Schutz und Sicherheit

Transkript

1 Schutz und Sicherheit Teil 3 Prof. Dr. Margarita Esponda Freie Universität Berlin WS 2011/2012 1

2 Kryptographie als Sicherheits-Tool - Sicherheit innerhalb von lokalen Rechnernetzen ist "relativ einfach" - ein Betriebssystem kann theoretisch alle Kommunikationskanäle kontrollieren. - Sobald ein Rechner nach außen kommuniziert, ist die Sicherheit des Systems nicht mehr so einfach zu garantieren. - Eine vertrauenswürdige Netzverbindung ist heutzutage nicht machtbar. - Eine verbreitete Lösung ist es, allen zu misstrauen und die Anzahl von Sendern und Empfängern mit Hilfe von Kyptographie zu beschränken. 2

3 Grundlegende Prinzipien der Kryptographie Zweck: Nachrichten sicher durch ein unsicheres Medium zu senden. Die Verschlüsselungs- und Entschlüsselungs-Algorithmen (Funktionen) sollen öffentlich sein. Die Geheimhaltung hängt von den Parametern des Algorithmus ab, die als Schlüssel bezeichnet werden. Ziel ist es, eine Nachricht oder Datei zu verschlüsseln, so dass nur autorisierte Personen diesen Chiffretext wieder entschlüsseln können. 3

4 Encryption Ein Verschlüsselungsalgorithmus besteht aus: Einer Menge K von Schlüsseln Einer Menge M von Nachrichten Einer Menge C von Chiffretexten (verschlüsselte Nachrichten) Einer Funktion E : K (M C). so dass für jedes k K, E(k) eine Funktion für die Generierung von Chiffretexte aus den Nachrichten ist. Einer Funktion D : K (C M). so dass für jede k K, D(k) eine Funktion für die Generierung von Nachrichten aus den Chiffretexten ist. 4

5 Encryption E und E(k) soll für beliebige k effizient berechenbar sein. D und D(k) soll für beliebige k effizient berechenbar sein. Grundlegende Eigenschaft: Gegeben sei ein Chiffretext c C. Ein Rechner kann m berechnen, so dass E(k)(m) = c nur wenn sie im Besitz von D(k) ist. 5

6 Grundlegende Prinzipien der Verschlüsselung Nachricht m Encryption- Algorithmus E Schreibe Nachricht Encryption Schüssel k c = E(k)(m)) Verschlüsselte Nachricht unsicherer Bereich Schüssel Austausch Dencryption- Algorithmus D m = E(k)(c)) Nachricht Nachricht m Decryption Schüssel k Lese Nachricht 6

7 Symmetrische Kryptografie Aus dem gegebenen Verschlüsselungsschlüssel kann der Entschlüsselungsschlüssel bestimmt werden und umgekehrt. Das bedeutet E(k) kann von D(k) abgeleitet werden und umgekehrt. DES (Data Encryption Standard) ist in den letzten Jahren der meist verwendete symmetrische Algorithmus gewesen. 7

8 Das DES-Algorithmus 64 Bits (chunk) cipher-block-chaining Eingangspermutation 56 Bits Schlüssel Erzeugt 16 Schlüssel... K1 K16 1. Verschlüsselungsschritt. S-Boxes 16. Verschlüsselungsschritt Ausgangspermutation 8

9 DES-Verfahrens Probleme des DES-Verfahrens Weil die Schlüssellänge nur 56 Bit beträgt, konnte DES bereits durch Brute-Force-Angriffe gebrochen werden, indem alle möglichen Schlüssel (ca. 72 Billiarden) getestet wurden 9

10 Symmetrische Kryptografie Nachfolger - Triple DES Triple Data Encryption Algorithm (TDEA) - DES wird 3 Mal wiederholt - c = E(k3)(D(k2)(E(k1)(m))) Schlüssel-Länge (3x56 Bits) - m = D(k1)(E(k2)(D(k1)(m))) - AES Advanced Encryption Standard. - Ab 2001 neue Standard - 128, 192 und 256 Schlüssel-Länge Verschlüsselungs-Schritt 10

11 Public-Key-Kryptografie Grundlegender Nachteil des DES-Verfahrens Der Sender und der Empfänger müssen beide im Besitz des gemeinsamen geheimen Schüssels sein. Um das Problem des Schlüsselumtausches zu umgehen, wird Public-Key-Kryptografie benutzt (Diffie und Hellman, 1976). Unterschiedliche Schlüssel für die Verschlüsselung und die Entschlüsselung werden verwendet. 11

12 Public-Key-Kryptografie Jeder Benutzer hat zwei Schlüssel, einen öffentlichen und einen privaten. Der offene Schlüssel wird für die Verschlüsselung verwendet und der private Schlüssel für die Entschlüsselung. Beispiel: RSA-Algorithmus (Rivest, Shamir und Adleman) Basiert auf der Tatsache, dass es effiziente Algorithmen gibt, die feststellen können, ob eine Zahl eine Primzahl ist, es aber keine effizienten Algorithmen gibt, die die Primfaktoren einer Zahl finden. 12

13 Asymmetrische Verschlüsselung Weil es praktisch unmöglich ist, D(k d, N) von E(k e, N) abzuleiten, muss E(k e, N) nicht geheim sein. E(k e, N) (oder einfach k e ) ist die public key D(k d, N) (oder einfach k d ) ist die private key N ist das Produkt von zwei großen zufälligen Primzahlen p und q (p und q können jeweils 512 Bits haben) Der Verschlüsselungsalgorithmus ist: E(k e, N)(m) = m k e mod N, mit k e so dass k e k d mod (p 1)(q 1) = 1 gilt Der Entschlüsselungs-Algorithmus ist: D(k d, N)(c) = c k d mod N 13

14 Asymmetrische Verschlüsselung Beispiel: Nehmen wir an p = 7 und q = 13 dann N = 7 13 = 91 und (p 1)(q 1) = 72 Wir wählen k e eine relative Primzahl zu 72 und <72, ergebend 5 dann berechnen wir k d, so dass k e k d mod 72 = 1, ergebend 29 Dann haben wir folgende Schlüssel Public key, (k e,, N) = (5, 91) Private key, (k d, N) = (29, 91) Die Verschlüsselung der Nachricht 69 mit dem public key ergibt die 62 (Chiffretext) Der Chiffretext kann mit dem private key entschlüsselt werden. 14

15 RSA-Algorithmus Beispiel Nachricht mod 91 Schreibe Nachricht Encryption Schüssel k5,91 public key 62 unsicherer Bereich mod Decryption Schüssel k29,91 Lese Nachricht private key 15

16 RSA vs. DES - RSA ist viel sicherer als DES - RSA einmalige Anwendung von Mathematischen Funktionen vs. DES mehrfache Anwendung von Transformationen. - RSA fördert zwischen 100 und 1000 Mal mehr Rechenaufwand als DES. - RSA kann verwendet werden, um die Schlüssel für den DES- Algorithmus sicher zu übertragen. - RSA ist nicht für größere Datenmengen geeignet, sondern für Authentifizierung sehr gut geeignet. 16

17 Verteilung der Schlüssel - die Übergabe der Schlüssel beim symmetrischen Verfahren ist ein Problem. - machmal wir out-of-band gemacht (in Papierform)..- nicht immer praktikabel - die Schlüsselübergabe von Asymmetrischen Verfahren muss auch vorsichtig gemacht werden. man-in-the-middle-attack 17

18 Angriff auf Asymmetrische Verfahren Schreibe Nachricht Nachricht m Schüssel kbad Encryption- Algorithmus E Lösung: Digitales Zertifikat 2.Öffentlicher Schlüssel Kbad Decryption Schlüssel kbad 3.E(kbad)(m) Lese Nachricht Dencryption- Algorithmus D Nachricht m 1 Öffentlicher Schlüssel Ke Decryption Schlüssel kd Dencryption- Algorithmus D Man-in-the-middle 18

19 Authentifizierung Ein Authentifizieruns-Algorithmus besteht aus folgende Komponenten: - Einer Menge K von Schlüsseln - Einer Menge M von Nachrichten - Einer Menge A von Authentifizierern (Authenticators) - Einer Funktion S : K (M A) so dass, für jedes k K, S(k) eine Funktion für die Generierung von Authentifizierer aus der Nachrichten ist. S und S(k) soll für beliebige k effizient berechenbar sein. - Einer Funktion V : K (M A {true, false}) so dass, für jedes k K, V(k) eine Funktion für die Verifizierung der Authentifizierer aus der Nachrichten ist. V und V(k) soll für beliebige k effizient berechenbar sein. 19

20 Authentifizierung - für eine Nachricht m kann ein Rechner ein Authentifizierer a A so dass V(k)(m, a) = true erzeugen, nur wenn dieser im Besitz von S(k) ist. - Rechner im Besitz von S(k) können Authentifizierer von Nachrichten erzeugen, so dass beliebige Rechner, die V(k) besitzen, die Authentifizierung verifizieren können. - es soll nicht machbar sein, S(k) aus dem Authentifizierer ableiten zu können. 20

21 Authentifizierung - mit Hash-Funktionen Motivation: - Verschlüsselte Nachrichten können eigentlich nicht manipuliert werden. - mit Hilfe von Hash-Funktionen kann verifiziert werden, dass Nachrichten tatsächlich nicht manipuliert worden sind. - Hash-Funktionen können Datenblöcke mit fester Größe aus einer Nachricht m erzeugen. Hash-Funktion H( m ) erzeugt n-bit Zahl (message digest) 21

22 Authentifizierung mit Hash-Funktionen Eigenschaften der Hash-Funktionen: - die Hash-Funktion H muss kollisionsfrei sein Wenn H(m) = H(m') m = m' Es existiert kein m und m' so dass m = m' und H(m) = H(m') - soll nicht umkehrbar sein. - Verbreitete Message-Digest-Funktionen MD5 SHA-1 in MIT entwickelt, 128 Bit 160 Bit Nachfolgerfunktionen SHA-2 und SHA-3 in Entwicklung 22

23 MAC-Authentifizierung Massage Authentication Code (MAC) verwendet symmetrische Verschlüsselung Einfaches Beispiel: - MAC definiert S(k)(m) = f (k, H(m)) - wobei f eine Einwegfunktion nach ihrem ersten Argument ist - k kann nicht aus f (k, H(m)) abgeleitet werden - Aufgrund des Kollitions-Freiheit von H können wir behaupten, dass keine andere Nachricht dasselbe MAC produziert. - ein geeigneter Verifikations-Algorithmus ist V(k)(m, a) (f (k,m) = a) 23

24 Digitale Signatur - asymmetrisches kryptografisches Verfahren - zu einer Nachricht wird eine Zahl berechnet - in dem Digitale-Signatur-Verfahren kann S(k s ) aus V(k v ) nicht abgeleitet werden - V ist eine Einwegfunktion - k s ist der öffentliche Schlüssel und k v ist der private Schlüssel - Betrachten wir die RSA-Digitale-Signatur - Digitale Signatur der Nachricht wir aus S(k s )(m) = H(m) k s mod N abgeleitet - Der Schlüssel besteht aus den Zahlen (d, N), in dem N das Produkt der zwei zufällig ausgewählten großen Primzahlen p und q ist - Der Verifizierungs-Algorithmus ist V(k v )(m, a) (a k v mod N = H(m)) - in dem k v die Gleichung k v k s mod (p 1)(q 1) = 1 erfüllt 24

25 Signatur von Programmen Software-Anbieter Signatur-Erzeugung Benutzer Signatur-Verifizierung Applet Signatur HA = hash(applet) Signature = encrypt( HA) Applet Signatur H1 = hash(applet) H2 = dencrypt( Signature) Wenn H1==H2 wird die Signatur akzeptiert Internet 25

26 SSL Verschlüsselung kann fast auf jeder Ebene (Layer) des ISO-Modells eingeführt werden. Beispiel: - SSL Secure Socket Layer - entwickelt von den Firmen Netscape und RSA Data Security - Beschränkt die Kommunikation auf nur zwei Rechner - Wird für die Kommunikation zwischen Webserver und Browser verwendet, wenn Kreditkarten-Transaktionen statt finden. - Asymmetrische Verschlüsselung für die Übergabe der Schlüssel - die für die Kommunikation mit Symmetrischer Verschlüsselung benötigt wird. 26

27 Benutzer Authentifizierung - entscheidet für die korrekte Identifikation von Benutzern - Alle Schutz-Systeme hängen von eine korrekten Benutzer- Identifizierung ab - Passworte müssen geheim gehalten werden - sollen oft verändert werden - sollen nicht leicht zu erraten sein - ungültige Login-Versuche sollen protokoliert werden 27

28 Authentifizierung Der meist verwendete Authentifizierung-Mechanismus wird durch die Aufforderung vom Login-Namen und Passwort realisiert. Das Passwortsystem ist die erste Verteidigung gegen Angreifer. Die Login-ID wird für die DAC Discretionary Access Control verwendet Der Eigentümer eines Objekts bestimmt, welche Rechte andere Benutzer über das Objekt haben. 28

29 Authentifizierung Das Passwortverfahren von UNIX-Systemen Salt-Wert Passwort 12 Bits 56 Bits Benutzer ID Salt Verschlüsseltes Passwort [Salt,0] crypt(3) Laden 11 Zeichen Laden eines Passworts 29

30 Benutzer-ID Authentifizierung Das Passwortverfahren von UNIX-Systemen Benutzer ID Salt Verschlüsseltes Passwort [Salt,0] Salt Passwort Crypt(3) Prüfen eines Passworts Verschlüsseltes Passwort Vergleich 30

31 Das Passwortverfahren von UNIX-Systemen - Veränderte DES (Data Encryption Standard) - Crypt(3) Einweg-Hashfunktion - sehr langsam - 12 Bit Salt-Wert aus der Uhrzeit abgeleitet - verhindert Passwort-Duplikate - verlängert das Passwort - Modifikation des Verschlüsselungsalgorithmus - 25 Wiederholungen - Bedrohungen - Kopieren der Passwortdatei 31

32 Sichere Hash-Salt-Schemas - Empfehlung in Linux, Solaris und FreeBSD - basiert auf das MD5-Hash-Algorithmus - MD5-crypt - Salt mit 48 Bits - keine Einschränkung der Password-Länge - erzeugt einen Hash-Wert mit einer Länge von 128 Bits - langsamer als crypt(3) 32

33 Sicherste Version eines Hash-Salt-Schemas - für OpenBSD entwickelt - Hash-Funktion basiert auf Blowfish symmetric block cipher - Bcrypt ist auch sehr langsam - Passworte bis 55 Zeichen - Salt-Wert mit 128 Bits - erzeugt einen Hash-Wert mit 192 Bits - Kostenvariable (Zeit um die Bcrypt Funktion zu berechnen) - die Kostenvariable kann je nach User-ID unterschiedlich gesetzt werden. 33

34 Sicherheitssoftware Spezielle Software-Tools, die die Rechteverwaltung des Betriebssystems erweitern. Beispiele: AppArmor (Linux) - Entwickelt von Novell - Basiert auf Datei-System SELinux (Linux) - Entwickelt von der NSA - Basiert auf Sicherheitslabeln, die Dateien mitgegeben werden - komplexer 34

35 Grundlegende Antivirentechniken Virenscanner finden die spezifischen Codestruktur in jeder infizierten Datei Überwachungssysteme (Monitoring) Überwachung des Systems auf ungewöhnliche Aktivitäten oder Operationen 35

36 Implementierung von Sicherheitssystemen - Sicherheit auf verschiedene Ebenen - Sicherheitspolitik sagt was geschützt werden soll - Das Vulnerability-Assessment vergleicht der wirklichen Status des Systems mit der Sicherheitspolitik - Intrusion-Detection-Systeme um Angriffe zu erkennen - durch Erkennung von Anomalien - durch Kontrolle der Signaturen - Virenschutz-Software - Buchhaltung und Protokollierung aller oder spezifischer System und Netzwerk-Aktivitäten 36

37 Intrusion-Detection-Systeme Der komplette Prozess unterteilt sich dabei in drei Schritte. Wahrnehmung durch Sensoren, die Logdaten (HIDS) oder Daten des Netzwerkverkehrs (NIDS) sammeln. Mustererkennung überprüft und verarbeitet die gesammelten Daten und vergleicht sie mit Signaturen aus der Musterdatenbank. Reaktion 37

38 Intrusion-Detection-Systeme Quelle: Bundesamt für Sicherheit in der Informationstechnik 38

39 Intrusion-Detection-Systeme Quelle: Bundesamt für Sicherheit in der Informationstechnik 39

40 Angriffs-Trends - Webserver - Handys - Soziale Netze - Blogs - viele neue Geräte mit Betriebssystemen

41 Diebstahl mit Laptops? Im April 2007 haben Kriminelle zum zweiten Mal mit einer Laptop und einem Sender den BMW X5 von Beckham öffnen und starten können. 41 3

42 Steganographie nur ein Bild Bild + Text von Hamlet, Macbeth, Julius Cesar, Der Kaufman von Venedig und König Lear. Es werden die Bits mit dem niedrigsten Stellenwert dafür verwendet. - M. Esponda-Argüero 42

43 Steganographie Die Katze ist in den letzten zwei Bits aller Pixel-Farben vom originalen Bild versteckt. 43

44 Literatur Ken Thompson. Reflections on Trusting Trust. Communications of the ACM 27, 8 (August 1984) pages Eugene H. Spafford. Crisis and aftermath. Communications of the ACM 32, 6 (June, 1989) pages Steven R. Lerman, James D. Bruce, and Jerome H. Saltzer. Teaching students about responsible use of computers. Communications of the ACM 32, 6 (June, 1989) page 704. Ross J. Anderson. Why cryptosystems fail. Communications of the ACM 37, 11 (November 1994) pages