Zertifikatskette (Certificate Chain) Policy-Dokumente: Unter welchen Umständen wird ein Zertifikat ausgestellt? Wie arbeitet die CA? Wie ist sie gesichert? Zertifizierungspolicy: kontakt oder persönliches Erscheinen mit Vorlage von Ausweisdokumenten? Jeder oder nur best. Personenkreis?

48 Folie 48 Sperrung von Zertifikaten Wenn die Grundlagen der Zertifizierung nicht mehr vorliegen oder ein Schlüssel kompromittiert wird, wird das Zertifikat gesperrt Sperrung muss mindestens bis zum Ablauf der Gültigkeit bestehen bleiben Varianten Sperrlisten (CRLs) Müssen regelmäßig aktualisiert werden, evtl. hoher Overhead Delta-CRLs Revocation mit Verifiern (später) Compressed CRLs mit Bloom Filtern h 1 (c) h 2 (c) h 3 (c) h 4 (c) h 5 (c) m-1 m

49 Folie 49 X.509 Zertifikate (1) X.509 Standard ursprünglich zur Speicherung von Passworten für Änderungskontrolle im X.500 Verzeichnis-Dienst gedacht Heute verwendet, z.b. bei SSL/HTTPS, S-MIME, Signaturkarten, uvm. Aktueller Standard X.509v3, im Internet PKIX (RFC 3280) Identifikatoren: Distinguished Name (DN) /C=DE/L=Ulm/O=Ulm University/OU=Institute of Media Informatics/ CN=Frank Aufbau Version, Serial Number, Signature algorithm identifier, Issuer s DN, Validity Interval, Subject s DN, Subject s public key information, Issuer s unique identifier, Subject s unique identifier, Extensions, Signature Beispiele für Erweiterungen Key-Usage (Aufgabe des Keys, z.b. keycertsign, sign, ) Basic Constraints (CA: gehört zu einer CA, PathLen: maximale Länge KeyChain)

50 Folie 50 X.509 Zertifikate (2) Certificate: Data: Version: 3 (0x2) Serial Number: a3:d5:00:01:00:02:83:23:8c:7e:ec:8b:82:ce Signature Algorithm: md5withrsaencryption Issuer: C=DE, ST=Hamburg, L=Hamburg, O=TC TrustCenter..., OU=TC TrustCenter Class 1 CA/ Address=certificate@trustcenter.de Validity Not Before: Nov 20 10:18: GMT Not After : Nov 20 10:18: GMT Subject: C=DE, CN=Dr. Frank Kargl/ Address=frank@kargl.net Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:f2:d5:aa:92:6a:00:df:6f:80:0d:61:c8:... Exponent: (0x10001) X509v3 extensions: X509v3 Basic Constraints: critical CA:FALSE X509v3 Key Usage: critical Digital Signature, Non Repudiation, Key Encipherment Netscape CA Policy Url: Netscape Cert Type: SSL Client, S/MIME Netscape Revocation Url: Signature Algorithm: md5withrsaencryption 49:60:18:96:02:c8:70:47:2c:7d:d5:a6:16:1f:88:86:4e...

51 Folie 51 PGP Web of Trust (1) Dezentraler Ansatz ohne zentrale CA Benutzer signieren die öffentlichen Schlüssel von anderen Benutzern sig Alice (Bob) Public-Keyring speichert öffentliche Schlüssel und Signaturen von eigenen und fremden PKs Public-Keyring Bob = PK Bob,sig Bob (Bob),sig Alice (Bob),PK Carl,sig Alice (Carl), Erhältlich über Keyserver oder direkte Weitergabe

52 Folie 52 PGP Web of Trust (2) Owner Trust : Vertrauen in den Besitzer eines PK Vom Besitzer des Keyrings selbst festgelegt Mögliche Werte unknown : keine weiteren Informationen über Benutzer not trusted : Benutzer wird nicht vertraut marginal : Benutzer wird teilweise vertraut complete : Benutzer wird voll vertraut ultimate : Private Key vorhanden (eigener Schlüssel) Z.B. OT Bob (Alice)= complete Calculated Trust (CT): Vertrauen in die Korrektheit eines öffentlichen Schlüssels Schlüssel gültig, wenn er von genügend gültigen Schlüsseln unterschrieben ist, das heißt, dass er entweder vom Benutzer persönlich oder von einem Schlüssel vollen Vertrauens (OT) oder von drei Schlüsseln teilweisen Vertrauens (OT) unterschrieben wurde. Der Pfad unterschriebener Schlüssel, der vom Schlüssel K zurück zu Ihrem eigenen Schlüssel führt, besteht aus maximal fünf Schritten.

53 Folie 53 PGP Web of Trust (3) Owner Trust gilt immer nur lokal OT(complete) Elias CT= unknown sig Elmar (Zhendong) CT= complete Elmar Zhendong Jürgen sig Jürgen (Michael) Michael CT= complete Frank Stefan Marc CT= marginal Torsten

54 Folie 54 Secure Sockets Layer (SSL) / Transport Layer Security (TLS) (1) Generische Lösung zur Absicherung TCP/IP basierter Kommunikation 1993 ursprünglich von Netscape entwickelt 1999 RFC 2246 Transport Layer Security TLS 1.0 ( SSLv3) 2006 RFC 4346 TLS 1.1 Ziele: Authentisierung, Integrität und Vertraulichkeit Server-Authentifizierung mit Zertifikat Client Authentifizierung mit Zertifikat (optional) Verschlüsselte Verbindung Zwischenschicht zwischen TCP/IP und Anwendungsprotokoll Implementiert als Bibliothek Programmierschnittstelle sehr ähnlich zu normalen Sockets Anwendung SSL Handshake Protocol SSL Record Protocol TCP IP Datalink Physical

55 Folie 55 SSL / TLS (2) SSL Handshake Protocol Teilnehmerauthentisierung anhand von Zertifikaten (Client optional) X509v3 Zertifikate Wurzelzertifikate müssen lokal vorhanden sein Vereinbarung der verwendeten kryptographischen Verfahren Schlüsselaustausch über RSA oder DH (versch. Varianten) Symm. Verschlüsselung z.b. mit IDEA/3DES/RC4/AES/ Hashfunktionen z.b. SHA-1/MD5/SHA-256/ Vereinbarung eines Sitzungsschlüssels In einer SSL Session beliebig viele SSL Connections SSL Session unabhängig von Transportschicht-Verbindungen Bei neuer TCP Verbindung: schnelles Session Resume

56 Folie 56 SSL / TLS (3) Client client_hello certificate client_key_exchange certificate_verify change_cipher_spec finished Server server_hello certificate server_key_exchange certificate_request server_done change_cipher_spec finished Phase 1: Vereinbarung Sicherheitsparameter Phase 2: Server authentisiert sich gegenüber Client Optional: Schlüsselaustausch und Anforderung Client-Zertifikat Phase 3: Client Schlüsselaustausch Optional: Zertifikatsbas. Clientauthentisierung Phase 4: Wechsel auf vereinbar. Verschlüsselungsverfahren

57 Folie 57 M1: SSL / TLS (4) Client client_hello: ClientRandom[28] Suggested Cipher Suites: TLS_RSA_WITH_IDEA_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_DH_DSS_WITH_AES_128_CBC_SHA Suggested Compression Algorithm: NONE Session ID: 0x00 MasterSecret = h(premastersecret, string, ClientRandom, ServerRandom) M3: client_key_exchange: RSA_Encrypt(ServerPublicKey, PreMasterSecret) change_cipher_spec finished: MD5(master_secret client M1 M2 M3A) SHA(master_secret client M1 M2 M3A) M2: Server server_hello: ServerRandom[28] Use Cipher Suites: TLS_RSA_WITH_3DES_EDE_CBC_SHA Session ID: 0xa00372d4XS certificates: X509v3 Certificate Chain server_done MasterSecret = h(premastersecret, string, ClientRandom, ServerRandom) M4: change_cipher_spec finished: MD5(master_secret server M1 M2 M3) SHA(master_secret server M1 M2 M3)

58 Folie 58 SSL / TLS (5) SSL Record Protocol Vollständig getrennt vom Handshake Protokoll Daten symmetrisch mit Session Key verschlüsselt MAC zur Integritätssicherung Getrennte Schlüssel für MAC und Verschlüsselung jeweils in Sende- und Empfangsrichtung Datenblock (De-)Fragmentierung [ (De-)Komprimierung ] Cipher Spec Add / Verify MAC Encrypt / Decrypt SSL Cipher Block