Vorlesung FS 2010 Sicherheit in der Informationstechnik Prof. Dr. Rolf Oppliger Folie 1

Transkript

1 Vorlesung FS 2010 Sicherheit in der Informationstechnik 2010 Prof. Dr. Rolf Oppliger Folie 1

2 Termine 22. Februar März März März April Mai Mai Juni 2010 (Prüfung) 2010 Prof. Dr. Rolf Oppliger Folie 2

3 Übersicht 1. Einführung 2. Kryptografische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2010 Prof. Dr. Rolf Oppliger Folie 3

4 Fragen sind jederzeit erwünscht 2010 Prof. Dr. Rolf Oppliger Folie 4

5 Literatur Matt Bishop, Computer Security: Art and Science, Addison-Wesley, 2002 Matt Bishop, Introduction to Computer Security, Addison-Wesley, 2004 Charles P. Pfleeger und Shari L. Pfleeger, Security in Computing, Fourth Edition, Prentice Hall, Prof. Dr. Rolf Oppliger Folie 5

6 Übersicht 1. Einführung 2. Kryptografische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2010 Prof. Dr. Rolf Oppliger Folie 6

7 1. Einführung 1/20 Sicherheit Zustand des Nichtvorhanden- oder Geschütztseins vor Bedrohungen und Risiken Sicherheit ist eine subjektiv wahrnehmbare Grösse und weder direkt sicht- noch messbar ( es ist schwierig, Sicherheit zu verkaufen ) Was als sicher oder unsicher zu bezeichnen ist, hängt auch vom Betrachter bzw. dessen individuellen Risikobereitschaft ab (z.b. Fliegen) Sicherheit ist immer relativ und situationsbezogen (d.h. abhängig von der aktuellen Bedrohungslage) 2010 Prof. Dr. Rolf Oppliger Folie 7

8 Einführung 2/20 Dem deutschsprachigen Sicherheitsbegriff entsprechen im Englischen zwei Bedeutungen Sicherheit im Sinne von safety Zuverlässigkeit, Ablauf- und Ausfallsicherheit Sicherheit im Sinne von security Schutz vor beabsichtigten Störungen und Angriffen Die Vorlesung befasst sich schwerpunktmässig mit Sicherheit im Sinne von security Zuweilen werden die zwei Bedeutungen auch unter dem Begriff der Verlässlichkeit subsummiert 2010 Prof. Dr. Rolf Oppliger Folie 8

9 Einführung 3/20 Information Boden Arbeit Information stellt einen vierten, Boden, Kapital und Arbeit ergänzenden Produktionsfaktor dar Unsere Gesellschaft wandelt sich von einer Industrie- zu einer Informationsgesellschaft Kapital 2010 Prof. Dr. Rolf Oppliger Folie 9

10 Einführung 4/20 Die Informatik- oder IT-Sicherheit befasst sich mit der Sicherheit in der Informatik, d.h. mit der sicheren Speicherung, Verarbeitung und Übertragung von Daten (Informationssicherheit ist weiter gefasst) Sicherheitsziele Verfügbarkeit Vertraulichkeit Integrität Authentizität Verbindlichkeit Anonymität / Pseudonymität 2010 Prof. Dr. Rolf Oppliger Folie 10

11 Einführung 5/20 Es fehlt eine (brauchbare) Metrik für die IT-sicherheit Entsprechend wird in der Praxis IT-Sicherheit durch Räuber-und-Gendarm -Spiele approximiert (z.b. Penetrationstests und ethisches Hacken) Solche Spiele und Approximationen hat es schon immer gegeben Geldtransporte im Wilden Westen Einbruchsichere Safes Ausbruchsichere Gefängnisse Prof. Dr. Rolf Oppliger Folie 11

12 Einführung 6/20 Zentrale Frage der IT-Sicherheit Wie kann ein Informatiksystem and seine Betriebsmittel (insbesondere Daten) vor Angriffen (von innen und aussen) geschützt werden? Aufgrund der asymmetrischen Lastverteilung ist es möglich und wahrscheinlich, dass ein Angriff erfolgreich ist Es gibt (zu) viele Möglichkeiten, ein Informatiksystem anzugreifen (z.b. DoS) 2010 Prof. Dr. Rolf Oppliger Folie 12

13 Einführung 7/20 Direkte Angriffe können technisch erschwert werden Indirekte Angriffe sind immer möglich (z.b., Social Engineering -Angriffe) 2010 Prof. Dr. Rolf Oppliger Folie 13

14 Einführung 8/20 It is easy to run a secure computer system. You merely have to disconnect all dial-up connections and permit only direct-wired terminals, put the machine and its terminals in a shielded room, and post a guard at the door. F.T. Grampp and R.H. Morris, UNIX Operating System Security. AT&T Bell Laboratories Technical Journal, Vol. 63, No. 8, October 1984, pp It is easy to run a secure computer system. You merely have to disconnect all dial-up connections and permit only direct-wired terminals, put the machine and its terminals in a shielded room, post a guard at the door, remove or disable all user accounts, and make sure that nobody can get physically close to the system Prof. Dr. Rolf Oppliger Folie 14

15 Einführung 9/20 Natürliche Feinde der Informatiksicherheit Menschliche Benutzer Komplexität Windows XP hat ca Lines of Code Bei einem sicherheitsrelevanten Programm(ier)fehler pro Lines of Code ergeben sich Fehler Nur ein Teil dieser Fehler wird gefunden bzw. korrigiert Geschwindigkeit Produktions- und Time-to-Market -Zyklen werden immer kürzer Beta-Testen hat das Austesten von Software ersetzt 2010 Prof. Dr. Rolf Oppliger Folie 15

16 Einführung 10/20 Aufgrund dieser Ausgangslage kann kurzfristig nicht mit einer Verbesserung gerechnet werden Im Informatiksicherheitsbereich gibt es keinen heiligen Gral (oder Indiz für dessen Existenz) Dennoch gibt es Firmen, die versuchen, ihre Produkte oder Dienstleistungen als heiligen Gral anzupreisen und zu verkaufen Vor einer solchen Praxis muss gewarnt werden Ähnliche Vorbehalte gelten auch gegenüber Zertifikaten 2010 Prof. Dr. Rolf Oppliger Folie 16

17 Einführung 11/20 Bill Cheswick, Steve Bellovin, und Aviel Rubin, Firewall and Internet Security, 2 nd Edition, Addison- Wesley, 2003 There is no such thing as absolute security Security is always a question of economics Keep the level of all your defenses at about the same height An attacker doesn t go through security, but around it Put your defenses in layers (defense-in-depth) It s a bad idea to rely on security through obscurity Keep it simple 2010 Prof. Dr. Rolf Oppliger Folie 17

18 Einführung 12/20 Don t give a person or a program any more privileges than those neceassry to do the job Programming is hard Security should be an integral part of the original design If you do not run a program, it does not matter if it has security holes A program or protocol is insecure until proven secure A chain is only as strong as ist weakest link Security is a trade-off with convenience Don t underestimate the value of your assets 2010 Prof. Dr. Rolf Oppliger Folie 18

19 Einführung 13/20 Bedrohungsmodell Sicherheitsleitbild oder -politik Bedrohungs- und Risikoanalyse Sicherheitsstrategie Implementationsrichtlinien Entwurf Verbesserung Sicherheitsmassnahmen Implementation Technisch Organisatorisch Rechtlich Überprüfung 2010 Prof. Dr. Rolf Oppliger Folie 19

20 Einführung 14/20 Die Erarbeitung einer Bedrohungs- und Risikoanalyse ist schwierig In der Theorie errechnet sich das Risiko eines Schadenereignisses als Risiko = Eintretenswahrscheinlichkeit * Schadenausmass Leider sind sowohl die Eintretenswahrscheinlichkeit als auch das Schadenausmass schwierig abzuschätzen (bzw. zu quantifizieren) In der Praxis begnügt man sich mit qualitativen Risikoanalysen und Grundschutzansätzen (nicht Gegenstand der Vorlesung) 2010 Prof. Dr. Rolf Oppliger Folie 20

21 Einführung 15/20 Die Formulierung einer Sicherheitspolitik erfordert ein Abwägen von Funktionalität vs. Sicherheit Beispiel: POP3- bzw. IMAP4-Zugänge zu externen Mailboxen Funktionalität Sicherheit 2010 Prof. Dr. Rolf Oppliger Folie 21

22 Einführung 16/20 Prävention (prevention) Erkennung (detection) Reaktion (response) 2010 Prof. Dr. Rolf Oppliger Folie 22

23 Einführung 17/20 Die Aufgabe eines Informatiksicherheitsverantwortlichen ist ähnlich wie die eines Architekten (vgl. R. Oppliger, IT Security: In Search of the Holy Grail, Communications of the ACM, 50(2), February 2007, pp ) Sicherheitsarchitektur(en) ist (sind) wichtig Sicherheits- und Penetrationstests sind weniger wichtig Die Aussagekraft solcher Tests ist nicht sehr gross In der realen Welt gibt es auch keine ethischen Einbrecher bzw. entsprechende Dienstleistungen) 2010 Prof. Dr. Rolf Oppliger Folie 23

24 Einführung 18/20 Im Strassenverkehr haben wir uns daran gewöhnt, dass es eine absolute Sicherheit nicht gibt Ein sinnvolles Mass an Sicherheit resultiert aus dem Zusammenspiel von verschiedenen Sicherheitsmassnahmen Führerprüfungen Fahrzeugprüfungen Ausbildungsprogramme Sensibilisierungskampagnen Verkehrsgesetze Polizeieinsätze und Kontrollen 2010 Prof. Dr. Rolf Oppliger Folie 24

25 Einführung 19/20 Je komplexer eine Materie ist, umso mehr will man sich üblicherweise auf Standards (ab-)stützen Dies gilt namentlich auch für die Informatiksicherheit Entsprechend viele Standards gibt es Besondere Verbreitung finden Standards über Best Practices bzw. Informationssicherheitsmanagementsysteme (ISMS) z.b. BS :2002 bzw. ISO/IEC 27001:2005) Zum Teil werden Standards auch sektoriell übernommen bzw. adaptiert z.b. Payment Card Industry Data Security Standard (PCI DSS) 2010 Prof. Dr. Rolf Oppliger Folie 25

26 Einführung 20/20 Je sektorieller und spezifischer ein Informatiksicherheitsstandard ist, umso besser ist seine Ausgangslage (aber umso kleiner ist auch sein Potential) PCI DSS wird sich wahrscheinlich durchsetzen und etablieren (in konkretisierter Form) Hingegen ist die weitere Entwicklung bzw. Durchsetzung von ISO/IEC 27001:2005 offen Die Entwicklung ist auch abhängig von wirtschaftspolitischen Einflussfaktoren und gruppendynamischen Effekten (analog zu ISO 9000) 2010 Prof. Dr. Rolf Oppliger Folie 26

27 Übersicht 1. Einführung 2. Kryptografische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2010 Prof. Dr. Rolf Oppliger Folie 27

28 2. Kryptografische Grundlagen 1/18 Artech House (2005) ISBN Prof. Dr. Rolf Oppliger Folie 28

29 Kryptografische Grundlagen 2/18 Der Begriff Kryptologie (cryptology) leitet sich von zwei griechischen Wörtern ab kryptós hidden lógos word Die Bedeutung verstecktes Wort repräsentiert den ursprünglichen Einsatzzweck der Kryptografie (insb. Datenvertraulichkeitsschutz) Der Begriff Kryptologie wird heute breiter verwendet Er umfasst alle sicherheitsbezogenen Einsatzgebiete und Anwendungen (in Ergänzung zum Datenvertraulichkeitsschutz) 2010 Prof. Dr. Rolf Oppliger Folie 29

30 Kryptografische Grundlagen 3/18 Beispiele Datenintegritätsschutz Authentizität von Entitäten Authentizität des Datenursprungs Zugriffskontrolle ( conditional access, DRM, ) Verbindlichkeit Zurechenbarkeit (accountability) Anonymität Pseudonymität Einige Ziele und Anwendungen sind wiedersprüchlich oder sich sogar gegenseitig ausschliessend 2010 Prof. Dr. Rolf Oppliger Folie 30

31 Kryptografische Grundlagen 4/18 Kryptologie Kryptografie Kryptoanalyse Steganografie 2010 Prof. Dr. Rolf Oppliger Folie 31

32 Kryptografische Grundlagen 5/18 Gemäss RFC 2828 ist ein kryptografisches System oder Kryptosystem A set of algorithms together with the key management processes that support use of the algorithm in some application context In der Literatur werden kryptografische Systeme zuweilen auch als kryptografische Schemata bezeichnet (z.b. digital signature schemes) Ein Protokoll ist ein von mehreren Parteien auszuführender (verteilter) Algorithmus 2010 Prof. Dr. Rolf Oppliger Folie 32

33 Kryptografische Grundlagen 6/18 Notation für Protokolle A ( Inputparamter ) Berechnungsschritt B ( Inputparamter ) Berechnungsschritt Berechnungsschritt ( Outputparamter ) Berechnungsschritt ( Outputparamter ) 2010 Prof. Dr. Rolf Oppliger Folie 33

34 Kryptografische Grundlagen 7/18 Klassen von Kryptosystemen Schlüssellose Kryptosysteme Keine kryptografischen Parameter Kryptosysteme mit geheimen Schlüsseln (symmetrische Kryptosysteme) Kryptografische Parameter sind allen Beteiligten bekannt Kryptosysteme mit öffentlichen Schlüsseln (asymmetrische Kryptosysteme) Kryptografische Parameter sind nicht allen Beteiligten bekannt 2010 Prof. Dr. Rolf Oppliger Folie 34

35 Kryptografische Grundlagen 8/18 Das Ziel der Kryptografie ist der Entwurf, die Entwicklung und der Einsatz von sicheren Kryptosystemen Um präzise Aussagen über die Sicherheit eines Kryptosystems machen zu können, muss der Begriff Sicherheit präzis (z.b. formal) definiert sein Insbesondere muss der Angreifer definiert sein und es muss klar sein, was dieser Angreifer machen muss, um erfolgreich zu sein (d.h. um die Sicherheit zu brechen) Starke Sicherheitsdefinitionen gehen von einem starken Angreifer und einer einfachen Aufgabe aus 2010 Prof. Dr. Rolf Oppliger Folie 35

36 Kryptografische Grundlagen 9/18 Beispiele aus der realen Welt 2010 Prof. Dr. Rolf Oppliger Folie 36

37 Kryptografische Grundlagen 10/18 Ein Kryptosystem gilt als sicher wenn ein definierter Angreifer eine definierte Aufgabe nicht lösen kann Wenn der Angreifer die Aufgabe grundsätzlich nicht lösen kann, spricht man von bedingungsloser bzw. informationstheoretischer Sicherheit ( Wahrscheinlichkeitsrechnung und Informationstheorie) Wenn der Angreifer die Aufgabe grundsätzlich schon lösen könnte, im Moment aber nicht fähig ist, dies zu tun, spricht man von bedingter bzw. berechenbarer Sicherheit ( Komplexitätstheorie) 2010 Prof. Dr. Rolf Oppliger Folie 37

38 Kryptografische Grundlagen 11/18 In der Literatur ist zuweilen auch von beweisbar sicheren Kryptosystemen die Rede Für ein solches Kryptosystem kann ein komplexitätstheoretischer Reduktionsbeweis geführt werden, d.h. es kann gezeigt werden, dass die Brechung des Systems gleichbedeutend ist mit der Lösung eines (schwierigen) mathematischen Problems Unter der Annahme, dass das mathematische Problem nicht gelöst werden kann, kann im Umkehrschluss gefolgert werden, dass das System nicht gebrochen werden kann 2010 Prof. Dr. Rolf Oppliger Folie 38

39 Kryptografische Grundlagen 12/18 In einigen Sicherheitsbeweisen bzw. -analysen wird zudem die Annahme gemacht, dass sich ein kryptografisches System (typischerweise eine kryptografische Hashfunktion) gleich verhält wie eine Zufallsfunktion Solche Beweise gelten nur im sogenannten Random Oracle Model und nicht im Standardmodell (z.b. OAEP, PSS, ) Beweise im Random Oracle Model werden heute sehr kontrovers diskutiert 2010 Prof. Dr. Rolf Oppliger Folie 39

40 Kryptografische Grundlagen 13/18 Es entspricht einer leider weit verbreiteten Meinung, dass man die Sicherheit eines (kryptografischen) Systems dadurch verbessern kann, dass man die Entwurfskriterien und Informationen über die interne Funktions- und Arbeitsweise des Systems geheim hält Diesen Ansatz bezeichnet man auch etwa als security through obscurity Viele Systeme, die auf security through obscurity aufsetzen, bieten keine adäquate Sicherheit 2010 Prof. Dr. Rolf Oppliger Folie 40

41 Kryptografische Grundlagen 14/18 Demgegenüber besagt das Prinzip von Kerckhoffs, dass ein kryptografisches System so entworfen werden soll, dass es auch dann noch sicher ist, wenn ein Angreifer alle Einzelheiten des Systems (ausser den Schlüsselwerten) kennt Das Prinzip von Kerckhoffs ist beim Entwurf von kryptografischen Systemen angebracht und anerkannt In anderen Einsatzumgebungen ist das Prinzip allerdings umstritten 2010 Prof. Dr. Rolf Oppliger Folie 41

42 Kryptografische Grundlagen 15/18 Die Implementation eines (theoretisch sicheren) Kryptosystems muss nicht sicher sein Es gibt viele Angriffsmöglichkeiten gegen eine spezifische Implementation Insbesondere gibt es zunehmend viele Seitenkanal- Angriffe, die zum Teil sehr erfolgreich sind Timing Attacks Differential Fault Analysis (DFA) Differential Power Analysis (DPA) 2010 Prof. Dr. Rolf Oppliger Folie 42

43 Kryptografische Grundlagen 16/18 Bis zum Zweiten Weltkrieg wurde die Kryptografie mehr als Kunst denn als Wissenschaft betrachtet und vor allem vom Militär und in der Diplomatie genutzt Zwei wissenschaftliche Errungenschaften haben die Kryptografie zu einer Wissenschaft gemacht 2010 Prof. Dr. Rolf Oppliger Folie 43

44 Kryptografische Grundlagen 17/18 Während des Zweiten Weltkrieges hat Claude E. Shannon die Informationstheorie entwickelt, die es erlaubt, wissenschaftlich über Verschlüsselungssysteme zu argumentieren 2010 Prof. Dr. Rolf Oppliger Folie 44

45 Kryptografische Grundlagen 18/18 In den 70-Jahren haben Whitfield Diffie und Martin Hellman (mit Ralph Merkle) den Einsatz von Trapdoor (Einweg-)Funktionen vorgeschlagen und damit die Kryptografie mit öffentlichen Schlüsseln (public key cryptography) begründet Seit den frühen 90-Jahren findet eine Verberitung und Kommerzialisierung der Kryptografie statt 2010 Prof. Dr. Rolf Oppliger Folie 45

46 Übersicht 1. Einführung 2. Kryptographische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2010 Prof. Dr. Rolf Oppliger Folie 46

47 3. Kryptosysteme (Übersicht) 1/60 c't 20/2004 Schlagseite 2010 Prof. Dr. Rolf Oppliger Folie 47

48 Kryptosysteme Schlüssellose Kryptosysteme 2/60 Einweg-Funktionen Kryptografische Hashfunktionen Zufallsbitgeneratoren 2010 Prof. Dr. Rolf Oppliger Folie 48

49 Kryptosysteme Schlüssellose Kryptosysteme Einweg-Funktionen 3/60 Einweg-Funktionen spielen in der modernen Kryptografie eine fundamentale Rolle Informelle Definition: Eine Funktion f: X Y ist Einweg wenn sie effizient berechenbar aber nicht effizient invertiert werden kann X Y effizient berechenbar x? y 2010 Prof. Dr. Rolf Oppliger Folie 49

50 Kryptosysteme Schlüssellose Kryptosysteme Einweg-Funktionen 4/60 Formale(re) Definition: Eine Funktion f: X Y ist Einweg wenn für x R X f(x) effizient berechnet werden kann für y R Y f -1 (y) nicht effizient berechnet werden kann In der realen Welt gibt es viele Funktionen, die eine Einweg-Eigenschaft haben Ermitteln einer Telefonnummer in einem (alphabetisch sortierten) Telefonbuch Zerschlagen einer Flasche Zeitabhängige Prozesse (z.b. Alterundprozess) 2010 Prof. Dr. Rolf Oppliger Folie 50

51 Kryptosysteme Schlüssellose Kryptosysteme Einweg-Funktionen 5/60 In der Mathematik gibt es nur wenige Funktionen, von denen man annimmt, dass sie Einweg sind Diskrete Exponentialfunktion (Exp): y = g x (mod p) Modulares Potenzieren (RSA): y = x e (mod n) Modulares Quadrieren (Square): y = x 2 (mod n) Keine dieser Funktionen ist bewiesenermassen Einweg Es ist theoretisch nicht einmal klar, ob es überhaupt Einweg-Funktionen gibt (bzw. geben kann) 2010 Prof. Dr. Rolf Oppliger Folie 51

52 Kryptosysteme Schlüssellose Kryptosysteme Einweg-Funktionen 6/60 Eine Einweg-Funktion f: X Y ist eine Trapdoor (Einweg-)Funktion wenn es Zusatzinformation gibt, mit der f effizient invertiert werden kann, d.h. f -1 (y) kann für y R Y effizient berechnet werden Das mechanische Analogon für eine Trapdoor (Einweg-)Funktion ist ein Vorhängeschloss Um formal korrekt argumentieren zu können, muss man Familien von Einweg-Funktionen bzw. Trapdoor (Einweg-) Funktionen betrachten 2010 Prof. Dr. Rolf Oppliger Folie 52

53 Kryptosysteme Schlüssellose Kryptosysteme Kryptografische Hashfunktionen 7/60 Hashfunktionen werden in der Informatik häufig verwendet Dabei stellt eine Hashfunktion eine effizient berechenbare Funktion h: Σ * Σ n dar, die aus einem beliebig langen Eingabe-String einen Ausgabe-String fester Länge n erzeugt Entsprechend erzeugt h Hashwerte der Länge n Technisch gibt es eine maximale Länge n max für Eingabe-Strings (d.h. h: Σ n max Σ n ) 2010 Prof. Dr. Rolf Oppliger Folie 53

54 Kryptosysteme Schlüssellose Kryptosysteme Kryptografische Hashfunktionen 8/60 In der Kryptografie ist man an Hashfunktionen interessiert, die spezielle Eigenschaften haben Urbild-resistent (preimage resistent one way) Zweites-Urbild-resistent (second-preimage resistent) Kollisionsresistent (collision resistent) Eine kryptografische Hashfunktion ist eine Hashfunktion, die entweder Urbild-resistent und Zweites- Urbild-resistent oder Urbild-resistent und Kollisionsresistent ist 2010 Prof. Dr. Rolf Oppliger Folie 54

55 Kryptosysteme Schlüssellose Kryptosysteme Kryptografische Hashfunktionen 9/60 Die Ausgabe einer kryptografischen Hashfunktion ist eine charakteristische Repräsentation des Eingabe- Strings (Nachricht) Fingerprint oder Digest This is a file that includes some inportant but long statements. Consequently, we may need a short representation of this file. h E4 23 AB 7D D1 3E F6 EA EA Prof. Dr. Rolf Oppliger Folie 55

56 Kryptosysteme Schlüssellose Kryptosysteme Kryptografische Hashfunktionen 10/60 Dabei ist es zu aufwändig, zwei oder mehr Nachrichten zu finden, die den gleichen Hashwert haben Beispiele MD5 SHA-1, SHA-2 family SHA-3 (~ 2012) Die aktuellen Forschungsbemühungen zielen auf Kollisionen in gängigen Hashfunktionen und die Entwicklung von kryptografischen Hashfunktionen ab, die inhärent kollisionsresistenter sind 2010 Prof. Dr. Rolf Oppliger Folie 56

57 Kryptosysteme Schlüssellose Kryptosysteme Zufallsbitgeneratoren 11/60 Die Möglichkeit, geheime und nicht vorhersehbare Zufallsgrössen (d.h. Zufallsbits) erzeugen zu können, ist eine notwendige aber nicht hinreichende Bedingung für die Sicherheit eines Kryptosystems Ob es eine solche Möglichkeit gibt, ist umstritten Die Quantenphysik suggeriert, dass es zufällige Ereignisse und damit solche Möglichkeiten gibt Ein Zufallsbitgenerator ist ein (idealisiertes Modell eines) Gerät(es), das ohne Eingabe Zufallsbits erzeugen und ausgeben kann 2010 Prof. Dr. Rolf Oppliger Folie 57

58 Kryptosysteme Schlüssellose Kryptosysteme Zufallsbitgeneratoren 12/60 Zufallsbitgenerator Die Ausgabe ist eine Sequenz von statistisch unabhängigen und gleichverteilten Bits Die Bits treten mit der gleichen Wahrscheinlichkeit auf, d.h. Pr[0] = Pr[1] = ½ Für k 1 treten alle 2k k-tupel von Bits mit der gleichen Wahrscheinlichkeit auf, d.h. Pr[00 0] = Pr[00 1] = = Pr[11 1] = 1/2 k 2010 Prof. Dr. Rolf Oppliger Folie 58

59 Kryptosysteme Schlüssellose Kryptosysteme Zufallsbitgeneratoren 13/60 Es gibt statistische Tests, um die Güte eines Zufallbitgenerators (oder seiner Ausgaben) abzuschätzen Der Entwurf eines guten Zufallbitgenerators ist eine schwierige und anspruchsvolle Aufgabe Es braucht eine natürliche Quelle von Zufall Dazu können verschiedene physikalische Phänomene oder Ereignisse genutzt werden 2010 Prof. Dr. Rolf Oppliger Folie 59

60 Kryptosysteme Symmetrische Kryptosysteme 14/60 Verschlüsselungssysteme Nachrichtenauthentifikationscodes Pseudozufallsbitgeneratoren Pseudozufallsfunktionen 2010 Prof. Dr. Rolf Oppliger Folie 60

61 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 15/60 Mit einem symmetrischen Verschlüsselungssystem können mit einem geheimen Schlüssel k Daten verund entschlüsselt werden Im Rahmen einer Verschlüsselung wird ein Klartext auf einen Chiffretext (Chiffrat) c abgebildet Die Entschlüsselung is der Umkehrprozess, d.h. ein Chiffretext c wird auf einen Klartext m abgebildet k k m E c D m 2010 Prof. Dr. Rolf Oppliger Folie 61

62 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 16/60 Ein symmetrisches Verschlüsselungssystem besteht aus 5 Komponenten Klartextnachrichtenraum M Chiffretextraum C Schlüsselraum K Familie E = {E k : k K} von (probabilistischen) Verschlüsselungsfunktionen E k : M C Familie D = {D k : k K} von Entschlüsselungsfunktionen D k : C M D k und E k müssen invers zueinander sein, d.h. D k (E k (m)) = E k (D k (m)) = m ( k K, m M) 2010 Prof. Dr. Rolf Oppliger Folie 62

63 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 17/60 Typische Werte sind M = C = {0,1}* K = {0,1} l für eine konstante Schlüssellänge l (z.b. l = 128) Beispiele Data Encryption Standard (DES), DESX, 3DES International Data Encryption Algorithm (IDEA) Advanced Encryption Standard (AES) RC2, RC4, RC5, 2010 Prof. Dr. Rolf Oppliger Folie 63

64 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 18/60 In den 1970er Jahren führte das National Bureau of Standards (NBS) einen Wettbewerb für einen standardisierten Verschlüsselungsalgorithmus durch Der Lucifer-Algorithmus von IBM wurde 1977 vom NBS als DES (FIPS PUB 46) spezifiziert Das NIST (vormals NBS) bestätigte den Standard 1983, 1988, 1993 und 1999 Im Rahmen von FIPS PUB 46-3 (1999) wurde der Triple Data Encryption Algrotihm (TDEA) eingeführt 2004 wurde DES als Standard aufgehoben 2010 Prof. Dr. Rolf Oppliger Folie 64

65 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 19/60 DES stellt eine Substitution-Permutation-Verschlüsselung bzw. Feistel-Verschlüsselung dar Σ = Z 2 = {0,1} Blocklänge 2t r Runden Für jedes k K müssen r Rundenschlüssel k 1, k r generiert werden 2010 Prof. Dr. Rolf Oppliger Folie 65

66 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 20/60 Die Verschlüsselungsfinktion E k beginnt mit der Aufteilung eines Klartextblocks m in zwei Hälften zu je t Bits, d.h. m = (L 0,R 0 ) Eine Sequenz von Paaren (L i,r i ) für i=1,,r wird rekursiv berechnet (L i,r i ) = (R i-1,l i-1 f ki (R i-1 )) (1) (L r,r r ) in umgekehrten Reihenfolge stellt den Chiffretextblock dar, d.h. c = (R r,l r ) Entsprechend gilt c = E k (m) = E k (L 0,R 0 ) = (R r,l r ) 2010 Prof. Dr. Rolf Oppliger Folie 66

67 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 21/60 Die rekursive Formel (1) kann umgeschrieben werden (L i-1,r i-1 ) = (R i f ki (L i ),L i ) Damit können L i-1 and R i-1 rekursiv aus L i, R i und k i berechnet und m = (L 0,R 0 ) aus c = (R r,l r ) bestimmt werden (Rundenschlüssel k r,,k 1 in umgekehrter Reihenfolge) DES ist eine Feistel-Verschlüsselung mit Blocklänge 2t = 64 Bits und r = 16 Runden 2010 Prof. Dr. Rolf Oppliger Folie 67

68 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 22/60 DES-Schlüssel sind 64-Bit Strings mit ungerader Parität (pro Byte) K = {(k 1,,k 64 ) {0,1} 64 Σ j=1,,8 k 8i+j 1 (mod 2) for i = 0,,7} Zum Beispiel ist F1DFBC9B ein gültiger DES-Schlüssel F1 = DF = BC = Prof. Dr. Rolf Oppliger Folie 68

69 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 23/60 Um ein Klartextnachrichtenblock m mit dem Schlüssel k zu chiffrieren, operiert der DES-Verschlüsselungsalgorithmus in 3 Schritten 1. Es wird eine initiale Permutation (IP) auf m angewandt 2. Es wird eine 16-Runden Feistel-Verschlüsselung auf IP(m) angewandt das beinhaltet die abschliessende Vertauschung von L 16 und R Es wird die inverse initiale Permutation (IP -1 ) auf das Result von Schritt 2 angewandt 2010 Prof. Dr. Rolf Oppliger Folie 69

70 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 24/ Prof. Dr. Rolf Oppliger Folie 70

71 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 25/60 DES setzt eine Rundenfunktion f ein, die 16 mal iteriert wird Die Rundenfunktion f hat als Input einen 32- Bit R-Block und einen 48-Bit Rundenschlüssel k i Sie erzeugt als Ausgabe einen Bitstring der Länge Prof. Dr. Rolf Oppliger Folie 71

72 Kryptosysteme Symmetrische Kryptosysteme Verschlüsselungssysteme 26/60 Der DES Key Schedule nimmt einen 56 oder 64 Bit langen DES-Schlüssel entgegen und erzeugt Bit lange Rundenschlüssel k 1,k 2,,k 16 Permuted choice (PC) Funktionen PC1: {0,1} 64 {0,1} 28 x {0,1} 28 PC2: {0,1} 28 x {0,1} 28 {0,1} 64 1 position for 1, 2, 9, 16 2 positions for 3, 4, 5, 6, 7, 8, 10, 11, 12, 13, 14, Prof. Dr. Rolf Oppliger Folie 72

73 Kryptosysteme Symmetrische Kryptosysteme Nachrichtenauthentifikationscodes 27/60 Es ist manschmal ausreichend, die Authentizität und Integrität einer Nachricht zu schützen (anstelle der Datenvertraulichkeit) In einer solchen Situation kann ein Authentifizierungstag an die Nachricht angehängt werden und der Empfänger kann das Tag verifizieren Nachricht Nachricht Tag 2010 Prof. Dr. Rolf Oppliger Folie 73

74 Kryptosysteme Symmetrische Kryptosysteme Nachrichtenauthentifikationscodes 28/60 Möglichkeiten zur Erzeugung und Verifikation von Authentifizierungstags Public Key Cryptography Digitale Signaturen Secret Key Cryptography Nachrichtenauthentifizierungscodes (message authentication codes, MACs no nonrepudiation) Ein Nachrichtenauthentifizierungssystem (message authentication system) ist ein System zur Erzeugung und Verifizierung von MACs 2010 Prof. Dr. Rolf Oppliger Folie 74

75 Kryptosysteme Symmetrische Kryptosysteme Nachrichtenauthentifikationscodes 29/60 Ein Nachrichtenauthentifizierungssystem besteht aus 5 Komponenten Nachrichetnraum M Tagraum T Schlüsselraum K Familie A = {A k : k K} von Nachrichtenauthentifikationsfunktionen A k : M T Familie V = {V k : k K} von Verifikationsfunktionen verification functions V k : M x T {valid,invalid} 2010 Prof. Dr. Rolf Oppliger Folie 75

76 Kryptosysteme Symmetrische Kryptosysteme Nachrichtenauthentifikationscodes 30/60 V k (m,t) gültig t gültiges Authentifizierungstag für Nachricht m und Schlüssel k (d.h. t = A k (m)) Damit ist V k (m, A k (m)) gültig k K, m K Typischerweise M = {0,1}* T = {0,1} l tag für konstante Taglänge l tag K = {0,1} l key für konstante Schlüssellänge l key Z.B. l tag = l key = Prof. Dr. Rolf Oppliger Folie 76

77 Kryptosysteme Symmetrische Kryptosysteme Nachrichtenauthentifikationscodes 31/60 In der Theorie sind viele (bedingungslos oder bedingt sichere) Nachrichtenauthentifizierungssysteme bekannt In der Praxis wird vor allem eine auf Hashfunktionen mit Schlüsseln basierende Konstruktion (HMAC) eingesetzt (RFC 2104) HMAC k (m) = h(k opad h(k ipad m) Die meisten Internet-Sicherheitsprotokolle (z.b. IPsec, TLS, ) setzen die HMAC-Konstruktion ein 2010 Prof. Dr. Rolf Oppliger Folie 77

78 Kryptosysteme Symmetrische Kryptosysteme Pseudozufallsbitgeneratoren 32/60 Ein Zufallsbitgenerator kann nicht deterministisch implementiert werden Demgegenüber ist ein Pseudozufallsbitgenerator (PRBG) ein effizienter deterministischer Algorithmus, der als Eingabe eine zufällige Bitfolge der Länge k (seed) entgegennimmt und als Ausgabe eine Bitfolge der Länge l >> k erzeugt Seed PRBG Prof. Dr. Rolf Oppliger Folie 78

79 Kryptosysteme Symmetrische Kryptosysteme Pseudozufallsbitgeneratoren 33/60 Im Gegensatz zu einem Zufallsbitgenerator nimmt ein PRBG eine Eingabe entgegen und stellt einen deterministischen Algorithmus dar Konsequenzen Ein PRBG ist ein endlicher Automat Jede erzeugte Bitfolge ist zyklisch (mit einem möglicherweise sehr langen Zyklus) Man kann nicht verlangen, dass die Ausgabe eines PRBG echt zufällig ist, sondern nur dass sie so erscheint (d.h. dass sie von einer echten Zufallsfolge nicht unterschieden werden kann) 2010 Prof. Dr. Rolf Oppliger Folie 79

80 Kryptosysteme Symmetrische Kryptosysteme Pseudozufallsbitgeneratoren 34/60 Ähnlich wie bei Zufallsbitgeneratoren kann mithilfe von statistische Testverfahren die Zufälligkeit von mit PRBG erzeugte Bitfolgen untersucht werden Ein PRBG gibt Bitfolgen aus, die bestimmte Anforderungen an die Zufälligkeit erfüllen 2010 Prof. Dr. Rolf Oppliger Folie 80

81 Kryptosysteme Symmetrische Kryptosysteme Pseudozufallsfunktionen 35/60 Als Zufallsfunktion (random function oder random oracle) bezeichnet man eine Funktion f: X Y, die zufällig aus allen Funktionen von X auf Y ausgewählt worden ist Für x X gibt eine Zufallsfunktion f ein beliebiges (aber immer das gleiche) y = f(x) f(x) Y aus Mit einer Familie von Pseudozufallsfunktionen kann eine Zufallsfunktion emuliert werden (kein effizienter Algorithmus kann entscheiden, ob eine Funktion aus einer Familie von Pseudozufallsfunktionen stammt oder eine echte Zufallsfunktion darstellt) 2010 Prof. Dr. Rolf Oppliger Folie 81

82 Kryptosysteme Symmetrische Kryptosysteme Pseudozufallsfunktionen 36/60 Trotz aller Unterschiede sind Pseudozufallsbitgeneratoren und Familien von Pseudozufallsfunktionen verwandt bzw. können auseinander konstruiert werden Aus einer Familie von Pseudozufallsfunktionen kann ein Pseudozufallsbitgenerator konstruiert werden Aus einem Pseudozufallsbitgenerator kann eine Familie von Pseudozufallsfunktionen konstruiert werden 2010 Prof. Dr. Rolf Oppliger Folie 82

83 Kryptosysteme Asymmetrische Kryptosysteme 37/60 Verschlüsselungssysteme Digitale Signatursysteme Schlüsselvereinbarung 2010 Prof. Dr. Rolf Oppliger Folie 83

84 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 38/60 In einem Kryptosystem mit öffentlichen Schlüsseln verfügt jede Entität über ein Paar mathematisch verwandter Schlüssel (k,k -1 ) Öffentlicher Schlüssel k Privater Schlüssel k -1 Eine notwendige (aber nicht hinreichende) Bedingung für die Sicherheit eines Kryptosystems mit öffentlichen Schlüsseln ist die berechenbare Unmöglichkeit k -1 aus k zu berechnen k kann dann publiziert werden (z.b. in einem Verzeichnisdienst) 2010 Prof. Dr. Rolf Oppliger Folie 84

85 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 39/60 Kryptosysteme mit öffentlichen Schlüsseln sind viel weniger effizient als Kryptosysteme mit geheimen Schlüsseln (ungefährt Faktor 1 000) In der Praxis werden deshalb beide Arten von Kryptosystemen in hybriden Systemen kombiniert (z.b. Secure Messaging) Nachricht verschlüsselt mit Session Key Session Key verschlüsselt mit dem öffentlichen Schlüssel des Empfängers 2010 Prof. Dr. Rolf Oppliger Folie 85

86 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 40/60 Mit einem asymmetrischen Verschlüsselungssystem können Daten ver- und entschlüsselt werden Dazu wird eine (Familie von) Trapdoor (Einweg-) Funktionen benötigt Öffentlicher Schlüssel k B entspricht Einweg-Funktion Privater Schlüssel k B -1 entspricht Trapdoor (der Einweg-Funktion) k B k B -1 m E c D m 2010 Prof. Dr. Rolf Oppliger Folie 86

87 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 41/60 Ein asymmetrisches Verschlüsselungssystem besteht aus drei effizient berechenbaren Algorithmen Generate(1 l ) ist ein probabilistischer Schlüsselerzeugungsalgorithmus, der auf der Basis eines Sicherheitparameters l ein Schlüsselpaar (k,k -1 ) erzeugt Encrypt(k,m) ist ein deterministischer oder probabilistischer Verschlüsselungsalgorithmus (c = Encrypt(k,m)) Decrypt(k -1,c) ist ein deterministischer Entschlüsselungsalgorithmus (m = Decrypt(k -1,c)) 2010 Prof. Dr. Rolf Oppliger Folie 87

88 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 42/60 Sicherheitsparameter Öffentlicher Schlüssel Klartext Privater Schlüssel Chiffretext Generate Encrypt Decrypt Öffentlicher Schlüssel Privater Schlüssel Chiffretext Klartext 2010 Prof. Dr. Rolf Oppliger Folie 88

89 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 43/60 Rivest, Shamir, and Adleman (MIT, 1977) Communications of the ACM (February 1978) U.S. Patent 4,405,829 (bis September 2000) ACM Turing Award Prof. Dr. Rolf Oppliger Folie 89

90 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 44/60 Der RSA-Schlüsselerzeugungsalgorithmus erzeugt ein Schlüsselpaar ((n,e),d) in zwei Schritten Er wählt zufällig zwei l/2-bit lange Primzahlen p und q aus und berechnet den RSA-Modul n = pq Er wählt zufällig ein 1<e<φ(n) mit gcd(e,φ(n)) = 1 aus, und berechnet (z.b. mil Hilfe des Erweiterten Euklidschen Algorithmus) das multiplikativ inverse Element 1<d<φ(n) mit de 1 (mod φ(n)) 2010 Prof. Dr. Rolf Oppliger Folie 90

91 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 45/60 Zahlenbeispiel Schritt 1 p = 11 und q = 23 n = = 253 φ(n) = φ(253) = = 220 Schritt 2 e = 3 (gcd(3,220)=1) d = 147 modulo 220 (3 147 = (mod 220)) (n,e) = (253,3) ist der öffentliche Schlüssel d = 147 ist der private Schlüssel 2010 Prof. Dr. Rolf Oppliger Folie 91

92 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 46/60 RSA-Verschlüsselung c = RSA n,e (m) m e (mod n) Zahlenbeispiel (m = 26) c 26 3 (mod 253) 17,576 (mod 253) = 119 RSA-Entschlüsselungsalgorithmus m = RSA n,d (c) c d (mod n) Zahlenbeispiel c = 119 m (mod 253) = Prof. Dr. Rolf Oppliger Folie 92

93 Kryptosysteme Asymmetrische Kryptosysteme Verschlüsselungssysteme 47/60 RSA-Verschlüsselung c = RSA n,e (m) m e (mod n) Zahlenbeispiel (m = 26) c 26 3 (mod 253) 17,576 (mod 253) = 119 RSA-Entschlüsselung m = RSA n,d (c) c d (mod n) Zahlenbeispiel (c = 119) m (mod 253) = Prof. Dr. Rolf Oppliger Folie 93

94 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 48/60 Digitale Signaturen können verwendet werden, um die Authentizität und Integrität von Nachrichten zu schützen und um Verbindlichkeitsdienste umzusetzen Mit dem Aufkommen des elektronischen Handels haben sich digitale Signaturen und deren Rechtsetzung zu wichtigen Themen entwickelt Die meisten Staaten verfügen über ein Signaturgesetz Allerdings ist der Erfolg von Signaturgesetzen bis heute bescheiden geblieben 2010 Prof. Dr. Rolf Oppliger Folie 94

95 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 49/60 Definition einer digitalen Signatur A value computed with a cryptographic algorithm and appended to a data object in such a way that any recipient of the data can use the signature to verify the data s origin and integrity (RFC 2828) Data appended to, or a cryptographic transformation of, a data unit that allows a recipient of the data unit to prove the source and integrity of the data unit and protect against forgery, e.g. by the recipient (ISO/IEC ) 2010 Prof. Dr. Rolf Oppliger Folie 95

96 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 50/60 Typen von digitalen Signaturen Digital signature with appendix Digitale Signatur wird der Dateneinheit angefügt (ISO/IEC 14888) Digital signature giving message recovery Die Dateneinheit wird kryptografisch in eine Form transformiert, die sowohl die Dateneinheit als auch die Signatur beinhaltet (ISO/IEC 9796) 2010 Prof. Dr. Rolf Oppliger Folie 96

97 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 51/60 Arbeitsweise Der Signierer (signatory) A berechnet mit dem privaten Schlüssel k A -1 die Signatur s = D A (m) Der Verifizierer (verifier) überprüft mit dem öffentlichen Schlüssel k A von A die Signatur s Public verifiability -1 k A k A m D [m,] s gültig / E ungültig 2010 Prof. Dr. Rolf Oppliger Folie 97

98 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 52/60 Ein digitales Signatursystem mit Anhang besteht aus drei effizient berechenbaren Algorithmen Generate(1 l ) ist ein probabilistischer Schlüsselerzeugungsalgorithmus Sign(k -1,m) ist ein deterministischer oder probabilistischer Signaturerzeugungsalgorithmus (s = Sign(k -1,m) Verify(k,m,s) ist ein deterministischer Signaturverifikationsalgorithmus 2010 Prof. Dr. Rolf Oppliger Folie 98

99 Kryptosysteme Asymmetrische Kryptosysteme Digitale Signatursysteme 53/60 Signierschlüssel Nachricht Verifikationsschlüssel Nachricht Signatur Generate Sign Verify Signierschlüssel Sicherheitsparameter Verifikationsschlüssel Signatur valid invalid 2010 Prof. Dr. Rolf Oppliger Folie 99

100 Kryptosysteme Kryptosysteme mit öffentlichen Digitale Signatursysteme 54/60 Ein digitales Signatursystem mit Nachrichtenrekonstruktion besteht aus drei effizient berechenbaren Algorithmen Generate(1 l ) ist ein probabilistischer Schlüsselerzeugungsalgorithmus Sign(k -1,m) ist ein deterministischer oder probabilistischer Signaturerzeugungsalgorithmus, der eine Signatur mit Nachrichtenrekonstruktion erzeugt Recover(k,s) ist ein deterministischer Nachrichtenrekonstruktionsalgorithmus 2010 Prof. Dr. Rolf Oppliger Folie 100

101 Kryptosysteme Kryptosysteme mit öffentlichen Digitale Signatursysteme 55/60 Security parameter Signierschlüssel Nachricht Verifikationsschlüssel Verifikationsschlüssel Signatur Generate Sign Recover Signierschlüssel Signatur Nachricht ungültig 2010 Prof. Dr. Rolf Oppliger Folie 101

102 Kryptosysteme Kryptosysteme mit öffentlichen Schlüsselvereinbarung 56/60 Wenn zwei (oder mehr) Entitäten kryptografische Verfahren nutzen wollen, brauchen sie einen Schlüssel In grossen Systmen müssen viele Schlüssel sicher erzeugt, gespeichert, verwaltet und vernichtet werden Bei n Entitäten sind das n 2 = n(n-1) 1 2 = n2 -n 1 2 Schlüssel (z.b. 499,500 Schlüssel für n=1,000) Das resultierende Skalierbarkeitsproblem wird auch als n 2 -Problem bezeichnet 2010 Prof. Dr. Rolf Oppliger Folie 102

103 Kryptosysteme Kryptosysteme mit öffentlichen Schlüsselvereinbarung 57/60 Ansätze zur Lösung des n 2 -Problems Schlüsselverteilzentralen (e.g., Kerberos) Schlüsseletablierungsprotokolle Typen von Schlüsseletablierungsprotokollen Key distribution protocols (z.b. SSL/TLS Handshake) Key agreement protocols (z.b. Diffie-Hellman key exchange) Mit dem Diffie-Hellman key exchange protocol begann die Geschichte der Public Key Kryptografie 2010 Prof. Dr. Rolf Oppliger Folie 103

104 Kryptosysteme Kryptosysteme mit öffentlichen Schlüsselvereinbarung 58/60 A (p,g) B (p,g) x A R Z p * x B R Z p * y A g x A (mod p) yb g x B (mod p) K AB y B x A (mod p) K BA y A x B (mod p) (K AB ) (K BA ) 2010 Prof. Dr. Rolf Oppliger Folie 104

105 Kryptosysteme Kryptosysteme mit öffentlichen Schlüsselvereinbarung 59/60 Zahlenbeispiel (1) p = 17 und g = 3 A wählt zufällig x A = 7, berechnet y A 3 7 (mod 17) = 11 und sendet diesen Wert an B B wählt zufällig x B = 4, berechnet y B 3 4 (mod 17) = 13 und sendet diesen Wert an A A berechnet y B x A 13 7 (mod 17) = 4 B berechnet y A x B 11 4 (mod 17) = 4 K = 4 kann als Sitzungsschlüssel eingesetzt werden 2010 Prof. Dr. Rolf Oppliger Folie 105

106 Kryptosysteme Kryptosysteme mit öffentlichen Schlüsselvereinbarung 60/60 Zahlenbeispiel (2) p = 347 und g = 11 A wählt zufällig x A = 240, berechnet y A (mod 347) = 49 und sendet diesen Wert an B B wählt zufällig x B = 39, berechnet y B (mod 347) = 285 und sendet diesen Wert an A A berechnet y B xa (mod 347) = 268 B berechnet y A xb (mod 347) = 268 K = 268 kann als Sitzungsschlüssel eingesetzt werden 2010 Prof. Dr. Rolf Oppliger Folie 106

107 Übersicht 1. Einführung 2. Kryptographische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2010 Prof. Dr. Rolf Oppliger Folie 107

108 4. Authentifikation 1/27 Bei der Authentifikation geht es um die Verifikation einer vorgegebenen Identität (der Begriff Identität wird in Kapitel 14 erörtert und vertieft) Ansätze Etwas haben Etwas wissen Etwas sein Irgendwo sein Alle Ansätze haben Vor- und Nachteile Alle Ansätze können kombiniert werden ( Multi- Faktoren-Authentifizierung) 2010 Prof. Dr. Rolf Oppliger Folie 108

109 Authentifikation 2/27 Etwas-haben -Ansätze basieren auf (physischen) Tokens, die bei der Authentifikation vorgewiesen und überprüft werden müssen Die Überprüfung der Tokens kann grundsätzlich durch Menschen oder Maschinen efolgen Beispiele Schlüssel Billete Mitgliederausweise (häufig kombiniert mit Fotos) Kundenkarten (z.b. Coop Supercard, Culumus,... ) Hauptproblem: Benutzer kann Token weitergeben 2010 Prof. Dr. Rolf Oppliger Folie 109

110 Authentifikation 3/27 Etwas-wissen -Ansätze basieren auf (geheimen) Informationen, deren Kenntnis bei der Authentifikation bewiesen und überprüft werden muss Information kann (muss aber nicht) persönlich sein Die Überprüfung der Information kann durch Menschen oder Maschinen efolgen Beispiele PIN, Passwort, Passsatz, Krytographisches Geheimnis Hauptproblem: Benutzer kann Authentifikationsinformation(en) weitergeben 2010 Prof. Dr. Rolf Oppliger Folie 110

111 Authentifikation 4/27 Etwas-sein -Ansätze basieren auf (persönlichen) biometrischen Merkmalen, die bei der Authentifikation überprüft werden müssen Die Überprüfung kann grundsätzlich durch Menschen oder Maschinen efolgen Beispiele Gesichtszüge Fingerabdrücke Handgeometrien DNA-Proben 2010 Prof. Dr. Rolf Oppliger Folie 111

112 Authentifikation 5/27 Probleme Benutzer kann nur authentifiziert werden, wenn seine Referenzdaten vorliegen ( Datenbank) Es gibt Fehler ( FAR und FRR müssen gegeneinander abgewogen werden) Grundsätzliche Bedenken und Einwände aus der der Sicht des Datenschutzes Die Biometrie eignet sich eher zur Authentifikation als zur Identifikation Sie stellt eine High-end -Technologie dar 2010 Prof. Dr. Rolf Oppliger Folie 112

113 Authentifikation 6/ Prof. Dr. Rolf Oppliger Folie 113

114 Authentifikation 7/27 Irgendwo-sein -Ansätze basieren auf Informationen über den aktuellen Aufenthaltsort von Personen Location-based Authentifikation Die Auswertung der Informationen kann grundsätzlich durch Menschen oder Maschinen efolgen Man beachte aber, dass Informationen über den aktuellen Aufenthaltsort nicht authentisch sein muss bzw. leicht gefälscht werden kann (z.b. IP-Adressen) 2010 Prof. Dr. Rolf Oppliger Folie 114

115 Authentifikation 8/27 Beispiele Telefonnummernerkennungs- und Rückrufsysteme Berkeley r-tools (rlogin, rsh, rexec, ) Verifikationssysteme für IP-Adressen GPS-basierte Lokationssysteme WLAN-basierte Lokationssysteme 2010 Prof. Dr. Rolf Oppliger Folie 115

116 Authentifikation 9/27 In der Informatik überwiegen Etwas-wissen -Ansätze in Form von Passwortsystemen Dabei müssen Passworte Server-seitig nicht notwendigerweise im Klartext abgelegt sein Die Passworte können auch als Bilder unter einer Einwegfunktion f abgelegt und verglichen werden Eingegebenes Passwort (pw ) f f(pw )? = f(pw) 2010 Prof. Dr. Rolf Oppliger Folie 116

117 Authentifikation 10/27 Beispiel: UNIX Die Einwegfunktion f wird durch die crypt()-funktion realisiert Crypt() implementiert eine (modifizierte) DES- Chiffrierung (25 Runden), wobei der Nullstrings mit dem Passwort des Benutzers als Schlüssel chiffriert wird Heute werden zum Teil auch andere Einwegfunktionen eingesetzt (z.b. MD5) Um Off-line Wörterbuchangriffe zu erschweren, kann ein Salt -Mechanismus eingesetzt werden Dabei wird die Funktion f durch einen pro Benutzer zufällig gewählten 12-Bit-Wert ( Salt ) parametrisiert 2010 Prof. Dr. Rolf Oppliger Folie 117

118 Authentifikation 11/27 Das Salt wird im Klartext zusammen mit dem Einwegchiffrierten Passwort in der Passwortdatei abgelegt Salt Passwort Eintrag in der Passwortdatei Salt = 2 druckbare Zeichen Passwort = 11 druckbare Zeichen f Passworteingabe des Benutzers In frühen Systemen war die Passwortdatei öffentlich lesbar Heute werden Passwortdateien meist geshadowed 2010 Prof. Dr. Rolf Oppliger Folie 118

119 Authentifikation 12/27 Probleme von Passwortsystemen Benutzer wählen einfache und einfach zu erratende Passworte ( Password aging, proaktive Passwortchecker, Passwortgeneratoren,... ) Kenntnis einer ganzen Passwortdatei oder einzelner Einweg-chiffrierten Passwörtern ermöglicht Off-line- Wörterbuchangriffe ( Salt -Mechanismus) Werden Passworte in Computernetzen übertragen, können sie entweder direkt mitgelesen oder im Rahmen von Wörterbuchangriffen ermittelt werden ( starke Authentifikationsverfahren) 2010 Prof. Dr. Rolf Oppliger Folie 119

120 Authentifikation 13/27 Möglichkeit zur Weitergabe von Passworten führt unter anderem zu Phishing -Angriffen Goscinny/Uderzo, Grosser Asterix-Band X, Asterix als Legionär, EHAPA-Verlag GmbH, Stuttgart, 1973, Seite Prof. Dr. Rolf Oppliger Folie 120

121 Authentifikation 14/27 Zudem sind bei Passwortsystemen meist Bruteforce -Angriffe möglich Goscinny/Uderzo, Grosser Asterix-Band X, Asterix als Legionär, EHAPA-Verlag GmbH, Stuttgart, 1973, Seite Prof. Dr. Rolf Oppliger Folie 121

122 Authentifikation 15/ Prof. Dr. Rolf Oppliger Folie 122

123 Authentifikation 16/ Prof. Dr. Rolf Oppliger Folie 123

124 Authentifikation 17/27 Base-64 encoded version of <Username>:<Password> 2010 Prof. Dr. Rolf Oppliger Folie 124

125 Authentifikation 18/27 Ein Authentifikationsverfahren kann als stark bezeichnet werden, wenn ein passiver Angreifer im Netz abgehorchte Daten nicht wiederverwenden kann Authentifikationsdaten? 2010 Prof. Dr. Rolf Oppliger Folie 125

126 Authentifikation 19/27 Beispiele Einweg-Passworte Streichlisten und Transaktionsnummern (TANs) SecurID- und SecOVID-Token Challenge-Response-Verfahren S/Key und OPIE Racal-, Vasco- und andere C/R-Token HTTP Digest Authentication Verfahren auf der Basis von Kryptosystemen mit öffentlichen Schlüsseln 2010 Prof. Dr. Rolf Oppliger Folie 126

127 Authentifikation 20/27 S/Key (MD4) und OPIE (MD5) Initialisierung mit h t (pw) Authentifizierung mit h t-i (pw) für i=1,..., t-1 Ersetzung von h t-i+1 (pw) mit h t-i (pw) in der Passwortdatei h 1000 (pw) = a 0 h 999 (pw) = a 1 h 998 (pw) = a 2...? h(a i ) = a i-1 h 2 (pw) = a 998 h(pw) = a Prof. Dr. Rolf Oppliger Folie 127

128 Authentifikation 21/27 In vernetzten und verteilten Systemen spielen Verfahren und Protokolle auf der Basis von Kryptosystemen mit öffentlichen Schlüsseln eine zunehmend wichtige Rolle Einige dieser Protokolle basieren auf interaktiven Beweis(system)en In einem interaktiven Beweissystem kann ein Teilnehmer durch ein (interaktives) Protokoll etwas beweisen - z.b. eine bestimmte Fähigkeit oder die Kenntnis eines bestimmten Geheimnisses Es handelt sich um Tatbeweise 2010 Prof. Dr. Rolf Oppliger Folie 128

129 Authentifikation 22/27 Beispiele Fähigkeit, Coca Cola und Pepsi zu unterscheiden ( Pepsi-Test) Fähigkeit, Gedanken zu lesen Kenntnis einer mathematischen Formel (z.b. Formel zum Ziehen von Quadrat- oder Kubikwurzeln) Im Gegensatz zu normalen (d.h. nicht-interaktiven) Beweisen, sind interaktive Beweise nicht übertragbar, d.h. aussenstehende Dritte können durch solche Beweise in der Regel nicht überzeugt werden 2010 Prof. Dr. Rolf Oppliger Folie 129

130 Authentifikation 23/27 Es gibt interaktive Beweissysteme, die die Zero- Knowledge-Eigenschaft haben (Goldwasser, Micali und Rackoff, 1985) Diese Eigenschaft bewirkt, dass im Rahmen einer konkreten Beweisführung (im interaktiven Beweissystem) beweisbar keine Information über den zu beweisenden Gegenstand (d.h. das Geheimnis) freigegeben wird Der Beweiser kann gegenüber dem Verifizierer beweisen, dass er ein Geheimnis kennt, ohne dass der Verifizierer Informationen über dieses Geheimnis erhält 2010 Prof. Dr. Rolf Oppliger Folie 130

131 Authentifikation 24/27 Entsprechend interessant (und vielfältig einsetzbar) sind Authentifikationsprotokolle, die die Zero-Knowledge-Eigenschaft haben Diese Protokolle geben (beweisbar) keine Information über die Authentifikationsinformation preis Formal wird die Zero-Knowledge-Eigenschaft (eines Authentifikationsprotokolles) über die Simulierbarkeit der auszutauschenden Nachrichten bewiesen Für jeden Verifizierer gibt es einen Simulator, der (ohne Kenntnis der Authentifikationsinformation) einen Mitschrieb der Kommunikation (d.h. der auszutauschenden Nachrichten) selbst erzeugen kann 2010 Prof. Dr. Rolf Oppliger Folie 131

132 Authentifikation 25/27 Beispiel: Fiat-Shamir (FS) Protokoll Annahmen Öffentlich bekannter RSA-Modul n = pq (p und q sind geheim bzw. werden nicht verwendet) Teilnehmer P ( Prover ) hat einen zufällig aus Z n * ausgewählten privaten Schlüssel x P Teilnehmer V ( Verifier ) hat den entsprechenden öffentlichen Schlüssel (n,y P ) mit y P = (x P ) 2 mod n Man kann zeigen, dass es ebenso schwer ist in Z n * Quadratwurzeln zu ziehen wie n zu faktorisieren Entsprechend basiert die Sicherheit des FS-Protokolls auf der Schwierigkeit des Faktorisierungsproblems 2010 Prof. Dr. Rolf Oppliger Folie 132

133 Authentifikation 26/27 Protokollrunde Zufällig aus Z n * gewähltes r s = r 2 e {0,1} Prover t = r (x P ) e e = 0: t = r e = 1: t = r x P Verifier t 2? = s (y P ) e Die Protokollrunde wird k mal wiederholt (k ist Sicher- heitsparameter z.b. k = 20) 2010 Prof. Dr. Rolf Oppliger Folie 133

134 Authentifikation 27/27 Wenn jemand auf beide e (0 und 1) richtig antworten kann, kann er auch x P berechnen (x P = r x P /r) Entsprechend muss ein Angreifer in jeder Runde e richtig erraten, damit er sich vorbereiten kann e = 0 normaler Protokolllauf (für e=1 fehlt aber x P ) e = 1 t wird zufällig gewählt; s = t 2 /y P ; Protokoll wird mit s angestossen (für e=0 fehlt aber r) In jeder Runde beträgt die Betrugswahrscheinlichkeit 1/2 In k Runden beträgt die Betrugswahrscheinlichkeit (1/2) k = 1/2 k 2010 Prof. Dr. Rolf Oppliger Folie 134

135 Übersicht 1. Einführung 2. Kryptographische Grundlagen 3. Kryptosysteme (Übersicht) 4. Authentifikation 5. Autorisation und Zugriffskontrolle 6. Softwareanomalien und manipulationen 7. Trusted Computing 8. Evaluation und Zertifikation 9. Kommunikations- und Netzsicherheit 10. Firewall-Technologien 11. Kryptographische Sicherheitsprotokolle 12. Intrusion Detection/ Prevention -Systeme 13. Digitale Signaturgesetze 14. PKI und Identitätsmanagement 15. Datenschutz und datenschutzfreundliche Technologien 16. Zusatzthemen 2010 Prof. Dr. Rolf Oppliger Folie 135

136 5. Autorisation und Zugriffskontrolle 1/14 Autorisationsdatenbank Subjekt Referenzmonitor Objekt Authentifikation Autorisation Überwachung (Auditing) 2010 Prof. Dr. Rolf Oppliger Folie 136

137 Autorisation und Zugriffskontrolle 2/14 Zugriffskontrollmodelle Modelle für diskrete Zugriffskontrollen (discretionary access control, DAC) Modelle für regelbasierte Zugriffskontrollen (mandatory access control, MAC) Modelle für rollenbasierte Zugriffskontrollen (role-based access control, RBAC) Zum Teil sind diese (und andere) Modelle historisch bedingt ( TCSEC) In der Praxis werden vor allem RBACs eingesetzt 2010 Prof. Dr. Rolf Oppliger Folie 137

138 Autorisation und Zugriffskontrolle 3/14 Systemkomponenten einer DAC Subjekte s i (i = 1,...,n) aktive Komponenten Objekte o j (j = 1,...,m) passive Komponenten Zugriffsrechte / Privilegien R ij Eigentümerparadigma: In einer DAC ist der Eigentümer eines (Schutz-) Objektes zuständig für die Autorisierung 2010 Prof. Dr. Rolf Oppliger Folie 138

139 Autorisation und Zugriffskontrolle 4/14 Implementation als Zugriffskontrollmatrix (engl. access control matrix, ACM) ist nicht effizient o 1 o 2 o j s 1 s 2 s i R ij 2010 Prof. Dr. Rolf Oppliger Folie 139

140 Autorisation und Zugriffskontrolle 5/14 Implementationsmöglichkeit 1: Objekt-spezifische (linear verkettete) Listen Zugriffskontrolllisten (engl. access control lists, ACLs) o 1 o 2 o j 2010 Prof. Dr. Rolf Oppliger Folie 140

141 Autorisation und Zugriffskontrolle 6/14 Implementationsmöglichkeit 2: Subjekt-spezifische (linear verkettete) Listen Fähigkeits- oder C-Listen (engl. capabilities lists) s 1 s Prof. Dr. Rolf Oppliger Folie 141

142 Autorisation und Zugriffskontrolle 7/14 Praktische Probleme Entscheidbarkeit Die Frage, ob ein Subjekt in den Besitz eines Zugriffs- rechtes für ein Objekt kommen kann, ist i.a. nicht bzw. nur für eingeschränkte Befehlssätze entscheidbar Widerrufung von Zugriffsrechten Im Prinzip muss die Historie der Ausbreitung der Zugriffsrechte aufgezeichnet und verwaltet werden Die Unterwanderungen einer DAC ist für berechtigte Benutzer immer möglich ( ( keine Informations- flusskontrolle) 2010 Prof. Dr. Rolf Oppliger Folie 142

143 Autorisation und Zugriffskontrolle 8/14 Im Rahmen einer MAC ist der Ersteller der Regeln für die Informationsflüsse und deren Autorisierung zuständig (anstelle des Eigentümers) Entsprechend werden Informationsflüsse (ohne Einfluss der Objekteigentümer) kontrolliert Damit verspricht man sich Vorteile in bezug auf die Unterwanderung der Zugriffskontrolle Um eine MAC umzusetzen, müssen Subjekte ermächtigt und Objekte eingestuft werden 2010 Prof. Dr. Rolf Oppliger Folie 143

144 Autorisation und Zugriffskontrolle 9/14 Beispiel 1: Militärsiches Modell Sicherheitsklassen stammen aus dem Produkteverband eines total geordneten Verbands und eines Untermengenverbands Auf ein Objekt (SECRET,{A}) können z.b. Subjekte zugreifen, die als (TOP SECRET,{A}) oder (SECRET,{A,B}) ermächtigt worden sind, nicht aber Subjekte, die als (CONFIDENTIAL,{A}) oder (SECRET,{B,C}) ermächtigt worden sind 2010 Prof. Dr. Rolf Oppliger Folie 144

145 Autorisation und Zugriffskontrolle 10/14 Beispiel 2 Bell-LaPadula-Modell (1973) Vertraulichkeitsschutz Einfache Sicherheitseigenschaft ( no read up ) s i darf o j nur lesen, wenn C(s i ) C(o j ) erfüllt ist *-Eigenschaft ( no write down ) s i darf auf o j nur schreiben, wenn C(s i ) C(o j ) erfüllt ist 2010 Prof. Dr. Rolf Oppliger Folie 145

146 Autorisation und Zugriffskontrolle 11/14 Beispiel 3 Biba-Modell (1977) Integritätsschutz (zum Bell- LaPadula-Modell duales Modell) Einfache Integritätseigenschaft ( no read down ) s i darf o j nur lesen, wenn I(s i ) I(o j ) erfüllt ist *- Integritätseigenschaft ( no write up ) s i darf auf o j nur schreiben, wenn I(s i ) I(o j ) erfüllt ist 2010 Prof. Dr. Rolf Oppliger Folie 146

147 Autorisation und Zugriffskontrolle 12/14 WRITE READ S i READ Bell-LaPadula- Modell Biba-Modell WRITE 2010 Prof. Dr. Rolf Oppliger Folie 147

148 Autorisation und Zugriffskontrolle 13/14 Eine RBAC ist i.p. eine DAC (die Zuordnung der Zugriffsrechte findet aber über Rollen statt) Subjekte treten in bestimmten Rollen auf Auf Objekte können Subjekte in Rollen zugreifen CTO Systemadministrator Zugriffsberechtigt: Systemadministratoren Leiter Projekt X 2010 Prof. Dr. Rolf Oppliger Folie 148

149 Autorisation und Zugriffskontrolle 14/14 RBACs entsprechen dem Stand der Technik Beispiel: Windows XP 2010 Prof. Dr. Rolf Oppliger Folie 149