Wiederholung: Informationssicherheit Ziele

Transkript

1 Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Verschlüsselungsverfahren Integrität: Garantie der Korrektheit (unverändert, vollständig) von Information und Verfahren bei Speicherung, Verarbeitung und Übertragung digitale Signaturen, kryptographische Hashfunktionen Verfügbarkeit: Information jederzeit für autorisierten Zugriff verfügbar, Verfahren, Software korrekt anwendbar Authentifizierung (Identitätsnachweis und -kontrolle) 141

2 Wiederholung: Methoden Verschüsselung Symmetrische Verfahren Asymmetrische Verfahren Schlüsselaustausch Digitale Signaturen Mathematische Grundlagen: Kongruenz modulo Restklassen-Operationen Pseudozufallsfolgen (erweiterter) Euklidischer Algorithmus Einwegfunktionen kryptographische Hash-Funktionen Kollisionen, (starke) Kollisionsresistenz 142

3 Weitere Anwendung kryptographischer Hashfunktionen Prüfsummen zum Nachweis, dass Daten unverändert sind (Datenintegrität, Fehlererkennung) MAC (message authentication code) für Dateien Nachweis der Fälschungssicherheit mit einem zusätzlichen geheimen Schlüssel, übliche Verfahren: HMAC (Hash-based Message Authentication Code) Hashfunktionen mit einem geheimen Schlüssel (Initialisierungsvektor) als zusätzlichen Parameter (keyed hash function) Beispiele: HMAC-MD5, HMAC-SHA1 usw. Blockchiffre-Verschlüsselung der Datei mit einem symmetrischen Verfahren im (evtl. modifizierten) CBC-Modus, letzer Block ist Hashwert Beispiele: CBC-MAC, AES-CMAC usw. 143

4 Authentifizierung Nachweis der Identität von Personen Hardware (Mobiltelefon, Chipkarte) Software (Client-Betriebssystem) einseitig, z.b. Identifikation von Nutzer PC, Mobiltelefon, Bankautomat WWW-Server Client Notebook Access Point Mobiltelefon Provider beidseitig, z.b. Identifikation zur Kommunikation in Netzwerken mögliche Fehler: falsche Akzeptanz: Akzeptanz eines anderen Nutzers falsche Zurückweisung: Nicht-Akzeptanz des korrekten Nutzers 144

5 Einseitige Authentifizierung Methoden Identifizierung von Personen durch Wissen eines Geheimnisses, z.b. Schlüsselwort, PIN + kein materieller Aufwand - Vergessen, Kopieren einfach, z.b. durch Diebstahl, Weitergabe (bewusst oder unbewusst) Besitz, z.b. Ausweis, Chipkarte, Kassenschlüssel + Fälschung, Kopie aufwendig, erlaubt Speicherung zusätzlicher Informationen - materieller Aufwand, Verlust, Diebstahl, Weitergabe Sein, biometrische Merkmale, z.b. Passbild + stabil, sehr schwer manipulierbar, Kopien und Fälschung fast unmöglich - sehr aufwendig, unscharf, sichere Verwaltung notwendig, Datenschutz Verstärkung der Sicherheit durch Kombinationen, z.b. EC-Karte, Mobiltelefon (Besitz) mit Pin (Wissen) Ausweis (Besitz) mit Passbild (Biometrie) 145

6 Authentifizierung Ziel: Identifikation eines Benutzers gegenüber einem Anbieter Benutzer P (Prover) muss seine Identität nachweisen. Anbieter V (Verifier) überprüft die Identität von P. 146

7 Authentifizierung durch Paar (ID, Passwort) einfacher Passwort-Dialog: 1. P sendet seine Identität i 2. V fragt P nach seinem Passwort 3. P sendet ein Passwort p 4. V kennt das i zugeordnete Passwort p 5. V akzeptiert den Identitätsnachweis von P, falls p = p Probleme: V muss die Zuordnung (i, p) für alle Benutzer kennen V muss diese Zuordnung meist speichern Angriffsmöglichkeiten auf unsichere Speicherung der Zuordnung ID Passwort auf unsichere Übertragung (bei Eingabe des Passwortes) V kann sich selbst als P ausgeben 147

8 Sicherung von Passwörtern beim Speichern Idee: Passwortverwaltung durch Speichern von Hashwerten der Passwörter mit bekannter Hashfunktion 1. Speicherung der Zuordnung (i, q) mit q = h(p) (Hashwert) 2. bei jeder Eingabe des Passwortes p wird der Hashwert h(p ) berechnet, 3. V akzeptiert den Identitätsnachweis von P, falls h(p ) = q. mögliche Angriffe: Geburtstagsangriff (bei Kollisionen) (lässt sich durch hinreichende Hashlänge weitgehend vermeiden) Wörterbuchangriffe auf gespeicherte Hashwerte Rainbow-Tables 148

9 Wörterbuchangriffe Idee: Wörterbuch enthält häufig gewählte Passwörter p und ihre Hashwerte h(p) (im Wörterbuch lässt sich die die Umkehrung h 1 der Hashfunktion h für eine Teilmenge aller möglichen Klartexte ablesen) Vergleich des gespeicherten Passwort-Hashwertes mit den Hashwerten aller im Wörterbuch enthaltenen Passwörter bei Gleichheit lässt sich aus dem Wörterbuch zu h(p) auch den Klartext p ablesen. Wörterbuchangriff: Brute-Force-Methode auf eingeschränktem Suchraum effizienter als vollständige Suche (Brute-Force auf vollständigem Suchraum) nur für im Wörterbuch enthaltene Passwörter erfolgreich 149

10 Rainbow-Table-Angriffe RT für feste Hashfunktion h : M H: Menge von Ketten (Folgen von Paaren (m, h(m))) Erzeugung der Ketten: 1. Wahl eines beliebigen Klartextes m 1 M 2. Bestimmung des Hashwertes h(m 1 ) H 3. Bestimmung eines neuen Klartextes r(h(m 1 )) = m 2 M aus h(m 1 ) durch eine Reduktionsfunktion r : H M z.b. erste n Stellen von h(m 1 ) (oft in jedem Schritt verschieden) mehrfache Wiederholung der Schritte Erzeugung der RT: 1. Erzeugung mehrerer (Klartext, Hash)-Folgen gleicher Länge l 2. Speichern nur des ersten Klartextes m 1 und letzten Hashwertes h(m l ) jeder Folge 150

11 Rainbow-Table-Angriffe Verwendung der RT zum Finden eines Klartextes mit gegebenem Hashwert x H: 1. Nachschlagen von x im Hashwert (Kettenenden) aller Ketten 2. falls nicht gefunden, Anwendung der Reduktionsfunktion auf x: r(x) M 3. Nachschlagen von h(r(x)) H im Hashwert (Kettenenden) aller Ketten mehrfache Wiederholung der Schritte Wird ein so berechneter Hashwert am Ende einer Kette gefunden, enthält die Kette einen Klartext m M mit h(m) = x. m wird gefunden durch (Wieder-)Berechnung dieser Kette aus dem ersten (gespeicherten) Klartext. 151

12 Erschweren von Angriffen durch Salt mögliche Gegenmaßnahme beim Speichern der Passwörter: Verknüpfung des Passwortes m bei dessen Erzeugen mit Zufallsfolge s (Salt) Verschlüsselung dieser Verknüpfung m s Speichern des Salt s (unverschlüsselt) mit dem Hashwert y = h(m s) Passworttest: Eingabe des Passwortes m Verknüpfung mit (gespeichertem) Salt m s Vergleich des Hashwertes dieser Verknüpfung mit gespeichertem Hashwert h(m s)? = y Wörterbuch- und Rainbow-Table-Angriffe auf Kombinationen (Passwort, Zufallsfolge) möglich, aber sehr aufwendig 152

13 Sicherung von Passwörtern bei Übertragung Idee: Übertragung des verschlüsselten Passwortes etwas besserer Passwort-Dialog: 1. P sendet seine Identität i 2. V fragt P nach seinem Passwort 3. P sendet den Hashwert q = h(p ) seines Passwortes p 4. V kennt den Hashwert q = h(p) des i zugeordneten Passwortes p 5. V akzeptiert den Identitätsnachweis von P, falls q = q möglicher Angriff: Replay-Angriff M hört i und q mit und meldet sich damit bei V als P an 153

14 Challenge-Response-Verfahren Idee: V stellt P eine Aufgabe (Challenge) P muss (mit Hilfe seines Geheimwissens) die richtige Antwort (Response) finden Challenge-Response-Verfahren 1: 1. P sendet seine Identität i 2. V erzeugt Zufallszahl z (Challenge), sendet z zu P V fragt P nach seinem Passwort 3. P verschlüsselt z mit seinem Passwort p zu q = e(p, z) und sendet q (Response) zu V 4. V kennt das i zugeordnete Passwort p und die von ihm erzeugte Zufallszahl z und berechnet damit q = e(p, z) 5. V akzeptiert den Identitätnachweis von P, falls q = q Vorteile: keine direkte Passwort-Übertragung, kein Replay-Angriff möglich Problem: V muss Passwörter im Klartext speichern 154

15 Zero-Knowledge-Verfahren Idee: P beweist V seine Kenntnis von p, ohne p an V zu übertragen V testet (beliebig oft), dass P keinen Fehler macht Klassische Beispiele: Geheimgang mit versteckter Tür: P weist Besitz des Schlüssels (durch wiederholte Benutzung) nach, ohne ihn V zu zeigen. Lösung kubischer Gleichungen (Tartaglia, 1535) Tartaglia weist Kenntnis eines Lösungsverfahrens (durch wiederholte Anwendung) nach, ohne es seinen Kollegen zu verraten. 155

16 Challenge-Response-Verfahren 2 Challenge-Response-Verfahren mit symmetrischer Verschlüsselung: 1. P sendet seine Identität i 2. V erzeugt Zufallszahl z (Challenge), sendet z zu P V fragt P nach seinem Passwort 3. P berechnet den Hashwert q = h(p ) seines Passwortes p (automatisch bei Eingabe), verschlüsselt z mit Hashwert q (Schlüssel) zu c = e(q, z) und und sendet c (Response) zu V 4. V kennt den Hashwert q = h(p) des i zugeordneten Passwortes p und entschlüsselt damit z = d(q, c) = d(q, e(q, z)) 5. V akzeptiert den Identitätnachweis von P, falls z = z Vorteile: keine Übertragung der Passwörter im Klartext authentifizierendes System (V) kennt nur die Hashwerte der Passwörter (Zero-Knowledge-Verfahren) 156

17 Challenge-Response-Verfahren 3 geändertes Challenge-Response-Verfahren: 1. P sendet seine Identität i 2. V erzeugt Zufallszahl z (Challenge), sendet z zu P V fragt P nach seinem Passwort 3. P berechnet den Hashwert q = h(p ) seines Passwortes p (automatisch bei Eingabe), verschlüsselt z mit Schlüssel q zu c = e(q, z) und und sendet c (Response) zu V 4. V kennt den Hashwert q = h(p) des i zugeordneten Passwortes p und die von ihm gewählte Zufallszahl z und verschlüsselt damit c = e(q, z) 5. V akzeptiert den Identitätnachweis von P, falls c = c Vorteile: authentifizierendes System (V) kennt nur die Hashwerte der Passwörter (Zero-Knowledge-Verfahren) V verarbeitet q nie direkt 157

18 Authentifizierung nach Fiat-Shamir-Protokoll Idee: Zero-Knowledge-Beweise mit Public-Key-Verfahren Verwendung z.b. in Chipkarten Vorbereitung: 1. Vereinbarung q, q zufälliger großer Primzahlen, n = qq 2. Ps Schlüssel (Passwort): geheim s beliebig öffentlich p = s 2 mod n (wird an V gesendet) Dialog (evtl. mehrere Runden): 1. P wählt z zufällig, sendet x = z 2 mod n an V 2. V wählt b {0, 1} zufällig, sendet b an P 3. P berechnet y = zs b mod n, sendet y an V 4. V akzeptiert (diese Runde), falls y 2 = xp b mod n korrekt, weil y 2 n z 2 s 2b n z 2 (s 2 ) b n x(s 2 ) b n xp b Sicherheit durch Einwegfunktion f (x) = x 2 mod n Berechnung von Quadratwurzeln mod n ist aufwendig. Beispiele: x 2 7 4, x 2 7 3, x

19 Authentifizierung durch digitale Signatur einseitige Authentifizierung von P bei V Idee: P weist sich durch den Besitz des geheimen Schlüssels s aus Ps Schlüsselpaar: s (geheim), p (öffentlich) Authentifizierung von P bei V: 1. V wählt Zufallszahl z, sendet z (Challenge) an P 2. P sendet za = d(s, z) (z signiert, Response) an V 3. V prüft die Signatur, d.h. verschlüsselt z := e(p, a) = e(p, d(s, z)) und testet z = z. 159

20 Einmal-Passwörter Vorbereitung (Erzeugung des Passwörter): P und V vereinbaren: Zufallszahl z, Hash-Funktion h P und V berechnen (jeder für sich) Folge p i von Einmal-Passwörtern durch p 0 = h(z) und p i+1 = h(p i ) P speichert (p 0,..., p n 1 ) V speichert (n, p n ) Authentifizierungs-Dialog: V sendet (n 1) an P (Challenge) P sendet p n 1 an V (Response) V berechnet h(p n 1 ), akzeptiert, falls h(p n 1 ) = p n Nachbereitung (nach jedem Zugang): P löscht p n 1, V ersetzt (n, p n ) durch (n 1, p n 1 ) Nachteil: Verwaltung (Listen) und regelmäßiges Erzeugen neuer Passwortlisten notwendig 160

21 Biometrische Verfahren zur Authentifizierung klassisch, z.b.: Stimme Gesicht Fingerabdruck technisch, z.b.: Augen (Iris, Retina) technische Grundlagen: Bilderkennung und -verarbeitung Mustererkennung, Klassifikation (z.b. durch Neuronale Netze) Probleme: fehleranfällig Anwendbarkeit abhängig vom Stand (und Preis) der Technik Datenschutzprobleme bei Erfassung und Speicherung persönlicher Merkmale 161