"Practical Cryptography" Kapitel 8, 9, 15, 16 und 22 (Ferguson/Schneider)

Transkript

1 "Practical Cryptography" Kapitel 8, 9, 15, 16 und 22 (Ferguson/Schneider) Seminar Internetsicherheit TU-Berlin Martin Eismann Martin Eismann Internet-Sicherheit Practical Cryptography Folie 1

2 Was ist Sicherheit? Ausgetauschte Nachrichten schützen vor: Mitlesen Löschen Modifikation Abfangen Konkret heißt das: Verschlüsseln Authentifizieren Martin Eismann Internet-Sicherheit Practical Cryptography Folie 2

3 Übersicht 1. Das Diffie-Hellman-Protokoll 2. Mit Sitzungsschlüsseln arbeiten 3. Implementierungs-Schwächen 4. Sichere Datenspeicherung Martin Eismann Internet-Sicherheit Practical Cryptography Folie 3

4 1. Diffie-Hellman-Protokoll (1) Kommunikation Bob Alice Eva Martin Eismann Internet-Sicherheit Practical Cryptography Folie 4

5 1. Diffie-Hellman-Protokoll (2) Problem: Eva hört mit. Lösung: 1) Verschlüsseln 2) Authentifizieren Aber wie gibt Bob Alice einen Schüssel, ohne das Eva ihn mithört? Martin Eismann Internet-Sicherheit Practical Cryptography Folie 5

6 1. Diffie-Hellman-Protokoll (3) Wir stellen Eva ein unlösbares mathematisches Problem: Das Diskreter-Logarithmus-Problem Vorher noch ein bißchen Schulmathematik... Martin Eismann Internet-Sicherheit Practical Cryptography Folie 6

7 1. Diffie-Hellman-Protokoll (4) Bob wählt Geheimzahl: x =? (geheim!) Alice wählt Geheimzahl: y =? (auch geheim) Für alle sichtbar wird festgelegt: g = 3 (Primzahl!) Martin Eismann Internet-Sicherheit Practical Cryptography Folie 7

8 1. Diffie-Hellman-Protokoll (5) Bob: Alice: g x Schlüssel k = (g x ) y g y Schlüssel k = (g y ) x Gleich! Aber... Martin Eismann Internet-Sicherheit Practical Cryptography Folie 8

9 1. Diffie-Hellman-Protokoll (6) Bob: Alice: g x mod p Schlüssel: k = (g x mod p) y mod p g y mod p Schlüssel k = (g y mod p) x mod p Gleich? Martin Eismann Internet-Sicherheit Practical Cryptography Folie 9

10 1. Diffie-Hellman-Protokoll (7) g = 3 p = 19 x = 8 y = 11 k = (g y mod p) x mod p = (3 11 mod 19) 8 mod 19 = 17 k = (g x mod p) y mod p = (3 8 mod 19) 11 mod 19 = 17 Martin Eismann Internet-Sicherheit Practical Cryptography Folie 10

11 1. Diffie-Hellman-Protokoll (8) Und Eva? Hat zwei Gleichungen mit zwei Unbekannten: I: g x mod p = abgehörter Wert 1 II: g y mod p = abgehörter Wert 2 Martin Eismann Internet-Sicherheit Practical Cryptography Folie 11

12 1. Diffie-Hellman-Protokoll (9) Und Eva? Hat zwei Gleichungen mit zwei Unbekannten: I: g x mod p = abgehörter Wert 1 II: g y mod p = abgehörter Wert 2 Problem des Diskreten Logarithmus Martin Eismann Internet-Sicherheit Practical Cryptography Folie 12

13 1. Diffie-Hellman-Protokoll (10) Bis jetzt: Erfolgreich verschlüsselt! Authentifizierung? The-(wo)man-in-the-middleattack: Martin Eismann Internet-Sicherheit Practical Cryptography Folie 13

14 1. Diffie-Hellman-Protokoll (11) Bob Diffie-Hellman Diffie-Hellman Alice Eva Martin Eismann Internet-Sicherheit Practical Cryptography Folie 14

15 1. Diffie-Hellman-Protokoll (12) Lösung: Authentifizierungsschlüssel festlegen... und austauschen Martin Eismann Internet-Sicherheit Practical Cryptography Folie 15

16 1. Diffie-Hellman-Protokoll (13) Noch ein letztes Problem beheben: Replaying Martin Eismann Internet-Sicherheit Practical Cryptography Folie 16

17 1. Diffie-Hellman-Protokoll (14) Kommunikation Bob Alice Eva Martin Eismann Internet-Sicherheit Practical Cryptography Folie 17

18 1. Diffie-Hellman-Protokoll (15) Lösung zu Replaying: p, q für jede Sitzung neu zufällig auswählen (g 1 x mod p 1 ) (g 2 x mod p 2 ) (g 1 y mod p 1 ) (g 2 y mod p 2 ) Martin Eismann Internet-Sicherheit Practical Cryptography Folie 18

19 Übersicht 1. Das Diffie-Hellman-Protokoll 2. Mit Sitzungsschlüsseln arbeiten 3. Implementierungs-Schwächen 4. Sichere Datenspeicherung Martin Eismann Internet-Sicherheit Practical Cryptography Folie 19

20 2. Schlüsselverwendung (1) k = (g y mod p) x mod p oder k = (g x mod p) y mod p 4x Ableiten Chiffrierschlüssel c_in Chiffrierschlüssel c_out Authentif.-Schlüssel a_in Authentif.-Schlüssel a_out Martin Eismann Internet-Sicherheit Practical Cryptography Folie 20

21 2. Schlüsselverwendung (2) Alice Bob Sitzungszustand: Chiffrierschlüssel c_in = k 1 Chiffrierschlüssel c_out = k 2 Auth.-Schlüssel a_in = k 3 Auth.-Schlüssel a_out = k 4 Zähler_send = 0 Zähler_empf = 0 Sitzungszustand: Chiffrierschlüssel c_in = k 2 Chiffrierschlüssel c_out = k 1 Auth.-Schlüssel a_in = k 4 Auth.-Schlüssel a_out = k 3 Zähler_send = 0 Zähler_empf = 0 Anfängliche Objekte des Sitzungszustandes auf beiden Seiten Martin Eismann Internet-Sicherheit Practical Cryptography Folie 21

22 2. Schlüsselverwendung (3) MAC Nutzdaten Ciphertext Abb. 1: Verschlüsseln zuerst MAC Nutzdaten Ciphertext Abb. 2: Authentifizieren zuerst Martin Eismann Internet-Sicherheit Practical Cryptography Folie 22

23 2. Schlüsselverwendung (4) Was passiert, wenn der Nummernraum des Zählers erschöpft ist? Martin Eismann Internet-Sicherheit Practical Cryptography Folie 23

24 Übersicht 1. Das Diffie-Hellman-Protokoll 2. Mit Sitzungsschlüsseln arbeiten 3. Implementierungs-Schwächen 4. Sichere Datenspeicherung Martin Eismann Internet-Sicherheit Practical Cryptography Folie 24

25 3. Implementierungs-Schwächen (1) Praxis: Sichere Verbindungen werden durch fehlerhafte Implementierung geknackt, nicht durch fehlerhafte Verschlüsselung Beispiele für typische Fehler in diesem Abschnitt Martin Eismann Internet-Sicherheit Practical Cryptography Folie 25

26 3. Implementierungs-Schwächen (2) Unsichere Betriebssysteme Keine korrekten Programme Spezifikation oft schon unklar Test & Fix Abwesenheit von Fehlern? Laxe Einstellung der IT-Industrie Sichere Software vs. Korrekte Software Martin Eismann Internet-Sicherheit Practical Cryptography Folie 26

27 3. Implementierungs-Schwächen (3) Standard-Implementierungstechniken sind völlig ungeeignet um sicheren Code zu erstellen. Niels Ferguson und Bruce Schneier Martin Eismann Internet-Sicherheit Practical Cryptography Folie 27

28 3. Implementierungs-Schwächen (4) Sicherheitskritische Implementierungsfehler im einzelnen: Schwachstellen in der Speicherverwaltung Zustandsobjekt des Protokolls (mit Schlüsseln) C: memset; Java? Virtueller Speicher Windows: Debugger; UNIX: Coredump Martin Eismann Internet-Sicherheit Practical Cryptography Folie 28

29 3. Implementierungs-Schwächen (5) Mißachtung von Programmierprinzipien: Einfachheit Modularisierung Zusicherungen Pufferüberläufe Testläufe Martin Eismann Internet-Sicherheit Practical Cryptography Folie 29

30 3. Implementierungs-Schwächen (6) Seitenkanalangriffe: Seitenkanäle sind z.b. die verbrauchte Rechenzeit, der Stromverbrauch, (SmartCards) Elektromagnetische Abstrahlung, Speicherbedarf, Reaktionen auf Falscheingaben Können gezielt abgeschwächt werden Martin Eismann Internet-Sicherheit Practical Cryptography Folie 30

31 3. Implementierungs-Schwächen (7) Große-Ganzzahlen-Rechnungen: Etablierte Bibliotheken auf Fehler testen Nur auf Assembler-Ebene testbar Test zur Laufzeit Wooping: (10 * 11) mod 7 = 5 [(10 mod 7) * (11 mod 7)] mod 7 = 5 Martin Eismann Internet-Sicherheit Practical Cryptography Folie 31

32 3. Implementierungs-Schwächen (8) Timeout-Verhalten richtig implementieren: Verbindungsaufbau-Bombardement kann zum Speicherüberlauf führen (Protokoll- Zustandsobjekte) Martin Eismann Internet-Sicherheit Practical Cryptography Folie 32

33 Übersicht 1. Das Diffie-Hellman-Protokoll 2. Mit Sitzungsschlüsseln arbeiten 3. Implementierungs-Schwächen 4. Sichere Datenspeicherung Martin Eismann Internet-Sicherheit Practical Cryptography Folie 33

34 4. Sichere Datenspeicherung (1) Memorisierbare Paßwörter: Kürze? Sprachschatz? Salzen-und-Strecken-Methode kurze Paßwörter zu starken Schlüsseln machen: x 0 := 0 x i := h(x i-1 p s) mit i = 1,...,r; p = PW; s = Salz K := x r Martin Eismann Internet-Sicherheit Practical Cryptography Folie 34

35 4. Sichere Datenspeicherung (2) Secure Tokens Fingerabdruckscanner Single-Sign-On-Systeme Schlüssel mehrfach hinterlegen Banktresor Geheimnisse von permanenten Medien löschen, am besten zerstören, wenn nicht mehr gebraucht Martin Eismann Internet-Sicherheit Practical Cryptography Folie 35