N. Sicherheit. => Literatur: Tanenbaum & van Steen: Verteilte Systeme.

Transkript

1 N. Sicherheit => Literatur: Tanenbaum & van Steen: Verteilte Systeme. N.1. Begriffliches - Security vs. Safety N.1.1 Safety : Umgangssprachlich: z.b. Sicherheit im Straßenverkehr. Ausfallsicherheit und Fehlertoleranz von Hardware und Software. Systemfunktionen entsprechend der gegebenen Spezifikation. Keine Abstürze, keine schweren Unfälle. Massnahmen: Redundante & zuverlässige Hardware, redundante Subsysteme, Spiegelung und Redundanz bei Festplatten (Raid-2 ), Softwaretechniken: Hochsprache, Verifikation, Tests, Widerstandsfähige Softwarearchitektur, Schlanker Systementwurf, Recovery-Punkte. Technische Informatik 2, Wintersemester 2008/09, VS Informatik, Universität Ulm, P. Schulthess N - 1

2 N.1.2 Security : Umgangssprachlich: z.b. sichere Verwahrung von Bargeld im Tresor. Datenschutz: gesetzeskonformer Umgang mit personenbezogenen Daten. Bedrohungen von Daten und Nachrichten: Mitlesen, Stören/Zerstören, Verändern, Fälschen/Einbringen, und dies jeweils durch nicht autorisierte Personen. Wichtige Sicherheitsmaßnahmen: Verschlüsselung: Nachricht für Unbefugte unlesbar machen, Authentifizierung: Identität eines Agenten bzw. Prozesses nachweisen, Autorisierung: Berechtigung zum Durchführen bestimmter Operationen, Kontrolle: Feststellen von verdächtigem und unzulässigem Verhalten, Signieren: Autorschaft eines Agenten am Dokument nachweisen. Wichtige kryptographische Verfahren: DES/AES: Data Encryption Standard (PSK preshared key), RSA: Verfahren mit öffentlichen Schlüsseln (nach Rivest, Shamir, Adelson), MD5: 128 Bit Hash aus eine Nachricht (Message Digest #5), D&H: Sichere Schlüsselverteilung nach Diffie & Hellmann. Technische Informatik 2, Wintersemester 2008/09, VS Informatik, Universität Ulm, P. Schulthess N - 2

3 N.2. Verschlüsselungsverfahren N.2.1 Symmetrische Verschlüsselung: Beide Kommunikationspartner verwenden denselben geheimen Schlüssel. Schlüssel dient zur Verschlüsselung und zur Entschlüsselung. Schlüsseltransport über einen separaten Weg. Technische Informatik 2, Wintersemester 2008/09, VS Informatik, Universität Ulm, P. Schulthess N - 3

4 N.2.2 DES ein symmetrisches Verschlüsselungsverfahren Engl. Data Encryption Standard. 56 Bit Schlüssel (symmetrisch): wird zum Ausgangspunkt für 16 Rundenschlüssel genommen. Verschlüsselung von 64 Bit Blöcken: Anfangspermutation um Häufigkeitsanalysen zu erschweren, 16 Verschlüsselungsrunden pro 64 Bit Block, 1 Mangler -Funktion pro Runde. 56 Bit Hauptschlüssel 16 Rundenschlüssel 64 Bit Eingabe Runde 1 64 Bit Runde 1 64 Bit Runde 2 64 Bit... Runde Bit Runde Bit Ausgabe Technische Informatik 2, Wintersemester 2008/09, VS Informatik, Universität Ulm, P. Schulthess N - 4

5 Verwürfelung/Mangler-Funktion für jede Runde: Verwürfelung durch sog. Substitution-Boxes, = Vertauschung von einzelnen Bitgruppen, 32 Bit Links, 32 Bit rechts, etc. R i = L i-1 xor S box ( R i-1 xor K i-1 ) L i = R i-1 L i-1 R i-1 Schlüssel K i-1 XOR S-Boxes XOR L i-1 R i-1 Technische Informatik 2, Wintersemester 2008/09, VS Informatik, Universität Ulm, P. Schulthess N - 5

6 N.2.3 Asymmetrische Verschlüsselung: Typischerweise Verfahren mit einem öffentlichen und einem privaten Schlüssel pro Kommunikationspartner. Authentizität des öffentlichen Schlüssels: z.b. garantiert durch eine Zertifizierungsagentur, Schlüsseltransport über einen separaten Kanal. Technische Informatik 2, Wintersemester 2008/09, VS Informatik, Universität Ulm, P. Schulthess N - 6

7 N.2.4 RSA Verfahren Verwendung öffentlicher Schlüssel Jeder Teilnehmer besitzt ein Schlüsselpaar: privater Schlüssel K-, öffentlicher Schlüssel K+, zusätzlich noch der Modulus n. Berechnung eines Schlüsselpaares: Grosse Primzahlen p, q wählen, n = p q z = (p-1) (q-1) d sei teilerfremd zu z e so dass: (e d) mod z = 1 Verschlüsselung von Nachrichtenblock[i]: Kryptoblock = ( Block e ) mod n Entschlüsselung von Nachrichtenblock[i]: Block = ( Kryptoblock d ) mod n Ohne Begründung! Technische Informatik 2, Wintersemester 2008/09, VS Informatik, Universität Ulm, P. Schulthess N - 7

8 N.3. Signieren einer Nachricht N.3.1 Einfaches Szenarium - ganze Nachricht verschlüsseln verschlüsselt die Nachricht mit ihrem privaten Schlüssel. beweist, dass die Nachricht echt ist: indem er diese mit dem öffentlichen Schlüssel von decodiert, er muss die verschlüsselte Nachricht weiterhin aufbewahren, der öffentliche Schlüssel von muss dauerhaft sein. kann die Nachricht nicht fälschen, da er den privaten Schlüssel von nicht kennt. Technische Informatik 2, Wintersemester 2008/09, VS Informatik, Universität Ulm, P. Schulthess N - 8

9 N.3.2 MD5 Message Digest Einwegfunktion z.b. zum Signieren einer Nachricht etc. : Das MD5-Digest zu einer gegebenen Nachricht kann eher leicht berechnet werden, Eine Nachricht zu verändern, ohne deren MD5-Digest zu verändern ist unmöglich, MD5 wird auch verwendet um.net Assemblies zu signieren. Algorithmus: Anfangskonstante Nachrichtenblöcke N * 512 Bit 128 Bit 512 Bit Verwürfelung 128 Bit 512 Bit Verwürfelung 128 Bit 512 Bit Verwürfelung Bit Verwürfelung Message Digest, 128 Bit 512 Bit Technische Informatik 2, Wintersemester 2008/09, VS Informatik, Universität Ulm, P. Schulthess N - 9

10 N.3.3 Optimiertes Signaturverfahren nur Prüfsumme verschlüsseln Reduzierter Aufwand für die Verschlüsselung von nur 128 Bit: Nur kennt ihren privaten Schlüssel und kann den MD5-Hash verschlüsseln, Es geht um Authentizität, nicht um Vertraulichkeit. Die Nachricht und deren MD5-Digest müssen aufbewahrt werden. MD5 MD5 eql? Technische Informatik 2, Wintersemester 2008/09, VS Informatik, Universität Ulm, P. Schulthess N - 10

11 N.3.4 Begriffliches: Unabstreitbarkeit, Non-Repudiation : der Sender kann nicht abstreiten, dass er die Nachricht geschickt hat, Ich kaufe Ihren Artikel für 333 Euro, mfg X., Nur war in der Lage zu verschlüsseln. Unveränderbarkeit, Integrity : der Empfänger kann die signierte Nachricht nicht verfälschen, Ich kaufe Ihren Artikel für 999 Euro, mfg X., Der öffentliche Schlüssel passt nicht zur Fälschung. N.3.5 Integritätsprüfung eines Programmoduls: Klient benötige das Assembly Untampered mit MD5-Digest=0x..1234, In der Bibliothek findet sich das Assembly Untampered, Klient berechnet die MD5-Prüfsumme des vorgefundenen Assemblies: stimmt die Prüfsumme nicht, so wurde das Assembly manipuliert, stimmt die Prüfsumme, dann ist das Assembly intakt. Technische Informatik 2, Wintersemester 2008/09, VS Informatik, Universität Ulm, P. Schulthess N - 11

12 N.4. Aufbau eines sicheren Kanals N.4.1 Authentisierung mit gemeinsamem Schlüssel Vorheriger Schlüsselaustausch auf einem separaten Kanal. Zufallszahl als Herausforderung zum Schlüsselnachweis. Preshared key K A-B Verbindungswunsch von A Challenge CH B für A Antwort R: K A-B ( CH B ) Challenge CH A für B Antwort R: K A-B ( CH A ) Nachrichtenaustausch K A-B (MSG) Technische Informatik 2, Wintersemester 2008/09, VS Informatik, Universität Ulm, P. Schulthess N - 12

13 N.4.2 Reflektionsangriff Vermeintliche, fehlerhafte Protokolloptimerung: Die Challenges werden gleich mitgeschickt, nur noch 3 Nachrichten werden benötigt. Preshared key K A-B 1. Verbindungswunsch für A, Challenge CH I für B Antwort R: K A-B ( CH I ), Challenge CH B für A Antwort R: K A-B ( CH B ) Nachrichtenaustausch K A-B (MSG) Technische Informatik 2, Wintersemester 2008/09, VS Informatik, Universität Ulm, P. Schulthess N - 13

14 Ablauf des Reflexionsangriffes durch Igor (Intruder/Impostor): mit einem zweiten Verbindungsversuch besorgt sich Igor die nötige Antwort. Preshared key K A-B 1. Verbindungswunsch für A, Challenge CH I für B Antwort R: K A-B ( CH I ), Challenge CH B für A Igor 2. Verbindungswunsch für A, Challenge CH B für B Erschlichene Antwort R: K A-B ( CH B ), Challenge CH x Antwort R: K A-B ( CH B ) Nachrichtenaustausch K A-B (MSG) Technische Informatik 2, Wintersemester 2008/09, VS Informatik, Universität Ulm, P. Schulthess N - 14

15 N.4.3 Szenarium mit Schlüsselverteilungsinstanz & etablieren mithilfe einer vertrauenswürdigen dritten Instanz (KDC Key Distribution Center) einen sicheren Kommunikationskanal: KDC erzeugt den neuen Sitzungsschlüssel und sendet diesen in verschlüsselter Form. Preshared key k A-KDC Preshared key B-KDC Verbindungswunsch (A,B) Sitzungsschlüssel s: k A-KDC (s A-B ) KDC Sitzungsschlüssel s: k B-KDC (s A-B ) Nachrichtenaustausch mit Sitzungsschlüssel s: s A-B (msg) Technische Informatik 2, Wintersemester 2008/09, VS Informatik, Universität Ulm, P. Schulthess N - 15

16 N.4.4 Schlüsselverteilungsinstanz vergibt Ticket Vorteil: A verschickt keine Daten, bevor nicht der Schlüssel bei B bekannt ist. Preshared key k A-KDC Preshared key B-KDC Verbindungswunsch (A,B) Sitzungsschlüssel s: k A-KDC (s A-B ), Ticket für B KDC Verbindungswunsch von A, Sitzungsschlüssel s: k B-KDC (s A-B ) Nachrichtenaustausch mit Sitzungsschlüssel s: s A-B (msg) Technische Informatik 2, Wintersemester 2008/09, VS Informatik, Universität Ulm, P. Schulthess N - 16

17 N.4.5 Verbindungsaufbau nach Needham-Schröder, mit Nonce-ID Verbindungswunsch (A) K B-KDC (ID_B1) ID_A1, B, A, K B-KDC (ID_B1) KDC K A-KDC (ID_A1, B, S A-B, K B-KDC (ID_B1, A, S A-B ) ) S A-B ( ID_A2), K B-KDC ( ID_B1, A, S A-B ) ) S A-B (ID_A2 1, ID_B2 ) S A-B (ID_B2 1 ) Technische Informatik 2, Wintersemester 2008/09, VS Informatik, Universität Ulm, P. Schulthess N - 17

18 N.4.6 Schlüsselverteilung nach Diffie-Hellmann g, n, g x mod n g y mod n Ablauf: g, n: zwei grosse (etwas spezielle Zahlen) werden unverschlüsselt gewählt, wählt geheime Zahl x, sendet g, n, gx mod n sendet gy mod n berechnet den Schlüssel als (gy mod n)x = gyx mod n berechnet den Schlüssel als (gx mod n)y = gxy mod n Schlüsselverteilung ist ein zentrales Problem: z.b. in einem militärischen Umfeld. Risiko bei nicht identifiziertem Man in the Middle. Technische Informatik 2, Wintersemester 2008/09, VS Informatik, Universität Ulm, P. Schulthess N - 18