Kryptographisches Token mit Netzwerkschnittstelle und PKCS #11 Interface (Baltimore SureWare Keyper) Mathias Lafeldt

Transkript

1 Kryptographisches Token mit Netzwerkschnittstelle und PKCS #11 Interface (Baltimore SureWare Keyper) Mathias Lafeldt 20. Dezember 2006

2 Inhaltsverzeichnis 1 Einleitung 3 2 Kryptographie Symmetrische Verschlüsselung Kryptographische Angriffe Message Authentication Codes (MACs) Einweg-Hash-Funktionen Asymmetrische/Public-Key-Verschlüsselung Digitale Signaturen Zufallszahlengeneratoren Zusammenfassung Public Key Cryptography Standards (PKCS) PKCS #11: Cryptographic Token Interface Standard Hardware Security Modules (HSMs) Baltimore SureWare Keyper Anwendung 23 6 Quellen 28

3 1 Einleitung Der Baltimore SureWare Keyper ist ein so genanntes Hardware Security Module (HSM), ein Gerät, das einem Host (z.b. einem PC) über eine Netzwerkschnittstelle kryptographische Funktionen wie das Verschlüsseln von Daten bereitstellt. Diese Schnittstelle lässt sich nach einem bestimmten Standard ansprechen und programmieren dem Cryptographic Token Interface Standard (PKCS #11). Dieser Standard ermöglicht eine abstrahierte Sicht auf kryptographische Hardware, welche daher allgemein auch als Token bezeichnet wird. Um zu verstehen, was Kryptographie eigentlich ist und was der Baltimore SureWare Keyper zu leisten imstande ist, folgt zunächst eine Einführung in die Kryptographie und ihre wichtigsten Bestandteile. Danach werden die Public Key Cryptography Standards und insbesondere der PKCS #11 behandelt. Es folgt ein Abschnitt über Hardware Security Modules. Zum Schluss wird eine konkrete Anwendung für den SureWare Keyper vorgestellt.

4 2 Kryptographie Die meisten Leute verstehen unter dem Begriff Kryptographie ein Bündel komplizierter Mathematik. Einerseits besitzt sie für Konsumenten ein düsteres, schützendes Wesen. Andererseits bildet sie auch eine Kerntechnologie des Web und ermöglicht uns, Geschäfte Stichwort E-Commerce und soziale Strukturen aus der physischen Welt in den Cyberspace zu übertragen. Kryptographie ist verantwortlich für die Sicherheit im Web. Sie wehrt Angreifer ab. Dennoch ist sie kein Allheilmittel der Kontext des gesamten Computersystems ist entscheidend. Wurde ein Rechner z.b. von einem Trojaner befallen, der Passwörter ausspioniert, ist auch die beste Kryptographie machtlos. Die Schöpfer des Internets achteten bei der Entwicklung kaum auf Sicherheitsaspekte. Daher ist die Kryptographie noch relativ jung im Internet. Auf viele Internet-Protokolle wurde sie erst nachträglich aufgesetzt. Einige Beispiele für kryptographische Protokolle: Der Schutz der war die erste kryptographische Anwendung im Internet. Die wichtigsten Protokolle hierfür sind OpenPGP und S/MIME. Netscape entwickelte SSL ursprünglich für sichere WWW-Verbindungen (HTTPS). Später wurde es u.a. auch für Virtuelle Private Netzwerke (VPNs) und SSH (Remote- Verbindung über Kommandozeile) verwendet. IPsec schützt den IP-Verkehr. SET wickelt Kreditkartenzahlungen per Internet ab. Für Public-Key-Zertifikate existieren u.a. die Protokolle PKIX (X.509) und SPKI. Zur Sicherheit von Windows NT wird Kryptographie eingesetzt. Kopierschutzmechanismen wie SecuROM oder StarForce schützen digitale Inhalte mittels Kryptographie.

5 Alle genannten Protokolle basieren auf Algorithmen. Es gibt Algorithmen zur Verschlüsselung von Daten, für digitale Signaturen, für die Erzeugung von Zufallszahlen, usw. Diese werden in späteren Abschnitten erläutert. 2.1 Symmetrische Verschlüsselung Bereits in der Geschichte wurde Kryptographie zum Bewahren von Geheimnissen eingesetzt. Ursprünglich war dies die geschriebene Sprache an sich: im alten China wurde es nur den Höhergestellten erlaubt, Lesen und Schreiben zu lernen. Der erste dokumentierte Einsatz von Kryptographie war 1900 v. Chr. in Ägypten, als eine Inschrift mit Nicht-Standard- Hieroglyphen verfasst wurde. Weitere Beispiele sind: Eine mesopotamische Tafel von 1500 v. Chr. enthielt eine Formel für Keramikglasuren. die Hebräische ATBASH Verschlüsselung ( v. Chr.) 486 v. Chr.: Griechische Skytale Julius Cäsars einfache Substitutionschiffre (50-60 v. Chr.) Bemerkenswert ist, dass sogar das Kamasutra des Vatsyayana geheimes Schreiben und Lesen als Künste aufführt. Die Hauptidee hinter der Verschlüsselung ist, dass eine Gruppe von Leuten vertrauliches Wissen verwendet, um eine Nachricht geheim zuhalten. Angenommen Alice möchte Bob eine Nachricht schicken, die niemand anderes lesen soll. Dazu verschlüsselt Alice die Nachricht durch eine Transformation (Algorithmus). Sie wandelt den Klartext in Geheimtext um. Nur Bob kennt die Transformation und kann diese umkehren, um aus dem Geheimtext wieder den

6 ursprünglichen Klartext zu gewinnen. Ein Lauschangriff durch eine dritte Person Eve ist somit zwecklos. Allerdings treten hier zwei Probleme auf. Zum einen muss der Algorithmus sicher sein und zum anderen gestaltet sich das Teilen bzw. das Entziehen des Geheimnisses als schwierig. Wenn z.b. der Kaiser im alten China entschied, dass eine bestimmte Person nicht mehr dem Vertrauenskreis angehörte, musste derjenige sterben, weil das die einzige Möglichkeit war, ihm das Geheimnis des Lesens und Schreibens wieder zu entziehen. Der Navajo Code im 2. Weltkrieg ist ein weiteres Beispiel. Die Alliierten ließen ihre Funksprüche durch Navajo Indianer übertragen. Die Deutschen kannten deren Sprache nicht. Wären sie jedoch dahinter gekommen, hätte dies die Kompromittierung der gesamten geheimen Übertragung bedeutet. Die Lösung für dieses Problem ist der 1466 von Leon Battista Alberti erfundene kryptographische Schlüssel, der auf dem Prinzip des Haustürschlüssels beruht. Dessen Vorteil ist, dass man nicht für jede Kommunikation einen anderen Algorithmus braucht. Außerdem sind Algorithmen wie Schlösser standardisierbar, so geschehen beim Data Encryption Standard (DES) von Hierbei ist vor allem wichtig, dass der Algorithmus öffentlich bekannt und gründlich erforscht ist; das Geheimnis liegt allein im Schlüssel (Kerckhoffs- Prinzip, 1883). Dadurch kann das Geheimnis leicht geteilt (Kopieren des Schlüssels) und entzogen werden (neuer Schlüssel). Verwenden sowohl Sender als auch Empfänger denselben Schlüssel, handelt es sich um die so genannte symmetrische Verschlüsselung (siehe Abbildung 2.1.1). Während Schlüssel früher aus Zeichen wie Buchstaben oder Ziffern bestanden, sind sie heute eine Folge von Bits (z.b. 128 Bit im Jahr 2000), wobei die Länge vom Algorithmus abhängt. Grundsätzlich unterscheidet man zwischen Stromchiffren und Blockchiffren. Eine Chiffre ist eine Verschlüsselungsmethode. Während bei Stromchiffren immer nur ein Zeichen (bzw. Byte) verschlüsselt wird, arbeiten Blockchiffren mit Blöcken aus mehreren Bytes. Bekannte

7 Stromchiffren sind RC4 und A5. Unter den Blockchiffren sind DES, dessen Erweiterung Triple-DES, RC5, IDEA, Blowfish, und AES weit verbreitet. All diese symmetrischen Algorithmen schützen s, Computer-Dateien, Online-Banking, Codes für Nuklearraketen, das Privatleben, usw. Aber sie sind nicht perfekt. Die Schlüsselverteilung stellt ein Problem dar. Während zwei Personen nur einen Schlüssel benötigen, sind es bei zehn Personen schon 45; 100 Personen brauchen bereits Schlüssel, damit jeder mit jedem sicher kommunizieren kann. Aus diesem Grund waren die U.S. Navy Schiffe in den 1980er Jahren mit stapelweise Papier mit Schlüsseln unterwegs. Für die gesamte Mission brauchten sie jeden Tag neue Schlüssel. Auch für diesen Umstand wurde eine Lösung gefunden die asymmetrische Verschlüsselung (siehe Kapitel 2.5). Beim Umgang mit kryptographischen Schlüsseln ist außerdem wichtig, dass die Schlüssel sicher aufbewahrt, benutzt und anschließend zerstört werden.

8 Abbildung 2.1.1: Symmetrische Ver- u. Entschlüsselung Quelle:

9 2.2 Kryptographische Angriffe Vereinfacht gesagt, gilt ein Algorithmus als geknackt, wenn eine Nachricht ohne Schlüssel lesbar ist. Für diesen Zweck existieren verschiedene kryptographische Angriffe: Ciphertext-only attack Aus dem Geheimtext wird direkt der Klartext gewonnen. Dieses Verfahren ist bei modernen Chiffren aufgrund der Komplexität fast unmöglich. Known-plaintext attack Aus Klar- und Geheimtext erhält man den Schlüssel. Dadurch sind evtl. weitere Texte lesbar. Dieser Angriff macht sich Standard-Header von z.b. Word-Dateien zunutze. Chosen-plaintext attack Aus beliebigem Klartext kann der Geheimtext generiert und so der Schlüssel gewonnen werden. Sind die Details des Algorithmus bekannt (Kerckhoffs-Prinzip), nutzen die Angreifer entweder Designfehler aus, oder sie erreichen ihr Ziel durch einen so genannten Bruteforce- Angriff, bei dem alle Schlüsselwerte durchprobiert werden. Proprietäre Algorithmen werden hingegen durch Reverse Engineering geknackt. Bei dieser Technik wird der ausführbare Maschinencode in eine Hochsprache wie C zurückübersetzt. So wurde u.a. RC4, die DVD- und die DivX-Videoverschlüsselung sowie die FireWire- Verschlüsselung offen gelegt.

10 2.3 Message Authentication Codes (MACs) Message Authentication Codes, kurz MACs, schützen im Gegensatz zu Chiffren nicht die Privatsphäre. Sie sorgen für Authentizität (die Nachricht stammt tatsächlich vom angegebenen Absender) und Integrität (die Nachricht wurde beim Transport nicht verändert). Man kann sich ein MAC als eine verplombte Hülle vorstellen. Es kann zwar jeder die Nachricht lesen; Manipulationen werden jedoch erkannt. MACs basieren auf der symmetrischen Verschlüsselung: Alice teilt den Schlüssel mit Bob. A. berechnet den MAC aus der Nachricht und dem Schlüssel. A. hängt den MAC an die Nachricht an und sendet diese an B. B. empfangt die Nachricht. B. berechnet den MAC erneut und vergleicht beide. Bei einer Übereinstimmung kann er sicher sein, dass es sich um die originale Nachricht von Alice handelt. Das Verfahren hat den Vorteil, dass der MAC ohne Schlüssel nicht berechnet werden kann; jede Nachricht hat einen einzigartigen MAC für jeden Schlüssel. MACs werden u.a. in Datenbanken und bei dem Protokoll IPsec verwendet. Es gibt drei Arten: CMAC (Cipher-based MAC) HMAC (Hash-based MAC) UMAC (Universal MAC)

11 2.4 Einweg-Hash-Funktionen Eine Einweg-Hash-Funktion (auch Message Digest) dient als digitaler Fingerabdruck. Ihr Zweck ist es, eine große Menge an Quelldaten in eine kleine, feste Zielmenge, den Hash- Wert, umzuwandeln. Dafür werden ausschließlich öffentliche Funktionen verwendet keine geheimen Schlüssel. Einweg heißt, dass jeder den Hash-Wert einer Datei berechnen kann. Es ist jedoch unmöglich, eine Datei mit gleichem Hash-Wert zu erzeugen, oder den Dateiinhalt aus dem Hash-Wert zu bestimmen. Wie MACs sorgen Einweg-Hash-Funktionen für Authentizität und Integrität. Sie sind essentiell für digitale Signaturen (siehe Kapitel 2.6). Bekannte Verfahren sind: SHA-1 ( Standard Hash Algorithm, 160 Bit lang) RIPEMD-160 (160 Bit) MD5 (128 Bit) Um zu verdeutlichen, mit welchen Dimensionen wir es zu tun haben, ist hier der Wertebereich von SHA-1 aufgeführt: [ ] = [ ]

12 2.5 Asymmetrische/Public-Key-Verschlüsselung Die asymmetrische Verschlüsselung löst das Schlüsselverteilungsproblem aus Kapitel 2.1. Sie wurde 1976 von Whitfield Diffie und Martin Hellman erfunden. Die Grundidee hinter dieser Methode sind mathematische Einwegfunktionen. So nutzt z.b. RSA, das bekannteste asymmetrische Verfahren, den Umstand, dass es einfach ist, zwei große Primzahlen zu multiplizieren; die Faktorisierung (Primfaktorzerlegung) gestaltet sich jedoch als sehr schwierig. RSA wurde 1977 von Ron Rivest, Adi Shamir u. Leonard Adleman am MIT entwickelt. Es definiert einen öffentlichen Schlüssel e zum Verschlüsseln und einen privaten Schlüssel d zum Entschlüsseln, wobei d nicht aus e berechnet werden kann (siehe Abb ). Ein typisches Szenario: Bob erzeugt ein Schlüsselpaar (d, e). Bob veröffentlicht e. Alice verschlüsselt ihre Nachricht mit e. Bob entschlüsselt die Nachricht mit d. Dadurch ist eine freie, sichere Kommunikation möglich. In der Praxis wird allerdings aus Leistungsgründen RSA ist etwa 1000 mal langsamer als DES ein Hybrid-Verfahren aus symmetrischer und asymmetrischer Verschlüsselung angewendet: Es wird ein zufälliger Schlüssel erzeugt der Session-Key s. Mit s wird die Nachricht durch ein symmetrisches Verfahren wie AES verschlüsselt. s wird mit RSA verschlüsselt und an die chiffrierte Nachricht angehängt. RSA ist u.a. Teil der Protokolle PGP, PEM und S/MIME. Es eignet sich auch für digitale Signaturen (siehe Kapitel 2.6). Weitere asymmetrische Algorithmen sind ElGamal und Elliptische Kurven.

13 Abbildung 2.5.1: Asymmetrische Ver- u. Entschlüsselung Quelle:

14 Der beste Angriff gegen eine aktuelle RSA-Variante besteht darin, eine 2048-Bit Zahl zu faktorisieren: Diese Zahl besteht aus 617 Ziffern. Selbst mit allen Computern der Welt würde es länger als die Lebenszeit der Sonne dauern, um eine solche Zahl zu faktorisieren. Quantencomputer könnten dies drastisch beschleunigen, sind jedoch noch nicht ausreichend erforscht. 2.6 Digitale Signaturen Digitale Signaturen sind den MACs sehr ähnlich, auch sie dienen zur Authentifizierung. Sie stellen eine Umkehrung der Public-Key-Verschlüsselung dar. Das Szenario: Alice verschlüsselt eine Nachricht mit ihrem privaten Schlüssel d. Bob nutzt den öffentlichen Schlüssel e von Alice und entschlüsselt die Nachricht. Die korrekte Entschlüsselung ist ein Beleg für die Authentizität.

15 In der Praxis signiert Alice nur einen Hash-Wert der Nachricht. Die Signatur wird angehängt. Eve kann diese nur verifizieren, aber nicht fälschen. Es existieren diverse Verfahren, die wichtigsten sind RSA, DSA und ElGamal. Gegenüber MACs haben digitale Signaturen einen entscheidenden Vorteil: die Verbindlichkeit des Absendens. Alice kann nicht leugnen, an Bob eine Nachricht geschickt zu haben. Bei einem MAC könnte Bob die Nachricht auch an sich selbst senden und behaupten, sie käme von Alice. In Deutschland gibt es ein Signaturgesetz, welches die Bestimmungen für eine qualifizierte elektronische Signatur festlegt (Zertifikat). 2.7 Zufallszahlengeneratoren Die Zufallszahlengeneratoren sind ein vitaler Bestandteil von kryptographischen Anwendungen. Durch sie werden z.b. die Session-Keys der PKI und einige Werte in Protokollen erzeugt. Dabei ist die Zufälligkeit sehr entscheidend für die Systemsicherheit. Johann von Neumann sagte einmal: Jedermann, der Zufallszahlen mit einer arithmetischen Methode erzeugen will, ist nicht ganz bei Trost. Diese Aussage bezieht sich darauf, dass Computer tatsächlich keine echten, sondern nur Pseudozufallszahlen generieren können. Gute Pseudozufallszahlen reichen i.d.r. aber für kryptographische Anwendungen aus. Als Quelle für Pseudozufallszahlen dient oftmals ein so genannter Seed ein zufälliger Ausgangswert, der z.b. durch hektisches Mausbewegen in dem Fenster eines Programms erzeugt wird.

16 Echte Zufallszahlen lassen sich hingegen nur aus physikalischen Prozessen gewinnen: thermisches Rauschen radioaktiver Zerfall (Geigerzähler) Digitalkamera, die Lavalampe filmt Ankunftszeit von Netzwerkpaketen (im Mikrosekundenbereich) Ein schlechtes Beispiel für einen Zufallszahlengenerator war das Kasino Montreal im Jahr Dort gewann jemand beim Keno $ , weil dreimal die gleichen Gewinnzahlen gezogen wurden. 2.8 Zusammenfassung Die sechs Pfeiler der Kryptographie sind: Symmetrische Verschlüsselung Message Authentication Codes (MACs) Einweg-Hash-Funktionen Asymmetrische/Public-Key-Verschlüsselung Digitale Signaturen Zufallszahlengeneratoren Diese Algorithmen sind der Kern jedes kryptographischen Protokolls.

17 3 Public Key Cryptography Standards (PKCS) Die Public Key Cryptography Standards (PKCS) sind eine Familie von kryptographischen Spezifikationen, die seit 1991 von RSA Labs in Zusammenarbeit mit anderen IT-Firmen entwickelt und veröffentlicht werden. RSA Security war einst Patentinhaber des RSA-Verfahrens und besitzt weiterhin laufende Patente. Dementsprechend ist es das Ziel der Firma, mit den PKCS die Entwicklung und die Verbreitung der PK-Kryptographie voranzutreiben. Derzeit gibt es 13 voneinander unabhängige Standards, die hauptsächlich Datenformate für kryptographische Operationen festlegen. Die PKCS man könnte sie auch als kryptographischen Werkzeugkasten bezeichnen wurden u.a. in PKIX, SET, S/MIME und SSL implementiert. Eine Liste der aktuellen PKCS: PKCS #1: RSA Cryptography Standard PKCS #3: Diffie-Hellman Key Agreement Standard PKCS #5: Password-Based Cryptography Standard PKCS #6: Extended-Certificate Syntax Standard PKCS #7: Cryptographic Message Syntax Standard PKCS #8: Private-Key Information Syntax Standard PKCS #9: Selected Attribute Types PKCS #10: Certification Request Syntax Standard PKCS #11: Cryptographic Token Interface Standard PKCS #12: Personal Information Exchange Syntax Standard PKCS #13: Elliptic Curve Cryptography Standard PKCS #15: Cryptographic Token Information Format Standard Für uns ist primär der PKCS #11 interessant das Thema des nächsten Kapitels.

18 3.1 PKCS #11: Cryptographic Token Interface Standard PKCS #11, der Cryptographic Token Interface Standard, ist eine API (sog. Cryptoki) für den Zugriff auf kryptographische Hardware wie Hardware Security Modules (HSMs) oder Smartcards. Das plattformunabhängige Interface dient hauptsächlich als generische Abstraktionsschicht, d.h., man betrachtet kryptographische Hardware allgemein als Token. So ist sowohl ein HSM als auch eine Smartcard ein Token. Außerdem ermöglicht das API eine einfache Ressourcenteilung, wenn ein Host z.b. mehrere Token gleichzeitig ansprechen will. PKCS #11 verfolgt den objektorientierten Programmieransatz. Es definiert verschiedene kryptographische Objekttypen und wie auf diese zugegriffen werden kann. Beispiele: RSA Schlüssel X.509 Zertifikate DES/3DES Schlüssel Hash-Werte Weiterhin deklariert es Funktionen, die je nach Anwendung implementiert werden müssen (siehe Tabelle 3.1.1).

19 Allgemein Funktionsgruppe Slot/Token-Management Session-Management Objekt-Management Verschlüsselung, Entschlüsselung Message Digests berechnen Signieren u. MACs erzeugen Signatur u. MACs verifizieren Duale Ausführung, z.b. Digest u. Verschlüsselung Schlüsselmanagement Zufallszahlen generieren Beispiele Initialize(), GetFunctionList() GetSlotList(), InitToken(), SetPIN() OpenSession(), Login() CreateObject(), DestroyObject() EncryptInit(), Encrypt(), Decrypt() DigestInit(), Digest() SignInit(), Sign() VerifyInit(), Verify() DigestEncryptUpdate() GenerateKey(), GenerateKeyPair() GenerateRandom() Tabelle 3.1.1: PKCS #11 Funktionsgruppen und Beispiele Jetzt folgt eine Anwendung als Beispiel. Folgendes ist notwendig, um etwa den Hash-Wert (Message Digest) bestimmter Daten durch ein kryptographisches Token berechnen zu lassen: PKCS#11 Bibliothek initialisieren: Initialize() einen Slot für das Token bestimmen: GetSlotList() das Token initialisieren: InitToken() eine Sitzung öffnen: OpenSession() mit Passwort anmelden: Login() die Methode Digest() berechnet den Hash abmelden: Logout() Sitzung schließen: CloseSession() PKCS#11 Bibliothek deinitialisieren: Finalize()

20 4 Hardware Security Modules (HSMs) Da es sich beim Baltimore SureWare Keyper um ein HSM handelt, wird in diesem Kapitel näher auf diese kryptographische Hardware eingegangen. Hardware Security Modules gibt es in verschiedenen Varianten als Plugin-Karte (PCI) oder extern über SCSI oder Ethernet. Ihre Aufgabe ist es, einem Host (z.b. PC) kryptographische Funktionen zur Verfügung zu stellen. HSMs sorgen hauptsächlich in solchen kritischen IT-Systemen für Vertrauenswürdigkeit und Integrität, in denen reiner Softwareschutz nicht ausreicht und wichtige Schlüssel auch physisch sicher aufbewahrt werden müssen. Sie dienen außerdem als Kryptographiebeschleuniger für Algorithmen, können Zufallszahlen erzeugen und unterstützen die Schlüsselgenerierung bzw. das Schlüsselmanagement. Zu den Einsatzgebieten gehören: Erstellung von Personendaten für die Produktion von Kreditkarten Security-Prozessor im Netzwerk der Zahlungsverkehrsdienstleister Zertifizierungsstellen bewahren ihr Root-Zertifikat in HSMs auf. -Absicherung Hardware Security Modules werden nach Sicherheitsstandards zertifiziert.

21 4.1 Baltimore SureWare Keyper Der Baltimore SureWare Keyper ist ein HSM mit Netzwerkschnittstelle, welches von der Firma Baltimore (UK) hergestellt wurde. Es besteht aus einer Einheit im Metallgehäuse mit separater Stromversorgung, einer faltbaren Tastatur (Keypad) für die Eingabe von PINs und Konfigurationsdaten, einem Chipkartenleser, einem Schloss für einen physischen Schlüssel sowie einem kleinen Display (siehe Abbildung 4.1.1). Abbildung 4.1.1: Baltimore SureWare Keyper Quelle:

22 Das HSM bietet eine PKCS #11 Programmierschnittstelle. Dafür ist allerdings ein Adapter (Treiber) mit den folgenden Dateien notwendig (Microsoft Windows): bp201w32hsm.dll HsmSlotDB.config.db (enthält Zugriffsinformationen) HsmSlotDB.db (Schlüssel ID/Label Mapping) Hier eine Auswahl der unterstützen PKCS #11 Mechanismen: Schlüssel erzeugen: RSA, DSA, DH, DES, 3DES Daten verschlüsseln/entschlüsseln: DES, 3DES (CBC, Padding optional) Daten signieren/verifizieren: RSA, DSA Zertifikat: X.509 MAC berechnen: DES, 3DES Message Digest berechnen: MD5, SHA-1 Der SureWare Keyper kann kryptographische Schlüssel über Chipkarten importieren bzw. exportieren. Desweiteren erfüllt er das Bundesgesetz über elektronische Signaturen (FIPS Level 4, ITSEC), wobei mir eine Unzulänglichkeit aufgefallen ist. Im Bericht der Teststelle heißt es zu den Einsatzbedingungen bei den Zertifizierungsdiensteanbietern: Bei der Erstellung qualifizierter Zertifikate und relevanter Sperr- und Widerrufslisten muss der zu signierende kryptographische Hashwert dieser Daten auf dem HSM berechnet werden. In der Baltimore-Dokumentation ist jedoch zu lesen: SHA-1 hashes are implemented in the PKCS#11 Adaptor, they are not passed down to the hardware.

23 5 Anwendung Für den Baltimore SureWare Keyper habe ich eine Anwendung programmiert, um mich mit der PKCS #11 Bibliothek vertraut zu machen. Das Programm heißt Keyper.exe und funktioniert wie gefolgt: Passwort (String) SHA-1 Hash (160 Bit) 3DES Schlüssel (192 Bit) Klartext 3DES Verschlüsselung Geheimtext Abbildung 5.1: Funktionsweise von Keyper.exe Zur Erklärung: Keyper.exe kann eine beliebige Datei ver- bzw. entschlüsseln. Dazu fragt es zunächst ein Passwort als String ab. Von diesem String wird der SHA-1 Hash-Wert berechnet, der anschließend von 160 Bit auf 192 Bit erweitert wird. Dieser 192-Bit-Wert dient als Schlüssel für die Triple-DES Verschlüsselung der Datei.

24 Die Syntax von Keyper.exe lässt sich so abfragen: C:\Keyper>Keyper.exe Keyper (C) 2006 M. Lafeldt Syntax: Keyper.exe <file name> <password> [-e] -e Encrypt file Als Beispiel will ich eine Textdatei test.txt erst verschlüsseln und anschließend wieder entschlüsseln. Der Klartext der Datei lautet: Der Data Encryption Standard (Abkürzung: DES) ist ein weit verbreiteter symmetrischer Verschlüsselungsalgorithmus. Abbildung 5.2: Klartext in Hex Workshop (Unicode)

25 Die Textdatei verschlüssele ich mit dem Passwort knaeckebrot und dem Parameter -e. C:\Keyper>Keyper.exe test.txt knaeckebrot -e Keyper (C) 2006 M. Lafeldt Initializing PKCS#11 Library... OK. Setting up the token... OK. Logging in... OK. File name = test.txt File size = 234 bytes Reading from file... SHA-1 hash of password (knaeckebrot): 23 AD 7E 0D E8 DD C9 A5 91 A7 DE 4D AC 1C 7B 85 B9 3DES key based on hash: 23 AD 7F 0D E9 DC C8 A4 91 A7 DF 4C AD 1C 7A 85 B Single 3DES keys: K1: 23 AD 7F 0D E9 DC K2: 79 C8 A4 91 A7 DF 4C AD K3: 1C 7A 85 B Encrypting data with 3DES... Writing to file... New file size = 240 Logout. Der SHA-1 Hash (160 Bit) wird durch Anhängen der Bytes 0x27, 0x12, 0x19, 0x83 und anschließender Paritätskorrektur in einen Triple-DES Schlüssel umgewandelt. Die verschlüsselte Datei ist größer als die originale Datei. Das liegt daran, dass Triple-DES eine Blockchiffre ist und auf Blöcken von 8 Byte operiert. Eventuell fehlende Bytes werden aufgefüllt (Padding).

26 Das verschlüsselte Ergebnis in Hex Workshop: Abbildung 5.3: Geheimtext in Hex Workshop Es ist sehr gut zu erkennen, wie stark der Text durch Diffusion und Konfusion unleserlich gemacht wurde.

27 Abschließend erhalten wir so den Klartext zurück: C:\Keyper>Keyper.exe test.txt knaeckebrot Keyper (C) 2006 M. Lafeldt Initializing PKCS#11 Library... OK. Setting up the token... OK. Logging in... OK. File name = test.txt File size = 240 bytes Reading from file... SHA-1 hash of password (knaeckebrot): 23 AD 7E 0D E8 DD C9 A5 91 A7 DE 4D AC 1C 7B 85 B9 3DES key based on hash: 23 AD 7F 0D E9 DC C8 A4 91 A7 DF 4C AD 1C 7A 85 B Single 3DES keys: K1: 23 AD 7F 0D E9 DC K2: 79 C8 A4 91 A7 DF 4C AD K3: 1C 7A 85 B Decrypting data with 3DES... Writing to file... New file size = 234 Logout.

28 6 Quellen Literatur Schneier, B.: Secrets & Lies: Digital Security in a Networked World. Wiley & Sons, 2004 Ertel, W.: Angewandte Kryptographie. Fachbuchverlag Leipzig, 2001 Schmeh, K.: Kryptografie und Public-Key-Infrastrukturen im Internet. dpunkt Verlag, 2. Aufl Internet ANIMAL Animationswerkzeug: RSA Laboratories, PKCS #11, Version 2.20, Juni 2004: Bestätigung für Erfüllung des deutschen Signaturgesetzes: weitere: