ix Edition Kryptografie Verfahren, Protokolle, Infrastrukturen von Klaus Schmeh 4., aktualisierte und erweiterte Auflage

Transkript

1 ix Edition Kryptografie Verfahren, Protokolle, Infrastrukturen von Klaus Schmeh 4., aktualisierte und erweiterte Auflage Kryptografie Schmeh schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Thematische Gliederung: Kryptologie, Informationssicherheit Kryptologie, Informationssicherheit dpunkt.verlag 2009 Verlag C.H. Beck im Internet: ISBN

2 xi Inhaltsübersicht Teil 1 Wozu Kryptografie? 1 Einleitung 3 2 Was ist Kryptografie und warum ist sie so wichtig? 9 3 Wie Daten abgehört werden können 17 4 Symmetrische Verschlüsselung 41 5 Die Enigma und andere Verschlüsselungsmaschinen 59 Teil 2 Moderne Kryptografie 6 Der Data Encryption Standard 81 7 Weitere symmetrische Verschlüsselungsverfahren 93 8 Der Advanced Encryption Standard (AES) Noch weitere symmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselung Digitale Signaturen Weitere asymmetrische Krypto-Verfahren Kryptografische Hashfunktionen Kryptografische Zufallsgeneratoren Stromchiffren 263 Teil 3 Implementierung von Kryptografie 16 Real-World-Attacken Standardisierung in der Kryptografie Betriebsarten und Datenformatierung 343

3 xii Inhaltsübersicht 19 Kryptografische Protokolle Authentifizierung Verteilte Authentifizierung Krypto-Hardware und Krypto-Software Weitere kryptografische Werkzeuge Evaluierung und Zertifizierung 467 Teil 4 Public-Key-Infrastrukturen 25 Public-Key-Infrastrukturen Digitale Zertifikate PKI-Prozesse im Detail Spezielle Fragen beim Betrieb einer PKI Beispiel-PKIs 579 Teil 5 Kryptografische Netzwerkprotokolle 30 Kryptografie im OSI-Modell Krypto-Standards für OSI-Schicht Krypto-Standards für OSI-Schicht IPsec (Schicht 3) SSL und TLS (Schicht 4) Verschlüsselte und signierte s (Schicht 7) Weitere Krypto-Protokolle der Anwendungsschicht Noch mehr Kryptografie in der Anwendungsschicht 693 Teil 6 Mehr über Kryptografie 38 Krypto-Wettbewerbe Wer in der Kryptografie eine Rolle spielt Wo Sie mehr zum Thema erfahren Das letzte Kapitel 765 Anhang Bildnachweis 787 Literatur 789 Index 811

4 xiii Inhaltsverzeichnis Teil 1 Wozu Kryptografie? 1 Einleitung Kryptografie heute Die vierte Auflage Mein Bedauern, meine Bitten und mein Dank Was ist Kryptografie und warum ist sie so wichtig? The Name of the Game Die kurze Antwort Die lange Antwort Die Kryptografie ein wichtiges Teilgebiet Warum ist die Kryptografie so wichtig? Wirtschaftsspionage Kommerz im Netz Die Privatsphäre Anwendungen der Kryptografie Und wer zum Teufel ist Alice? Wie Daten abgehört werden können Mallory am Übertragungsmedium Kupferkabel Koaxialkabel Glasfaser Drahtlose Datenübertragung Satellit

5 xiv Inhaltsverzeichnis 3.2 Mallory in Computernetzen Mitlesen und Verändern von Dateien Abhören analoger Telefonleitungen Abhören im LAN ISDN-Sicherheitsprobleme DSL Mobilfunk WLANs Mallory im Internet ARP-Spoofing Abhörangriffe auf Router und Gateways IP-Spoofing DNS-Spoofing Mitlesen von s URL-Spoofing Abhören von Internettelefonie Ein paar Fälle aus der Praxis Passwort-Schnüffeleien Abgehörte s Echelon Weitere Fälle Ist Kryptografie gefährlich? Nachteile einer Krypto-Beschränkung Vorteile einer Krypto-Beschränkung Fazit Symmetrische Verschlüsselung Symmetrische Verschlüsselung Kryptografische Fachbegriffe Angriffe auf Verschlüsselungsverfahren Monoalphabetische Substitutionschiffren Cäsar-Chiffre Weitere Substitutionschiffren Homophone Chiffre Polyalphabetische Substitutionschiffren Vigenère-Chiffre Vernam-Chiffre One-Time-Pad Permutationschiffren

6 Inhaltsverzeichnis xv 4.5 Ungelöste Verschlüsselungen Das Voynich-Manuskript Rohonczi-Kodex Dorabella-Chiffre Die Enigma und andere Verschlüsselungsmaschinen Rotorchiffren Heberns Rotormaschine Die Enigma Weitere Rotor-Chiffriermaschinen Andere Verschlüsselungsmaschinen Die Kryha-Maschine Hagelin-Maschinen Die Purple Der Geheimschreiber Lorenz-Maschine Schlüsselgerät 41 (Hitler-Mühle) Teil 2 Moderne Kryptografie 6 Der Data Encryption Standard DES-Grundlagen Funktionsweise des DES Die Rundenfunktion F Die Schlüsselaufbereitung des DES Entschlüsseln mit dem DES Sicherheit des DES Vollständige Schlüsselsuche bis Die DES-Challenge Differenzielle Kryptoanalyse Lineare Kryptoanalyse Schwache Schlüssel Wie sicher ist der DES heute? DES-Fazit Weitere symmetrische Verschlüsselungsverfahren Chiffren-Design Anforderungen an die Sicherheit Die ideale Schlüssellänge Aufbau symmetrischer Verschlüsselungsverfahren

7 xvi Inhaltsverzeichnis 7.2 Triple-DES Doppel-DES Triple-DES SAFER Funktionsweise von SAFER Bewertung von SAFER RC2, RC5 und RC RC RC RC Blowfish und Twofish Blowfish Twofish Der Advanced Encryption Standard (AES) Funktionsweise des AES Rundenaufbau Entschlüsselung mit dem AES Schlüsselaufbereitung Mathematische Betrachtung des AES Bewertung des AES AES als algebraische Formel Quadratische Kryptoanalyse Noch weitere symmetrische Verschlüsselungsverfahren MISTY1, KASUMI und Camellia MISTY KASUMI Camellia Serpent Funktionsweise von Serpent S-Box-Design Schlüsselaufbereitung von Serpent Bewertung von Serpent AES-Kandidaten Die besten drei Die weiteren zwei Finalisten Wegen geringer Performanz ausgeschieden Die Unsicheren Einige AES-Kandidaten im Detail Fazit

8 Inhaltsverzeichnis xvii 9.4 Weitere Verfahren Chiasmus und Libelle IDEA und IDEA NXT Skipjack TEA Weitere Verfahren Asymmetrische Verschlüsselung Ein bisschen Mathematik Modulo-Rechnen Einwegfunktionen und Falltürfunktionen Der Diffie-Hellman-Schlüsselaustausch Funktionsweise von Diffie-Hellman MQV RSA Funktionsweise des RSA-Verfahrens Ein Beispiel Sicherheit des RSA-Verfahrens Symmetrisch und asymmetrisch im Zusammenspiel Unterschiede zwischen symmetrisch und asymmetrisch Hybridverfahren Digitale Signaturen Was ist eine digitale Signatur? RSA als Signaturverfahren Funktionsweise Sicherheit von RSA-Signaturen Signaturen auf Basis des diskreten Logarithmus ElGamal-Verfahren DSA Unterschiede zwischen DLSSs und RSA Weitere asymmetrische Krypto-Verfahren Krypto-Systeme auf Basis elliptischer Kurven Mathematische Grundlagen ECC-Verfahren Die wichtigsten ECC-Verfahren

9 xviii Inhaltsverzeichnis 12.2 Weitere asymmetrische Verfahren NTRU XTR Krypto-Systeme auf Basis hyperelliptischer Kurven HFE Weitere asymmetrische Verfahren Kryptografische Hashfunktionen Was ist eine kryptografische Hashfunktion? Nichtkryptografische Hashfunktionen Kryptografische Hashfunktionen Angriffe auf kryptografische Hashfunktionen Die wichtigsten kryptografischen Hashfunktionen SHA Neue SHA-Varianten MD MD RIPEMD Tiger WHIRLPOOL RadioGatún Weitere kryptografische Hashfunktionen Hashfunktionen aus Verschlüsselungsverfahren SHA Schlüsselabhängige Hashfunktionen Anwendungsbereiche Die wichtigsten schlüsselabhängigen Hashfunktionen Weitere Anwendungen kryptografischer Hashfunktionen Hashbäume Weitere Anwendungen Kryptografische Zufallsgeneratoren Zufallszahlen in der Kryptografie Anforderungen der Kryptografie Echte Zufallsgeneratoren Pseudozufallsgeneratoren Die Grauzone zwischen echt und pseudo Mischen von Zufallsquellen

10 Inhaltsverzeichnis xix 14.2 Die wichtigsten Pseudozufallsgeneratoren Kryptografische Hashfunktionen als Fortschaltfunktion Schlüsselabhängige Hashfunktionen als Fortschaltfunktion Blockchiffren als Fortschaltfunktion Linear rückgekoppelte Schieberegister Nichtlinear rückgekoppelte Schieberegister Zahlentheoretische Pseudozufallsgeneratoren Primzahlgeneratoren Stromchiffren Aufbau und Eigenschaften von Stromchiffren Wie eine Stromchiffre funktioniert Angriffe auf Stromchiffren Stromchiffren und Blockchiffren im Vergleich RC Funktionsweise von RC Bewertung von RC A Funktionsweise von A Bewertung von A E Funktionsweise von E Schlüsselaufbereitung von E Bewertung von E Crypto Funktionsweise von Crypto Bewertung von Crypto Die Verfahren des estream-wettbewerbs HC Rabbit Salsa Sosemanuk Trivium Grain MICKEY Erkenntnisse aus dem estream-wettbewerb Welche Stromchiffre ist die beste? Weitere Stromchiffren Welche Stromchiffren sind empfehlenswert?

11 xx Inhaltsverzeichnis Teil 3 Implementierung von Kryptografie 16 Real-World-Attacken Seitenkanalangriffe Zeitangriffe Stromangriffe Fehlerangriffe Weitere Seitenkanalangriffe Malware-Angriffe Malware und digitale Signaturen Vom Entwickler eingebaute Hintertüren Gegenmaßnahmen Physikalische Angriffe Die wichtigsten physikalischen Angriffe Gegenmaßnahmen Schwachstellen durch Implementierungsfehler Implementierungsfehler in der Praxis Implementierungsfehler in vielen Variationen Gegenmaßnahmen Insiderangriffe Unterschätzte Insider Gegenmaßnahmen Der Anwender als Schwachstelle Schwachstellen durch Anwenderfehler Gegenmaßnahmen Fazit Standardisierung in der Kryptografie Standards Standardisierungsgremien Standardisierung im Internet Wissenswertes zum Thema Standards Standards und die Realität OIDs Wichtige Krypto-Standards PKCS IEEE P ANSI X NSA Suite B

12 Inhaltsverzeichnis xxi 17.4 Standards für verschlüsselte und signierte Daten PKCS# XML Signature und XML Encryption Weitere Formate Betriebsarten und Datenformatierung Betriebsarten von Blockchiffren Electronic-Codebook-Modus Cipher-Block-Chaining-Modus Output-Feedback-Modus Cipher-Feedback-Modus Counter-Modus Fazit Datenformatierung für das RSA-Verfahren Der PKCS#1-Standard Datenformatierung für die RSA-Verschlüsselung Datenformatierung für RSA-Signaturen Datenformatierung für DLSSs Kryptografische Protokolle Protokolle Konzeptprotokolle Netzwerkprotokolle Eigenschaften von Netzwerkprotokollen Protokolle in der Kryptografie Eigenschaften kryptografischer Netzwerkprotokolle Angriffe auf kryptografische Protokolle Replay-Attacke Spoofing-Attacke Man-in-the-Middle-Attacke Hijacking-Attacke Known-Key-Attacken Verkehrsflussanalyse Denial-of-Service-Attacke Sonstige Angriffe Beispielprotokolle Beispielprotokoll: Messgerät sendet an PC Weitere Beispielprotokolle

13 xxii Inhaltsverzeichnis 20 Authentifizierung Authentifizierung im Überblick Etwas, was man weiß Was man hat Was man ist Biometrische Authentifizierung Grundsätzliches zur biometrischen Authentifizierung Biometrische Merkmale Fazit Authentifizierung in Computernetzen Passwörter im Internet Authentifizierung mit asymmetrischen Verfahren Biometrie im Internet Verteilte Authentifizierung Single Sign-On Credential-Synchronisation Lokales SSO Ticket-SSO Web-SSO Kerberos Vereinfachtes Kerberos-Protokoll Vollständiges Kerberos-Protokoll Vor- und Nachteile von Kerberos RADIUS und andere Triple-A-Server Triple-A-Server Beispiele für Triple-A-Server SAML Funktionsweise von SAML SAML in der Praxis Krypto-Hardware und Krypto-Software Krypto-Hardware oder Krypto-Software? Pro Software Pro Hardware Ist Hardware oder Software besser? Smartcards Smartcards und andere Chipkarten Smartcard-Formfaktoren Smartcards und Kryptografie

14 Inhaltsverzeichnis xxiii 22.3 Kryptografie und elektronische Ausweise Elektronische Reisepässe Elektronische Personalausweise Elektronische Gesundheitskarten Weitere elektronische Ausweise Hardware-Security-Module Kryptografie in eingebetteten Systemen Eingebettete Systeme und Kryptografie Kryptografische Herausforderungen in eingebetteten Systemen RFID und Kryptografie Sicherheitsprobleme beim Einsatz von EPC-Chips RFID und Kryptografie Weitere kryptografische Werkzeuge Management geheimer Schlüssel Schlüsselgenerierung Schlüsselspeicherung Schlüsselauthentifizierung Schlüsseltransport und Schlüssel-Backup Schlüsselaufteilung Schlüsselwechsel Löschen eines Schlüssels Key Recovery Trusted Computing und Kryptografie Trusted Computing und Kryptografie Das Trusted Platform Module Funktionen und Anwendungen des TPM Fazit Krypto-APIs PKCS# MS-CAPI Cryptography API Next Generation (CNG) ISO/IEC Universelle Krypto-APIs Evaluierung und Zertifizierung ITSEC Common Criteria

15 xxiv Inhaltsverzeichnis 24.3 FIPS Die vier Stufen von FIPS Die Sicherheitsbereiche von FIPS Bewertung von FIPS Fazit und Alternativen Open Source als Alternative Theorie und Praxis Teil 4 Public-Key-Infrastrukturen 25 Public-Key-Infrastrukturen Digitale Zertifikate Probleme asymmetrischer Verfahren Digitale Zertifikate Vertrauensmodelle Direct Trust Web of Trust Hierarchical Trust PKI-Varianten PKI-Standards X PKIX ISIS-MTT OpenPGP Aufbau und Funktionsweise einer PKI Komponenten einer PKI Rollen in einer PKI Prozesse in einer PKI Identitätsbasierte Krypto-Systeme Funktionsweise Das Boneh-Franklin-Verfahren Digitale Zertifikate X.509v1- und X.509v2-Zertifikate Das Format Nachteile von X.509v1 und v X.509v3-Zertifikate Die X.509v3-Standarderweiterungen

16 Inhaltsverzeichnis xxv 26.3 Weitere X.509-Profile Die PKIX-Erweiterungen Die ISIS-MTT-Erweiterungen X.509-Attribut-Zertifikate X.509-Fazit OpenPGP-Zertifikate OpenPGP-Pakete OpenPGP-Zertifikatsformat Unterschiede zu X CV-Zertifikate PKI-Prozesse im Detail Anwender-Enrollment Schritt 1: Registrierung Schritt 2: Zertifikate-Generierung Schritt 3: PSE-Übergabe Enrollment-Beispiele Zertifizierungsanträge Recovery Schlüsselverlust-Problem Chef-Sekretärin-Problem Urlauber-Vertreter-Problem Virenscanner-Problem Abruf von Sperrinformationen Sperrlisten Online-Sperrprüfung Weitere Formen des Abrufs von Sperrinformationen Spezielle Fragen beim Betrieb einer PKI Outsourcing oder Eigenbetrieb? Gültigkeitsmodelle Schalenmodell Kettenmodell Certificate Policy und CPS Was steht in einem CPS und einer Certification Policy? Nachteile von RFC Policy-Hierarchien Hierarchietiefe Policy Mapping Policy-Hierarchien in der Praxis

17 xxvi Inhaltsverzeichnis 29 Beispiel-PKIs Signaturgesetze und dazugehörende PKIs EU-Signaturrichtlinie Deutsches Signaturgesetz Österreichisches Signaturgesetz Schweizer ZertES Fazit Die PKIs elektronischer Ausweise Die PKI des elektronischen Reisepasses PKIs elektronischer Personalausweise PKIs elektronischer Krankenversichertenkarten Weitere PKIs Organisationsinterne PKIs Kommerzielle Trust Center Übergreifende PKIs Verwaltungs-PKI European Bridge-CA DFN-PCA Wurzel-CAs Teil 5 Kryptografische Netzwerkprotokolle 30 Kryptografie im OSI-Modell Das OSI-Modell Die Schichten des OSI-Modells Die wichtigsten Netzwerkprotokolle im OSI-Modell In welcher Schicht wird verschlüsselt? Kryptografie in Schicht 7 (Anwendungsschicht) Kryptografie in Schicht 4 (Transportschicht) Schicht 3 (Vermittlungsschicht) Schicht 2 (Sicherungsschicht) Schicht 1 (Bit-Übertragungsschicht) Fazit Krypto-Standards für OSI-Schicht Krypto-Erweiterungen für ISDN Kryptografie im GSM-Standard Wie GSM Kryptografie einsetzt Sicherheit von GSM

18 Inhaltsverzeichnis xxvii 31.3 Kryptografie im UMTS-Standard Von UMTS verwendete Krypto-Verfahren UMTS-Krypto-Protokolle Krypto-Standards für OSI-Schicht Krypto-Erweiterungen für PPP CHAP und MS-CHAP EAP ECP und MPPE Virtuelle Private Netze in Schicht Kryptografie für WLANs WEP WPA WPA Kryptografie für Bluetooth Grundlagen der Bluetooth-Kryptografie Bluetooth-Authentifizierung und -Verschlüsselung Angriffe auf die Bluetooth-Sicherheitsarchitektur IPsec (Schicht 3) Bestandteile von IPsec ESP AH IKE ISAKMP Wie IKE ISAKMP nutzt Kritik an IPsec Virtuelle Private Netze mit IPsec SSL und TLS (Schicht 4) Funktionsweise von SSL Protokolleigenschaften SSL-Teilprotokolle SSL-Protokollablauf Das Handshake-Protokoll Das ChangeCipherSpec-Protokoll Das Alert-Protokoll Das ApplicationData-Protokoll SSL in der Praxis Vergleich zwischen IPsec und SSL VPNs mit SSL

19 xxviii Inhaltsverzeichnis 35 Verschlüsselte und signierte s (Schicht 7) und Kryptografie Kryptografie für s S/MIME S/MIME-Format S/MIME-Profil von ISIS-MTT Bewertung von S/MIME OpenPGP OpenPGP Bewertung von OpenPGP Abholen von s: POP und IMAP Gefahren beim Abholen von s Krypto-Zusätze für IMAP Krypto-Zusätze für POP Weitere Krypto-Protokolle der Anwendungsschicht Kryptografie im World Wide Web Basic Authentication Digest Access Authentication NTLM HTTP über SSL (HTTPS) Was es sonst noch gibt Kryptografie für Echtzeitdaten im Internet (RTP) SRTP SRTP-Schlüsselaustausch Bewertung von SRTP Secure Shell (SSH) Entstehungsgeschichte der Secure Shell Funktionsweise der Secure Shell Bewertung der Secure Shell Online-Banking mit HBCI Der Standard Bewertung von HBCI und FinTS Weitere Krypto-Protokolle in Schicht Krypto-Erweiterungen für SNMP DNSSEC und TSIG Kryptografie für SAP R/ SASL Sicheres NTP und sicheres SNTP

20 Inhaltsverzeichnis xxix 37 Noch mehr Kryptografie in der Anwendungsschicht Dateiverschlüsselung Manuelle Dateiverschlüsselung Transparente Dateiverschlüsselung Code Signing Online-Bezahlsysteme Kreditkartensysteme Kontensysteme Bargeldsysteme Einige aktuelle Online-Bezahlsysteme Digital Rights Management DRM und Kryptografie Beispiele für DRM-Systeme Teil 6 Mehr über Kryptografie 38 Krypto-Wettbewerbe Kryptoanalyse-Wettbewerbe Algorithmen-Wettbewerbe Wer in der Kryptografie eine Rolle spielt Die zehn wichtigsten Personen Die zehn wichtigsten Unternehmen Die fünf wichtigsten Non-Profit-Organisationen Wo Sie mehr zum Thema erfahren Die wichtigsten Informationsquellen Die zehn wichtigsten Bücher Die zehn wichtigsten Webseiten Das letzte Kapitel Die zehn größten Krypto-Flops Schlangenöl Zehn populäre Krypto-Irrtümer Murphys zehn Gesetze der Kryptografie

21 xxx Inhaltsverzeichnis Anhang Bildnachweis 787 Literatur 789 Index 811