Sicherheit im Internet I+II WS2003-SS2004. Inhaltsverzeichnis

Transkript

1 Inhaltsverzeichnis 1866 Sicherheit im Internet KE 1 (Sicherheit) Einleitung Sicherheit, Angriffsziele, Bedrohungen (Systematik, klassische Bedrohungen) Netze local, vernetzt, TCP/IP, Internet-Dienste, Sicherheit bei der Übertragung / SPAM Konkrete Gefahren Viren (Def., Arten u. Schutz), Trojaner (wie findet man sie?), Passwörter (Reglen, wie findet man fremdes Passwort?) KE 2 (Verschlüsselung u. digitale Signaturen) Einleitung Prinzip der Verschlüsselung, Verschlüsselungsoperationen, Anz. d. Schlüssel, Verarbeitungsmodi, Hardware-OS Sicherheit, private key Verschlüsselung Prinzip, klassische Algos, moderne AlgosVerschlüsselungsmodi, public key Verschlüsselung Prinzip / Ablauf, Algos, Hash-Funktionen wozu?, Prinzip, Algos, MAC + Dig. Signaturen Prinzip MAC, Prinzip DS, Algos f. dig. Signaturen, Zertifikate + Schlüsselmanagement woruas besteht ein Zertifikat, Ablauf, Woher weiss man welches der öffentl. Schlüssel einer CA ist?, VeriSign, Schlüsselmanagement (public, private keys) KE 3 (Benutzersicherheit im Internet) sichere PGP Funktionen/Verschlüsselung Nachricht+DS/Vertrauensfrage, Mailprotokolle bis SMIME, sicheres Surfen welche Schutzziele, SSL, Browser Sicherheitseinstellungen, Anonymität (Formen, r er, rewebber, Cookies), Zugriff auf entfernte Rechner SSH, Kerberos, aktive Inhalte JS - Risiken, Java - Risiken, ActiveX - Risiken, sonstige KE 4 (Anbietersicherheit im Internet) sichere WebServer OS unabhängig Aspekte Sicherheitsregeln f. Admin, bufferoverflow Angriff, OS abhängig, Konfiguration Apache, Firewall Funktion, Architekturen, Konfiguration`(welche Dienste sperren, welche nicht?), Betrieb (Überprüfungsarbeiten) IDS Reaktion auf Zwischenfälle, organisator. Massnahmen 1867 Sicherheit im Internet II KE 1 (Angriffe auf Rechner oder Netze) Sniffing, Spoofing, Wörterbuchangriffe, BufferOverflow, URL hacking, Hacker Tools, Angriffe auf Verschlüsselung Klassifikation, Brute Force, Kryptoanalyse KE 2 (Benutzersicherheit) ecommerce Problematik, Klassifikation, Anforderungen an Bezahlverf., Bezahlverfahren(NN, ÜW, Last, Karte, weitere... Vor-/Nachteile), Schutz d. privaten PC Viren, Firewall Funktionen d. pers. FW, Windows Config (Benutzer), Biometrie (welche Kriterien bei d. Auswahl zu beachten?, welche Merkmale, Ablauf d. Verfahren, Sicherheit) KE 3 (Anbietersicherheit) VPN Prinzipien, Aufbau IDS Prinzipien, Aufbau KE 4 (Rahmenbedingungen) Gesetzl. Rahmenbedingungen allgem. Vorschriften, für ISP, für Anbieter Konstruktion sicherer Systeme Analyse, Design, Implementierung, Test, Betrieb Seite 1

2 1866 Kurseinheit I Sicherheit in der IT 1.2. Einleitung Warum ist Sicherheit erforderlich? Online Banking, Online Shopping, Online Broking, KonTraG Gesetz zur Kontrolle und Transparnez im Unternehmensbereich (1998), börsennotierte AG s zur Risikovorsorge verpflichtet, d.h. sie müssen die Risikopotentiale ihrer IT-Systeme verringern. Definition (Sicherheit) objektiv: das Nichtvorhandensein von Gefahr subjektiv: die Gewissheit vor mögl. Gefahren geschützt zu sein In der IT spricht man nicht von Gefahren sondern von Bedrohungen man ist Ziel von Angriffen (attacks). Angriffsziele - Übertragunsleitungen können abgehört werden - andere Programme beeinträchtigen den Ablauf - unbefugter Zugriff auf Datenbanken oder Datenträger Systematik der Bedrohungen technische Bedrohung nichttechnische Bedrohung beabsichtigte Bedrohung unbeabsichtigte Bedrohung aktive Bedrohung passive Bedrohung (schwer zu entdecken) kosmische Strahlung kann den Wert einzelner Bits verändern, elektromagnet. Probleme bei Funkübertragungen, Probleme auf Übertragungsleitungen... => Prüfbits, fehlerkorrigierende Codes eine Person verfälscht Daten jede Form von Spionage, auch denial of service attacks Person schreibt Passwort auf Zettel am PC Unterdrücken oder Verzögern von Nachrichten jede Form des Abhörens (Funkübertragung, oder Ethernet überträgt jedes Datenpaket an alle angeschlossenen PC s, man kann daher einen PC so programmieren, dass er alle Datenpakete an einen bestimmten Computer mitprotokolliert Seite 2

3 klassische Bedrohungen ungestörter Nachrichtenaustausch unbefugter Informationsgewinn = Angriff auf die Vertraulichkeit der übertragenen Daten PASSIVER ANGRIFF (zb.: Dritter erfährt dass ich online Aktien bestellt habe, wann und wieviele) - durch Abhören der Datenübertragung, direkten Zugang zum Computer (PC im Netz, Diebstahl) oder Datenträgern Gegenmittel: - Verschlüsselung, - Steganographie (verstecken einer Nachricht in einer unverfänglichen, grösseren) unbefugte Modifikation = Angriff auf die Integrität der übertragenen Daten AKTIVER ANGRIFF (Kaufauftrag wird in Verkaufsauftrag umgewandelt) Schutzverfahren: -Einführung von Redundanz, so kann Empfänger erkennen ob Daten auf dem Transport verändert wurden (Paritätsbit) im Sicherheitsbereich NICHT einsetzbar, da Angreifer auch die Redundanzdaten verändern kann, wenn er das Verfahren kennt - Verschlüsselung unbefugte Erzeugung = Angriff auf die Authentizität AKTIVER ANGRIFF (Dritter führt Bestellpostkarte aus, vermeintl. Bankbeamter fragt am Telefon nach Geheimzahl) Nicht-Zurückweisbarkeit von Nachrichten (Ausweis, Unterschrift, Einschreiben per Post) unbefugte Unterbrechung = Angriff auf die Verfügbarkeit von Daten, Computern u. Kommunikationsmitteln AKTIVER ANGRIFF (Kabel trennen, PC lahmlegen durch Virus, Nachricht an einen Computer schicken die diesen zum Absturz bringt) Gegenmittel: - hochverfügbare Systeme verwenden (anderer System übernimmt bei Ausfall den Betrieb) - Backup von System und Daten (Raid) nicht-technische Aspekte von Sicherheit - Vertrauen in die Technik ( Was der Computer berechnet wird schon stimmen Software Fehler) - Beherrschbarkeit / Bedienungsfehler Seite 3

4 1.3. Netze Lokale Netze (LAN) Stern (zentraler Vermittler = switch, zb.: ATM Netz der Telefongesellschaften) - fällt Switch aus ist keine Kommunikation mehr möglich, Vertraulichkeit (Daten passieren nur Sender, Switch und Empfänger) Ring (token wird verschickt, Nachricht wird weitergereicht IBM TokenRing) - fällt ein PC aus = Kommunikation unterbrochen - Vertraulichkeit (Nachricht kann im Prinzip auf jedem PC gelesen werden) Bus ( MBit/s Ethernet, Kollisionen) - fällt ein PC aus, können die anderen trotzdem weiter kommunizieren - Vertraulichkeit (Nachricht kann im Prinzip auf jedem PC gelesen werden) vernetzte Netze Repeater Bridge Router 2 gleichartige LOKALE Netze werden verbunden. Signale werden dabei verstärkt und ans andere Netz übertragen nur vollständige und fehlerfreie Datenframes werden übertragen. verbindet Netze unterschiedlicher Technologien TCP/IP Protokolle der TCP/IP Familie sind hierarchisch in Schichten geordnet. Anwendungsprogramme TCP (transmission protocol), UDP (user data protocol) IP (internet protocol) ARP (address resolution protocol) Jede Netzwerkkarte hat eine eigene eindeutige Adresse (MAC Adresse). Für das Internet verwendet man IP Adressen ( ) zur ARP Schicht gehört eine Tabelle der Form: IP-Adresse Hardware Adresse A C3 Seite 4

5 DNS (Domain Name System) symbolische Namen werden den IP Adressen zugewiesen ( DNS Server arbeiten im Verbund ( wird geschickt an DNS der UTA, dann weiter an DNS...) Sicherheitsprobleme: - DNS kann falsche IP liefern - IP Adressen im lokalen Netz können manuell verändert werden Ports Nummern im TCP/IP Protokll, werden verwendet damit der Computer weiss welchen Dienst (Anwendungsprogramm) man verwenden möchte. (gremlin.fernuni-hagen.de:80) Internet Dienste Nslookup Ping Finger (port 79) Traceroute Telnet DNS Server abfragen (IP oder Rechneradresse) DOS: nslookup testet ob ein Computer IP-Pakete empfangen und zurückschicken kann DOS: ping ipconfig Informationen erhalten über einen entfernten Computerbenutzer wer ist dort angemeldet, Informationen über den Benutzer DOS: finger manni@orf.at Die Information, die angezeigt wird, hängt davon ab, was auf dem Server gespeichert ist. Normalerweise sind das der Name der Person, einige Angaben zu Directory-Strukturen und Online-Zeiten sowie eventuell Angaben über die Erreichbarkeit (Telefon etc.). Mit einer finger-anfrage erhält man lediglich Informationen, wenn auf dem Server ein finger-server installiert ist. Kaum jemand aber betreibt heutzutage einen finger-server. Zudem sind viele finger- Server aus Datenschutzgründen nur noch in internen Netzen erreichbar. zeigt Weg an, den ein IP-Paket vom lokalen zum entfernten Rechner zurücklegt. DOS: tracert Terminal-Programm mit dem man sich zu einem bel. Computer im Internet verbinden kann, LOGIN, dann ist man im Terminal-Betrieb, wie wenn man direkt an dem PC sitzen würde. Daten werden UNVERSCHLÜSSELT übertragen daher können andere Computer mitprotokollieren FTP (port 21) Daten zw. entferntem u. lokalem Computer kopieren Daten werden UNVERSCHLÜSSELT übertragen es gibt auch eine anonyme Benutzerkennung (anonymous) für beschränkten Zugang meist wird die eigene Adresse als Passwort angegeben WWW (http port 80) Client (WebBrowser) Server (Webserver) Kommunikation mittels http-protokoll Webserver und die Dokumente dort werden durch URL (Uniform Resource Locator) addressiert. URL besteht aus DIENST + WEBSERVER + DOKUMENT ftp://... (smtp port 25) Daten werden UNVERSCHLÜSSELT übertragen AUTHENTIZITÄTSproblem (weder Client noch Server können sicher sein, dass sie wirklick mit dem kommunizieren mit dem sie möchten) Simple Mail Transfer Protocol UNVERSCHLÜSSELT Seite 5

6 Ablauf der Übertragung vom Mail-Client zum Mail-Server: 1) Client öffnet Verbindung zum Mail-Server an Port 25 2) Übertragung startet - Kommando (Mail From: kreuz@utanet.at, 250 OK, RCTP TO:hannes@orf.at, 250 OK usw...) 3) eigentliche Nachricht wird übertragen (DATA) Sicherheit bei der Übertragung: Man unterteilt die übertragene Nachricht in ENVELOPE (sh. (2)) und die eigentliche Nachricht (MESSAGE HEADER und MESSAGE BODY). Im Header werden Absender- und Empfängeradressen wiederholt SPAM haben im Header häufig gefälschte Angaben. Jedermann auf dem Weg der Nachricht kann die Nachricht mitlesen. Bei der Weiterleitung trägt jeder beteiligte Mail-Server im Header ein RECEIVED ein. Da auch der Absender im Header Informationen eintragen kann (also zb auch ein Received, kann der Weg der e- Mail verschleiert werden). Die Kommunikation zwischen Mail-Client und Mail-Server erfolgt über POP3 bzw. IMAP4. Dabei werden Benutzername und Kennwort unverschlüsselt übertragen Konkrete Gefahren Viren Viren sind Computerprogramme, die - sich selbst kopieren können und sich auf diesem Weg vermehren - Schäden anrichten können (Daten löschen, Inhalt verändern) - sich verstecken können - seltsame Ausgaben vornehmen (Töne, Meldungen, zitternder Bildschirminhalt etc.) Regelmässiges Backup wichtig, da Viren Daten löschen können!! Manche Viren verschicken Daten von ihrem Computer per an andere. Virentypen Bootsektor-Viren Der Urlader (kleines Programm im ROM) wird beim Start des PC geladen, und sucht das eigentliche Ladeprogramm (loader), dass am MasterBootRecord (MBR) des Speichermediums steht (Sektor 1). Der MBR enthält die Partition Table (Aufteilung der Festplatte) falls mehrere OS auf der HD, dann bietet das Ladeprogramm eine Auswahl (Win, Linux). Erstinfizierung mit BSV-Virus ist meist eine infizierte Disk, die im Laufwerk vergessen wird, und von der der PC startet. Damit wird der infizierte Lader vom Bootsektor der Disk gestartet: - Virus lädt sich ins RAM und trägt sich in den Interrupt 13h (disk read/write) Seite 6

7 ein, kopiert MBR der HD auf einen anderen Platz - kopiert sich selbst in den MBR der HD - startet den Lader aus dem MBR der HD Zum Lesen oder Schreiben ruft ein Programm das Betriebssystem auf, dieses löst den Interrupt 13 aus, damit ist der Virus aktiv und kopiert sich auf die neue Disk. Ein Virentestprogramm erkennt den BSV-Virus nicht, da beim Versuch des Read des MBR ja schon Interrupt 13 ausgelöst wird, und damit der Virus sich einklinkt und den orig. kopierten MBR zurückliefert (stealth virus). Wie entfernt man einen BSV? virenfreie Boot-Diskette mit Tool zur Rekonstruktion des MBR Dateiviren infiziert Programmdateien (exe, com unter DOS) Der Virus lädt sich in den Speicher, wird auch nach Beendigung des infizierten Programmes dort bleiben und infiziert andere Programme, indem der Viruscode an das Ende der Datei angehängt wird. Am Anfang der Programmdatei wird noch ein Aufruf angehängt. An der Änderung der Grösse des Programms erkennt man eine Infizierung aber manche Viren verschleiern das, indem sie sich in einen Block zusammenhängender Nullen im Programm kopieren. mangelhafte Schutzmechanismen in DOS und Windows machen es Dateiviren leicht, anders in UNIX (hat ein User zb. keine write permission, so kann sich kein Dateivirus kopieren). Wie entfernt man einen DV? virenfreie Boot-Diskette, infizierte Programme neu installieren Makroviren befallen Dokumentdateien von Programmen die Funktionen zum Erstellen vom Makros enthalten (Word, Excel...) zb.: MS-Office VBA (Visual Basic for Appilcations) als Makro-Sprache, damit sind komplexe Kontrollstrukturen und der Zugriff auf Daten möglich. Es gibt auch Auto-Start-Makros, die beim Starten des Anwendungsprogrammes aufgerufen werden. zb.: Word Virus kopiert sich in die zuletzt geöffneten Dateien (Pfade stehen ja im Menü Datei), oder infiziert die globale Vorlage (template) = Normal.DOT, auch hier können AutoExec Makros stehen. Die meisten Viren heute sind Makroviren. Schutz vor Makroviren: - Warnungen einschalten (Word) - Virenscanner verwenden und aktualisieren - nur READER Programme verwenden Makroviren sind betriebssystem-unabhängig. Seite 7

8 Trojanische Pferde Programme die neben ihrer eigentlichen Funktion auch weitere Funktionen ausführen, die der Benutzer nicht kennt. Also Vorsicht bei Programmen die man nicht kennt!! Besonders vor Programmen die Logindaten benötigen und diese so ausspähen können. zb.: AOL4FREE.COM versprach kostenlosen AOL Zugang => löschte Festplatte Wie kommt man trojanischen Pferden auf die Spur? in einer Datenbank verwaltet man zu allen installierten Programmen (Datum d. letzten Änderung, Grösse, Hash- Code der Programmdatei). Diese werden regelmässig geprüft. Auch in Dokumenten können trojan. Pferde sitzen (zb.: Word Dokumente). Passwortmißbrauch Wie kann Authentifikation geprüft werden? - Biometrie (Fingerabruck, Iris) - Besitz (Ausweis, Karte) - Wissen (Geheimnummer, Logindaten) zb.: Bankomat Besitz ec-karte und Wissen PIN werden geprüft Wie kommt man zu einem fremden Passwort? Raten (Name des Ehepartners), Ausprobieren (alle Zeichenkombinationen, Lexika), Ausspähen/Abhören Solche Passwortsuchprogramme gibt es fertig im Internet auch Programme die Passwortschutz bei Datenbanken oder Word Dateien entfernen. Passwörter unter UNIX: codiert gespeichert eingetragen in etc/passwd für jeden Benutzer DES-Algorithmus verschlüsselt nach 25 Verschlüsselungsrunden, damit sind auch gleiche PW bei verschiedenen Usern möglich, ohne dass der Eintrag derselbe. crack ist eine Unix-Passwort cracker (25% Erfolgsquote) Regeln bei der Passwortwahl: - keine persönlicher Zusammenhäng (Kindername) - mind. 6 Zeichen - kein Wort aus Wörterbuch (Sonderzeichen mitten im Wort einfügen) - Standardpasswörter auf jeden Fall ändern - immer wieder ändern - nicht notieren Seite 8

9 2.1. Einleitung Kurseinheit II Verschlüsselung, digitale Signaturen Prinzip der Verschlüsselung (encrytion / decryption) mit Hilfe eines Verschlüsselungsalgo wird eine verschlüsselte Nachricht erstellt. Der Verschlüsselungsalgo wird durch einen key gesteuert. Verschlüsselungs- u. Entschlüsselungsalgo müssen nicht gleich sein dasselbe gilt für die Schlüssel. Leitungsverschlüsselung Ende-zu-Ende-Verschlüsselung Auf dem Weg wird die Nachricht immer wieder verschlüsselt und entschlüsselt Nachteil: alle Computer am Weg müssen vertrauenswürdig sein! Absender verschlüsselt, gibt die Nachricht so an alle Computer am Wege weiter, erst der Empfänger entschlüsselt Vorteil: keiner der Übermittler sieht die Nachricht grössere Sicherheit Nachteil: für jeden Empfänger muss man sich auf Verschlüsselungsverfahren und Schlüssel einigen Verschlüsselungsoperationen (Grundoperationen): Ersetzung (substitution) Zeichen oder Zeichengruppe wird auf anderes Zeichen oder Zeichengruppe abgebildet Umordnung (transposition) Reihenfolge der Zeichen wird verändert Anzahl der Schlüssel: private key (symmetr. Verschlüsselung) public key (assymmetr.) selber Schlüssel f. Ver- u. Entschlüsselung - key muss geheim gehalten werden! - schneller zu berechnen als public key verschiedene Schlüssel - ein key darf öffentlich bekannt sein In der Praxis werden beide Verfahren oft kombiniert: - zuerst geheimen key generieren - diesen key mit public key Verfahren verschlüsselt an Empfänger schicken - Nachricht verschlüsseln mit dem gerade übertragenen geheimen Schlüssel Verarbeitungsmodi: Blockverschlüsselung - Blockgrösse meist 64Bit Stromverschlüsselung jedes Zeichen sofort und einzeln Seite 9

10 2.2. Hardware u. Betriebssystem Sicherheit Hardware abschliessbare Gehäuse, Räume, Notebook Diebstahlsicherung etc. Betriebssystem Benutzerkennung (account) Rechtevergabe (Administrator, Anwender etc.) vergibt Zugriffsrechte (Lesen, Schreiben, Ausführen) Speicherschutz (Unix, Win NT) direkter Hardwarezugriff verboten 2.3. Private Key Verschlüsselung Sender und Empfänger tauschen einmal einen geheimen Schlüssel aus, damit können dann Nachrichten ver- oder entschlüsselt werden. Diese Verfahren sind schnell und bei ausreichender Schlüssellänge auch hinreichend sicher Programme kaufen oder Freeware. Klassische Algorithmen Cäsar Chiffre Verschiebung Chiffre(x)=(x+3) mod 26 Schlüssel=Länge der Verschiebung Alphabet hat 26 Zeichen zb: ROT13 Verschlüsselung (x+13) mod 26 1 Byte 256 Zeichen => Chiffre(x)=(x+k) mod 256 Nachteil: leicht zu entschlüsseln, bei langen deutschen Texten e grösste Häufigkeit... monoalphabetische Chiffre beliebige Vertauschung Schlüssel=zweite Zeile der Ersetzungstabelle zb.: polyalphabetische Chiffre Nachteil: leicht zu entschlüsseln, Häufigkeit bestimmter Buchstabenfolgen untersuchen... zb.: Vigenére Chiffre Jeder Buchstabe des Schlüsselwortes representiert eine Verschiebung. Dadurch werden gleiche Buchstaben nicht immer auf dasselbe Zeichen abgebildet! Transpositionsverschlüsselung Vertauschung (Permutation) Schlüssel=angewandte Permutation zb: (1 3) (2 4) Permutation zb.: Enigma Seite 10

11 Moderne Algorithmen moderne Verschlüsselungsverfahren verwenden auch Ersetzen und Vertauschen die Realisierung von Ersetzen erfolgt durch die XOR-Funktion: Vertauschen wird durch die Hardware direkt unterstützt. Feistel Verfahren DES Ersetzen und Vertauschen mehrfach hintereinander zu benutzen. S Data Encryption Standard im Prinzip ein Feistel Verfahren mit: Funktion = Kombination aus XOR und festen Ersetzungsboxen Runden 16 Blockgrösse 64 Bit Schlüssellänge 56 Bit IDEA Nachteil: rel. kurze Schlüssellänge International Data Encryption Standard Funktion = Kombination aus XOR, Ganzzahladd. mod 2^16, Ganzzahlmult. mod 2^16+1 Runden 8 Blockgrösse 64 Bit Schlüssellänge 128 Bit Blowfish RC5 CAST-128 AES Einsatz: Kommunikation mit PGP (Pretty Good Privacy) sehr schnell Funktion = Kombination aus XOR, Ganzzahladd. mod 2^32 und festen Ersetzungsboxen Runden 16 Blockgrösse 64 Bit Schlüssellänge Bit einfach zu implementieren, beruht nicht auf Feistel spezielle Funktion S 55 Runden Blockgrösse 32, 64, oder 128 Schlüssellänge beruht auf Feistel Funktion = Kombination aus +,-,XOR, zirkulär. Shifts und festen Ersetzungsboxen Runden 16 Blockgrösse 64 Bit Schlüssellänge 128 Bit Advanced encryption standard nachdem auf DES verschlüsselte Nachrichten erfolgreich Angriffe druchgeführt wurden, wurden mehrere neue Algos vorgestellt. S 56 Seite 11

12 Verschlüsselungsmodi: alle hier vorgestellten Verfahren arbeiten nach dem ECB-Modus (electronic code book), sind also deterministisch d.h.aus einem Nachricht wird durch Verschlüsselung mit demselben Schlüssel immer dieselbe verschlüsselte Nachricht, damit ist decodierung auch mit statistischen Methoden möglich. CBC-Modus (cipher block chaining) - Klartextblock wird vor der Verschlüsselung mit dem vorhergehenden Geheimtextblock verknüpft (XOR). Anwendungsbeispiel PGP: PGP ist ein Verschlüsselungsprogramm für elektronische Post und Dateien aller Art. Um mit anderen Menschen verschlüsselte Nachrichten auszutauschen, müssen Sie Ihren Kommunikationspartnern Ihren öffentlichen Schlüssel (public key) geben. Das besagte Leute PGP installiert haben müssen, versteht sich von selbst. Ein Beispiel: Carolin will Ihnen eine vertrauliche Nachricht zukommen lassen. Wenn sie den Schlüssel von Ihnen persönlich (d.h. Sie haben ihr den Schlüssel auf Diskette selbst überreicht) erhalten hat, ist das Risiko, daß ein gefälschter Schlüssel verwendet wird, sehr gering. Aber wenn Carolin Ihren öffentlichen Schlüssel von einem Server aus dem Internet holt oder per erhält, ist es möglich, daß ein unbefugter Dritter einen öffentlichen Schlüssel erzeugt hat, der Ihren Namen trägt. Carolin, die Ihnen eine geheime Nachricht schicken will, wird diesen Schlüssel verwenden, weil sie denkt, es sei Ihrer. Besagter unbefugter Dritter muß nur noch die an Sie adressierte Nachricht abfangen (was technisch nicht weiter schwer ist). Er kann sie dann entschlüsseln, weil er der wahre Eigentümer des Schlüssels ist. Danach könnte er die Nachricht mit Ihrem richtigen öffentlichen Schlüssel wieder verschlüsseln. Sie merken also nicht, daß die Nachricht zwischendurch gelesen wurde (man-in-the-middle-attack). Bedenken Sie, daß Verschlüsselung allein meist nicht ausreicht. Bei so starker Kryptografie, wie sie PGP verwendet, sind die Schwachstellen nicht bei der Verschlüsselung zu suchen! - Verwenden Sie die größte Schlüssellänge von 4096 Bit. - Keinen privaten Schlüssel auf Festplatte Speichern Sie Ihren privaten Schlüssel auf Diskette und löschen Sie ihn von der Festplatte. - Benennen Sie das Verzeichnis, in dem sich PGP befindet in z.b. "Treiber" um. Das verhindert Angriffe, die sich gezielt auf eine Datei beziehen. - Seien Sie vorsichtig beim Download von Programmen aus dem Internet. Insbesondere bei Freeware kann es gefährlich werden. Laden Sie Freeware nur von den Original Servern herunter, denn wenn der Quelltext frei verfügbar ist, ist es möglich, daß jemand vor dem Kompilieren den Quelltext verändert hat Public Key Verschlüsselung Jeder Teilnehmer braucht 2 Schlüssel (1x Verschlüsseln = public key, 1x Entschlüsseln = private key). Ablauf: Seite 12

13 - Empfänger erzeugt einmal mit dem Schlüsselgenerator sein Schlüsselpaar - public key wird jedermann zugänglich gemacht - Sender verschlüsselt Nachricht mit public key - Empfänger kann Nachricht mit seinem geheimen privat key entschlüsseln damit das funktioniert muss: - private key nicht aus publix key ableitbar (oder so schwierig, dass die Berechnung zu lange dauert) - nur mit dem public key kann keine Entschlüsselung vorgenommen werden. Verschlüsselungsalgorithmen RSA zur Verschlüsselung und zur Erzeugung digitaler Signaturen. Die Sicherheit beruht darauf, dass es schwer ist eine Zahl mit mehreren hundert Stellen in Primfaktoren zu zerlegen. Prinzip: man wählt 2 grosse Primzahlen p, q mit n=p*q k( p 1)( q 1) + m n: m 1 mod n= m man wählt eine Zahl e, die teilerfremd zu (p-1)(q-1) e public key Verschlüsselung mit: Crypt(m)= m mod n d Entschlüsselung: DeCrpyt(c)= c mod n mit c=crypt(m) Mit RSA kann man nur Nachrichten der Länge n verschlüsseln, grössere müssen vorher in Blöcke zerlegt werden. Mit RSA kann man auch eine digitale Unterschrift leisten (dazu wird mit dem private key eine Nachricht verschlüsselt, und diese kann mit dem public key entschlüsselt werden). Damit ist die Authentizität gesichert, denn nur der Absender kennt den private key. WICHTIG: - grosse Schlüssellängen (mindestens 1024 Bit) - RSA ca. 100x langsamer als DES man in the middle attack Problem beim public key Verfahren wie kann man sicher sein tatsächlich den public key des geplanten Empfängers zu benutzen? es könnte sich ja jemand dazwischen schalten... Trust Center überprüfen den Zusammenhang zw. public key und der dazugehörigen Person El-Gamai beruht auf der Berechnung von diskreten Logarithmen über endlichen Körpern. Idee: Ein Körper (engl.: Field) ist eine mathematische Struktur aus einer Menge M und zwei Verknüpfungen, die üblicherweise als Addition + und Multiplikation * bezeichnet werden, obwohl sie sich von den üblichen Grundrechenarten unterscheiden können. Diskreter Logarithmus von y zur Basis g, ist die kleinste Zahle x für die gilt: geg: g, x => Berechnung von y einfach geg: g,y => Berechnung von x schwierig!!! x y = g mod p Diffe u. Hellmann haben ein Verfahren vorgestellt, wie sich 2 Parteien auf einen private key einigen Seite 13

14 2.5. Hash-Funktionen ursprüngl. Hash-Funktionen als Hilfsmittel zum Speicherun und Wiederfinden von Datensätzen. Prinzip Eine Hash-Funktion ist eine Abbildung, die Elemente einer grossen Ursprungsmenge auf Elemente einer kleineren Zielmenge abbildet mit: - sie muss schnell und einfach zu berechnen sein - sie streut möglichst gut auf die Elemente der Zielmenge zb.: In der Kryptographie wird mit Hash-Funktionen die Authentizität einer Nachricht geprüft. Dazu wird von einer Nachricht M ein Fingerabdruck H(M) fester Länge berechnet und mit der Nachricht übertragen. Der Empfänger berechnet von der empfangenen Nachricht M, H(M ) und vergleicht diesen Wert mit H(M) stimmen die Werte nicht überein, wurde die Nachricht unterwegs verändert. konkrete Forderungen an Hash-Funktionen: - Zielmenge ausreichend gross (Wertebereich mind. 128Bit breit, 0-2^128) - jedes Bit aus Nachricht M muss in die Berechnung von H(M) eingehen - soll auch dann keine Kollisionen erzeugen, wenn ein Angreifer eine Menge von Nachrichten erzeugt Hash-Algorithmen MD5, SHA-1 sh. S66 Da die Hash-Algos öffentlich bekannt sind, kann jeder der eine Nachricht verändert, auch den Hash- Code neu berechnen und anhängen!! Die nächste Verbesserung => MAC + digitale Signaturen 2.6. Message Authentication Codes + Digitale Signaturen Prinzip MAC Idee: in die Berechnung des MAC geht nicht nur die Nachricht sondern auch eine geheime Zusatzinformation ein. zb.: HashCode wird vor der Übertragung mit dem private key verschlüsselt Da aber sowohl Sender als auch Empfänger den private key kennen, könnte auch der Empfänger die Nachricht und den MAC selbst erzeugt haben es ist also nicht sicher gestellt, dass der Sender die Nachricht auch verschickt hat. Seite 14

15 MAC digitale Signatur Prinzip digitale Signatur (DS) Idee: Man vertauscht den symmetr. Verschlüsselungsalgo von MAC gegen einen asymmetrischen. Nur der Absender der den private key kennt, kann Nachrichten mit passender DS erstellen. Theoretisch könnte man die Nachricht zuerst mit dem eigenen private key und dann mit dem public key verschlüsseln ABER es ist schneller den Hash Wert zu berechnen. verwendete Algos: RSA, DSS 2.7. Zertifikate + Schlüsselmanagement Woher kann man wissen welcher öffentliche Schlüssel zu einer bestimmten Person gehört? Im praktischen Leben Personalausweis in der EDV Zertifikat Die Zuordnung wird von der Certification Authority oder dem Trust Center durchgeführt. Zertifikat ist ein Datensatz bestehend aus: - Name - public key - Seriennummer - Gültigkeitsdauer - Name der CA Ablauf: -Empfänger überprüft das Zertifikat mit Hilfe des öffentlichen Schlüssels der CA. - damit erhält er den Namen und den öffentl. Schlüssel aus dem Zertifikat - mit dem publich key entschlüsselt er die DS - jetzt kann er prüfen ob der Absender in der Nachricht mit dem Inhaber des Zertifikates übereinstimmt Seite 15

16 Woher weiss man welches der öffentliche Schlüssel einer CA ist? Es gibt übergeordnete Zertifizierungsinstanzen in D Regulierungsbehörde für Telekommunikation und Post = RegTP länderübergreifen gibt es Cross-Zertifikate, dabei signieren 2 CA ihre public keys gegenseitig. Da es verschieden Arten der Identitätsfeststellung bei CA s gibt (Telefonat, Erscheinen mit Ausweis...) unterscheidet man Zertifikatsklassen. VeriSign (US TrustCenter) Zertifikatsklassen Klasse 1 elektronischer Antrag nur Eindeutigkeit wird geprüft man kann also nicht sicher sein, ob das wirklich der gewünschte Sender ist Klasse 3 Benutzer muss persönl. erscheinen (Firmen, Uni,...) Klasse 2 (nur für Amerikaner mögl.) , Adresse, Tel werden geprüft Bei e-commerce (speziell Internet-Banking) sollte immer auf Zertifikat der Klasse 3 geprüft werden!! Schlüsselmanagement Die Verwaltung von keys ist sehr wichtig (Sorgfaltspflicht), da keys sonst leicht gestohlen werden können. Management public keys nur begrenzte Gültigkeit, da es theoretisch möglich ist aus public key den dazugehörigen private key zu berechnen. Schlüsselhinterlegung bei 2 verschiedenen Agenturen wird in den USA gefordert, damit veschlüsselte Mails von verdächtigen Personen gegen richterl. Beschluss entschlüsselt werden können. (Clipper Chip) key revocation list (Sperrliste) wenn ein Schlüssel verloren geht, kann der Benutzer sein Zertifikat von der CA sperren lassen. Management private keys sind sehr gross, daher werden sie gespeichert und zwar in einem Personal Security Environment (Diskette, Chipkarte) Auf der Chipkarte wird der key durch einen PIN (personal identification number) geschützt. Heute wird der private key meist in einer Datei symmetrisch verschlüsselt bei PGP heisst der symmetr.. Schlüssel pass phrase, den sich der Benutzer leichter merken kann. Man muss dann vor dem signieren oder entschlüsseln diese pass phrase angeben. Dieser Schlüssel liegt aber nun im Klartext im RAM deshalb muss das OS sichertsellen, dass kein Unbefugter die Datei auslesen kann. Seite 16

17 3.2. Sichere im Internet Kurseinheit III Benutzersicherheit im Internet Mail Programm immer so konfigurieren, dass Anhänge nicht automatisch geöffnet werden. s werden normalerweise unverschlüsselt übertragen und können dabei auf jedem Server auf dem Transportweg gelesen werden. PGP (Pretty Good Privacy) enthält Algorithmen zur public und private key Verschlüsselung und zur Erstellung digitaler Signaturen. es gibt eine Freeware Version für Private PGP Funktionen - verschlüsseln von Dateien -sicheres Löschen von Dateien - Sender verschlüsselt Nachricht mit dem public key - - Sender signiert Nachricht mit seinem private key des Empfängers - erstellen von Schlüsselpaaren - Management eigener und fremder Schlüssel PGP ist ein hybrides Verschlüsselungssystem, die Nachrichten werden mit einem symmetr. Verschlüsselungsverfahren verschlüsselt. Verschlüsselung mit PGP - PGP komprimiert zuerst die Nachricht im mit dem ZIP-Algorithmus. - Dann wird ein Einmal-Schlüssel session key generiert. - N.zip wird mit session key verschlüsselt (symm. Algo wird verwendet) - session key wird mit public key des Empfängers verschlüsselt (asymmetr. Algo) - V(N.zip) CONCAT V(SK) Was macht der Empfänger? - zerlegt Nachricht in beide Teile - entschlüsselt session key mit private key - entschlüsselt Nachricht mit diesem berechneten session key - dekomprimiert die Nachricht digitale Signatur - H(N) Hash-Funktion auf Nachricht anwenden - H(N) mit private key verschlüsseln - N + DS - komprimieren => S(N).zip dann kann die Nachricht auch noch verschlüsselt werden. Seite 17

18 Achtung beim herunterladen von PGP-Software man muss sicherstellen, dass man keine von Hackern manipulierte Version erhält. Nach der Erstinstallation - eigenes Schlüsselpaar erstellen RSA oder DSS Schlüssel (DSS) grösste Schlüssellänge wählen (1024) Benutzer ID (Name, ) - private key symmetr. verschlüsseln mit Pass phrase (relativ lang) - private key sichern! (Disk, Chip Card, CD ) eingegange Nachrichten entschlüsseln => pass phrase eingeben ausgehende Nachrichten dig. signieren => pass phrase public key an potentielle Kommunikationspartner verteilen - per - auf öffentl. Schlüsselserver stellen ( Prüfen eines public key! - Kommunikationspartner anrufen Fingerabdruck prüfen - ein anderer (zu dem man Vertrauen hat) hat den Schlüssel digital signiert das kann ein weiterer Kommunikationspartner sein, oder eine Zertifizierungsstelle Vertrauensfragen: owner trust glaube ich, dass dieser key wirklich dem vorgegebenen Besitzer gehört? Zertifizierungsinstanz signature trust glaube ich dem der einen anderen Schlüssel signiert hat? Secure MIME (S/MIME) Mime = Multipurpose Internet Mail Extensions, S/MIME erweitert das Mime Protokoll um Sicherheitsfunktionen für die Schutzziele Vertraulichkeit und Authenzität besteht aus: - Umschlag (envelope) - Inhalt (content) Nachrichtenkopf (message-header) Nachrichtenrumpf (message-body) Seite 18

19 diverse Mail-Protokoll Definitionen: SMTP MIME (erweitert SMTP) MIME content transfer encoding Sender u. Empfänger können zur Nachricht passende Codierung wählen: zb.: 7Bit, 8Bit, quoted-printable, base64 S/MIME (erweitert MIME) -Inhalt einer Nachricht nur ASCII-Zeichen (also keine Programme können verschickt werden) - landesspezif. Sonderzeichen (ö, ä...) nicht korrekt übertragen - SMTP Server kann Nachrichten über einer best. Grösse zurückweisen - attachments sind nicht definiert! neue Message-header-fields werden definiert, die Informationen über den body enthalten... und zwar: - Codierung (content transfer encoding) - Typ des body (content type) - Inhaltsbeschreibung (content description) MIME type nach der Decodierung der Nachricht muss noch geklärt werden, wie die Nachricht zu interpretieren ist: Type Subtype Beschreibung text plain enriched text mit Formatierungen image gif jpeg application octet-stream binärcod. Programm usw. zusätzl. content-types Type Subtype Beschreibung multipart signed Nachricht mit digit. Signatur application pkcs7-mime verschl. Nachricht oder dig. Signatur zb.: (MIME ) zb.: (S/MIME) Return-path: <Franzi@vizrt.com> Delivery-date: Fri, 18 Mar :58: Received: from sue.utanet.at ([ ]) by magda.utanet.at with esmtp (Exim 4.12) id 1DCHzH-0001xP-00 for m.kreuz@utanet.at; Fri, 18 Mar :58: Received: from paris.utanet.at (paris.utanet.at [ ]) by sue.utanet.at (8.13.3/8.13.3) with ESMTP id j2idw3jw Fri, 18 Mar :58: Received: from [ ] (helo=autmail.vizrt.com) by paris.utanet.at with esmtp (Exim 4.43) id 1DCHzG-00076x-8n for m.kreuz@utanet.at; Fri, 18 Mar :58: content-class: urn:content-classes:message Subject: bitte bei gelegenheit ausdrucken :-) MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="---- _=_NextPart_001_01C52BC2.7F607F8C" Date: Fri, 18 Mar :58: Message-ID: <30EA58AE3E0EC343B09A2E4C51CA1C1F1468D8@aut Seite 19

20 mail.vizrt.internal> X-MimeOLE: Produced By Microsoft Exchange V X-MS-Has-Attach: yes X-MS-TNEF-Correlator: Thread-Topic: bitte bei gelegenheit ausdrucken :-) Thread-Index: AcUrwr9JWc0rg4V5RpOxsL2l8Sgbqw== From: " Franzi " < To: "" X-Virus-Scanned: by AMaVis on sue.utanet.at Einsatzgebiete: PGP mehr im privaten Bereich, S/MIME mehr im kommerziellen Bereich 3.3. Sicheres Surfen im Internet besondere Schutzziele: Vertraulichkeit Authentizität Privatheit Nur Berechtigte können vom Inhalt der Kommunikation Kenntnis erhalten Die Beteiligten sind sich über die Identität des Partners im Klaren über einen Benutzer werden ohne sein Wissen und Einverständnis keine Datensammlungen angelegt Secure Socket Layer (SSL) erlaubt vertrauliche und authentische Kommunikation Einordnung in den Protokollstack SSL Schichten SSL kann nicht nur für http, sondern auch für FTP, POP3, SMTP, telnet eingesetzt werden. Nach dem Handshake und der Authentication/Key Exchange Phase haben Client und Server eine sichere Verbindung aufgebaut. Damit nicht für jede zu übertragende Datei (zb.: http Seite mit mehreren Images) immer ein Handshake notwendig ist, beginnt man eine Session mit einem Handshake diese Session wird erst durch explizites Beenden abgebrochen. Sicherheitseinstellungen von Web-Browsern statt Anzeige durch Schloss Symbol im Browser Zertifikat im Browser anzeigen lassen: Gültigkeitsdauer, digitaler Fingerprint, öffentlicher Schlüssel etc. Seite 20