Password: Mein Geheimnis in Händen Dritter

Größe: px

Ab Seite anzeigen:

Download "Password: Mein Geheimnis in Händen Dritter"

Edmund Schuster
vor 6 Jahren
Abrufe

1 Password: Mein Geheimnis in Händen Dritter 4. April 2014 Die Staatsanwaltschaft Verden (Aller) ist bei Ermittlungen im Internet auf einen Datensatz von rund 18 Millionen Mailadressen und zugehörigen Passworten gestoßen. Mindestens drei Millionen Zugänge gehören zu deutschen Mailpostfächern. Betroffen sind den Angaben zufolge Kunden aller großen Provider Januar Millionen Zugangsdaten haben unbekannte Cyber-Kriminelle gestohlen. Das meldet das Bundesamt für Sicherheit in der Informationstechnik (BSI). Oktober 2013 Daten von Adobe-Usern geleaked, inklusive verschlüsselter Passwörter und Hints >> 1

2 Password Mittels eines Passwortes authentifiziert sich ein Subjekt, indem es die Kenntnis mit dem System vereinbarten Geheimnisses nachweist. Das System hat die Passwörter sicher zu verwalten, so dass keine unautorisierten Zugriffe darauf möglich sind. Dies geschieht i.d.r. durch kryptographische Verschlüsselung oder kryptographische Hashverfahren. Die Sicherheit der verwalteten Passwörter hängt somit zum einen von der Stärke der kryptographischen Verfahren und zum anderen von der Zugriffskontrolle ab. >> 2

3 Password: kryptographische Hashverfahren Hash Eine Hashfunktion bildet einen Urbildbereich oder Universum in einen erheblich kleineren Bildbereich oder Adressbereich ab. Eine Hashfunktion ist eine nicht-injektive Abbildung, die jedes Objekt des Universums auf eine Hashadresse abbildet. Da der Bildbereich erheblich kleiner als der Urbildbereich ist, können Kollisionen auftreten. D.h. zwei unterschiedliche Objekte des Universums können auf den gleichen Hashwert abgebildet werden. Wahrscheinlichkeit für Kollision kann berechnet werden: n = k 2 k 2 n:= Anzahl möglicher Urbildobjekte, um eine Kollision zu erzeugen k:= Anzahl der möglichen Bildobjekt >> 3

4 Password: kryptographische Hashverfahren Schwache Hashfunktion Hashfunktion ist eine Einweg-Funktion. D.h. für alle Werte des Urbildbereich ist ein Wert im Bildbereich berechenbar und Es gibt kein effizientes Verfahren, um aus dem Bild das Urbild zu berechnen. Hashwert h einer gegebenen Nachricht M ist leicht zu berechnen h = H(M) Bei gegebenem Hashwert h einer Nachricht M ist es praktisch unmöglich, die Nachricht M zu bestimmen, die denselben Hashwert liefert. >> 4

5 Password: kryptographische Hashverfahren Starke Hashfunktion Ist eine (schwache) Hashfunktion Praktisch unmöglich eine Kollision zu finden Hashwert-Längen von 256-bit gelten heute als noch sicher Konstruktion sicherer Hashfunktionen Folge gleichartiger Kompressionsfunktionen, durch welche die Eingabe M blockweise zu einem Hash verarbeitet wird. >> 5

6 Password: kryptographische Hashverfahren Dedizierte Hashfunktionen Die gebräuchlichsten Algorithmen sind SHA und MD5 MD5 erzeugt 128-Bit Hash, Blockgröße ist 512-Bit IV ist i.d.r. bekannt Suche nach Kollision kann parallelisiert werden SHA SHA-1 erzeugt 160-Bit Hash. Nachrichtenblock wird in sechszehn 32-Bit Wort Wi zerlegt, 80 Schritte pro Block NIST sowie Bundesnetzagentur empfehlen SHA-2 (256, 364, 512) statt SHA-1 >> 6

7 Password: Hashverfahren SHA-1 S x = Linksshift um x >> 7

8 Password: Hashverfahren SHA-1 S x = Linksshift um x // Expansion der 16 Worte w auf 80 Worte for (t=16; t<79; t++) w[t]= w[t-3] xor w[t-8] xor w[t-16]; //Verarbeitung A=h0; B=h1; C=h2; D=h3; E=h4, for (t=0; t<79; t++) { tmp = A<<5 + f(t,b,c,d) + E + W; E=D; D=C; C=B<<30; B=A; A=tmp; } h0+=a; h1+=b; h2+=c; h3+=d; h4+=e; h = concat (h0, h1, h2, h3, h4) >> 8

9 Password: Hashverfahren brechen Hashes sind injektiv, d.h. ein Zurückrechnen ist nicht möglich brechen mit Brute-Force: z.b. 6-stelliges Password mit 64 mögliche Zeichen [A-Za-z0-9./] pro Datenbankeintrag 6^64 = 6.33E049 Kombinationen Ausprobieren aller Kombinationen >> hoher Zeitaufwand Einmalige Berechnung und Speicherung aller Kombination. Anschließende binäre Suche um Klartext zu ermitteln >> sehr schnell, aber bereits 1,4TB Speicherbedarf Abwägen Performance vs Speicher >> 9

Password: Hashverfahren brechen Kompromiss Rainbow Table H: Hash-Funktion R: Reduktionsfunktion verkürzt Hashwert auf n Zeichen und liefert eine neue

10 Password: Hashverfahren brechen Kompromiss Rainbow Table H: Hash-Funktion R: Reduktionsfunktion verkürzt Hashwert auf n Zeichen und liefert eine neue eindeutige Zeichenkette, die so lang wie das Password ist. Beispiel: Password 6 Byte H = md5, d.h. Länge = 128b = 16B R kopiert nur ersten 6 Byte >> 10

Password: Hashverfahren brechen Problem mit Kollisionen d.h. gleicher Hash könnte mehrfach vorkommen In Tabelle wird nur initiales Password und letzter Hash der x-gliedrigen Rainbow-Kette abgelegt.

11 Password: Hashverfahren brechen Problem mit Kollisionen d.h. gleicher Hash könnte mehrfach vorkommen In Tabelle wird nur initiales Password und letzter Hash der x-gliedrigen Rainbow-Kette abgelegt. Zu brechendes Password wird gehashed und in Rainbow-Table gesucht. Wenn nicht vorhanden wird es erneut gehashed und gesucht. Vorgang wird maximal x-mal wiederholt. stimmen Hashes überein, ist gesuchtes Password einer der x-klartexte Abhilfe: Salt hinzufügen an das zu sichernde Password Zufallszahl (Salt) anhängen und hashen. Verwendetes Salt mit dem Hashwert verknüpfen und abspeichern, damit Prüfung möglich ist. Rainbow-Tables können nicht für beliebige Zufallszahlen erstellt werden. >> 11

12 Password: Hashverfahren brechen Konsequenz: Brute Force Rechner werden immer schneller vgl. (owasp = Open Web Application Security Project) Häufig verwendeter Ansatz: Berechnung verteuern z.b. bcrypt, scrypt Hash-Verfahren mal anwenden, unterschiedliche Hashes verwenden Kompromiss mit Anmelde-Aufwand, da sonst DOS sehr einfach oder Verwendung von Keyed functions HMAC >> 12

13 Password: Keyed Functions - MAC Hashfunktionen dienen zur Prüfung der Unverfälschtheit von Daten. Diese Prüfung kann von jedermann durchgeführt werden. Ein Message Authentication Code ist eine Hashfunktion mit Einwegeigenschaften, die zusätzlich noch einen geheimen Schlüssel K verwendet. Der Schlüssel K ist nur den beteiligten Partnern bekannt Beispiel Keyed-MD5 h = md5 (M K) Der Schlüssel wird nicht verwendet um den Hash zu verschlüsseln, sondern um das ursprüngliche Dokument zu verändern und somit einen anderen Hash-Wert zu erzeugen. >> 13

14 Password: Keyed Functions - HMAC Hashed Message Authentication Code Salt + Key + Hashing ipad = r x 36hex opad =r x 5Chex Vorteil: Kein Bruteforcing möglich ohne Key Angreifer bräuchte weitere Schwachstelle, um an den Key zu kommen Nachteile: Keine Änderung des Keys in einem Rutsch möglich, z.b. wenn Key abgegriffen wurde Kein Wechsel das Algorithmus in einem Rutsch möglich Kein Zusammenführen von mehreren User Stämmen ohne zusätzliche Key Zuordnung möglich >> 14

15 Password: Verschlüsselung Adobes "Disaster" (Oktober 2013) Daten von Usern geleaked, inklusive verschlüsselter Passwörter und Hints Gleiche Passwörter haben gleichen Ciphertext (wegen fehlendem Salt, ECB vs. CBC egal) Über Passwort Hints 5 10% der Passwörter ratbar Geknackte Passwörter: 0 3DES weiter sicher >> 15

16 Password: Kombination von Verfahren Owasp Germany Chapter Meeting, Arnim Rupp, Lufthansa Systems 128 Bit Verschlüsselung = kein Bruteforcing ohne Key Salt = ungleiche Cipherstrings Mehrfaches Hashing = irreversibel + Dauer [protected] = [salt] + AES( key, scrypt ( [salt] + [credential], )); >> 16

Password Owasp Germany Chapter Meeting, 14.

17 Password Owasp Germany Chapter Meeting, Arnim Rupp, Lufthansa Systems >> 17

Ähnliche Dokumente

Merkle-Damgard Transformation

Merkle-Damgard Transformation Ziel: Konstruiere H : {0, 1} {0, 1} l aus h : {0, 1} 2l {0, 1} l. Algorithmus Merkle-Damgard Konstruktion Sei (Gen, h) eine kollisionsresistente Hashfunktion mit h : {0, 1}