Kryptografie & PKI. Grundlagen, Begriffe, Algorithmen, Objekte, Protokolle, Anwendungen. June 20, 2014 Prof. Dr. Uwe Heuert 1

Transkript

1 Kryptografie & PKI Grundlagen, Begriffe, Algorithmen, Objekte, Protokolle, Anwendungen June 20, 2014 Prof. Dr. Uwe Heuert 1

2 Was bedeutet Kryptografie? Das Rechnen mit großen Zahlen (sehr großen Zahlen!) Das Einhalten von Standards (von sehr vielen und oft nicht ganz einfachen Standards) Das Vertrauen zu APIs, Werkzeugen und Hardware (niemand kann auf Papier nachrechnen) June 20, 2014 Prof. Dr. Uwe Heuert 2

3 Was wir heute NICHT lernen Mathematische Grundlagen einzelner kryptografischer Algorithmen Programmierung kryptografischer Funktionen Genaue Details zu komplexen kryptografischen Strukturen, wie PKCS#7 Details zu XML Signaturen, XML Encryption, WS Security June 20, 2014 Prof. Dr. Uwe Heuert 3

4 Motivation Sniffer attack Internet Router Router June 20, 2014 Prof. Dr. Uwe Heuert 4

5 Telnet vs. Ssh June 20, 2014 Prof. Dr. Uwe Heuert 5

6 2. Motivation Sie unterzeichnen einen Vertrag oder eine Bestellung im Internet... Pizza, ebay, Online-Banking, etc. und jemand kann unbemerkt Ihre Transaktion verändern June 20, 2014 Prof. Dr. Uwe Heuert 6

7 Anwendungsbeispiel TLS/SSL TLS/SSL (Transport Layer Security/Secure Socket Layer) hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet Bsp.: HTTPs June 20, 2014 Prof. Dr. Uwe Heuert 7

8 Anwendungsbeispiel S/MIME S/MIME (Secure/Multipurpose Internet Mail Extensions) Standard für die Verschlüsselung und Signatur von MIME-gekapselter durch ein asymmetrisches Kryptosystem June 20, 2014 Prof. Dr. Uwe Heuert 8

9 Anwendungsbeispiel - Dokument Signierte Dokumente Bsp.: Adobe PDF Bsp.: Microsoft Office June 20, 2014 Prof. Dr. Uwe Heuert 9

10 (XML) Signatur Eine digitale Signatur ist nur wenige Mausklicks entfernt Aber nicht trivial! June 20, 2014 Prof. Dr. Uwe Heuert 10

11 Secure Web Service Verwendete Standards: XML Signature ( XML Encryption ( June 20, 2014 Prof. Dr. Uwe Heuert 11

12 Schlüsselwörter Authentication Authorization Non-Repudiation Integrity Confidentiality Interoperability Digitale Signatur Digitale Signatur Digitale Signatur Digitale Signatur Verschlüsselung Standards June 20, 2014 Prof. Dr. Uwe Heuert 12

13 Kryptografische Standards ASN.1 RFC/ IETF Draft X PKCS W3C ITU-T, ISO, Cisco Systems, Lucent Technologies, NEC ASN.1 encoding rules, international unique identifier (OID) The Internet Engineering Task Force Is the origin of many RFC s. PKIX working group (sub-group) develops Internet standards needed to support an X.509-based PKI ITU-T (International Telecom Union), ISO X.509 RSA PKCS#1 (RSA signature), PKCS#7 (Cryptographic Message Syntax Standard), PKCS#10 (Certificate Request Syntax Standard), PKCS#11 (Cryptographic Token Interface Standard), PKCS#12 (Personal Information Exchange Syntax Standard), PKCS#15 (Cryptographic Token Information Format Standard) Microsoft, IBM, HP, SAP, et al. XML, XSL, XML Signature, XML Encryption, SOAP, XML Web Services June 20, 2014 Prof. Dr. Uwe Heuert 13

14 Und was müssen wir danach noch verstehen? Kryptografische Strukturen/Objekte Signaturen verschlüsselte Daten Zertifikate, etc. Datenkodierungen Base64 ASN.1 XML Kryptografische Regeln Wer prüft/generiert wann was womit und in welcher Reihenfolge? Kryptografische Protokolle TLS/SSL, OCSP, TSA, LDAP, June 20, 2014 Prof. Dr. Uwe Heuert 14

15 Versuch eines kryptografischen Schichtenmodells Cryptographic Applications (TLS/SSL, , esigner, everifier, ) Cryptographic Rules (Certificate Verification, Signature Validation, ) Cryptographic Algorithms (SHA1, 3DES, RSA, ) Cryptographic Objects (X.509, PKCS#7, OCSP, ) Can be in hardware Big Number Arithmetic (+,-,*,/,pow, mod, ) ASN.1 En-/Decoder (Integer, Bit String, Sequence, ) June 20, 2014 Prof. Dr. Uwe Heuert 15

16 Aber zunächst die Grundlagen Symmetrische Algorithmen Asymmetrische Algorithmen Message Digest Algorithmen (auch Hash oder Fingerprint genannt) June 20, 2014 Prof. Dr. Uwe Heuert 16

17 History ABCDEFGHIJKLMNOPQRSTUVWXYZ FGHIJKLMNOPQRSTUVWXYZABCDE Cäsar cipher Key = 5 DER MENSCH MACHT FEHLER, FUER KATASTROPHEN IST DER COMPUTER ZUSTAENDIG. IJW RJSXHM RFHMY KJMQJW, KZJW PFBFXYWTUMJS NXY IJW HTRUAYJW EAXYFJSINL. How can be break this algorithm? Analysis of character oftenness (language dependent) June 20, 2014 Prof. Dr. Uwe Heuert 17

18 Other Historical Ciphers Vigenere cipher ( century) Enigma ALLES IST EINE FOLGE VON BITS ALICE ALI CEAL ICEAL ICE ALIC AWTGW IDB GMNP NQPGP DQR BTYU Rotor cipher Key: ALICE June 20, 2014 Prof. Dr. Uwe Heuert 18

19 Kerckhoffs Prinzip Die Sicherheit eines Kryptosystems darf nicht von der Geheimhaltung des Algorithmus abhängen. Die Sicherheit gründet sich nur auf die Geheimhaltung des Schlüssels. Prinzip war bei der Enigma verletzt (Geheimhaltung ihrer Walzenverdrahtung)! June 20, 2014 Prof. Dr. Uwe Heuert 19

20 Symmetric Ciphers Bla bla bla fasel bla Hmm fasel bla bla Bla bla bla fasel bla Examples MG½ÿ^INGVIK½ ÿloigngiii^jk-)j' GI"MG½ÿ^INGVI The user share a common key! Bla bla bla fasel bla Hmm fasel bla bla Bla bla bla fasel bla Old ciphers: Cäsar cipher Vigenere cipher Enigma Modern ciphers: RC2 RC4 RC5 IDEA CAST5 DES 3DES AES Typical key length: bit e.g.: 128 bit ~ possible keys Compute time to try all keys: ~ years June 20, 2014 Prof. Dr. Uwe Heuert 20

21 Asymmetric Ciphers Public key Private key Bla bla bla fasel bla Hmm fasel bla bla Bla bla bla fasel bla MG½ÿ^INGVIK½ ÿloigngiii^jk-)j' GI"MG½ÿ^INGVI Each user has an own key pair! Bla bla bla fasel bla Hmm fasel bla bla Bla bla bla fasel bla Examples Old ciphers:? Modern ciphers: RSA (Rivest, Shamir und Adleman) DH(Diffie-Hellman) DSA(Digital Signature Algorithm) ECDSA (Elliptic Curve DSA) Typical key length: bit Performance: much slower than symmetric algorithm June 20, 2014 Prof. Dr. Uwe Heuert 21

22 RSA Prime Prime Modulus Public Exponent Private Exponent Public key Private key p q n=p*q e d (e,n) (d,n) Erweiterten Euklidischen Algorithmus = e modinverse z! Practice: Key generator (hard- or software) chooses p and q according the defined key length of n (e.g bit) an verifies that p and q are prime numbers. Verify that n is unique! potential attack Choose a fixed e (usually 65537). Never apply RSA to unknown documents! Always apply a oneway hash function before. potential attack Encryption Decryption June 20, 2014 Prof. Dr. Uwe Heuert 22

23 Message Digest Algorithm Digest or One-way hash function Bla bla bla fasel bla Hmm fasel bla bla Bla bla bla fasel bla MG½ÿ^INGVIK½ digital fingerprint Converts a message of arbitrary length to a digest of fixed length! Examples Old digests:? Modern digests: (MD2) MD5 RIPEMD160 SHA1 SHA Typical output length: 160 bit Performance: very fast Purpose: combination with the slow asymmetric algo s June 20, 2014 Prof. Dr. Uwe Heuert 23

24 Data Encoding PEM format ASN.1 dump BIN/DER format ASN.1 (Abstract Syntax Notation One) is a formal notation (standard) used for describing data transmitted by telecommunications protocols, regardless of language implementation and physical representation of these data, whatever the application, whether complex or very simple. The notation provides a certain number of pre-defined basic types such as: integers (INTEGER), booleans (BOOLEAN), character strings (IA5String, UniversalString...), bit strings (BIT STRING), and makes it possible to define constructed types such as: structures (SEQUENCE), lists (SEQUENCE OF), choice between types (CHOICE), June 20, 2014 Prof. Dr. Uwe Heuert 24

25 ASN.1 ASN.1 ist eine Beschreibungssprache zur Definition von Datenstrukturen sowie Festlegungen zur Umsetzung von Datenstrukturen und Elementen in ein netzeinheitliches Format. Sie ist gemeinsamer Standard der ITU-T (International Telecommunication Union Telecommunication Standardization Sector) und der ISO (Internationale Organisation für Normung). Der Standard dient der abstrakten Beschreibung von Datentypen, ohne auf die rechnerinterne Darstellung einzugehen. Zugehörigen Standards definieren verschiedene Encoding Rules (Kodierungsregeln), wie die ASN.1-Datenwerte auf Bit-Ebene kodiert werden. Mit Hilfe von ASN.1 und einer gemeinsamen Encoding Rule können Systeme mit unterschiedlichen internen Datendarstellungen Nachrichten austauschen. ASN.1 ist eine verbreitete Möglichkeit, die Nachrichtenelemente von Protokollen des OSI-Modells eindeutig zu beschreiben und wird von OSIkonformen Techniken wie X.500 und X.509, aber auch von Internetprotokollen wie SNMP oder LDAP verwendet. Breite Anwendung findet ASN.1 auch im Telekommunikationsbereich, z. B. bei den Standards GSM und UMTS. June 20, 2014 Prof. Dr. Uwe Heuert 25

26 ASN.1 Encoding Rules Basic Encoding Rules (BER) Häufig angewendet wenn z.b. die Reihenfolge der Elemente keine Rolle spielt z.b. LDAP Packed Encoding Rules (PER) Platzsparende Kodierung z.b. Mobilfunk Distinguished Encoding Rules (DER) Untermenge der BER Codierung von ASN.1-Datenbeschreibungen, die auf Bitebene völlig eindeutig ist Eignen sich für Fälle, in denen ASN.1-Daten digital signiert werden müssen und/oder plattformübergreifend ausgetauscht werden sollen, beispielsweise in digitalen Zertifikaten z.b. X.509 June 20, 2014 Prof. Dr. Uwe Heuert 26

27 ASN.1 vs. C vs. XML Ein grober Vergleich June 20, 2014 Prof. Dr. Uwe Heuert 27

28 The Digital Certificate X.509v3 Certificates (RFC 2459) - electronic passports - signed by a Certificate Authority (CA) - contain at least the following information certificate holder (subject) + name, alternative name + RSA public key certificate issuer + name, alternative name other details + version + serial number + validity period + X.509v3 extensions + revocation information issuer signature June 20, 2014 Prof. Dr. Uwe Heuert 28

29 The Certificate Tree Root Sub Sub Client... June 20, 2014 Prof. Dr. Uwe Heuert 29

30 Public Key Infrastructure (PKI) Player Long Name Rule RA Registration Authority Retrieves and verifies user data (common name, location, ,...) Initiates the key pair generation Generates the certificate request (PKCS#10) Retrieves the certificate from the CA CA Certification Authority Validates the certificate request (signature, public key, owner data,...) Assembles the certificate from request and CA specific data (extensions, validity period,...) Issues the certificate by signing with the CA private key Issues certificate revocation list (CRL) VA Validation Authority Provides revocation information Offline (CRL/LDAP, Positive Lists, Delta Lists) Provides revocation information Online OCSP (RFC2560) Datenbank June 20, 2014 Prof. Dr. Uwe Heuert 30

31 Public Key Infrastructure (PKI) Player Long Name Rule TSA Time-stamp Authority Trusted Party which generates time-stamp tokens using exact time sources (RFC3161) LDAP Directory Services Public database which collects PKI relevant information (certificates, CRLs, user data,...) Protocol: LDAP (encoding based on ASN.1) (RFC1777, u.a.) TLS/ SSL Token Transport Layer Security/ Secure Socket Layer Smart Card, USB Security Token, HSM Protocol enhancement (e.g. HTTP HTTPs): - transport encryption - server and client authentication (optional) - can be used for authorization Chip card with CPU, memory and special operating system Secure Private Key Storage Provides cryptographic operations in hardware (e.g. Datenbank RSA private key ops) June 20, 2014 Prof. Dr. Uwe Heuert 31

32 A Typical Scenario RA CA VA User information Revoked certs Revocation checking Registration X.509 v3 Certificate Strong encrypted and authenticated session Single sign-on Database Client Access control Application June 20, 2014 Prof. Dr. Uwe Heuert 32

33 The Digital Signature document create hash encrypt hash using sender s private key Send append signature and certificate to document extract document create hash Receive? extract signature decrypt hash using sender s public key PKCS#7 (normal & detached) XML Signature (detached, enveloping, enveloped) June 20, 2014 Prof. Dr. Uwe Heuert 33

34 A Signature Scenario 1. HTML page with transaction Web Server 5. Storage of transaction 3. Transaction signed by client 2. esigner s secure 6. Transaction viewer displays signed by server everifier (verification server) transaction; Digital signing of transaction 4. Certificate 7. esigner displays transaction, Validation (CRL/OCSP); verifies signatures and certificates Signature Verification; Transaction signing and adding timestamp June 20, 2014 Prof. Dr. Uwe Heuert 34

35 Signed June 20, 2014 Prof. Dr. Uwe Heuert 35

36 Zeitstempeldienst TSA Die Zeitangabe soll durch einen vertrauenswürdigen Dritten bestätigt werden - wobei der Dritte eigentlich bestätigt, dass zu einem bestimmten Zeitpunkt ein bestimmtes Dokument bzw. bestimmte Daten existierten. Der Dritte stellt dabei einen Time Stamp Token aus, dass mit dem Dokument verbunden ist (Unauthenticated Attribute). Über das Dokument wird ein Hash-Wert gerechnet und ein Zufallswert (Nonce) erzeugt und zum Dritten übertragen. Der Dritte erzeugt mit diesen Werten plus einer Zeitangabe und einer Seriennummer einen Token, indem er über diese Werte eine Signatur mit seinem privaten Schlüssel rechnet. June 20, 2014 Prof. Dr. Uwe Heuert 36

37 Deutsches Signaturgesetz (SigG) Einfache elektronische Signatur Keine Anerkennung im Rechtsverkehr Keine Identifikation des Inhabers Keine Sicherheit Umsetzbar mit beliebiger Technologie, z. B. eingescannte Unterschrift Fortgeschrittene elektronische Signatur ausschließlich dem Signaturschlüssel-Inhaber zugeordnet sind, die Identifizierung des Signaturschlüssel-Inhabers ermöglichen, mit Mitteln erzeugt werden, die der Signaturschlüssel-Inhaber unter seiner alleinigen Kontrolle halten kann, und mit den Daten, auf die sie sich beziehen, so verknüpft sind, dass eine nachträgliche Veränderung der Daten erkannt werden kann, wobei der Signaturschlüssel-Inhaber eine natürliche Person ist, (dem der Schlüssel mittels eines qualifizierten Zertifikats zugeordnet ist) Qualifizierte elektronische Signatur "qualifizierte elektronische Signaturen" sind fortgeschrittene elektronische Signaturen, die zusätzlich auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruhen und mit einer sicheren Signaturerstellungseinheit erzeugt werden Akkreditierte qualifizierte elektronische Signatur Der Unterschied zur qualifizierten elektronischen Signatur besteht u. a. darin, dass der Zertifizierungsdiensteanbieter, der das qualifizierte Zertifikat ausgibt, vor Inbetriebnahme von einer unabhängigen Instanz (RegTP) auf Konformität mit dem Signaturrecht überprüft und bestätigt wurde. Man kann davon ausgehen, dass von einer akkreditierten Zertifizierungsstelle gewährleistet wird, dass der so genannte Verzeichnisdienst mindestens 30 Jahre verfügbar ist. Signaturverordnung Besonderheiten in der Signaturverordnung sind z.b. dass bei Nutzung biometrischer Merkmale für die Authentisierung das gleiche Sicherheitsniveau wie bei wissensbasierten Systemen erreicht werden muss. Für elektronische Signaturen werden verpflichtend Zeitstempel gefordert sind, sowie dass qualifizierte Zertifikate 30 Jahre, nach Ablauf des Jahres in dem die Zertifikatsgültigkeit endet, im Verzeichnisdienst zu halten sind. June 20, 2014 Prof. Dr. Uwe Heuert 37

38 Encryption combine all with recipient s certificate info document create encrypt document session keyusing session key encrypt the session key using recipient s public key Send Receive try to find the right recipient s private key (certificate info) decrypt the session decrypt document key using using session key recipient s private key document Enveloped PKCS#7 XML Encryption June 20, 2014 Dr. Uwe Heuert 38

39 Andere Anwendungen June 20, 2014 Dr. Uwe Heuert 39

40 S/MIME June 20, 2014 Prof. Dr. Uwe Heuert 40

41 Transport Layer Security (TLS) Client Server 1. Client sends ClientHello message. 2. Server acknowledges with ServerHello message. MasterSecret 3. Server sends its certificate. 4. Server requests client s certificate Server s Public Key Digital Signature 5. Client sends its certificate. 6. Client sends ClientKeyExchange message 7. Client sends a Certificate Verify message. 8. Both send ChangeCipherSpec messages. 9. Both send Finished messages. TLS/SSL tunnel Server s Private Key MasterSecret June 20, 2014 Prof. Dr. Uwe Heuert 41

42 TLS Cipher Suites Eine Cipher Suite ist eine standardisierte Sammlung kryptographischer Algorithmen. Beim TLS legt die Cipher Suite fest, welche Algorithmen zum Aufbau einer Datenverbindung verwendet werden sollen. Dabei identifiziert jede Cipher Suite eine Kombination aus vier Algorithmen: Schlüsselaustausch (RSA, DH) Authentifizierung (RSA, DSA) Hashfunktion (MD5, SHA) Verschlüsselung (keine, RC4, DES, 3DES, IDEA, AES) Diverse RFCs legen bestimmte Cipher Suites fest, die von TLS-Clients und Servern unterstützt werden können bzw. müssen. Jede dieser Cipher Suites besteht aus zwei Bytes und wird eindeutig benannt. Beispiel: TLS_RSA_WITH_3DES_EDE_CBC_SHA (Bytefolge 0x0a) bezeichnet eine Cipher Suite, die RSA für den Schlüsselaustausch verwendet, sowie 3DES im CBC-Modus für die Verschlüsselung und SHA als Hashfunktion. June 20, 2014 Prof. Dr. Uwe Heuert 42

43 HTTPs June 20, 2014 Prof. Dr. Uwe Heuert 43

44 TLS/SSL so nicht June 20, 2014 Prof. Dr. Uwe Heuert 44

45 Cryptography Sources Netscape/Mozilla Other Applications Explorer & Outlook Microsoft Crypto API PKCS#11 (RSA standard) Proprietary (e.g. OpenSSL) Crypto Service Provider (Microsoft standard) PC/SC smart card PKCS#12 Certificate File Netscape Certificate Store... PC/SC smart card PKCS#12 Certificate File Microsoft Certificate Store June 20, 2014 Prof. Dr. Uwe Heuert 45

46 Celo ( ) June 20, 2014 Prof. Dr. Uwe Heuert 46

47 Gemplus ( ) The world's leading provider of smart card solutions. GemSAFE esigner (Plugin) Project Web Server Service Broker Database Project GemSAFE everifier (Service) GemSAFE Libraries (PKCS#11, CSP) GemSAFE OCSP Server GemSAFE TSA Server Digital Signature Server Applications June 20, 2014 Prof. Dr. Uwe Heuert 47

48 Versatile Security (2007 ) Meine Produkte: vsec:id Server vsec:ocsp Server vsec:tsa Server vsec:mail Server vsec Server Console June 20, 2014 Prof. Dr. Uwe Heuert 48

49 Versatile Server Applications Functionality General Signature Verification Server Side Signature Data Encryption and Decryption Certificate Verification Time-stamping PKCS#11 and HSM Database and Logging Administration Details Full featured HTTP server with TLS/SSL support Client interface: key/value, XML, XML Web Service Windows NT 4.0 bis Windows 2008 Server (Service) Older versions for Solaris and Linux (Daemon) Verification of different signature types: PKCS#7 (S/MIME), XML Signature, WAP SignedContent, PKCS#1 based Signatures Generation of different signature types: PKCS#7, PKCS#7 counter signature, XML Signature Generating and decrypting Enveloped PKCS#7, XML Encryption Certificates are checked according basic path validation (RFC2459), Against locally hold CRL s and using Online-Certificate-Status-Protocol (RFC2560) Requests and verifies digital signature based time-stamp tokens (RFC3161) The OpenSSL based system embedded cryptography can be exchanged by any PKCS#11 compliant cryptography (HSM, Smart Card) Logging of transaction details to RDBMS (e.g. Oracle), file, EventLog, GUI GUI, HTTP(s), SNMP June 20, 2014 Prof. Dr. Uwe Heuert 49

50 vsec:id Server Signatur Server (inklusive Backend Server OCSP und TSA) Windows Dienst + Administrationskonsole S/MIME (PKCS#7), einfache, fortgeschrittenen und qualifizierte elektronische Signaturen, XML Signaturen, XML Encryption X.509 Zertifikate, sichere Schlüsselspeicher, Sperrlistenüberprüfung On- und Offline June 20, 2014 Prof. Dr. Uwe Heuert 50

51 vsec:mail Server Schlanke Mail-Lösung (Mailprotokolle SMTP, POP3, IMAP4 inklusive TLS/SSL und STARTTLS) Windows Dienst + Administrationskonsole Vollautomatisch als Server, Proxy bzw. im Client/Connector Modus Beliebige Anzahl an Postfächern/Verbindungen Integriert sich transparent in bestehende Infrastrukturen Filtermöglichkeiten, DB-Integration, Mail-Archivlösung S/MIME (PKCS#7), einfache, fortgeschrittenen und qualifizierte elektronische Signaturen X.509 Zertifikate, sichere Schlüsselspeicher, Sperrlistenüberprüfung On- und Offline Spezieller ELDA Connector zur Integration mit msu ELDA (ERP Branchenlösung zur Marktkommunikation im liberalisierten Energiemarkt bei Austausch von EDIFACT Nachrichten über Mail) June 20, 2014 Prof. Dr. Uwe Heuert 51

52 TR-ESOR Beweiswerterhaltung kryptografisch signierter Dokumente (BSI TR-03125) Langzeitarchivierung Bei elektronisch gespeichertem Schriftgut sind die Vollständigkeit, Integrität, Authentizität und Lesbarkeit durch geeignete Maßnahmen zu gewährleisten. (Rechtsgrundlage) SOA basierte Lösung June 20, 2014 Prof. Dr. Uwe Heuert 52

53 Virtuelle Smart Meter Infrastruktur PKI CLS SMGW SMGW -Admin HAN Zähler EMT June 20, 2014 Prof. Dr. Uwe Heuert 53

54 Testumgebung Zähler HAN CLS SMGW- Admin EMT PKI Modularer Aufbau SMGW Verplombte Testmaschine Workflow-basierte Tests Offener XML Standard für Test-Cases Kryptografisch gesicherte Prüfprotokolle Erweiterbar auf BSI-SMGW Tests (LMN Tests, GWA Tests, EMT Tests, ) June 20, 2014 Prof. Dr. Uwe Heuert 54