7. Sicherheit (Security) 7.1 Bedrohungen & Angriffsarten

Transkript

1 7. Sicherheit (Security) 7.1 Bedrohungen & Angriffsarten Bedrohungen (Threats): - unbefugter Zugriff auf Informationen und Dienste (Interception), - Beeinflussung der Leistungsfähigkeit eines Systems (Interruption): o Denial-of-Service-Attacke, Löschen wichtiger Dateien, - unbefugte Systemveränderungen (Modification) o Veränderung von gespeicherten Daten. - unbefugtes Einbringen neuer Datensätze oder neuer Dienste (Fabrication) o Einfügen neuer Benutzerkonten, Aufsetzen eigener Dienste, - Abstreiten von Aktivitäten (Repudiation) o Benutzer kann dem Angreifer eine Aktivität nicht nachweisen. Angriffsarten: - Lauschangriff: unbefugtes Abhören von Kommunikation, - Maskerade: Vorgeben einer falschen Identität, - Intrigieren: Verfälschen von Daten, - Wiederholung von Nachrichten: o abgehörte Nachrichten werden erneut eingespielt (Replay), o Nachricht oft für den Angreifer wertlos (verschlüsselt). - Infiltration: eigene Komponenten werden eingeschleust. 162 Verteilte Betriebssysteme, Winter 2005 Verteilet Systeme, Universität Ulm, M. Schöttner

2 Arten der Infiltration: - Knacken von Passwörtern Annehmen von Benutzeridentitäten - Virus: angehängt an legale Daten; wird unbeabsichtigt aktiviert; repliziert sich, - Wurm: unbefugtes Einbringen und Ausführen von Prgs. von außen (Sicherheitslöcher), - Trojanisches Pferd: angeblich legitime Programme entpuppen sich als Schädling. Maßnahmen gegen Bedrohungen: - Sicherheitspolitiken: o Festlegung, welche Operationen und Aktionen erlaubt und welche verboten sind, o z.b. Kontobewegungen und Kontostände dürfen Unbefugten nicht bekannt werden. - Sicherheitsmechanismen: o Einsatz von Mechanismen zur Durchsetzung der Sicherheitspolitiken, o z.b. Nachrichten innerhalb der verteilten Anwendung, die Kontobewegungen und Kontostände enthalten, werden verschlüsselt. 163 Verteilte Betriebssysteme, Winter 2005 Verteilet Systeme, Universität Ulm, M. Schöttner

3 7.2 Sicherheitsmechanismen Verschlüsselung (Encryption): - Daten sind nur für bestimmte Benutzer lesbar Vertraulichkeit (Confidentiality). - Integritätsprüfung auf unbefugte Änderungen Integrität (Integrity). - Grundlage für unabstreitbare Operationen Non-Repudiation. Authentisierung (Authentication): - Überprüfung der Identität eines Benutzer, Client oder Servers, z.b. durch ein Passwort. Autorisierung (Authorization): - Überprüfung ob authentisierter Benutzer Zugriff hat. Auditing: - Speichern von Benutzeraktivitäten (z.b. unerlaubte Zugriffsversuche), - für die spätere Analyse. Wichtig für Sicherheitspolitiken: - Zusammenspiel aller Mechanismen ist entscheidend. - Eine Schwachstelle bringt alle Maßnahmen zu Fall. - Z.B. ein Pufferüberlauf führt zum Root-Zugriff auf gesamten Rechner. - Disziplin ist wichtig. 164 Verteilte Betriebssysteme, Winter 2005 Verteilet Systeme, Universität Ulm, M. Schöttner

4 7.3 Verschlüsselung Symmetrische Verschlüsselung Funktionen: - Verschlüsselungsfunktion: E (encrypt): E(K, T) C - Entschlüsselungsfunktion: D (decrypt): D(K, C) T - K=Key, T=Text (zu verschlüsselnde Daten), K A,B : geheimer Schlüssel von A und B. Forderungen: - Falls K unbek., soll es sehr aufwendig sein aus C das T zu ermitteln (Entschlüsselungsangriff). - Es soll sehr aufwendig sein, aus T und C den Schlüssel K zu ermitteln (Klartextangriff). Symmetrische Alice Bob Verschlüsselung: Eve - Kommunikationspartner kennen beide einen geheimen Schlüssel, - z.b. Data Encryption Standard, - für Kommunikation, Dateien, Authentisierung,... Verschlüsseln CF34 X?*LÖ Verschlüsselte Nachricht Entschlüsseln 165 Verteilte Betriebssysteme, Winter 2005 Verteilet Systeme, Universität Ulm, M. Schöttner

5 7.3.2 Challenge-Response-Protokoll Authentisierung zwischen zwei Kommunikationspartnern: - R B ist z.b. eine Zufallszahl. - nach Nachricht 3 ist A für B eindeutig identifiziert. - A muss noch sicherstellen, dass wirklich B auf der anderen Seite ist (Nachrichten 4 + 5). Anschließender Datenaustausch über Verbindung: - Verschlüsselung der Daten mit K A,B. - Ausschluss von Verfälschung, Einfügung und Verlust von Nachrichten. Wichtig: beide Partner müssen K A,B kennen und sonst niemand. 166 Verteilte Betriebssysteme, Winter 2005 Verteilet Systeme, Universität Ulm, M. Schöttner

6 7.3.3 Schlüsselverwaltung Problem: Bei N Komm.partnern sind N*(N 1)/2 Schlüssel notwendig. Lösung: Key Distribution Center (KDC). - Alle Teilnehmer haben einen geheimen Schlüssel, den das KDC kennt. - Somit sind bei N Kommunikationspartnern nur noch N Schlüssel notwendig, - Für die Kommunikation zw. zwei Knoten generiert das KDC einen Sitzungsschlüssel. Vorgehensweise: A möchte Verbindung zu B - KDC generiert Sitzungsschlüssel K A,B für diesen Verbindungswunsch, - Key wird durch KDC auf sicherem Weg (jeweils privater Key) zu Beiden übertragen. Prinzip: A,B Alice KDC E(K A,KDC, K A,B ) E(K B,KDC, K A,B ) Bob Bem.: Sitzungsschlüssel wird nur für eine Sitzung verwendet und danach verworfen schwerer zu knacken. 167 Verteilte Betriebssysteme, Winter 2005 Verteilet Systeme, Universität Ulm, M. Schöttner

7 Needham-Schroeder-Protokoll: KDC kümmert sich nicht mehr um den Verbindungsaufbau. Antwortet mit einer nur für A entzifferbaren Nachricht: - Diese enthält den Sitzungsschlüssel K A,B und ein Ticket für B. - Ferner ist B enthalten, um zu verhindern, dass ein Dritter den Verbindungsaufbau abfängt und dem KDC vorspielt A will mit C kommunizieren. Ticket: - nur für B lesbar, - enthält ebenfalls K A,B, - übermittelt A an B beim Verbindungsaufbau. 168 Verteilte Betriebssysteme, Winter 2005 Verteilet Systeme, Universität Ulm, M. Schöttner

8 Problem-1: Wiedereinspielen alter Nachrichten bei der Kommunikation von A mit dem KDC: - C hat zuvor Nachrichten (KDC A, A B) abgehört, - stellt nun A eine Anfrage an KDC fängt C diese ab und antwortet mit alter Nachricht, - anschließenden fängt C den Verbindungsaufbau ab u. schickt eine zuvor abgefangene Antwort. - A geht nun fälschlicherweise davon aus mit B zu komm., da dieser ja Ticket entschlüsselt hat. Lösung: Hinzufügen einer Zufallszahl (Nonce) - Anfrage und Antwort zum/von KDC werden verknüpft, - wieder eingespielte alte Nachrichten werden sofort erkannt. 169 Verteilte Betriebssysteme, Winter 2005 Verteilet Systeme, Universität Ulm, M. Schöttner

9 Problem-2: Wiedereinspielen alter Nachrichten beim Verbindungsaufbau zwischen A und B immer noch möglich. Lösung: auch hierfür eine Nonce einführen: - B antwortet mit R A2-1 und nicht R A2, - damit zeigt B, dass er den K A,B kennt und die Nachricht entschlüsselt hat. - B schickt Nachricht R B2, um zu Prüfen, ob A im Besitz des richtigen K A,B ist. 170 Verteilte Betriebssysteme, Winter 2005 Verteilet Systeme, Universität Ulm, M. Schöttner

10 Problem-3: C hat alten K A,B geknackt: - Wiedereinspielung des Verbindungswunsches (durch Abfangen der 3. Nachricht) möglich. - B würde mit C Sitzung aufbauen und glauben dies sei A. Lösung: Verknüpfung der KDC-Anfrage mit Verbindungsaufbau: - Nounce von B in Anfrage an KDC einpacken, - wird anschließend im Ticket mitgespeichert, - B weiss nun, dass er mit A kommuniziert. 171 Verteilte Betriebssysteme, Winter 2005 Verteilet Systeme, Universität Ulm, M. Schöttner

11 7.3.4 Digitale Signatur Hashfunktion: - H(T) D - T: zu behandelnde Text, - D: Hash-Wert fester Länge (Digest). Forderungen an eine sichere Hashfunktionen. - H: einfach zu berechnen (schnell zu berechnen), - Für einen Wert D ist es nahezu unmögl. ein T zu finden, so dass gilt: H(T) = D (Einwegeigenschaft). - Für ein T ist es nahezu unmöglich ein S zu finden, so dass gilt: H(T) = H(S) (schwache Kollisionsresistenz). - Wenn H bekannt ist, ist nahezu unmöglich ein Paar (T, S) zu finden, so dass gilt: H(T) = H(S) (starke Kollisionsresistenz). 172 Verteilte Betriebssysteme, Winter 2005 Verteilet Systeme, Universität Ulm, M. Schöttner

12 Digitale Signaturen mit sicheren Hash-Funktionen: - Nachricht wird im Klartext versendet. - Hashwert wird verschlüsselt angehängt (Signatur). - über Verschlüsselung beweißbar, wie Nachricht beim Verschlüsseler aussah (Integrität). - Vergleich beim Empfänger testet Signatur und damit Integrität der Nachricht: (hierzu nochmals Hashwert von T berechnen und mit dekodiertem Wert vergleichen). Besitzt nur einer den Schlüssel für die korrekte Signatur so ist die Nachricht auch authentisiert. 173 Verteilte Betriebssysteme, Winter 2005 Verteilet Systeme, Universität Ulm, M. Schöttner

13 7.3.5 Asymmetrische Verfahren Funktionen: - Verschlüsselungsfunktion E (encrypt): E(K +, T) C, E(K, T) C - Entschlüsselungsfunktion D (decrypt): D(K -, C) T, D(K +, C ) T - K +, K - : Schlüsselpaar, T: zu verschlüsselnde Daten. Öffentliche Schlüssel (Public Keys): - K + = öffentlich bekannter Schlüssel. - K - = geheimer privater Schlüssel. Forderungen an ein asymmetrisches Verfahren: - wie bei symmetrischer Verschlüsselung, - zusätzlich: aus bekanntem Schlüssel K + soll es nur mit hohem Aufwand möglich sein, den Schlüssel K zu berechnen und auch umgekehrt. Vorteile asymmetrischer Verfahren: - kein KDC erforderlich, - nur zwei Schlüssel für Kommunikation mit N Partnern, - aber Verbreitung des öffentlichen Schlüssels notwendig. Probl.: Gehört öffentl. Schlüssel wirklich dem entsprechenden Subjekt? 174 Verteilte Betriebssysteme, Winter 2005 Verteilet Systeme, Universität Ulm, M. Schöttner

14 Authentifizierung: - Anfrage kann nur von B entschlüsselt werden. - Antwort von B enthält Aufforderung R B, damit A sich noch gegenüber B authentifiziert. - Alice antwortet unter Verwendung des von B erzeugten Sitzungsschlüssels K A,B. - R A und R B sind wieder Zufallszahlen (Nounce), um das Einspielen alter Nachrichten zu erkennen. E(K + B, A, R A ) Alice E(K + A, R A, R B, K A,B ) Bob E(K A,B, R B ) Bekanntes Verfahren: RSA benannt nach den Erfindern Rivest, Shamir und Adleman, Verteilte Betriebssysteme, Winter 2005 Verteilet Systeme, Universität Ulm, M. Schöttner

15 7.3.6 Schlüsselzertifizierung Digitale Signatur mit asymmetrischen Verfahren: - Signatur durch Verschlüsselung des Hashwerts einer Nachricht mit dem privaten Schlüssel, - öffentlicher Schlüssel dient zum Überprüfen der Signatur. Problem: Vertrauen in den öffentlichen Schlüssel: - öffentlicher Schlüssel enthält Besitzerangabe (z.b. -Adresse), - Wann kann man den Angaben trauen? wenn sie von vertrauenswürdigen Subjekten bestätigt werden. - Lösung: o digitale Signatur von öffentlichen Schlüsseln. o Unterzeichner bestätigt die Authentizität des öffentlichen Schlüssels. 176 Verteilte Betriebssysteme, Winter 2005 Verteilet Systeme, Universität Ulm, M. Schöttner

16 Bsp.: vertrauenswürdige Person Chuck signiert öffentl. Key von Alice: - Zertifikat: signiertes Datum aus öffentlichem Schlüssel und Namensangabe, - Chuck zertifiziert den öffentlichen Schlüssel von Alice o überzeugt sich, dass Alice privaten Schlüssel hat o z.b. durch Challenge, Response und Verifizierung des Senders oder auf Postweg. - Bob vertraut Chuck: o Bob erhält öffentlichen Schlüssel von Alice, o Bob prüft Signatur mit Chucks öffentlichem Schlüssel. Problem: - Woher weiß Bob, dass Chucks öffentlicher Schlüssel zu Chuck gehört? rekursives Problem. Lösung: - Hierarchisch (z.b. Verisign, Trust Center): o einer Wurzelautorität (Certification Authority) wird vertraut, K CA + ist wohlbekannt, o Kette von Zertifikaten ergeben Vertrauensbasis. - Peer-to-Peer (z.b. PGP): o mehrere digitale Signaturen am öffentlichen Schlüssel, o Menge der vertrauenswürdigen Signaturen bestimmt letztliches Vertrauen. In der Praxis: - Zertifikate nur für bestimmte Zeitdauer (Haltbarkeitsdatum), - Zurückziehen von Zertifikaten: o Zertifizierungsstelle verwaltet Liste von zurückgezogenen Zertifikaten, o Empfänger muss dann Signatur und die Liste prüfen. 177 Verteilte Betriebssysteme, Winter 2005 Verteilet Systeme, Universität Ulm, M. Schöttner

17 7.4 Beispiel: Kerberos Höllenhund aus der griechischen Mythologie Authentifizierungsdienst für offene Netze: - basiert auf Needham-Schröder-Protokoll, - entwickelt 1988 im Projekt Athena am MIT, - verwendet in Linux LDAP und Active Directory. Authentifizierungsserver ist in 2 Teile aufgeteilt: - AS: Authentication Server; authentifiziert die sich bei ihm bewerbenden Benutzer und Ressourcen. - TGS: Ticket-Granting-Server; 1. vergibt Tickets für Kommunikation zwischen Benutzern und Ressourcen. 2. Tickets beinhalten Sitzungsschlüssel und beweisen, dass Klient sich authentifiziert hat. - mehr Sicherheit durch Trennung des Datenbankzugriffs von der Authentifizierung. Statt Nounces werden Zeitstempel verwendet: - Authentifizierung nicht beliebig lange gültig, - bedarf einer Zeitsynchronisierung im Netz. 178 Verteilte Betriebssysteme, Winter 2005 Verteilet Systeme, Universität Ulm, M. Schöttner

18 7.5 Zusammenfassung Symmetrische Verschlüsselung: - Kommunikationspartner kennen beide einen geheimen Schlüssel, - Authentisierung z.b. per Challenge-Response Protokoll, - benötigte Schlüsselanzahl reduzierbar durch Key Distribution Center (KDC): o nur ein geheimer Key zur Kommunikation mit dem KDC, o KDC generiert auf Anfrage einen Sitzungsschlüssel, o Needham-Schroeder Protokoll, falls Verbindungsaufbau nicht durch KDC, sondern durch Klient, (verwendet in Kerberos). - Wiedereinspielen alter Nachrichten durch Zufallszahlen (Nounces) in Nachrichten erkennbar. Digitale Signatur: - Nachricht im Klartext, aber Signatur in Form von verschlüsseltem Hashwert (fester Länge), - erlaubt Integritätssicherung und dient der Authentisierung des Absenders. Asymmetrische Verschlüsselung: - hier Schlüsselpaar: öffentlicher und privater Schlüssel, - kein KDC erforderlich, da ein Schlüsselpaar für Kommunikation mit N Klienten ausreichend, - Problem: gehört ein öffentlicher Schlüssel wirklich dem Subjekt? - Lösung: Zertifikat = Signierung des Schlüssels durch eine vertrauenswürdige Instanz (z.b. Certification Authority) 179 Verteilte Betriebssysteme, Winter 2005 Verteilet Systeme, Universität Ulm, M. Schöttner