Verschlüsselung, -verschlüsselung

Transkript

1 Verschlüsselung, -verschlüsselung ADV Tagung IT-Sicherheit für Fortgeschrittene Wien, 17. September 2008 Zentrum für sichere Inofrmationstechnologie - Austria

2 Motivation: Nutzungsgrad sichere Quelle: Simon J. Garfinkel, David Margrave, Jeffrey I. Schiller: How to Make Secure Easier To Use, Proceedings of the SIGCHI conference on Human factors in computing systems. Portland, USA, ISBN: , pp ADV-Tagung 17. September 2008, Wien 2

3 Inhalte Kryptographie die Grundlage Stand der Technik Sicherheit Standards Verschlüsselung und Bürgerkarte Organisationsweiter Einsatz Und einige Tools dazu ADV-Tagung 17. September 2008, Wien 3

4 Grundlagen Kryptographie (1/2) Inhaltsverschlüsselung typisch über symmetrische Verfahren M C M C=E k (M) M=D k (C) Schlüssel k Schlüssel k Kerckhoffs Maxime! ADV-Tagung 17. September 2008, Wien Seite 4

5 Grundlagen Kryptographie (2/2) Signatur / Schlüsselaustausch asymmetrisch M C M C=E e (M) M=D d (C) Öffentlicher Schlüssel Privater Schlüssel ADV-Tagung 17. September 2008, Wien Seite 5

6 Bekannte Verfahren und Standards Symmetrische Verfahren DES, TripleDES (FIPS 46-1, ANSI X9.52) AES (FIPS197) Asymmetrische Kryptographie RSA (PKCS#1) Elliptische Kurven (X9.62) Hash-Funktionen MD5 (RFC1321) SHA-1 (FIPS 180-1) RIPEMD 160 (ISO ); SHA-2 (FIPS 180-2) ADV-Tagung 17. September 2008, Wien 6

7 Sicherheit eines Krypto-Systems Vor allem über drei Faktoren bestimmt: 1. Algorithmus Sicherheit des mathematischen Verfahrens Notwendige Basis eines sicheren Systems 2. Umsetzung des Algorithmus Keine Schwachstellen des Produkts Vertrauenswürdigkeit über unabh. Evaluierung 3. Schlüsselmanagement Sicherheit der Schlüssel über Lebenszyklus: Erzeugung, Verteilung, Speicherung, Löschung ADV-Tagung 17. September 2008, Wien Seite 7

8 Stand der Technik Algorithmen Notwendige Schlüssellängen Skizzen einiger Angriffe Umsetzung Evaluierung ADV-Tagung 17. September 2008, Wien 8

9 Symmetrische Algorithmen Typische Schlüssellängen 56, 64, 112, Bit Angriff: Vollständige Suche über alle Schüssel z.b. 56 Bit (DES, 1975 entwickelt) mit ~9.000 FPGA Hardware in durchschnittlich 6,4 Tagen (03/2007, Horst Görtz Institut) COPACOPANA (Quelle: ) (2006, $) Deep Crack (1998, $ Quelle: ) Schlüssel >100 Bit (effektiv) gelten als sicher ( auf < 10 Jahre) z.b. AES (2000 entwickelt, Bit) ( * ) COPACOBANA.org, Stand 2006 ADV-Tagung 17. September 2008, Wien Seite 9

10 Asymmetrische Algorithmen Schlüssellängen von Verfahren abhängig z.b. RSA typisch Bit Angriff mathematisch z.b. über Faktorisieren großer Zahlen z.b. elliptische Kurven typisch Bit Diskretes Logarithmus Problem ADV-Tagung 17. September 2008, Wien Seite 10

11 Vergleich der kryptographischen Stärke Beispiel aus NIST SP ADV-Tagung 17. September 2008, Wien 11

12 Schlüssellängen über die Zeit Lower Bounds aus Lenstra, Verheul: Selecting Cryptographic Key Sizes (2000) symmetrisch ECC RSA 10 J. 10 J ADV-Tagung 17. September 2008, Wien 12

13 Aktuelle Empfehlungen (aus: NIST SP ) ADV-Tagung 17. September 2008, Wien 13

14 Umsetzung und Evaluierung Aktuelle Algorithmen meist gut analysiert Ist keine Garantie, dass keine theoretischen Schwächen aktuell etwa SHA-1 doch Probleme kommen meist aus Umsetzung Beispiele aus Seitenkanal- Forschung IAIK / A-SIT: EC double & add DPA ADV-Tagung 17. September 2008, Wien Seite 14

15 Evaluierungsstandards Häufige Standards FIPS 140 (USA, v / v2 2001) ITSEC (EU, 1991) Common Criteria (Internat., 1997 ff.) Trend zu Common Criteria (u.a. NATO, US Acquisition Policy) Österreich seit 2001 Mitglied des MRA (gilt bis EAL 4) SOGIS-MRA bis EAL 7 CH, DE, ES, FI, FR, GR, UK, IT, NL, NO, PT ADV-Tagung 17. September 2008, Wien Seite 15

16 -Sicherheit - Standards Historie S/MIME und Tools Suite B - Algorithmen ADV-Tagung 17. September 2008, Wien 16

17 Entwicklung von Standards und Methoden Privacy enhancement for electr. mail (PEM, 1981) Pretty Good Privacy (PGP, 1991) Security Multiparts for MIME (1995) S/MIME (v2 1998, v ) SMTP (1981) PEM (1987) PGP (1991) S. Multip. (1995) S/MIME v2 (1998) S/MIME v3 (2004) ADV-Tagung 17. September 2008, Wien 17

18 Vertrauensmodelle PGP: Web of Trust S/MIME: PKI PCA PCA User A User D CA CA CA User B User C User A User B User C User D ADV-Tagung 17. September 2008, Wien 18

19 S/MIME Basiert auf Cryptographic Message Syntax (CMS) ASN.1 Codierung: SignedData und EnvelopedData Weiters: SigningTime, SignerInfo, Transfer-Encoding entsprechend MIME-Standards Optionen z.b. base64 für binären Inhalt (Signatur, Zertifikat) z.b. quoted-printable signierter Text Signed-Only, Envloped-Only Text & HTML; Body signiert und/oder verschlüsselt, attachment signiert und/oder verschlüsselt ADV-Tagung 17. September 2008, Wien 19

20 Beispiel S/MIME Signatur Nur mail-body signiert; Header (Subject) unsigniert Header To: "'Herbert Leitold'" Subject: Eine signierte Mail... Content-Type: multipart/signed; micalg=sha1; boundary="--iaik.smime.mapper.afb780ee--"; protocol="application/x-pkcs7-signature" Body This is a multipart MIME message, it may require a MIME capable user agent. ----IAIK.SMIME.MAPPER.AFB780EE-- Content-Type: text/plain; charset="iso " Content-Transfer-Encoding: quoted-printable Content-Language: de-at Signierter Inhalt = IAIK.SMIME.MAPPER.AFB780EE-- Content-Type: application/x-pkcs7-signature; name="smime.p7s" Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="smime.p7s" MIAGCSqGSIb3DQEHAqCAMIACAQExCzAJBgUrDgMCGgUAMIAGCSqGSIb3DQEHAQAA oiiigjccbq4wggp2oamcaqicbwo70n016tcwdqyjkozihvcnaqefbqawgawxhdaa ADV-Tagung 17. September 2008, Wien 20

21 Tool 1: S/MIME Mailcontainer Erstellen von S/MIME codierten EML-Dateien ADV-Tagung 17. September 2008, Wien 21

22 Suite B Algorithmen Algorithmen Signatur (Verschl.) waren RSA (DH) dominiert Standardsoftware (Outlook, Firefox,..) darauf abgestellt Bankomatkarte & e-card setzten früh auf elliptische Kurven (ECDSA seit 2005 ausgerollt) Damals kaum Standard Software Marktbewegung ECC: USA Cryptographic Modernization Program bzw. US-Entscheidungen NSA Empfehlung an Industrie vendors should serioulsy consider the elliptic curve alternative (2005) Suite B Algorithmen (2005): Nur mehr ECDSA / ECDH ADV-Tagung 17. September 2008, Wien 22

23 A-SIT Studie zu ECC in Standard-Software Anlässlich Marktbewegung / Suite B analysiert, welche Standardsoftware ECC unterstützt Browser (SSL-Suites), Mail-clients (S/MIME) Ergebnisse (März 2008) Suite B (Kurve P-256): ECC ab Vista; z.b. in Outlook & Internet Explorer Interoperabilitätsprobleme möglich (frühe Versionen) Aktuelle Bürgerkarten (Kurve P-192): dzt. nicht unterstützt A-SIT Studie ECC in Standardsoftware (Stand 03/2008): ADV-Tagung 17. September 2008, Wien 23

24 Tool 2: Mailtest-Servlet (I/II) Test der Kompatibilität von -Clients vorkonfigurierter Testsatz (15 Mails) oder einzelne Mails mit Attachments Varianten Algorithmen: RSA, DSA, ECDSA RC2, TripleDES Plain- / HTML-Mail Signatur / Verschlüsselung Text Attachment Aktualisiert August 2008 (ECDSA) ADV-Tagung 17. September 2008, Wien 24

25 Tool 2: Mailtest Servlet (II/II) USERNAME: PASSWORD: ADV-Tagung 17. September 2008, Wien 25

26 Verschlüsselung und Bürgerkarte Tool CCE Demo ADV-Tagung 17. September 2008, Wien 26

27 Dateiverschlüsselung mit Bürgerkarte Tool Citizen Card Encrypted CCE 2 Erstellen von verschlüsselten Containern Verschlüsselung von Dateien und Verzeichnissen Sicherer Transfer von Daten Verfügbar für OS X, Linux, Windows Unterstützung von Karten über Konzept Bürgerkarte (SecurityLayer) beliebige Smartcards (über PKCS#11) ADV-Tagung 17. September 2008, Wien 27

28 Tool 3: Demo CCE Erstellt S/MIME files Empfänger kann mit Mailclient entschlüsseln Schlüsselgruppen: default, backup, frei konfigurierbar ADV-Tagung 17. September 2008, Wien 28

29 Organisationsweiter Einsatz Zentrale / lokale Lösungen Vertretungsregelungen Key Backup ADV-Tagung 17. September 2008, Wien Seite 29

30 Verfügbarkeit bei verschlüsselter Quelle: Simon J. Garfinkel, David Margrave, Jeffrey I. Schiller: How to Make Secure Easier To Use, Proceedings of the SIGCHI conference on Human factors in computing systems. Portland, USA, ISBN: , pp ADV-Tagung 17. September 2008, Wien 30

31 Sichere in der Organisation Lokale Lösung Praktisch jeder -Client unterstützt heute S/MIME Ggf. Policy, welche ZDAs Mitarbeiter verwenden Verschlüsselung umgeht zentralen Mail-Virenschutz! Vertretungsregelung über Mail-forward nicht möglich Lösung für Key-Backup notwendig Zentrale Lösung Einige Lösungen verfügbar zentrale Signatur ausgehender (z.b. Umsetzung Policy) Prüfung Signatur bei Eingang Vertretungsregelung Entschlüsselung am Eingang Um-Schlüsselung für EmpfängerIn Key Backup einfacher, wenn Schlüssel zentral gehalten ADV-Tagung 17. September 2008, Wien 31

32 Tool 4: Verschlüsselungszertifikate Bei lokaler Entschlüsselung am Mail-Client Ansatz: Organisation/Abteilung hat selben Schlüssel Zertifikat je -Adresse Damit jedoch kein Widerruf CA Toolkit erstellt S/MIME und EFS-Zertifikate ADV-Tagung 17. September 2008, Wien 32

33 Key Backup Export der Schlüssel und sichere Verwahrung Kann auch durch ZDA erfolgen (z.b. A-Trust) Alternative Ausdruck auf Papier, Verwahren im Tresor z.b. im A-SIT CA Toolkit ADV-Tagung 17. September 2008, Wien 33

34 Schlussfolgerungen S/MIME für Verschlüsselung Breit unterstützt Kaum Interoperabilitätsprobleme Sichere trotzdem noch nicht sehr breit genutzt Elliptische Kurven noch nicht breit umgesetzt Für Bürgerkarte kostenlose Zusatztools Im organisationsweiten Einsatz zu beachten Verfügbarkeit (Key-Backup, Vertretungsregelungen) Verschlüsselung umgeht zentrale Virenscanner ADV-Tagung 17. September 2008, Wien 34

35 Danke für Ihre Aufmerksamkeit! Zentrum für sichere Inofrmationstechnologie - Austria