IT-Sicherheit - Sicherheit vernetzter Systeme -

Transkript

1 IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 7: Kryptographische Hash-Funktionen Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 1

2 Rootkit in der Netzwerkkarte Rootkit als Firmware für Broadcom NetXtreme Netzwerkkarten Speicherzugriff (direct memory access DMA) über PCI- Schnittstelle möglich Kann von Virenscannern nicht gefunden werden Bislang nur für (Server-)Netzwerkkarten mit größerem eigenen Speicher geeignet Angriffsszenario seit 2006 Aber erste Implementierung eines vollständigen Rootkits (kein Nachladen von Code) Ähnlich: Verstecken von Rootkits im PC-BIOS oder Grafikkartenspeicher Weitere Infos: Reversing-the-Broacom-NetExtreme-s-firmware Helmut Reiser,LRZ, WS 10/11 IT-Sicherheit 2

3 Inhalt Def.: Kryptographische Hash-Verfahren Angriffe gegen One-Way-Hash-Funktionen Konstruktion von Hash-Funktionen Algorithmen: MD4 MD5 Whirlpool Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 3

4 Hash-Funktionen zur Integritätssicherung Ziel: Sicherstellen, dass Manipulationen an einer übertragenen Nachricht erkannt werden. Alice Bob Chuck Beispiel Software-Distribution: Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 4

5 Herkömmliche vs. kryptographische Hash-Funktionen Prüfsummen dienen der Erkennung von (unbeabsichtigten) Übertragungsfehlern, z.b. beim IPv4-Header: Quelle: nmap.org 16-bit Addition / Einerkomplement Kryptographische Prüfsummen sollen auch absichtliche Manipulationen erschweren Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 5

6 Kryptographische Hash-Funktionen: Grundlagen Hash-Funktionen bilden Universum auf endlichen Bildbereich ab sind nicht injektiv Bildbereich i.d.r. sehr viel kleiner als Universum Kollisionen möglich: Kryptographische Hash-Funktion H: Eingabe: beliebig langes Wort m aus dem Universum U Ausgabe: Hashwert H(m) mit fester Länge H soll möglichst kollisionsresistent sein Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 6

7 Beispiel MD5-Hashwerte sind immer 128 Bits lang egal, wie lange die Eingabe ist Weil es nur verschiedene MD5-Hashwerte gibt, existieren beliebig viele Dateien mit demselben MD5-Hashwert = Kollision Zwei sehr ähnliche, aber nicht identische Eingaben sollen nicht denselben MD5-Hashwert haben = Kollisionsresistenz Angreifer versucht, die Nachricht m sinnvoll in m abzuändern, so dass md5(m) = md5(m ) Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 7

8 Einsatz kryptographischer Hash-Funktionen Integritätssicherung ( Digitaler Fingerabdruck ): 1. Alice erzeugt Nachricht m, berechnet H(m)=h und überträgt (m,h) an Bob (mindestens h muss gesichert werden, z.b. durch Verschlüsselung) 2. Bob empfängt (m,h) und berechnet h =H(m ) 3. Falls h=h kann davon ausgegangen werden, dass m=m, d.h. m wurde nicht verändert Digitale Signatur: In der Praxis wird nicht die Nachricht m digital signiert Stattdessen wird H(m) digital signiert {H(m)} Übertragen wird dann (m,{h(m)}) Empfänger kann Quelle der Nachricht zweifelsfrei feststellen Empfänger kann Integrität der Nachricht belegen Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 8

9 Signieren von Nachrichten und Signaturprüfung Absender: Zu signierendes Dokument 2 3 Prüfsumme Verschlüsselung mit eigenem Private Key Verschlüsselte Prüfsumme Übermittlung 1 4 Übermittlung Empfänger: Prüfsummenbildung Prüfsummenbildung Vergleich beider Prüfsummen Entschlüsselung mit Public Key des Absenders 5 Selbst ermittelte 7 Empfangene 6 Empfangenes Prüfsumme Prüfsumme Dokument Überprüfung der elektronischen Signatur Empfangene verschlüsselte Prüfsumme Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 9

10 Def. Kryptographische Hashfunktion Schwache Hash-Funktion H: H besitzt die Eigenschaften einer Einwegfunktion Hashwert H(m) = h mit h =k (z.b. k = 128 Bits) ist bei gegebenem m einfach zu berechnen Bei gegebenem h = H(m) für ist es praktisch unmöglich, ein m zu finden mit: Starke Hash-Funktion H: H hat alle Eigenschaften einer schwachen Hash-Funktion Es ist zusätzlich praktisch unmöglich, eine Kollision zu finden, d.h. ein Paar verschiedene Eingabewerte m und m mit: Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 10

11 Birthday Attack auf One-Way-Hash-Funktionen Wie viele Personen brauchen Sie, damit mit Wahrscheinlichkeit p > 0,5 eine weitere Person mit Ihnen Geburtstag hat? Antwort: 253 (ab n=253 ist P > 0,5) Wie viele Personen brauchen Sie, damit mit Wahrscheinlichkeit p > 0,5 zwei Personen am selben Tag Geburtstag haben? Antwort: 23 (ab n=23 ist P > 0,5) Wie können Sie dieses Wissen für Angriffe gegen Hash- Funktionen nutzen? Eine Kollision zu finden ist deutlich einfacher als zu einem gegebenen Hash-Wert einen passenden Text! Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 11

12 Birthday Attack: Vorgehensweise 1. Alice sichert mit einem k Bits langen Hash eine Nachricht M 2. Mallet erzeugt 2 k/2 Variationen der Nachricht M Die Wahrscheinlichkeit für eine Kollision ist größer 0,5. Wie können 2 k/2 Variationen erzeugt werden? Z.B. Einfügen von Space Backspace Space Zeichen zwischen Wörtern Wörter durch Synonyme ersetzen... Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 12

13 Beispiel für einen Brief mit 2^37 Variationen [Stal 98] Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 13

14 Konstruktion kryptographischer Hash-Funktionen Folge von Kompressionsfunktionen G Nachricht m wird in Blöcke Mi mit fester Länge y zerlegt Hash-Verfahren wird mit Initialisierungswert IV vorbelegt m = M1 M2 Mn + Padding IV G G G Hash-Wert Letzter Block Mn muss ggf. auf vorgegebene Länge y aufgefüllt werden (Padding) Als Kompressionsfunktion G können verwendet werden: Hash-Funktionen auf der Basis symmetrischer Blockchiffren Dedizierte Hash-Funktionen Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 14

15 DES als Kompressionsfunktion DES im Cipher Block Chaining (CBC) Mode m = M1 M2 Mn-1 Mn + Padding K DES K DES K DES K DES O1 O2 On-1 On Letzter Output Block ist Hashwert Länge des Hashwerts? Hash-Wert 64 Bits Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 15

16 Hash-Funktionen: MD4 (1990) Entwickelt von Ron Rivest: MD4 = Message Digest Nr. 4 Design-Kriterien: Kollisionsresistenz: Es gibt kein besseres Verfahren als Brute Force, um zwei Nachrichten mit demselben MD4-Hash zu finden Direkte Sicherheit: MD4 basiert auf keinerlei (Sicherheits-)Annahmen wie z.b. dem Faktorisierungsproblem Geschwindigkeitsoptimiert für Software-Implementierungen Bevorzugt Little Endian 32-Bit-Architekturen (Intel) Einfach und kompakt Erfolgreiche Angriffe zeigen mangelnde Kollisionsresistenz: Boer und Bosselaers brechen die beiden letzten Runden der insges. drei Merkle greift erfolgreich die ersten beiden Runden an Angriff auf alle 3 Runden gelingt nicht Konsequenz: Rivest verbessert MD4; Ergebnis ist MD5 MD4 ist Public Domain (IETF RFC1320); sein Prinzip ist Basis für viele weitere Hash-Funktionen Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 16

17 Hash-Funktionen: MD5 (1991) Länge 128 Bit, arbeitet auf 512 Bit Blöcken Funktionsweise, Überblick: Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 17

18 a b c d MD5 Ablauf 1. Padding Bits der Nachricht hinzufügen 2. Länge der Originalnachricht (mod 2 64 ) anfügen 3. Nachricht in 512-Bit-Blöcke aufteilen 4. Initialisierung von 32-Bit-Variablen: A = 0x B = 0x89ABCDEF C = 0xFEDCBA98 D = 0x Zuweisung a=a, b=b, c=c, d=d 6. Kompressionsfunktion angewendet auf jeden (Teil-)Block Yi Runde 1 Runde 2 Runde 3 Runde 4 a b c d Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 18

19 MD5 Kompressionsfunktion (1) 4 Runden mit je einer nichtlinearen Funktion Funktionen so gewählt, dass korrespondierende Bits von X, Y, Z und dem Ergebnis unabhängig voneinander sind In jeder Runde wird die Funktion 16 mal auf einen 32-Bit- Teilblock Mj von Yi wie folgt angewendet Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 19

20 MD5 Kompressionsfunktion (2) + bezeichnet Addition modulo 2 32 mit i Grad im Bogenmaß; 0 <= i < 64 (i über 4 Runden) <<< s bezeichnet zirkulären Shift um s Bits (s variiert pro Operation) Auswahl des Teilblocks Mj (Runde 1: i = 0..15,..., Runde 4: i = ) Runde 1 Natürliche Ordnung Runde 3 Runde 2 Runde 4 Beispiel: Elementarer Schritt in Runde 1 auf 32-Bit-Block Mj ti a b c d F <<<s a b c d Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 20

21 MD5: Rundenfunktion; 4 Runden mit 64 Schritten Runde 1: 1. FF(a, b, c, d, M0, 7, 0xd76aa478) 2. FF(d, a, b, c, M1, 12, 0xe8c7b756) 3. FF(c, d, a, b, M2, 17, 0x242070db) 4. FF(b, c, d, a, M3, 22, 0xc1bdceee) Runde 4: 60. II(a, b, c, d, M4, 6, 0xf7537e82) 61. II(d, a, b, c, M11, 10, 0xbd3af235) 62. II(c, d, b, a, M2, 15, 0x2ad7d2bb) 63. II(b, c, d, a, M9, 21, 0xeb86d391) Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 21

22 Sicherheit von MD5 Differentielle Kryptanalyse auf MD5 mit nur einer Runde [Bers 92]: Für jede der 4 Runden einzeln möglich Angriff auf alle 4 Runden konnte nicht gezeigt werden Pseudokollision [BoBo 93]: Zwei verschiedene Variablenbelegungen von a,b,c,d führen für verschiedene Inputblöcke zum gleichen Outputblock Damals schien eine Erweiterung des Ansatzes zu einem allgemeinen Angriff nicht möglich Erzeugung einer Kollision in der Kompressionsfunktion [Dobb 96]: Zwei 512 Bit Blöcke produzieren den selben 128 Bit Output Bis dahin gefährlichster bekannter Angriff Bisher kein Mechanismus zur Generalisierung des Angriffs auf gesamten MD5 mit IV gefunden Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 22

23 Sicherheit von MD5 (Forts.) Kollision gefunden [Wang,Feng,Lai,Yu 2004]: MD5(M,Ni) = MD5(M,Ni ) M und M zu finden dauert ca. eine Stunde (IBM P690 Cluster) danach Ni und Ni zu finden 15 Sek. bis 5 Minuten funktioniert mit beliebigen Initialisierungsvektor IV In der Arbeit werden auch Kollisionen für MD4, HAVAL-128 und RIPEMD-128 angegeben Ende des MD5CRK-Projekts (distributed birthday attack) Kollision in X.509 Zertifikat gefunden (Kollision in den Schlüsseln) [de Weger 2005] Kollision in X.509 Zertifikat mit unterschiedlichen Identitäten [Stevens, Lenstra, de Wegener 2006/2007] MD5 (und SHA-1) nicht mehr verwenden! Algorithmen mit längeren Hash-Werten verwenden: z.b. SHA-224, SHA-256, SHA-384, SHA-512, Whirlpool, o.ä. Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 23

24 Sicherheit von MD5 (Forts.) Bislang umfangreichster, praktisch relevanter Angriff [SSALMOW08]: Alle Browser, die RapidSSL-Zertifikaten vertrauten, vertrauten auch den mit dem rogue CA certificate ausgestellten Zertifikaten Man-in-the-Middle Angriffe: Browser kann bei SSL-Zertifikaten, die MD5- Hashsummen verwenden, die Server-Authentizität nicht mehr zuverlässig prüfen Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 24

25 Backdoor in FTP-Server ProFTPD ( ) Sicherheitsloch in FTP-Serversoftware ProFTPD ermöglicht Angreifern Zugang zum ProFTPD-Projektserver Angreifer bauen Backdoor in ProFTPD ein: Spezieller FTP-Befehl startet Root-Shell Manipulierter Quelltext wird an alle Mirrors übertragen Entwickler bemerken das Problem drei Tage später und entfernen das Backdoor Offizielle Empfehlung: Anhand der MD5-Hashwerte prüfen, ob man eine Quelltext-Version ohne Backdoor hat Weitere Infos: Helmut Reiser,LRZ, WS 10/11 IT-Sicherheit 25

26 GNU-Server gehackt ( ) Angreifer mit Georgischer IP-Adresse nutzte SQL Injection, um MD5-Passwort-Hashes von savannah.gnu.org zu erhalten ( ) Passwörter von Accounts einiger GNU-Projekte und mind. ein Admin-Account vermutlich per Brute Force geknackt ( ) Passwörter für Vandalismus missbraucht (Defacement von Betreiber spielen am das Backup vom ein Alle Benutzer müssen ihre Passwörter ändern Weitere Infos: Helmut Reiser,LRZ, WS 10/11 IT-Sicherheit 26

27 Whirlpool Hash-Funktion (2000) Entwickelt von P. Barreto und V. Rijmen im Rahmen des europäischen NESSI (New European Schemes for Signatures, Integrity, and Encryption) entwickelt Struktur ähnlich zu AES, bzw. Rijndael Inzwischen Industriestandard im Rahmen von ISO/IEC Whirlpool ist nicht patentiert, die Referenzimplementierung ist Open Source 512 Bit lange Hashwerte bei max. Nachrichtenlänge Bits Design-Ziele: Kollision zu finden benötigt 2 n/2 Whirlpool-Operationen Zu gegebenem Hash h eine Nachricht x zu finden mit h = H(x) benötigt 2 n Whirlpool-Operationen Zu gegebenen Hash h und geg. Nachricht m eine Nachricht x mit selbem Hashwert zu finden benötigt 2 n Whirlpool-Operationen Weit verbreitete Nutzung z.b. im Rahmen von TrueCrypt (2005) Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 27

28 Whirlpool: Überblick Whirlpool (WP(m)) arbeitet auf 512 Bit langen Teilblöcken Mi Verwendet Block Chiffre W Arbeitet intern mit 8x8 Byte Matrix CState 1. Expansion von m auf ein Vielfaches von 512 Bit; Aufteilen in Nachrichtenblöcke M0 bis Mt-1 t x 512 bits L 256 bits Nachricht Länge L 2. Initialisierung von Ho = 0 3. For 0 i t-1 Hi = WHi-1(Mi) Mi Hi-1 M i H i-1 W M i H i 4. WP(m) = Ht H i-1 Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 28

29 Immer 10 Runden Whirlpool: Block Chiffre W Klartext Add round key (ARK) K 0 Schlüssel Round 1 Substitute bytes (SB) Shift columns (SC) Mix rows (MR) Substitute bytes (SB) Shift columns (SC) Mix rows (MR) Add round key (ARK) Add round constant K 1 RC[1] Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 29

30 Whirlpool: Block Chiffre W; Fortsetzung Round 10 Substitute bytes (SB) Shift columns (SC) Mix rows (MR) Substitute bytes (SB) Shift columns (SC) Mix rows (MR) Add round key (ARK) Add round constant RC[10] Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 30

31 Whirlpool: Byte Substitution Mittels S-Box: auf Matrix-Elementen von CState Table 3. The Whirlpool S-box 4 linken Bit bestimmen Spalte; 4 rechten Bit die Zeile 00 x 01 x 02 x 03 x 04 x 05 x 06 x 07 x 08 x 09 x 0A x 0B x 0c x 0d x 0E x 0F x 00 x 18 x 23 x c6 x E8 x 87 x B8 x 01 x 4F x 36 x A6 x d2 x F5 x 79 x 6F x 91 x 52 x 10 x 60 x Bc x 9B x 8E x A3 x 0c x 7B x 35 x 1d x E0 x d7 x c2 x 2E x 4B x FE x 57 x 20 x 15 x 77 x 37 x E5 x 9F x F0 x 4A x da x 58 x c9 x 29 x 0A x B1 x A0 x 6B x 85 x 30 x Bd x 5d x 10 x F4 x cb x 3E x 05 x 67 x E4 x 27 x 41 x 8B x A7 x 7d x 95 x d8 x 40 x FB x EE x 7c x 66 x dd x 17 x 47 x 9E x ca x 2d x BF x 07 x Ad x 5A x 83 x 33 x 50 x 63 x 02 x AA x 71 x c8 x 19 x 49 x d9 x F2 x E3 x 5B x 88 x 9A x 26 x 32 x B0 x 60 x E9 x 0F x d5 x 80 x BE x cd x 34 x 48 x FF x 7A x 90 x 5F x 20 x 68 x 1A x AE x 70 x B4 x 54 x 93 x 22 x 64 x F1 x 73 x 12 x 40 x 08 x c3 x Ec x db x A1 x 8d x 3d x 80 x 97 x 00 x cf x 2B x 76 x 82 x d6 x 1B x B5 x AF x 6A x 50 x 45 x F3 x 30 x EF x 90 x 3F x 55 x A2 x EA x 65 x BA x 2F x c0 x de x 1c x Fd x 4d x 92 x 75 x 06 x 8A x A0 x B2 x E6 x 0E x 1F x 62 x d4 x A8 x 96 x F9 x c5 x 25 x 59 x 84 x 72 x 39 x 4c x B0 x 5E x 78 x 38 x 8c x d1 x A5 x E2 x 61 x B3 x 21 x 9c x 1E x 43 x c7 x Fc x 04 x c0 x 51 x 99 x 6d x 0d x FA x df x 7E x 24 x 3B x AB x ce x 11 x 8F x 4E x B7 x EB x d0 x 3c x 81 x 94 x F7 x B9 x 13 x 2c x d3 x E7 x 6E x c4 x 03 x 56 x 44 x 7F x A9 x E0 x 2A x BB x c1 x 53 x dc x 0B x 9d x 6c x 31 x 74 x F6 x 46 x Ac x 89 x 14 x E1 x F0 x 16 x 3A x 69 x 09 x 70 x B6 x d0 x Ed x cc x 42 x 98 x A4 x 28 x 5c x F8 x 86 x Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 31

32 Whirlpool: Shift Column S0, 0 S0, 1 S0, 2 S0, 3 S0, 4 S0, 5 S0, 6 S0, 7 S0, 0 S0, 1 S0, 2 S0, 3 S0, 4 S0, 5 S0, 6 S7, 7 S7, 0 S7, 7 S7, 0 S0, 7 Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 32

33 Whirlpool: Mix Row Matrixmultiplikation für jede Zeile von CState terpreted as an element in the finite field GF (2 8 ): s i,0 s i,1 s i,2 s i,3 s i,4 s i,5 s i,6 s i,7 T = s i,0 s i,1 s i,2 s i,3 s i,4 s i,5 s i,6 s i,7 T A = s i,0 s i,1 s i,2 s i,3 s i,4 s i,5 s i,6 s i,7 T 1. Whirlpool 1.2 Description x 01 x 03 x 01 x 05 x 08 x 09 x 05 x 05 x 01 x 01 x 03 x 01 x 05 x 08 x 09 x 09 x 05 x 01 x 01 x 03 x 01 x 05 x 08 x 08 x 09 x 05 x 01 x 01 x 03 x 01 x 05 x 05 x 08 x 09 x 05 x 01 x 01 x 03 x 01 x 01 x 05 x 08 x 09 x 05 x 01 x 01 x 03 x 03 x 01 x 05 x 08 x 09 x 05 x 01 x 01 x 01 x 03 x 01 x 05 x 08 x 09 x 05 x 01 x As a result, the first byte of the row, for example, is replaced by (apply the first column of the matrix A): s i,0 = s i,0 (s i,1 05 x ) (s i,2 09 x ) (s i,3 08 x ) (s i,4 05 x ) s i,5 (s i,6 03 x ) s i,7. The operator in this expression denotes addition in GF (2 8 ), which corresponds Wolfgang to Hommel, bitwise Helmut XOR Reiser, (exclusive LRZ, WS 10/11 OR). IT-Sicherheit The multiplications are performed modulo the irreducible polynomial of the field. In the case of the cipher W the 33 poly-

34 Whirlpool: Add round key / constant CState wird mit Ki XOR-verknüpft Berechnung von Ki Substitute bytes (SB) Shift columns (SC) Berechnung von RC[r] für Runde r: RC[0] = K for 1 r 10 RC[r]0,j = Sbox[8(r-1)+j] für 0 j 7 u. 1 r 10 RC[r]i,j = 0 für 1 i 7, 0 j 7 u. 1 r 10 Mix rows (MR) Add round constant RC[r] Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 34

35 Vergleich Rijndael und W Rijndael W Blockgröße [bits] 128, 160, 192, 224 oder 256 immer 512 Rundenanzahl 10, 11, 12, 13 oder 14 immer 10 Schlüsselauswahl ausgezeichneter Algorithmus (a priori) Rundenfunktion von W Reduktionspolynom x 8 +x 4 +x 3 +x+1 (0x11b) x 8 +x 4 +x 3 +x 2 +1 (0x11d) Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 35

36 Sicherheit von Whirlpool Algorithmus wurde im Rahmen des NESSIE-Projekts evaluiert Versteckte Schwächen wurden nicht gefunden Statistische Analyse: Whirlpool sollte stochastisch sein 512 Bit Länge bietet sonst nur SHA-512 Resistent gegenüber bekannten Angriffen Bisher kein erfolgreicher Angriff ABER: Algorithmus noch relativ jung und bisher noch nicht so weit verbreitet Wolfgang Hommel, Helmut Reiser, LRZ, WS 10/11 IT-Sicherheit 36

37 Banken sperren Kreditkarten nach Datenleck bei Onlinehändler ( ) Postbank und ING-DiBa sperren Visa- und Mastercard-Karten von ca. 1% ihrer Kunden; Austausch hat begonnen. Hintergrund ist ein Datendiebstahl bei einem nicht näher genannten (!) deutschen Online-Händler Vergleichbare Aktion im November 2009: Volks- und Raiffeisenbanken, Sparkassen, Deutsche Bank und Sparkassen sperren mehr als Kreditkarten Datendiebstahl bei einem Zahlungs-Dienstleister in Spanien Positive Darstellung: Austausch der Karte ist für den Kunden kostenlos Helmut Reiser,LRZ, WS 10/11 IT-Sicherheit 37