Kryptografie. Seite 1 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

Transkript

1 Seite 1 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

2 Klassen von Unsicherheit in Informatik 'richtig' rechnen Daten vor der Zerstörung bewahren Vor unberechtigtem Zugriff schützen Daten Daten Systeme verbergen, verschließen oder Verschlüsseln Kryptologie Seite 2 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

3 Kryptologie Steganografie Kryptografie Techniken bekannt seit Antike In Informatik Passwortschutz zur Authentifizierung Authentifizieren die Echtheit bezeugen beglaubigen Authentisieren Glaubwürdig Rechtsgültig machen Seite 3 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

4 Grundbegriffe verschlüsseln, chiffrieren (encipher) lesbare Daten in unlesbare transformieren Chiffre (cipher) Verfahren zum Ver- Endschlüsseln Schlüssels (key) Parameter bei Verschlüsselung Klartext (plaintext, cleartext) Lesbare Daten Chiffretext (ciphertext, cryptotext) Seite 4 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

5 Grundbegriffe Verschlüsselung, Chiffrierung Umwandlung: Klartext Chiffretext verschlüsseln, chiffrieren (encipher) Entschlüsselung, Dechiffrierung Umwandlung: Chiffretext Klartext Entschlüsseln, dechiffrieren (decipher) Brechung einer Chiffre Entziffern einer Chiffre Kryptoanalyst oder Angreifer Seite 5 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

6 Grundbegriffe passiver Angriff Lesen übertragener oder gespeicherter Daten aktiver Angriff Ersetzung einer Nachricht durch andere Beide Formen des Kryptoangriffs durch kryptographisches Verfahren unterbinden Chiffretext entschlüsseln moderne Rechenanlagen nur Chiffrierverfahren verwenden, die einer Analyse längere Zeit standhalten. Seite 6 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

7 Kryptographisches System (Kryptosystem) H, C und K höchstens abzählbar sind. 1.Klartextraum H 2.Chiffreraum C 3.Schlüsselraum K 4.Chiffriertransformationen 5.Dechiffriertransformationen (De-) Chiffriertransformation E k (D k ) definiert mit Schlüssel k (De-) Chiffrieralgorithmus E (D) E k : H D k :C C mit kk H mit kk Seite 7 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

8 Eigenschaften kryptographischer Systeme Beurteilung eines Kryptosystems wichtigste Forderung: Sicherheit (security) differenziert in Unterbegriffe Geheimhaltung (secrecy) Authentizität (authentication), Integrität (integrity) und Anerkennung (non repudiation). Sicherheit durch geheimen Schlüssel erreichbar Chiffre nur brechbar, wenn im Besitz des Schlüssels Seite 8 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

9 Eigenschaften kryptographischer Systeme brauchbare Chiffrierverfahren ohne Kenntnis des Schlüssels dechiffrierbar rechentechnisch zu viel Zeit Effizienz des Ver-/Entschlüsselns effiziente Algorithmen für jeden Schlüssel aus gegebenen Schlüsselraum mit möglichst geringem Aufwand kryptographisches System leicht zu benutzen Benutzer nicht mit Komplexität des Verfahrens belasten Seite 9 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

10 Ausschreibung des NBS 1973/74 Hohe Sicherheit Vollständige Spezifikation, leichte Verständlichkeit Sicherheit darf nicht auf Algorithmus beruhen Generelle Verfügbarkeit In verschiedenen Bereichen anwendbar Wirtschaftlichkeit und Schnelligkeit Validierbarkeit Exportierbarkeit Seite 10 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

11 Einsatzziele und Einsatzgebiete Geheimhaltung Angreifer kann Daten nicht entschlüsseln Authentizität nicht unentdeckt falsche Identität vortäuschbar Masquerade Datenintegrität nicht unentdeckt falschen Chiffretext einsetzen numerische Daten Anerkennung einer Nachricht Absender kann tatsächlich gesendete Nachricht nicht als Fälschung ausgeben Seite 11 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

12 Einsatzziele und Einsatzgebiete Offene Umgebung Teilnehmer nur übertragene Daten des Kommunikationspartners keine Sicherheit über dessen Identität Vertraulichkeit und Unverfälschtheit der Daten übermittelte Angaben Auftragserteilung gesicherte Speicherung von Daten Geheimhaltung und Integrität der Daten garantieren Zugriffssicherung Zugriff auf Informationssysteme schützen Zugangssicherung für Betreten gesicherter Bereiche Authentisierung Geldkarten Seite 12 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

13 mehrere kryptografische Ziele gleichzeitig erreichen bilaterale Kommunikation, zugleich Geheimhaltung, Authentizität Datenintegrität sicheres Verschlüsselungsverfahren gegeben nur jeweiliger Empfänger kann Daten dechiffrieren Garantiert auch Authentizität Datenintegrität da nur der Absender Daten sinnvolle verschlüsseln nur Empfänger kann Daten entschlüsseln nicht sinnvoll absichtlich veränderbar Redundanz in Daten nötig Nummerierung der Nachrichten Angabe eines Zeitstempels Seite 13 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

14 Daten nur authentisiert verteilen Geheimhaltung und Datenauthentizität trennen k e und k d nicht auseinander berechenbar mit k e Daten verschlüsseln mit "öffentlichen" Schlüsse k d dechriffrierbar verschlüsselte Daten nicht sinnvoll absichtlich verfälschbar wenn nur Absender Daten sinnvoll verschlüsseln kann Erreichte Ziele Authentizität elektronische Unterschrift Datenintegrität Geheimhaltung vermieden Seite 14 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

15 Angriffstechniken drei Situationen für Kryptoanalytiker 1. Chiffretext [Eke(H)] (Chiffretext-Angriff) Klartext nur aus Chiffretext bestimmbar 2. Klartexte eingeben [H,Eke(H)] Veränderung durch Kryptosystem beobachtbar - z.b. bei Datenbank 3. zusammengehörige Klartext- und Chiffretextteile kennt Chiffrierverfahren [H,Eke(H), E()] Klartextangriff Seite 15 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

16 Angriffstechniken Kryptokomplexität für Entschlüsselung benötigte Rechenzeit benötigter Speicherbedarf Kryptoanalyse weist (Un-)Sicherheit eines Chiffrierverfahrens nach zwei Stufen der Sicherheit eines Chiffrierverfahrens Nach Shannon berechnungssicheres Chiffrierverfahren Berechnung des Klartextes nicht mit real vorhandenen Zeit- bzw. Rechenkapazität durchgeführt werden kann. uneingeschränkte Sicherheit e. Chiffrierverfahrens Seite 16 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk Aus vorliegender Information lässt sich

17 Uneingeschränkt sichere kryptografische Systeme Vernam-Chiffrierverfahrens Schlüssel länger als erreichen Nachricht (bitweise) Xor-Operation mit Daten verknüpft k i d i c i. c i k i k i d i k i d i. Seite 17 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

18 Absolute Sicherheit unbekannter Schlüsselstrom Zu jedem Chiffretext passt jeder Klartext gleicher Länge Klartext nicht eindeutig ermittelbar Länge feststellbar Nur Nachrichten (mit Redundanz) gleicher Länge Jedes mal neuen Schlüsselstrom verwenden. M K C 1 N K C 2 C 1 C 2 M K N K M N Ein Klartext bekannt (z.b. M ) M N M N. N C 2 N N K K Seite 18 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

19 Absolute Sicherheit sehr lange Schlüsselströme unpraktisch Alternativen von Vernam (ca. 1917) Kombination von Schlüsselströmen verschiedener Länge Werte ebenfalls per Xor verknüpft Seite 19 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

20 Absolute Sicherheit Schlüsselströme durch "Pseudo-Zufallszahlen"-Generatoren erzeugen. aus Werten des Schlüsselstroms nicht Parameter des Zufallszahlengenerators ableitbar in standardisierten Verschlüsselungsprotokollen Zufallszahlen durch kryptographische Verfahren Output-Feed-Back mit dem DES-Verfahren. Seite 20 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

21 Grundlegende Techniken zwei Arten des Chiffrierens Transpositionschiffrierung Zeichen eines Klartexts permutieren (vertauschen) Substitutionschiffrierung einzelne Zeichen durch andere Zeichen ersetzen ein oder mehrerer Alphabete mono- bzw. polyalphabetische Substitutionschiffren Alphabete mit gleichen oder verschiedenen Zeichen Einfache Verfahren nicht sicher Seite 21 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

22 Grundlegende Techniken Beispiel für Transpositionschiffre Chiffrieren 'TRANSPOSITION' mit "Jägerzauns" T S I N R N P S T O A O I Zeilen der Matrix von links nach rechts lesen 'TSINRNPSTOAOI' Dechiffrierung durch Einfügen der Zeilen in Jägerzaun Auslesen im Zickzack Seite 22 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

23 Grundlegende Techniken Beispiel für Substitutionschiffre Caesar Chiffre Verschiebe jedes Zeichen im Alphabetes um k mod 26 k=3 SUBSTITUTION --> VXEVWLWXWLRQ Dechiffrierung Verschieben um -k mod 26 (26-k mod 26), 23 mod 26 Analyse Erraten des Schlüssels Seite 23 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk es gibt nur 25 nicht triviale Schlüssel

24 Transpositionschiffre Klartext: DIEEINFACHETRANSPOSITION Varianten Auch Zeilen vertauschen Auch Diagonal auslesen Passwort Computer Analyse durch Häufigkeitsanalyse Bekannte Zeichenfolgen Schlüssel Matrix E I I D A C F H N A A T N E R S P I S O N I T O X Seite 24 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

25 Substitutionschiffren mit einfacher Substitution Monoalphabetische Substitution mit Schlüsselwort Schlüsselwort: SUBSTITUTION Klartext: VORLESUNG H: ABCDEFGHIJKLMNOPQRSTUVWXYZ C: SUBTIONACDEFGHJKLMPQRVWXYZ Chiffretext: VJMFIPRHN Seite 25 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

26 Substitutionschiffren mit einfacher Substitution Monoalphabetische Substitution mit Schlüsselwort und Umkehrung der restlichen Zeiten Schlüsselwort: SUBSTITUTION Klartext: VORLESUNG H: ABCDEFGHIJKLMNOPQRSTUVWXYZ C: SUBTIONACDEFGZYXWVRQPMLKJH Chiffretext: MYVFIRPZN Seite 26 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

27 Substitutionschiffren mit einfacher Substitution Monoalphabetische Substitution mit Schlüsselwort und Periode, z.b. 2 Schlüsselwort: SUBSTITUTION Klartext: VORLESUNG H: ABCDEFGHIJKLMNOPQRSTUVWXYZ C: SUBTIONACDEFGHRJVKWLXMYPZQ Chiffretext: MYVFIRPZN Seite 27 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

28 Substitutionschiffren mit einfacher Substitution Häufigkeitsanalyse relative Häufigkeit der Buchstaben einer natürlichen Sprachen ermitteln mit Häufigkeiten der Buchstaben im Chiffretext vergleichen Buchstabenkombinationen (z.b. CH, EIN im deutschen, THE im englischen) finden. weiteres Erraten und Ausprobieren Chiffren relativ einfach zu brechen Folgende Varianten verschleiern Häufigkeitsverteilung Seite 28 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

29 Häufigkeitsanalyse Beispiel: E im Deutschen häufigster Buchstabe. CrypTool "Dieses ist ein kurzer Text, der entschlüsselt werden soll." Schlüssel: H "Lqmama qab mqv sczhmz Bmfb, lmz mvbakptüaamtb emzlmv awtt." Seite 29 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

30 Häufigkeitsanalyse der deutschen Sprache Seite 30 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

31 Häufigkeitsanalyse der Caesar-Chiffre Seite 31 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

32 Korrelation der beiden Verteilungen Seite 32 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

33 Polyalphabetische Substitutionschiffren Häufigkeitsverteilung einzelner Buchstaben verbergen Buchstaben m i des Klartextes H ersetzen durch Buchstaben c ij, j=0..n-1 verschiedene Alphabeten C 0, C 1,...,C n-1 C j (m i ): i-ter Buchstabe m i mit C j kodiert Seite 33 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

34 Polyalphabetische Substitutionschiffren Periodische polyalphabetische Substitutionschiffre Alphabete in fester Reihenfolge verwenden nach letztem Alphabet wieder erstes Alphabet benutzen j = i mod n Klartext m = m 0 m 1 m 2 m i m i+1 chiffriert durch E(m)=C 0 (m 0 ) C 1 (m 1 ) C 2 (m 2 ) C i (m i mod n ) C i+1 (m i+1 mod m ) keine einfache Häufigkeitsanalyse mehr möglich Seite 34 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

35 Polyalphabetische Substitutionschiffren kompliziertere Verfahren anwenden Kenntnis der Anzahl der verwendeten Alphabete verschiedene Techniken entwickelt 1863 von Preußischem Offizier Friedrich W. Kasiski Koinzidenz-Methode Autokorrelationskoeffizient: K Sind alle Zeichen unabhängig: K=0 Zeichen für eine Sprachen: K1>0, typisch für einzelne Sprache Zeichen für zwei Alphabete: K1>K2>0, Aus K lässt sich Periode abschätzen. Bei bekannter Periode P der Alphabete Entschlüsselung wie bei einfachen Substitutionschiffren Seite 35 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

36 Homophone Substitution Häufigkeitsanalyse verhindern häufig vorkommende Buchstaben 'E', 'N' usw. durch mehr als ein Zeichen kodieren. Beispiel zweistellige Zahlen als Chiffre-Zeichen E {1,44,53,85,99} N {2,14,33,45}... Y {7} Auch Homophone Substitution brechbar Redundanz! Seite 36 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

37 Dummy-Nachrichten Chiffre gebrochen, wenn sinnvoller Klartext gefunden Semantik der Nachricht Klartext und 'Dummy-Nachricht' Klartextalphabet {a 1, a 2,, a n } Dummy-Nachricht {b 1, b 2,, b n } b 1... b n a 1... Permutati on der Zahlen.. von 1 bis Seite 37 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

38 Dummy-Nachrichten Nachricht 'TRUEFFEL', Dummy-Nachricht 'SAALTUER' Angreifer kann sich nicht sicher sein, den 'richtigen' Text entschlüsselt zu haben. A E F L R S T U A E F L R S T U Klartext: T R U E F F E L Dummy: S A A L T U E R Chiffre: Seite 38 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

39 Jeffersonzylinder Seite 39 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

40 Wheatstonescheibe Seite 40 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

41 Enigma Seite 41 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

42 Data Encryption Standard (DES) Ausschreibung NBS 1973/74: Kriterien 1. Hohe Sicherheit 2. Vollständige Spezifikation, leichte Verständlichkeit 3. Die Sicherheit darf nicht auf dem Algorithmus beruhen 4. Generelle Verfügbarkeit 5. In verschiedenen Bereichen anwendbar 6. Wirtschaftlichkeit und Schnelligkeit 7. Validierbarkeit 8. Exportierbarkeit Verfahren von IBM (Lucifer) gewählt Seite 42 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

43 Data Encryption Standard (DES) Seite 43 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

44 Data Encryption Standard (DES) Register L Register R P = IP(B) (Initiale Permutation) L 0 = P links L 1 = R 0 L 2 = R 1 L 3 = R 2 L 4 = R 3 Ro = P rechts R 1 = L 0 f(r 0,k 1 ) R 2 = L 1 f(r 1,k 2 ) R 3 = L 2 f(r 2,k 3 ) R 4 = L 3 f(r 3,k 4 ) C = IP -1 (R 4 L 4 ) P' = IP(C) = R 4 L 4 L' 0 = R 4 L' 1 = R' 0 = L 4 = R 3 L' 2 = R' 1 = L 3 = R 2 L' 3 = R' 2 = L 2 = R 1 L' 4 = R' 3 = L 1 = R 0 R' 0 = L 4 R' 1 = L' 0 f(r' 0,k 4 ) = R 4 f(l 4,k 4 ) = L 3 R' 2 = L' 1 f(r' 1,k 3 ) = R 3 f(l 3,k 3 ) = L 2 R' 3 = L' 2 f(r' 2,k 2 ) = R 2 f(l 2,k 2 ) = L 1 R' 4 = L' 3 f(r' 3,k 1 ) = R 1 f(l 1,k 1 ) = L 0 B = IP -1 (L 0 R 0 ) Seite 44 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

45 Sicherheit des Data Encryption Standard (DES) Verknüpfung jedes einzelnen Bits des Klartextes mit allen Bits des Schlüssels mit allen anderen Bits des Klartextes Länge des Schlüssels auf 56 Bits Unsicherheit: Billiarden Schlüssel Abschätzungen (Diffie, Hellman, 1980) 1 Millionen LSI-Chips 50 Millionen US $ zwei Tage durchschnittlicher Suchzeit Schlüssellänge auf 112 Bits verdoppeln Seite 45 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

46 IDEA (International Data Encryption Algorithm) Seite 46 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

47 Varianten der Blockchiffren Blockchiffre (block cipher) Datenblöcke fester Länge Anfügen von "Leerdaten" an zu kurze Datensätze Fragmentieren von zu langen Datenblöcken Standards Stromchiffre (stream cipher) kleinste darstellbare Dateneinheit Byte Zeichen Wort sukzessiven Verschlüsselung der einzelnen Daten, Abhängigkeit im Datenstrom keine Leerdaten Standards Seite 47 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

48 Electronic Code Book ECB Seite 48 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

49 Cipher Block Chaining CBC Seite 49 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

50 Cipher Feedback CFB Seite 50 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

51 Output Feedback OFB Seite 51 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk