Authentikation und digitale Signatur

Transkript

1 Authentikation und digitale Signatur Daniel Elmar Tögl 23. Jänner

2 Inhaltsverzeichnis 1 Einleitung Begrie Alice und Bob Digitale Signatur Authentizierung Authentisierung Authentikation Authentikation Authentikationsmethoden Authentikationsmodelle Single-Sign-On (SSO) Multiple-Sign-On (MSO) Benutzer-Authentikation an einem Rechner Passwortmechanismus mit Einwegfunktion Geburtstagsattacke auf eine Hashfunktion Challenge and Response CR mit symmetrischer Kryptographie CR in Public-Key-Kryptographie Ausblick: Zero-Knowledge Digitale Signatur Nachrichtenauthentikation durch Cipher-Block-Chaining-Modus Message Authentication Code Funktionsweise des CBC-MAC DSA-Verfahren Alice braucht Alice will eine Nachricht signieren Erzeugung Signieren Verikation Vergleich: DSA und CBC-MAC Bürgerkarte Welche Daten stehen auf einer Bürgerkarte? Gratis Lesegerät und Freischaltung

3 1 Einleitung Authentikationen spielen heutzutage eine immer gröÿere Rolle in der Informatik. Welcher Benutzer hat welche Rechte und, ist dieser Benutzer auch wirklich der, für den er sich ausgibt? Die Sicherheit steht im Vordergrund um vor Angrien auf geheime Dateien zu schätzen, oder digitale Unterschriften fälschungssicher zu machen. 1.1 Begrie Die folgenden Begrie und Abkürzungen werden in dieser Präsentation vorkommen: Alice und Bob Alice und Bob sind Synonyme für den Sender und den Empfänger einer Nachricht. Bei komplizierteren Beschreibungen werden Bezeichnung wie, A sendet eine Nachricht an B, unübersichtlich, was durch diese Namensgebung vereinfacht wird. Weitere Beispiele sind Victor, stellvertretend für verier, oder Trent, welches eine vertrauenswürdige Instanz, wie einen Notar, bezeichnet Digitale Signatur Eine digitale Signatur ist ein kryptograsches Verfahren, bei dem aus den Daten eine Zahl berechnet wird, mit der die Urheberschaft, sowie ihre Zugehörigkeit, durch jeden geprüft werden kann. Als digitale Signatur bezeichnet man einen Hash-Wert, der mit dem privaten Schlüssel des Absenders verschlüsselt ist, und somit die Authentizität der Nachricht bezeugt. Die Überprüfung der digitalen Signatur erfolgt mit Hilfe des öentlichen Schlüssel des Absenders Authentizierung Authentizierung ist der Vorgang der Überprüfung (Verikation) einer behaupteten Identität, beispielsweise einer Person oder eines Objekts, wie eines Computersystems. Es wird überprüft ob man diese Person ist Authentisierung Authentisierung hingegen ist der Vorgang des Nachweises der eigenen Identität. Man zeigt dass man diese Person ist. Im Englischen wird zwischen den beiden Begrien nicht unterschieden: Das Wort authentication steht für beide Vorgänge. Dementsprechend werden die beiden Ausdrücke im Deutschen oft (ungenau) synonym verwendet. 3

4 1.1.5 Authentikation Unter dem Begri der Authentikation versteht man, den Vorgang der Verkation einer angenommen, oder behaupteten Identität. Sie stellt Methoden zur Verikation der Identität von Personen dar. Vor der Authentikation muss in den meisten Fällen eine Festlegung der zu verizierenden Identität erfolgen, zum Beispiel durch eine Eingabe einer eindeutige Benutzererkennung. Ist nun die angebene Identität berechtigt auf gewisse Resourcen zuzugreifen, erfolgt im nächsten Schritt eine Verikation, um vor Missbrauch zu schützen. Man zeigt, dass man diese Person ist und dann wird daraufhin die Richtigkeit überprüft. Hierfür gibt es Authentikationsmethoden. 2 Authentikation Heutzutage ist die verlässliche Authentikation bzw. Identikation von Personen, oder vor allem Rechnern unerlässlich. 2.1 Authentikationsmethoden Authentikation durch Wissen Authentikation durch Besitz Authentikation durch Ort und Zeit Authentikation durch biometrische Merkmale 2.2 Authentikationsmodelle Aktuell gibt es zwei Modelle der Authentikation, zwischen denen man unterscheidet Single-Sign-On (SSO) Single Sign-on bedeutet, dass ein Benutzer nach einer einmaligen Authentizierung auf alle Rechner und Dienste, für die er berechtigt ist, zugreifen kann, ohne sich jedes Mal neu anmelden zu müssen und transparent von anderen Systemen als authentizierter Benutzer erkannt zu werden Multiple-Sign-On (MSO) In einer typischen Multiple-Sign-On Umgebung startet ein Benutzer eine Sitzung in einer primären Domäne, üblicherweise das Betriebssystem seiner Work- Station. Ab diesem Zeitpunkt ist der Benutzer authentiziert und sein Sicherheitsprol (Zugrisrechte auf dem lokalen Rechner) wurde eingerichtet. Von dieser Plattform aus kann der Benutzer nun auf Dienste in anderen Sicherheitsdomänen zugreifen, welche im Weiteren sekundäre Domänen genannt werden. 4

5 Im Normalfall gibt es viele unterschiedliche sekundäre Domänen und jede verfügt über eigene Rollen und damit verbundene Benutzerrechte. Das heiÿt, dass sich der Benutzer für die Verwendung jeder sekundären Domäne, sei dies nun ein Programm, oder Netzwerk, sich erneut authentizieren muss. 2.3 Benutzer-Authentikation an einem Rechner Das Prinzip der Benutzer-Authentikation wird in der folgenden Grak mit drei typischen Beispielen gezeigt Passwortmechanismus mit Einwegfunktion Sei x ein Passwort und f(x) eine Einwegfunktion. Dann wird der Funktionswert f(x) am Rechner gespeichert, nicht jedoch das Passwort. Einem Angreifer bringt es nichts, den gespeicherten Funktionswert der Hashfunktion auszuspionieren, da es nicht möglich ist, so auf eine Umkehrabbildung zu schlieÿen, da eine Hashfunktion injektiv ist. Allerdings gibt es hierbei einige menschliche Fehlerquellen. Hashfunktionen sind mathematisch gesehen: h : Σ Σ n, n N Es wird also ein beliebig langer String auf eine feste Länge abgebildet. Dasselbe 5

6 gilt für Kompressionsfunktionen: h : Σ m Σ n, n, m N und m > n So eine Kompressionsfunktion stellt eine wichtige Anwendung in der Kryptographie dar, jedoch sind weitere bestimmte Eigenschaften notwendig. Den De- nitionsbereich von h bezeichnen wir mit D. Es ist also D = Σ, wenn h eine Hashfunktion ist und D = Σ m, wenn h eine Kompressionsfunktion ist. Das h(x) muss x D ezient berechenbar sein. Mittels einer Einwegfunktion ist es weiters praktisch unmöglich zu einem s Σ n ein x D mit h(x) = s zu nden. Das heiÿt, jeder Algorithmus der versucht bei Eingabe s Σ n ein x mit s = h(x) zu nden, soll scheitern. Entweder an der Zeit, die er braucht, oder am Speicherbedarf. Für alle Hash- und Kompressionsfunktionen gilt, dass diese Kollisionen besitzen, weil sie nicht injektiv sind. So eine Kollission von h ist also ein Paar (x, x ) D 2 von Strings, für die x x und h(x) = h(x ) gilt Geburtstagsattacke auf eine Hashfunktion Die sogenannte Geburtstagsattacke ist eine relativ einfache und typische Methode um einen Angri auf eine Hashfunktion auszuüben. Der Angreifer versucht Kollisionen in h zu nden. Es ist das Ziel soviele Hashwerte zu speichern, wieder zu erzeugen und abermals zu speichern, wie nur möglich. Diese werden daraufhin sortiert und nach Kollisionen durchsucht. Das aus der Wahrscheinlichkeitstheorie bekannte Geburtstagsparadox erlaubt daraufhin die Analyse dieses Verfahrens. Die gespeicherten Hashwerte entsprechen den Geburtstagen. Man wähle Strings aus Σ zufällig, die Hashwerte werden angenommen, dass sie gleichverteilt sind. ( 1 + ) 1 + (8 ln 2) Σ P (Kollision) n 2 Wann ist nun die Wahrscheinlichkeit gröÿer als 1 2? Zum Beispiel Σ = {0, 1} dann gilt: ( 1 + ) 1 + (8 ln 2)2 P (Kollision) n 2 Das bedeutet nun also, dass nach etwas mehr als 2 n 2 Hashwerten ist die Wahrscheinlichkeit gröÿer als 1 2 dass es zu einer Kollision kommt. Das n muss nun so groÿ gewählt werden, dass es nicht möglich ist 2 n 2 Hashwerte zu berechnen und zu speichern. Heutzutage gilt dafür dass n > 128, für digitale Signaturen wird sogar n 160 verlangt Challenge and Response Will sich Alice Bob gegenüber identizieren, bekommt sie von Bob eine Aufgabe, die Challenge. Diese Aufgabe ist nur lösbar, wenn Alice das Geheimnis kennt. Alice schickt daraufhin die Lösung, die Response, an Bob. Bob veriziert dann die Lösung und erkennt falls die Lösung richtig war, die Identität von Alice an, andernfalls natürlich nicht. 6

7 2.3.4 CR mit symmetrischer Kryptographie Ein typisches Challenge-Response-Verfahren benutzt eine symmetrische Verschlüsselung. Der Einfachheit halber nehmen wir an, dass bei diesem Verfahren die Schlüssel zum Ver- und Entschlüsseln gleich sind. Alice und Bob kennen beide einen geheimen Schlüssel k. Will Alice sich gegenüber Bob identizieren, teilt sie dies Bob mit. Bob erstellt dann eine Zufallszahl r und sendet sie an Alice. Alice verschlüsselt daraufhin die Zufallszahl, bildet also c = E k (r) und schickt den Schlüsseltext c an Bob zurück. Dieser entschlüsselt dann c und berechnet r = D k (c). Wenn nun gilt dass r = r, erkennt er die Identität von Alice an. Der Nachteil bei diesem Verfahren ist, dass auch Bob den geheimen Schlüssel kennt. Dieser muss dann unbedingt vor unberechtigtem Zugri geschützt werden CR in Public-Key-Kryptographie Challenge-Response kann man auch mit Signaturverfahren realisieren. Will sich Alice bei Bob identizieren, erhält sie von Bob eine Zufallszahl, die Challenge, und signiert diese. Sie schickt die Signatur an Bob (Response) und dieser veri- ziert dann die Signatur. Dabei verwendet Bob nur den öentlichen Schlüssel von Alice, kennt den privaten Schlüssel dabei nicht. Dies ist sicherer als bei symmetrischen Verfahren. Dabei muss allerdings auch der öentliche Schlüssel vor Veränderungen geschützt werden, jedoch nicht vor Lesezugrien. Angreifer könnten den Schlüssel austauschen um sich dann so, selbst als Alice auszugeben Ausblick: Zero-Knowledge Bei einem Zero-Knowledge-Protokoll kommunizieren zwei Parteien (der Beweiser und der Verizierer) miteinander. Der Beweiser überzeugt dabei den Verizierer mit einer gewissen Wahrscheinlichkeit davon, dass er ein Geheimnis kennt, ohne dabei Informationen über das Geheimnis selbst bekannt zu geben. Ein bekanntes Verfahren ist das Fiat-Shamir-Protokoll, als historisches mathematisches Beispiel dient zum Beispiel das Geheimnis des Tartaglia (1535). 3 Digitale Signatur Es könnte sein, dass man nicht nur verschlüsseln, sondern auch signieren möchte, so wie man eben auch ein Dokument unterschreibt. 3.1 Nachrichtenauthentikation durch Cipher-Block-Chaining- Modus Message Authentication Code Um zusätzlich Authentizität einer Nachricht überprüfbar zu machen gibt es hierfür parametrisierte Hashfunktionen. Solche Hashfunktionen, auch MAC ge- 7

8 nannt, sind eine Familie von Hashfunktionen: {h k : k K} Die Menge K heiÿt dabei Schlüsselraum von h. Sei zum Beispiel g : {0, 1} {0, 1} 4, dann kann man damit folgendermaÿen einen MAC mit Schlüsselraum {0, 1} 4 und k = 4 erstellen: h k : {0, 1} {0, 1} 4, x g(x) k. Ein Standardverfahren, MACs zu konstruieren, besteht darin, einen Text x mit einem symmetrischen Block-Chire zu verschlüsseln Funktionsweise des CBC-MAC Man verwendet eine n-bit lange Block-Chire für einen m-bit MAC, für die dann gilt, dass m n. Dies geschieht wie folgt: Die Daten werden in eine Serie von n-bit Blöcke aufgeteilt. Diese Blöcke werden mit CBC verschlüsselt. Der Letzte Block wird als MAC verwendet, nach einer eventuellen Bearbeitung, falls m < n Von jetzt an, falls die n-bit Datenblöcke m 1, m 2,, m q sind, wird der MAC berechnet, nachdem man zuerst I 1 = m 1 und O 1 = e k (I k ) und dann für die folgenden Blöcke i von 2 bis q verrichtet. I i und O i stehen für den In- sowie für den Output an der i-stelle. I i = m i O i 1, O i = e k (I i ) Der schlussendliche Wert O q wird dann weiterverarbeitet damit er gewissen Anforderungen entspricht. Diese Vorgänge heiÿen Padding. Dies kann in drei Methoden geschehen: Die erste Methode ist, Blöcke mit Nullen aufzufüllen, damit eine ganze Anzahl an Blöcken entsteht die alle komplett befüllt sind. In Methode 2 schreibt man eine 1 ans Ende der Nachricht und füllt dann mit Nullen auf um eine gerade Anzahl an Blöcken zu haben. (Falls die Nachricht am Ende eine Reihe von Nullen hat). 8

9 Die dritte Methode funktioniert wie die erste, allerdings wird noch die eigentliche Länge der Nachricht angegeben. Das Ergebnis wird also auf m-bit gebracht um für den schlussendlichen MAC verwendet zu werden. Dies ist in der folgenden Grak zusammengefasst. Nach dem Padding kann nun endlich der MAC berechnet werden. Allerdings muss dieser noch nachbearbeitet werden. Dieser Vorgang heiÿt Post-Processing und soll einen eindeutigen MAC zurückliefern. Man wähle einen Schlüssel k 1 und berechne damit O q = e k (d k1 (O q ). Man wähle einen Schlüssel k 1 und berechne damit O q = e k (O q ). So erschwert man unter anderem auch MAC-Forgery-Attacks. 3.2 DSA-Verfahren Der Digital Signature Algorithm (DSA) ist ein Standard der US-Regierung für digitale Signaturen. Er wurde vom National Institute of Standards and Technology (NIST) im August 1991 für die Verwendung in deren Digital Signature Standard (DSS) empfohlen. Der DSS enthält neben dem DSA (ursprünglich der einzige im DSS denierte Algorithmus) als weitere Algorithmen die RSA-Signatur (ein asymmetrisches Kryptosystem) und ECDSA (Elliptic Curve Digital Signature Algorithmus). Der DSS ist in FIPS-PUB (Federal Information. Processing Standards Publication) veröentlicht. Der DSA ist ein Signatur-Verfahren, im Gegensatz zu RSA gibt es kein verwandtes Verschlüsselungsverfahren Alice braucht Alice braucht zunächst einen privaten, geheimen Schlüssel a. Dieser wird zum Beispiel auf einer Chipkarte gespeichert. Weiters wird ein öentlicher Schlüssel e benötigt, welcher öentlich zugänglich, jedoch nicht veränderbar ist. 9

10 3.2.2 Alice will eine Nachricht signieren Will Alice nun eine Message m signieren, berechnet sie die Signatur s(a, m) des Dokuments. Mit e kann dann jeder verizieren, dass die Signatur korrekt ist. Das gesamte Verfahren verläuft also in drei Schritten: Schlüsselerzeugung, Signatur und Verikation Erzeugung Alice erzeugt eine Primzahl q. dann wählt Alice eine Primzahl p: < q < t < p < t, t {0,, 8} Weiters gilt, dass q ein Teiler von p 1 ist (Das schützt vor Pollard's p-1 Attacke). p hat dann eine Länge von 64 Bit und liegt zwischen und Als nächstes wird dann die Primitivwurzel x mod p gezogen: g = x (p 1) q mod p Die Ordnung von g + pz ist also q. Alice wählt dann ein a {1, 2,, q 1} zufällig. A = g a mod p Der öentliche Schlüssel von Alice ist dann e = (p, q, g, A) und ihr geheimer Schlüssel ist a. Man beachte dass A+pZ zu der von g+pz erzeugten Untergruppe, der Ordnung von q, gehört. Diese Untergruppe hat ungefähr Elemente. Um vom öentlichen Schlüssel (p, q, g, A) auf a schlieÿen zu können, muss der Angreifer das Problem der diskreten Logarithmen, in dieser Untergruppe, lösen, was mit den heutigen Mitteln so nicht möglich ist Signieren Sei x nun ein Text und h eine kollisionsresistente Hashfunktion. h : {0, 1} {1, 2,, q 1} Sei k nun zufällig gewählt aus {1, 2,, q 1}, dann Nun setzt man r = (g k mod p) mod q s = k 1 (h(x) + ar) mod q, wobei k 1 das Inverse von k mod q. Die Signatur ist somit (r, s). 10

11 3.2.5 Verikation Man betrachtet nun die Signatur (r, s) des Textes x. Weiters wird der öentliche Schlüssel (p, q, g, A), sowie die öentlich bekannte Hashfunktion h verwendet. Bob überprüft nun ob: 1 r q 1 und 1 s q 1 Sind diese Aussagen wahr, führt Bob die Überprüfung fort mit dann gilt, r = ((g (s 1 h(x)) mod q A (rs 1 ) mod q ) mod p) mod q g (s 1 h(x)) mod q A (rs 1 ) mod q g s 1 (h(x)+ra) g k mod p. DSA ist nur dann unsicher, wenn diskrete Logarithmen berechenbar sind. 3.3 Vergleich: DSA und CBC-MAC Zusammenfassend kann man folgende Unterschiede oder Gemeinsamkeiten feststellen: Sicherheit Verschlüsselung Integrität 3.4 Bürgerkarte Die Bürgerkarte ist ein Schlüssel für die E-Government-Angebote der heimischen Verwaltung und für Web-Dienste der Wirtschaft. Diese Einsatzmöglichkeiten werden weiter ausgeweitet und die Bürgerkarte wird zum elektronischen Ausweis im Internet. Man kann die Bürgerkartenfunktion auf der e-card oder der Bankomatkarte aktivieren. Auch weitere Token wie Studentenausweise oder Dienstausweise können zur Bürgerkarte gemacht werden Welche Daten stehen auf einer Bürgerkarte? Auf einer Bürgerkarte stehen nur die absolut notwendigen Daten, damit man sich im Internet ausweisen kann. Es gibt jedoch Karten, die weitere Informationen zulassen. Zum Beispiel die e-card, Ausweis für Rechtsanwälte, Studierenden- Karte (Matrikelnummer). Persönlichen Daten wie Vornamen, Nachnamen, Geburtsdatum und die Stammzahl. Zertikate für die Signatur, diese beinhalten jedoch auÿer dem Namen (und auf Wunsch das Geburtsdatum und die -Adresse), keine weiteren persönlichen Daten 11

12 Allenfalls eine elektronische Vollmacht, die einen zum Einschreiten für eine juristische oder natürliche Person berechtigt. Weiter Informationen gibt es unter Gratis Lesegerät und Freischaltung Eine kostenlose Freischaltung ist auf der TU Graz unter, möglich. Man kann dort bis Ende Jänner 2009, sich einen Termin mit einem der angegebenen Tutoren ausmachen lassen, um sich seine Karte freischalten zu lassen und eventuell auch noch ein gratis Kartenlesegerät bekommen. Literatur [Cryptography: An Introduction] N. Smart. [Einführung in die Kryptographie] J. Buchmann. [Elektronische Signatur] S. Buchmann. [Handbook of Applied Cryptgraphy] A. J. Menezes, P. C. van Oorshot, S. A. Vanstone. [CBC-MAC on wikipedia.org] [Kryptologie] A. Beutelspacher 12