IT-Risk-Management und Kryptographie

Transkript

1 IT-Risk-Management und Kryptographie Theoretische Einführung und praktische Übungen Prof. Grimm, Prof. Paulus, Dipl.-inform. Droege, Dipl.-ing. Hundacker Seminar für die Debeka Universität Koblenz-Landau Grimm et al., Dez Kryptographie 1 / 37

2 Seminarplan 9:00-10:30 Theorie I: Einführung, Begriffe, Modelle, Beispiele (Paulus) 11:00-12:30 Praxis I: Schlüsselerzeugung, Schlüsselaustausch, Schlüsseleinsatz (Droege) 13:30-15:00 Theorie II: Berechnungen einzelner Verschlüsselungsalgorithmen und Sicherheitsprotokolle (Grimm) 15:30-17:00 Praxis II: Verschlüsselung in Beispielanwendungen WLAN, , Homebanking, Türschlösser usw. (Hundacker) Paulus, Dez Kryptographie: Theorie I 2 / 37

3 Wo wird Verschlüsselung benötigt? Daten (z. B. auf Festplatte) vor fremdem Zugriff schützen Nur der Besitzer kennt den Schlüssel Kommunikation (z. B. per ) vor fremdem Zugriff schützen Die Schlüssel müssen ausgetauscht werden Frage: Wie kann der Schlüsseltausch sicher durchgeführt werden? Paulus, Dez Kryptographie: Theorie I 3 / 37

4 Wo wird Verschlüsselung benötigt? Daten (z. B. auf Festplatte) vor fremdem Zugriff schützen Nur der Besitzer kennt den Schlüssel Kommunikation (z. B. per ) vor fremdem Zugriff schützen Die Schlüssel müssen ausgetauscht werden Frage: Wie kann der Schlüsseltausch sicher durchgeführt werden? Paulus, Dez Kryptographie: Theorie I 3 / 37

5 Wo wird Verschlüsselung benötigt? Daten (z. B. auf Festplatte) vor fremdem Zugriff schützen Nur der Besitzer kennt den Schlüssel Kommunikation (z. B. per ) vor fremdem Zugriff schützen Die Schlüssel müssen ausgetauscht werden Frage: Wie kann der Schlüsseltausch sicher durchgeführt werden? Paulus, Dez Kryptographie: Theorie I 3 / 37

6 Wo wird Verschlüsselung benötigt? Daten (z. B. auf Festplatte) vor fremdem Zugriff schützen Nur der Besitzer kennt den Schlüssel Kommunikation (z. B. per ) vor fremdem Zugriff schützen Die Schlüssel müssen ausgetauscht werden Frage: Wie kann der Schlüsseltausch sicher durchgeführt werden? Paulus, Dez Kryptographie: Theorie I 3 / 37

7 Motivation Ausgangslage Person A (Alice) will an Person B (Bob) wollen eine Nachricht m übermitteln Problem Person F (Fred) soll die Nachricht nicht lesen können Paulus, Dez Kryptographie: Theorie I 4 / 37

8 Motivation Ausgangslage Person A (Alice) will an Person B (Bob) wollen eine Nachricht m übermitteln Problem Person F (Fred) soll die Nachricht nicht lesen können Paulus, Dez Kryptographie: Theorie I 4 / 37

9 Lösung 1 Alice versteckt die Botschaft m in einem unverfänglichen Brief. Bob kann die versteckte Botschaft entschlüsseln. Fred ahnt gar nicht, dass die unverfängliche Botschaft einen geheimen Teil hat. Lösung 2 Alice und Bob vereinbaren einen Schlüssel und ein Verschlüsselungs- und Entschlüsselungsmethode und Alice und Bob vereinbaren einen Schlüssel Möglicherweise sind Schlüssel zur Verschlüsselung k e und Entschlüsselung k d ebenso wie Verschlüsselungsmethode E und Entschlüsselungsmethode D unterschiedlich Paulus, Dez Kryptographie: Theorie I 5 / 37

10 Lösung 1 Alice versteckt die Botschaft m in einem unverfänglichen Brief. Bob kann die versteckte Botschaft entschlüsseln. Fred ahnt gar nicht, dass die unverfängliche Botschaft einen geheimen Teil hat. Lösung 2 Alice und Bob vereinbaren einen Schlüssel und ein Verschlüsselungs- und Entschlüsselungsmethode und Alice und Bob vereinbaren einen Schlüssel Möglicherweise sind Schlüssel zur Verschlüsselung k e und Entschlüsselung k d ebenso wie Verschlüsselungsmethode E und Entschlüsselungsmethode D unterschiedlich Paulus, Dez Kryptographie: Theorie I 5 / 37

11 Unverfänglicher Brief Der Text Lieber Freund, hiermit schicke ich Dir eine streng geheime Botschaft. Die Datei: Text.pgm P Lieber Freund, hiermit schicke ich Dir eine streng geheime Botschaft. Paulus, Dez Kryptographie: Theorie I 6 / 37

12 Unverfänglicher Brief Der Text Lieber Freund, hiermit schicke ich Dir eine streng geheime Botschaft. Die Datei: Text.pgm P Lieber Freund, hiermit schicke ich Dir eine streng geheime Botschaft. Paulus, Dez Kryptographie: Theorie I 6 / 37

13 Der Trick: Text.png convert Text.pgm Text.png 1 Das Ergebnis Lieber Freund, sieh mal, was meine neue Kamera heute für ein merkwürdiges Bild geliefert hat. Die Technik Steganographie 1 PNG liefert eine verlustfreie Datenkompression, in der dann der Text nicht mehr direkt sichtbar ist. Paulus, Dez Kryptographie: Theorie I 7 / 37

14 Der Trick: Text.png convert Text.pgm Text.png 1 Das Ergebnis Lieber Freund, sieh mal, was meine neue Kamera heute für ein merkwürdiges Bild geliefert hat. Die Technik Steganographie 1 PNG liefert eine verlustfreie Datenkompression, in der dann der Text nicht mehr direkt sichtbar ist. Paulus, Dez Kryptographie: Theorie I 7 / 37

15 Der Trick: Text.png convert Text.pgm Text.png 1 Das Ergebnis Lieber Freund, sieh mal, was meine neue Kamera heute für ein merkwürdiges Bild geliefert hat. Die Technik Steganographie 1 PNG liefert eine verlustfreie Datenkompression, in der dann der Text nicht mehr direkt sichtbar ist. Paulus, Dez Kryptographie: Theorie I 7 / 37

16 Historisches Beispiel Caesar und Kleopatra haben angeblich geheime Briefe ausgetauscht Zwei Alphabetscheiben gegeneinander verdreht Schlüssel: Richtung und Anzahl der Buchstaben Paulus, Dez Kryptographie: Theorie I 8 / 37

17 Notation Nachricht Verschlüsselte Nachricht Verschlüsselungsfunktion Entschlüsselungsfunktion Verschlüsselungsschlüssel Entschlüsselungsschlüssel m = m 1, m 2..., m n c E D k e k d Paulus, Dez Kryptographie: Theorie I 9 / 37

18 Notation Nachricht Verschlüsselte Nachricht Verschlüsselungsfunktion Entschlüsselungsfunktion Verschlüsselungsschlüssel Entschlüsselungsschlüssel Öffentlicher Schlüssel Privater Schlüssel m = m 1, m 2..., m n c E D k e k d k pu k pr Paulus, Dez Kryptographie: Theorie I 9 / 37

19 Damit: m E ke (m) = c c D kd (c) = m Also: D kd (E ke (m)) = m Paulus, Dez Kryptographie: Theorie I 10 / 37

20 Damit: m E ke (m) = c c D kd (c) = m Also: D kd (E ke (m)) = m Paulus, Dez Kryptographie: Theorie I 10 / 37

21 Damit: m E ke (m) = c c D kd (c) = m Also: D kd (E ke (m)) = m Paulus, Dez Kryptographie: Theorie I 10 / 37

22 Damit: m E ke (m) = c c D kd (c) = m Also: D kd (E ke (m)) = m Paulus, Dez Kryptographie: Theorie I 10 / 37

23 Damit: m E ke (m) = c c D kd (c) = m Also: D kd (E ke (m)) = m Paulus, Dez Kryptographie: Theorie I 10 / 37

24 Das folgende Bild und viele weitere Informationen und Bilder aus diesem Kurs stammen aus [MVO96]. Paulus, Dez Kryptographie: Theorie I 11 / 37

25 Angreifer Verschlüsselung E k e (m) = c m c unsicherer Kanal Entschlüsselung D kd (c) = m m Klartext Quelle Klartext Ziel Alice Bob Paulus, Dez Kryptographie: Theorie I 12 / 37

26 Angreifer Verschlüsselung E k e (m) = c m c unsicherer Kanal Entschlüsselung D kd (c) = m m Klartext Quelle Klartext Ziel Alice Bob Paulus, Dez Kryptographie: Theorie I 12 / 37

27 Angreifer Verschlüsselung E k e (m) = c m c unsicherer Kanal Entschlüsselung D kd (c) = m m Klartext Quelle Klartext Ziel Alice Bob Paulus, Dez Kryptographie: Theorie I 12 / 37

28 Angreifer Verschlüsselung E k e (m) = c m c unsicherer Kanal Entschlüsselung D kd (c) = m m Klartext Quelle Klartext Ziel Alice Bob Paulus, Dez Kryptographie: Theorie I 12 / 37

29 Angreifer Verschlüsselung E k e (m) = c m c unsicherer Kanal Entschlüsselung D kd (c) = m m Klartext Quelle Klartext Ziel Alice Bob Paulus, Dez Kryptographie: Theorie I 12 / 37

30 Angreifer Verschlüsselung E k e (m) = c m c unsicherer Kanal Entschlüsselung D kd (c) = m m Klartext Quelle Klartext Ziel Alice Bob Paulus, Dez Kryptographie: Theorie I 12 / 37

31 Angreifer Verschlüsselung E k e (m) = c m c unsicherer Kanal Entschlüsselung D kd (c) = m m Klartext Quelle Klartext Ziel Alice Bob Paulus, Dez Kryptographie: Theorie I 12 / 37

32 Einfachster Fall Entschlüsselungsverfahren = Verschlüsselungsverfahren Verschlüsselungsfunktion E = Entschlüsselungsfunktion D = S Entschlüsselungsschlüssel = Verschlüsselungsschlüssel Verschlüsselung k e = Entschlüsselung k d = k Paulus, Dez Kryptographie: Theorie I 13 / 37

33 Angreifer Verschlüsselung S k (m) = c m c unsicherer Kanal Entschlüsselung S k (c) = m m Klartext Quelle Klartext Ziel Alice Bob Paulus, Dez Kryptographie: Theorie I 14 / 37

34 XOR 0 0 = = = = 0 Damit: a b b = a Bitweise auf Buchstaben angewendet: a = m, b = k e = k d. c 0x x x c = E ke (m) := m k e D kd (c) := c k e = m k d k e = m Paulus, Dez Kryptographie: Theorie I 15 / 37

35 XOR 0 0 = = = = 0 Damit: a b b = a Bitweise auf Buchstaben angewendet: a = m, b = k e = k d. c 0x x x c = E ke (m) := m k e D kd (c) := c k e = m k d k e = m Paulus, Dez Kryptographie: Theorie I 15 / 37

36 XOR 0 0 = = = = 0 Damit: a b b = a Bitweise auf Buchstaben angewendet: a = m, b = k e = k d. c 0x x x c = E ke (m) := m k e D kd (c) := c k e = m k d k e = m Paulus, Dez Kryptographie: Theorie I 15 / 37

37 XOR 0 0 = = = = 0 Damit: a b b = a Bitweise auf Buchstaben angewendet: a = m, b = k e = k d. c 0x x x c = E ke (m) := m k e D kd (c) := c k e = m k d k e = m Paulus, Dez Kryptographie: Theorie I 15 / 37

38 XOR 0 0 = = = = 0 Damit: a b b = a Bitweise auf Buchstaben angewendet: a = m, b = k e = k d. c 0x x x c = E ke (m) := m k e D kd (c) := c k e = m k d k e = m Paulus, Dez Kryptographie: Theorie I 15 / 37

39 XOR 0 0 = = = = 0 Damit: a b b = a Bitweise auf Buchstaben angewendet: a = m, b = k e = k d. c 0x x x c = E ke (m) := m k e D kd (c) := c k e = m k d k e = m Paulus, Dez Kryptographie: Theorie I 15 / 37

40 XOR 0 0 = = = = 0 Damit: a b b = a Bitweise auf Buchstaben angewendet: a = m, b = k e = k d. c 0x x x c = E ke (m) := m k e D kd (c) := c k e = m k d k e = m Paulus, Dez Kryptographie: Theorie I 15 / 37

41 XOR 0 0 = = = = 0 Damit: a b b = a Bitweise auf Buchstaben angewendet: a = m, b = k e = k d. c 0x x x c = E ke (m) := m k e D kd (c) := c k e = m k d k e = m Paulus, Dez Kryptographie: Theorie I 15 / 37

42 XOR 0 0 = = = = 0 Damit: a b b = a Bitweise auf Buchstaben angewendet: a = m, b = k e = k d. c 0x x x c = E ke (m) := m k e D kd (c) := c k e = m k d k e = m Paulus, Dez Kryptographie: Theorie I 15 / 37

43 XOR 0 0 = = = = 0 Damit: a b b = a Bitweise auf Buchstaben angewendet: a = m, b = k e = k d. c 0x x x c = E ke (m) := m k e D kd (c) := c k e = m k d k e = m Paulus, Dez Kryptographie: Theorie I 15 / 37

44 * N a c h r i c h t! 2a 4e G e h e i m 1 G e h e d d 2b f d 1c 44 2a 4e Paulus, Dez Kryptographie: Theorie I 16 / 37

45 einfach unsicher Bessere Verfahren existieren. Dies ist eine symmetrische Verschlüsselung 2 2 Mehr dazu in Teil 3. Paulus, Dez Kryptographie: Theorie I 17 / 37

46 einfach unsicher Bessere Verfahren existieren. Dies ist eine symmetrische Verschlüsselung 2 2 Mehr dazu in Teil 3. Paulus, Dez Kryptographie: Theorie I 17 / 37

47 Modulare Arithmetik Rechnen mit der Uhr z. B.: = 9; = 12; = 1 mod 12 Basis einer möglichen Verschlüsselung mit k d k e z. B.: Verschlüsseln von x y = x + 5; k e = 5 Entschlüsseln von y y + 7 = x; k d = 7 Dies ist eine (triviale) assymetrische Verschlüsselung 3 3 Mehr dazu in Teil 3 Paulus, Dez Kryptographie: Theorie I 18 / 37

48 Modulare Arithmetik Rechnen mit der Uhr z. B.: = 9; = 12; = 1 mod 12 Basis einer möglichen Verschlüsselung mit k d k e z. B.: Verschlüsseln von x y = x + 5; k e = 5 Entschlüsseln von y y + 7 = x; k d = 7 Dies ist eine (triviale) assymetrische Verschlüsselung 3 3 Mehr dazu in Teil 3 Paulus, Dez Kryptographie: Theorie I 18 / 37

49 Modulare Arithmetik Rechnen mit der Uhr z. B.: = 9; = 12; = 1 mod 12 Basis einer möglichen Verschlüsselung mit k d k e z. B.: Verschlüsseln von x y = x + 5; k e = 5 Entschlüsseln von y y + 7 = x; k d = 7 Dies ist eine (triviale) assymetrische Verschlüsselung 3 3 Mehr dazu in Teil 3 Paulus, Dez Kryptographie: Theorie I 18 / 37

50 Modulare Arithmetik Rechnen mit der Uhr z. B.: = 9; = 12; = 1 mod 12 Basis einer möglichen Verschlüsselung mit k d k e z. B.: Verschlüsseln von x y = x + 5; k e = 5 Entschlüsseln von y y + 7 = x; k d = 7 Dies ist eine (triviale) assymetrische Verschlüsselung 3 3 Mehr dazu in Teil 3 Paulus, Dez Kryptographie: Theorie I 18 / 37

51 Modulare Arithmetik Rechnen mit der Uhr z. B.: = 9; = 12; = 1 mod 12 Basis einer möglichen Verschlüsselung mit k d k e z. B.: Verschlüsseln von x y = x + 5; k e = 5 Entschlüsseln von y y + 7 = x; k d = 7 Dies ist eine (triviale) assymetrische Verschlüsselung 3 3 Mehr dazu in Teil 3 Paulus, Dez Kryptographie: Theorie I 18 / 37

52 Modulare Arithmetik Rechnen mit der Uhr z. B.: = 9; = 12; = 1 mod 12 Basis einer möglichen Verschlüsselung mit k d k e z. B.: Verschlüsseln von x y = x + 5; k e = 5 Entschlüsseln von y y + 7 = x; k d = 7 Dies ist eine (triviale) assymetrische Verschlüsselung 3 3 Mehr dazu in Teil 3 Paulus, Dez Kryptographie: Theorie I 18 / 37

53 Modulare Arithmetik Rechnen mit der Uhr z. B.: = 9; = 12; = 1 mod 12 Basis einer möglichen Verschlüsselung mit k d k e z. B.: Verschlüsseln von x y = x + 5; k e = 5 Entschlüsseln von y y + 7 = x; k d = 7 Dies ist eine (triviale) assymetrische Verschlüsselung 3 3 Mehr dazu in Teil 3 Paulus, Dez Kryptographie: Theorie I 18 / 37

54 Schlüsseltausch In symmetrischer und unsymmetrischer Verschlüsselung: Schlüsselaustausch muss über zuverlässige Kanäle erfolgen! Paulus, Dez Kryptographie: Theorie I 19 / 37

55 Angreifer Schlüsselquelle k d sicherer Kanal k e Verschlüsselung E k e (m) = c m c unsicherer Kanal Entschlüsselung D kd (c) = m m Klartext Quelle Klartext Ziel Alice Bob Paulus, Dez Kryptographie: Theorie I 20 / 37

56 Angreifer Schlüsselquelle k d sicherer Kanal k e Verschlüsselung E k e (m) = c m c unsicherer Kanal Entschlüsselung D kd (c) = m m Klartext Quelle Klartext Ziel Alice Bob Paulus, Dez Kryptographie: Theorie I 20 / 37

57 Mehrere Sender Ausgangslage Person A (Alice) will an Person B (Bob) eine Nachricht m Alice, Person C (Chris) will an Person B (Bob) eine Nachricht m Chris übermitteln Paulus, Dez Kryptographie: Theorie I 21 / 37

58 Ziel Person F (Fred) soll keine Nachricht lesen können, Person A (Alice) soll m Chris nicht lesen können, Person C (Chris) soll m Alice nicht lesen können Aber In unserem Beispiel: Kenntnis von k d ermöglicht Berechnung von k e = 12 k d d.h.: Bob muss mit Alice und Chris jeweils einen anderes Schlüsselpaar vereinbaren Paulus, Dez Kryptographie: Theorie I 22 / 37

59 Ziel Person F (Fred) soll keine Nachricht lesen können, Person A (Alice) soll m Chris nicht lesen können, Person C (Chris) soll m Alice nicht lesen können Aber In unserem Beispiel: Kenntnis von k d ermöglicht Berechnung von k e = 12 k d d.h.: Bob muss mit Alice und Chris jeweils einen anderes Schlüsselpaar vereinbaren Paulus, Dez Kryptographie: Theorie I 22 / 37

60 Viele Sender Problemanalyse Kenntnis von k d ermöglicht Berechnung von k e Lösung 1 finde Verfahren, bei dem Kenntnis von k d die Berechnung von k e nicht ermöglicht Paulus, Dez Kryptographie: Theorie I 23 / 37

61 Viele Sender Problemanalyse Kenntnis von k d ermöglicht Berechnung von k e Lösung 1 finde Verfahren, bei dem Kenntnis von k d die Berechnung von k e nicht ermöglicht Paulus, Dez Kryptographie: Theorie I 23 / 37

62 Lösung 2 - stärker Kenntnis von k d, c, m erlaubt die Berechnung k e nicht! 4 Folge Der Verschlüsselungsschlüssel k e muss nicht sicher übertragen werden er kann öffentlich sein! 4 Mehr dazu in Teil 3 Paulus, Dez Kryptographie: Theorie I 24 / 37

63 Lösung 2 - stärker Kenntnis von k d, c, m erlaubt die Berechnung k e nicht! 4 Folge Der Verschlüsselungsschlüssel k e muss nicht sicher übertragen werden er kann öffentlich sein! 4 Mehr dazu in Teil 3 Paulus, Dez Kryptographie: Theorie I 24 / 37

64 passiver Angreifer k e unsicherer Kanal Schlüsselquelle k d Verschlüsselung E k e (m) = c m c unsicherer Kanal Entschlüsselung D kd (c) = m m Klartext Quelle Klartext Ziel Alice Bob Paulus, Dez Kryptographie: Theorie I 25 / 37

65 passiver Angreifer k e unsicherer Kanal Schlüsselquelle k d Verschlüsselung E k e (m) = c m c unsicherer Kanal Entschlüsselung D kd (c) = m m Klartext Quelle Klartext Ziel Alice Bob Paulus, Dez Kryptographie: Theorie I 25 / 37

66 Viele Empfänger Beispiel Person A (Alice) will an Person B (Bob) und Person C (Chris) eine Nachricht m Alice verschlüsselt übermitteln Voraussetzung Person A (Alice) kennt die Schlüssel k ebob für Person B (Bob) k echris für Person C (Chris) Paulus, Dez Kryptographie: Theorie I 26 / 37

67 Viele Empfänger Beispiel Person A (Alice) will an Person B (Bob) und Person C (Chris) eine Nachricht m Alice verschlüsselt übermitteln Voraussetzung Person A (Alice) kennt die Schlüssel k ebob für Person B (Bob) k echris für Person C (Chris) Paulus, Dez Kryptographie: Theorie I 26 / 37

68 Methode 1 Person A (Alice) sendet die Nachricht m als E kebob (m) an Person B (Bob) als E kechris (m) an Person C (Chris) Methode 2 (besser) Person A erzeugt einen Zufallsschlüssel k r und berechnet c Bob = E kebob (k r ) c Chris = E kechris (k r ) Person A sendet die Nachricht m an alle als c Bob + c Bob + Sk r (m) Paulus, Dez Kryptographie: Theorie I 27 / 37

69 Methode 1 Person A (Alice) sendet die Nachricht m als E kebob (m) an Person B (Bob) als E kechris (m) an Person C (Chris) Methode 2 (besser) Person A erzeugt einen Zufallsschlüssel k r und berechnet c Bob = E kebob (k r ) c Chris = E kechris (k r ) Person A sendet die Nachricht m an alle als c Bob + c Bob + Sk r (m) Paulus, Dez Kryptographie: Theorie I 27 / 37

70 Neues Problem: Zufallsschlüssel erzeugen später Paulus, Dez Kryptographie: Theorie I 28 / 37

71 Schlüsselaustausch Idee: Wenn aus k d, c, m der Schlüssel k e nicht erraten werden kann, dann kann auch k d unsicher übertragen werden! Noch besser: k d darf allgemein bekannt sein! Öffentliche Schlüssel-Verzeichnisse (z. B. keyserver.net) Paulus, Dez Kryptographie: Theorie I 29 / 37

72 Schlüsselaustausch Idee: Wenn aus k d, c, m der Schlüssel k e nicht erraten werden kann, dann kann auch k d unsicher übertragen werden! Noch besser: k d darf allgemein bekannt sein! Öffentliche Schlüssel-Verzeichnisse (z. B. keyserver.net) Paulus, Dez Kryptographie: Theorie I 29 / 37

73 Schlüsselaustausch Idee: Wenn aus k d, c, m der Schlüssel k e nicht erraten werden kann, dann kann auch k d unsicher übertragen werden! Noch besser: k d darf allgemein bekannt sein! Öffentliche Schlüssel-Verzeichnisse (z. B. keyserver.net) Paulus, Dez Kryptographie: Theorie I 29 / 37

74 Digitale Signatur Beispiel Person A (Alice) will an Person B (Bob) eine öffentliche Nachricht m Alice schicken. Für Bob soll überprüfbar sein, ob die Nachricht von Alice stammt und nicht verändert wurde. Versand - Methode 1 Person A (Alice) signiert die Nachricht m mit dem (geheimen!) Schlüssel k d Alice : s = E kd Alice (m) und sendet die Nachricht m als s + m Paulus, Dez Kryptographie: Theorie I 30 / 37

75 Digitale Signatur Beispiel Person A (Alice) will an Person B (Bob) eine öffentliche Nachricht m Alice schicken. Für Bob soll überprüfbar sein, ob die Nachricht von Alice stammt und nicht verändert wurde. Versand - Methode 1 Person A (Alice) signiert die Nachricht m mit dem (geheimen!) Schlüssel k d Alice : s = E kd Alice (m) und sendet die Nachricht m als s + m Paulus, Dez Kryptographie: Theorie I 30 / 37

76 Überprüfung - Methode 1 Person B (Bob) erhält s + m = E kd Alice (m) + m und berechnet s t = D kealice (m) (mit dem öffentlichen Verschlüsselungsschlüssel von Alice) Wenn s = s t dann ist alles o.k. Voraussetzung m und c sind aus dem gleichen Definitionsbereich (z. B. Zeichenketten) d. h.: D(E(m)) = m und E(D(m)) = m Nachteil - Methode 1 Nachrichtenlänge verdoppelt sich Paulus, Dez Kryptographie: Theorie I 31 / 37

77 Überprüfung - Methode 1 Person B (Bob) erhält s + m = E kd Alice (m) + m und berechnet s t = D kealice (m) (mit dem öffentlichen Verschlüsselungsschlüssel von Alice) Wenn s = s t dann ist alles o.k. Voraussetzung m und c sind aus dem gleichen Definitionsbereich (z. B. Zeichenketten) d. h.: D(E(m)) = m und E(D(m)) = m Nachteil - Methode 1 Nachrichtenlänge verdoppelt sich Paulus, Dez Kryptographie: Theorie I 31 / 37

78 Überprüfung - Methode 1 Person B (Bob) erhält s + m = E kd Alice (m) + m und berechnet s t = D kealice (m) (mit dem öffentlichen Verschlüsselungsschlüssel von Alice) Wenn s = s t dann ist alles o.k. Voraussetzung m und c sind aus dem gleichen Definitionsbereich (z. B. Zeichenketten) d. h.: D(E(m)) = m und E(D(m)) = m Nachteil - Methode 1 Nachrichtenlänge verdoppelt sich Paulus, Dez Kryptographie: Theorie I 31 / 37

79 Überprüfung - Methode 1 Person B (Bob) erhält s + m = E kd Alice (m) + m und berechnet s t = D kealice (m) (mit dem öffentlichen Verschlüsselungsschlüssel von Alice) Wenn s = s t dann ist alles o.k. Voraussetzung m und c sind aus dem gleichen Definitionsbereich (z. B. Zeichenketten) d. h.: D(E(m)) = m und E(D(m)) = m Nachteil - Methode 1 Nachrichtenlänge verdoppelt sich Paulus, Dez Kryptographie: Theorie I 31 / 37

80 Versand - Methode 2 Person A (Alice) signiert den Extrakt der Nachricht m mit dem (geheimen!) Schlüssel k d Alice : s = h(e kd Alice (m)) und sendet die Nachricht m als s + m Überprüfung - Methode 2 Person B (Bob) erhält s + m = h(e kd Alice (m)) + m und berechnet s t = h(d kealice (m)) (mit dem öffentlichen Verschlüsselungsschlüssel von Alice) Wenn s = s t dann ist alles o.k. Vorteil - Methode 2 Nachrichtenlänge erhöht sich nur geringfügig Paulus, Dez Kryptographie: Theorie I 32 / 37

81 Versand - Methode 2 Person A (Alice) signiert den Extrakt der Nachricht m mit dem (geheimen!) Schlüssel k d Alice : s = h(e kd Alice (m)) und sendet die Nachricht m als s + m Überprüfung - Methode 2 Person B (Bob) erhält s + m = h(e kd Alice (m)) + m und berechnet s t = h(d kealice (m)) (mit dem öffentlichen Verschlüsselungsschlüssel von Alice) Wenn s = s t dann ist alles o.k. Vorteil - Methode 2 Nachrichtenlänge erhöht sich nur geringfügig Paulus, Dez Kryptographie: Theorie I 32 / 37

82 Versand - Methode 2 Person A (Alice) signiert den Extrakt der Nachricht m mit dem (geheimen!) Schlüssel k d Alice : s = h(e kd Alice (m)) und sendet die Nachricht m als s + m Überprüfung - Methode 2 Person B (Bob) erhält s + m = h(e kd Alice (m)) + m und berechnet s t = h(d kealice (m)) (mit dem öffentlichen Verschlüsselungsschlüssel von Alice) Wenn s = s t dann ist alles o.k. Vorteil - Methode 2 Nachrichtenlänge erhöht sich nur geringfügig Paulus, Dez Kryptographie: Theorie I 32 / 37

83 Hash-Funktion Einfaches Beispiel: m = m 1 m 2...m n h(m) = m 1 m 2... m n Mehr dazu in später. Paulus, Dez Kryptographie: Theorie I 33 / 37

84 Hash-Funktion Einfaches Beispiel: m = m 1 m 2...m n h(m) = m 1 m 2... m n Mehr dazu in später. Paulus, Dez Kryptographie: Theorie I 33 / 37

85 Hash-Funktion Einfaches Beispiel: m = m 1 m 2...m n h(m) = m 1 m 2... m n Mehr dazu in später. Paulus, Dez Kryptographie: Theorie I 33 / 37

86 Verschlüsselte und signierte Nachricht Die Verfahren lassen sich kombinieren (Alice Bob): Gegeben Nachricht m Verschlüsselte Nachricht c = E kebob (m) Signatur der verschlüsselten Nachricht s = h(e kd Alice (c)) Signierte, verschlüsselten Nachricht c + s Paulus, Dez Kryptographie: Theorie I 34 / 37

87 Angriffe Brute Force Lexikon Man in the middle... Paulus, Dez Kryptographie: Theorie I 35 / 37

88 Angreifer gefälschte Schlüsselquelle k d Verschlüsselung E ke (m) = c k e k e Entschlüsselung D kd (c ) = m m Schlüsselquelle k d Verschlüsselung E ke (m) = c c c Entschlüsselung D kd (c) = m m m Klartext Quelle Klartext Ziel Alice Bob Paulus, Dez Kryptographie: Theorie I 36 / 37

89 Angreifer gefälschte Schlüsselquelle k d Verschlüsselung E ke (m) = c k e k e Entschlüsselung D kd (c ) = m m Schlüsselquelle k d Verschlüsselung E ke (m) = c c c Entschlüsselung D kd (c) = m m m Klartext Quelle Klartext Ziel Alice Bob Paulus, Dez Kryptographie: Theorie I 36 / 37

90 Angreifer gefälschte Schlüsselquelle k d Verschlüsselung E ke (m) = c k e k e Entschlüsselung D kd (c ) = m m Schlüsselquelle k d Verschlüsselung E ke (m) = c c c Entschlüsselung D kd (c) = m m m Klartext Quelle Klartext Ziel Alice Bob Paulus, Dez Kryptographie: Theorie I 36 / 37

91 Angreifer gefälschte Schlüsselquelle k d Verschlüsselung E ke (m) = c k e k e Entschlüsselung D kd (c ) = m m Schlüsselquelle k d Verschlüsselung E ke (m) = c c c Entschlüsselung D kd (c) = m m m Klartext Quelle Klartext Ziel Alice Bob Paulus, Dez Kryptographie: Theorie I 36 / 37

92 Angreifer gefälschte Schlüsselquelle k d Verschlüsselung E ke (m) = c k e k e Entschlüsselung D kd (c ) = m m Schlüsselquelle k d Verschlüsselung E ke (m) = c c c Entschlüsselung D kd (c) = m m m Klartext Quelle Klartext Ziel Alice Bob Paulus, Dez Kryptographie: Theorie I 36 / 37

93 Angreifer gefälschte Schlüsselquelle k d Verschlüsselung E ke (m) = c k e k e Entschlüsselung D kd (c ) = m m Schlüsselquelle k d Verschlüsselung E ke (m) = c c c Entschlüsselung D kd (c) = m m m Klartext Quelle Klartext Ziel Alice Bob Paulus, Dez Kryptographie: Theorie I 36 / 37

94 Alice möchte Chris versichern, dass k d Bob tatsächlich von Bob stammt. Alice signiert k d Bob : s = E kd Alice (k d Bob ) und veröffentlicht s im Netz. Wer den Schlüssel von Alice hat und ihm vertraut, kann nun auch Bob vertrauen Paulus, Dez Kryptographie: Theorie I 37 / 37

95 Alice möchte Chris versichern, dass k d Bob tatsächlich von Bob stammt. Alice signiert k d Bob : s = E kd Alice (k d Bob ) und veröffentlicht s im Netz. Wer den Schlüssel von Alice hat und ihm vertraut, kann nun auch Bob vertrauen Paulus, Dez Kryptographie: Theorie I 37 / 37

96 Alice möchte Chris versichern, dass k d Bob tatsächlich von Bob stammt. Alice signiert k d Bob : s = E kd Alice (k d Bob ) und veröffentlicht s im Netz. Wer den Schlüssel von Alice hat und ihm vertraut, kann nun auch Bob vertrauen Paulus, Dez Kryptographie: Theorie I 37 / 37

97 Alice möchte Chris versichern, dass k d Bob tatsächlich von Bob stammt. Alice signiert k d Bob : s = E kd Alice (k d Bob ) und veröffentlicht s im Netz. Wer den Schlüssel von Alice hat und ihm vertraut, kann nun auch Bob vertrauen Paulus, Dez Kryptographie: Theorie I 37 / 37

98 ECKERT, CLAUDIA: IT-Sicherheit: Konzepte - Verfahren - Protokolle. Oldenbourg Verlag, 4. überarbeitete Auflage, MENEZES, ALFRED J., SCOTT A. VANSTONE und PAUL C. VAN OORSCHOT: Handbook of Applied Cryptography. CRC Press, Inc., Boca Raton, FL, USA, SCHNEIER, BRUCE: Applied Cryptography: Protocols, Algorithms, and Source Code in C. John Wiley & Sons, Inc., New York, NY, USA, SCHMEH, KLAUS: Kryptografie und Public-Key-Infrastrukturen im Internet. dpunkt.verlag GmbH, 2. aktualisierte und erweiterte Auflage, SCHNEIER, BRUCE: Beyond Fear: Thinking Sensibly about Security in an Uncertain World. Springer-Verlag New York, Inc., Secaucus, NJ, USA, Paulus, Dez Kryptographie: Theorie I 37 / 37

99 SCHNEIER, BRUCE: Secrets and Lies: Digital Security in a Networked World. John Wiley & Sons Inc., Paulus, Dez Kryptographie: Theorie I 37 / 37