IT-Sicherheit Zusammenfassung

Transkript

1 IT-Sicherheit Zusammenfassung Kajetan Weiß 8. Februar 2014

2 Vorwort Schön, dass Du Dich entschieden hast mit dieser Arbeit zu lernen. Vorweg möchte ich raten nicht nur die Lektüre zu lesen sondern zum besseren Verständnis parallel zu jedem abgeschlossenen Kapitel die jeweiligen Übungsaufgaben zu erledigen. Wenn Du so vorgehst merkst du schnell ob Du alles richtig verstanden hast oder Du Dich noch intensiver mit dem Thema befassen musst. Manchmal kann es sich lohnen nach einem Abschnitt direkt mit den Übungsaufgaben zu beginnen und erst weiter zu lesen, wenn ein neuer Aufgabentyp eines Kapitels gestellt wird. Außerdem möchte ich hier vorweg darauf hinweisen, dass ich keinerlei Garantien auf Korrektheit oder Vollständigkeit übernehme. Du kannst mir sehr gerne Fehler berichten oder mich auf Unvollständigkeiten hinweisen. Fehler, seien es inhaltliche, grammatikalische oder Rechtschreibfehler, werde ich umgehend korrigieren. Ergänzungen werde ich vornehmen sofern ich die Zeit dafür erübrigen kann. Alle Abbildungen wurden von mir, Kajetan Weiß, erstellt. Das Dokument ist auf Grundlage der Vorlesung und Skript von Professor Knorr der Hochschule Trier entstanden. Die Textpassagen sind teilweise stark an das Skript von Professor Knorr angelehnt und teilweise aus seinem Skript zitiert. Ich habe mir erlaubt auf eine korrekte Zitierung zu verzichten um den Text lesbar zu halten und den Aufwand nicht übermäßig ansteigen zu lassen. Ich hoffe, dass dieser Hinweis ausreicht und bitte an dieser Stelle um Entschuldigung für das legere Zitieren. Sollten Sie sich daran stören, bitte ich um Kontaktaufname. Ich werde anschließend die Zitierung korrigieren. Wenn Du das Dokument für gut genug befindest würde es mich sehr freuen, wenn Du es anderen zugänglich machen würdest. Zwei Bedingungen zur Verbreitung stelle ich: Erstens, Vorwort und Nachwort müssen erhalten bleiben. Zweitens, wenn Du Änderungen oder Ergänzungen vornimmst, bist Du herzlich dazu eingeladen dies zu tun, stelle bitte an entsprechender Stelle oder am Anfang oder am Ende des Dokuments klar welche Änderungen oder Ergänzungen Du vorgenommen hast. Sollte irgendetwas unklar sein, kannst Du Dich gerne bei mir melden. jabber/xmpp Jetzt wünsche ich Dir viel Erfolg beim lernen, verstehen und lösen der Herausforderungen in der Veranstaltung. Kajetan Weiß, Trier den 8. Februar

3 Inhaltsverzeichnis I. Einführung in die Kryptologie 6 1. Einführung in die Kryptologie (VL2) Symmetrische Kryptosysteme (1.4) Schlüssellänge vs Effektive Schlüssellänge (1.5) Kerckhoffs sche Prinzip (1.7) Angriffsklassen (1.9) One Time Pad (OTP) (2.3) Moderne symmetrische Chiffren Blockchiffre (3.1) Stromchiffre (vgl OTP) (3.2) Feistel Cipher (3.3) Data Encryption Standard (DES) (3.4) Advanced Encryption Standard (AES) (3.5) Hashfunktionen Anwendungen (4.1) Einwegfunktion (4.2) Hashfunktionen (4.3) Bekannte Hashfunktionen (4.4) Merkle-Damgard Konstruktion von Hashfunktionen (4.6) Birthday Paradox (4.7) Anwendung des Birthday Paradox auf Hashfunktionen (4.8) Angriffe auf Hashfunktionen (4.9) Asymmetrische Kryptographie / Public Key Verfahren Definition (5.2) Mathematische Aufgaben auf denen asymmetrische Kryptoverfahren basieren (5.3) Faktorisierung (5.3.1) Diskreter Logarithmus (5.3.2) Quadratwurzel ziehen mod n (5.3.3)?????? Überblick über ausgewählte Asymmetrische Verfahren (5.3.4)

4 Inhaltsverzeichnis 4.3. Mathematische Vorbereitung für RSA (5.4) Division mit Rest Modulares Rechnen Wiederholtes Quadrieren (5.4.3) Multiplikatives Inverses (5.4.4) Definition: Primzahl (5.4.5) größter gemeinsamer Teiler (ggt) (5.4.6) Erweiterter Euklidischer Algorithmus zur Bestimmung des Multiplikativen Inversen (5.4.7) Eulersche ϕ Funktion (5.4.8) Satz von Euler (5.4.9) RSA-Verfahren (5.5) Definition des RSA-Verfahrens RSA-Verschlüsselung und Entschlüsselung Falltürfunktion (trap door function) Sicherheit des RSA Sichere Auswahl von RSA Parametern Blockchiffren (6) Electronic Code Book (ECB) Mode Cipher Block Chaining (CBC) Mode Hybride Verschlüsselung (7) Vergleich von asymmetrischen und symmetrischen Verfahren Definition Hybride Verschlüsselung (7.2) Nachrichtenauthentisierung (8) Kryptografische Prüfsummen (MAC) (8.1) Verfahren zur MAC Berechnung Blockchiffren im CBC Modus Einsatz von Hashfunktionen Verbleibende Schwachstellen symmetrischer Verfahren (8.4) Digitale Signaturen Anforderungen an Digitale Signaturen (9.1) Konstruktion von Digitalen Signaturen (9.2) RSA & Digitale Signaturen (9.3) Digital Signature Standard (9.4) Problem Digitaler Signaturen Krypto-Regulierung 31 4

5 Inhaltsverzeichnis II. Zertifikate und Public Key Infrastructures Zertifikate Man in the Middle Attack

6 Teil I. Einführung in die Kryptologie 6

7 1. Einführung in die Kryptologie (VL2) Begriffe Kryptografie: Erstellung von kryptografischen Verfahren. Kryptoanalyse: Analyse kryptografischer Verfahren. Kryptologie: Sammelbegriff für Kryptografie & Kryptoanalyse. Schutzziele: Vertrauligkeit/Geheimhaltung Integrität (Schutz vor unentdeckter Manipulation) Authentifizierung/Authentizität Verbindlichkeit (Kausalkette zum Urheber) Anonymität/Pseudonymität 1.1. Symmetrische Kryptosysteme (1.4) Key K {0, 1} k Plaintext P {0, 1} Cyphertext C {0, 1} encrypt: E : {0.1} {0, 1} k {0, 1} E : (P, K) C decrypt: D : {0, 1} {0.1} k {0, 1} D : (C, K) P K,P gilt D K (E K (P )) = P 7

8 1. Einführung in die Kryptologie (VL2) K sicherer Kanal K P E C beliebiger Kanal C D P Sender Empfänger Mit vertraulichem Austausch von K können große Datenmengen vertraulich übertragen werden. (1.6) 1.2. Schlüssellänge vs Effektive Schlüssellänge (1.5) Gesamtlänge des Schlüssels k Effektive Länge des Schlüssels k e = ld(anzahl verwendbarer Schlüssel) 1.3. Kerckhoffs sche Prinzip (1.7) Sicherheit Kryptoverfahrens hängt ausschließlich von Geheimhaltung von K ab und nicht von Geheimhaltung des Kryptoverfahrens Angriffsklassen (1.9) cyphertext only: Suche nach P oder K known plaintext: Suche nach K chosen plaintext: Suche nach K wenn Angriffe wiederholt angepasst stattfinden können: adaptive 1.5. One Time Pad (OTP) (2.3) Verschlüsselung jedes Plaintextbits P bit i mit Schlüsselbit Kbit i E : P bit i Kbit i Cbit i D : Cbit i Kbit i P bit i sicher wenn: K echt zufällig gewählt 8

9 1. Einführung in die Kryptologie (VL2) Länge(K) Länge(P ) Geheimnis K 9

10 2. Moderne symmetrische Chiffren 2.1. Blockchiffre (3.1) definiert für: feste Blocklänge n für P und C feste Schlüssellänge k Ein Block wird mit K ver- bzw. entschlüsselt Stromchiffre (vgl OTP) (3.2) unbegrenzte Folge von P bits und Cbits Erzeugung einer unbegrenzten Folge von Kbits aus K mit Pseudozufallszahlengenerator G (verwendet K als Seed). G : {0, 1} k {0, 1} E : P bit Gbit Cbit D : Cbit Gbit P bit 2.3. Feistel Cipher (3.3) Design-Prinzip für Block-Chiffren um beliebig lange P zu verschlüsseln. n-viele Runden R mit n-vielen Schlüsseln K i und Rundenfunktion F R0 R1 R2 Rn-1 Rn K1 K2 Kn F F F L0 L1 L2 Ln-1 Ln 10

11 2. Moderne symmetrische Chiffren encrypt: 1. Teile Plaintext-Block P in L 0 und R 0 auf (wobei Länge(L 0 ) = Länge(R 0 )) 2. für die Iterationen i gilt: i : L i = R i 1 R i = L i 1 F (R i 1, K i ) i = 1 : L 1 = R 0 R 1 = L 0 F (R 0, K 1 ) i = 2 : L 2 = R 1 R 2 = L 1 F (R 1, K 2 ) i = n :. L n = R n 1 R n = L n 1 F (R n 1, K n ) P = L 0 R 0 decrypt: 1. Teile Cyphertext-Block C in L n und R n auf (wobei Länge(L n ) = Länge(R n )) 2. für die Iterationen i gilt: i : i = n : R i 1 = L i L i 1 = R i F (L i, K i ) R n 1 = L n L n 1 = R n F (L n, K n ). i = 1 : R 1 = L 2 L 1 = R 2 F (L 2, K 2 ) i = 0 : R 0 = L 1 L 0 = R 1 F (L 1, K 1 ) C = L n R n funktioniert für jedes F. Verfahren ist nur sicher mit bestimmten F Data Encryption Standard (DES) (3.4) Blocklänge: 64bit Runden: 16 Sclüssellänge: 64bit, davon 8 Paritybits, also effektive Schlüssellänge 56bit 11

12 2. Moderne symmetrische Chiffren Sicherheit durch S-Boxen (Substitutionsboxen) für F als Rundenfunktion TripleDES: 3 fache Anwendung von DES 2K: 112bit: C = E(K 1, D(K 2, E(K 1, P ))) 3K: 112bit: C = E(K 1, D(K 2, E(K 3, P ))) 2.5. Advanced Encryption Standard (AES) (3.5) Blocklänge: 128bit Runden: 10 bei 128bit; 12 bei 192bit; 14 bei 256bit Schlüssellänge: 128bit, 192bit oder 256bit Geringer Implementierungsaufwand in HW und SW einfaches Algorithmen-Design lizenzkostenfrei 12

13 3. Hashfunktionen 3.1. Anwendungen (4.1) Integritätscheck sichere Komprimierung von z.b. digitalen Signaturen 3.2. Einwegfunktion (4.2) Für Einwegfunktion F : X Y gilt: x X : F (x) leicht berechenbar y Y : es ist praktisch unmöglich ein Urbild x X zu berechnen für das F (x) = y ist Hashfunktionen (4.3) Für Hashfunktion H : {0, 1} {0, 1} n H ist Einwegfunktion Sei x {0, 1}. Es ist praktisch unmöglich ein z x zu berechnen, sodass H(z) = H(x) gilt. Kollisionsresistenz: praktisch unmöglich frei wählbares Paar (x, z) zu berechnen, sodass H(x) = H(z). Ohne die letzte Bedingung wird die Funktion schwache Hashfunktion genannt. Umgangssprachlich: Hashfunktion ist eine kryptografisch sichere, nicht umkehrbare Komprimierungsfunktion Bekannte Hashfunktionen (4.4) MD2, MD4, MD5: 128bit SHA-1: 160bit SHA-2: 224bit, 256bit, 384bit, 512bit 13

14 3. Hashfunktionen SHA-3: 224bit bis 512bit (4.5) SHA-1 im Detail VL2 S Merkle-Damgard Konstruktion von Hashfunktionen (4.6) Gegeben: Einwegfunktion F : {0, 1} m+n {0, 1} n und Initialisierungsvektor H 0 Konstruiere F : {0, 1} {0, 1} n 1. Erweitere P, sodass Länge(P ) ein Vielfaches von m ist. Das Ergebnis sei P m. 2. Teile P m in Blöcke p 1, p 2,..., p k mit der Länge m. 3. Berechne H(P m ) mit Iterationen über die Blöcke aus 2. und der Funktion F wie folgt: H i = F (y 1 H 0 ) H 2 = F (y 2 H 1 ). H k = F (y k H k 1 ) = H(P m ) 3.6. Birthday Paradox (4.7) Wahrscheinlichkeit P(z,N), dass mit z vielen unabhängigen Zügen aus Wertemenge N ein Wert doppelt vorkommt, ist ab z = 1, 17 N größer als 1 2. Beispiel: Wahrscheinlichkeit dass zwei Menschen am gleichen Tag Geburtstag haben ist ab 23 Menschen größer als Anwendung des Birthday Paradox auf Hashfunktionen (4.8) Gesucht ist eine beliebige Kollision. Algorithmus: 1. Wähle zufällig ein bisher noch nicht betrachtetes x i. 2. Vergleiche H(x i ) mit allen anderen bisher betrachteten H(x j ). 3. Wenn keine Kollision gefunden wurde, beginne wieder bei 1. H(x i ) = H(x j ) ergibt sich im mittel nach n Iterationen. 14

15 3. Hashfunktionen 3.8. Angriffe auf Hashfunktionen (4.9) Kollisionsangriff: Schnellerer Algorithmus spezifisch zur Hashfunktion als in 3.7 zu finden? Brute-Force- und Wörterbuch-Angriff: Systematisches Ausprobieren möglicher Eingaben und speicherung der Hashwerte in einer Lookup-Table. Time-/Memory-Tradeoff: Bilde Ketten von möglichen Eingaben. In der Rainbow- Table werden nur Start und Endwert der Kette gespeichert. Um Hashwert zu knacken müssen Teile der Kette durchlaufen werden. 15

16 4. Asymmetrische Kryptographie / Public Key Verfahren 4.1. Definition (5.2) Public Key pk Secret Key sk encrypt: E : F (P, pk) C decrypt: D : F (C, sk) P beliebiger Kanal pk sk P E C beliebiger Kanal C D P Sender Empfänger 4.2. Mathematische Aufgaben auf denen asymmetrische Kryptoverfahren basieren (5.3) Faktorisierung (5.3.1) Maschinell das Produkt zweier Primzahlen zu berechnen ist schnell. Dagegen ist kein Algorithmus mit polynomieller Bekannt, welcher eine gegebene Zahl in ihre Primfaktoren zerlegt. Laufzeiten von bekannten Algorithmen zur Primfaktorzerlegung einer Zahl mit n-bit: Probedivision O(2 n 2 ) Quadratisches Sieb O(exp(n 1 2 (ln(n)) 1 2 ) 16

17 4. Asymmetrische Kryptographie / Public Key Verfahren Zahlenkörpersieb O(exp(n 1 3 (ln(n)) 2 3 ) Diskreter Logarithmus (5.3.2) a = g e mod p e = log g (a) mod p Es existieren Algorithmen O(n c ) für ein gegebenes e um die Gleichung a = g e mod p zu lösen. Es sind bisher keine Algorithmen O(n c ) bekannt welche für gegebene a, g, p die Gleichung e = log g (a) mod p lösen. Aus Erfahrung wird gesagt, dass das Lösen von Diskreten-Algorithmen-Gleichungen nicht schwerer ist als das Lösen einer Faktorisierungs-Gleichung Quadratwurzel ziehen mod n (5.3.3)?????? ++ Für n=p*q mit p und q Primzahlen gibt es ohne Kenntnis von p und q kein effizientes Verfahren zur Bestimmung der Quadratwurzeln. Die Äquivalenz zum Faktorisierungsproblem kann bewiesen werden Überblick über ausgewählte Asymmetrische Verfahren (5.3.4) Verfahren schweres Problem / Falltür leichtes Problem Signatur möglich Einsa RSA Faktorisierung mod n Multiplizieren/Potenzieren mod n ja ja Rabin Quadratwurzel ziehen mod n Quadrieren mod n nein nein Elgamal Diskreter Logarithmus mod n Multiplizieren/Potenzieren mod n ja ja 4.3. Mathematische Vorbereitung für RSA (5.4) Division mit Rest ganze Zahl z Z Modul m N z = qb + r mit qb = z : m und r = z qb = z mod m 17

18 4. Asymmetrische Kryptographie / Public Key Verfahren Modulares Rechnen Es gelten die gewohnten arithmetischen Rechengesetze. Jedes Teilergebnis lässt sich zusätzlich um mod m reduzieren. ((x mod m) + (y mod m)) mod m =(x + y) mod m ((x mod m) (y mod m)) mod m =(x y) mod m ((z mod m) ((x mod m) + (y mod m))) mod m =((z mod m) (x mod m) + (z mod m) (y mod m)) mod m Wiederholtes Quadrieren (5.4.3) um b e mod n zu berechnen 1 : Schreibe Exponenten e als Dualzahl Starte mit Zwischenergebnis z = 1 Arbeite die Stellen vom höchstwertigsten zum niederwertigsten Bitstelle ab. wenn Stelle 0: z := z 2 wenn Stelle 1: z := z 2 b Beispiel: 3 13 mod = = 3 (mod 17) = 10 (mod 17) = 2 (mod 17) 1 ( 2) 2 3 = 12 (mod 17) Multiplikatives Inverses (5.4.4) Das Multiplikatives Inverse z 1 zu z ist definiert über: z z 1 = 1 (mod m) Definition: Primzahl (5.4.5) p ist Primzahl, wenn p außer sich selbst und 1 keine positiven Teiler hat

19 4. Asymmetrische Kryptographie / Public Key Verfahren größter gemeinsamer Teiler (ggt) (5.4.6) Der ggt zweier Zahlen ist die größte Zahl, welche beide Zahlen ohne Rest teilt. Falls ggt (a, b) = 1, so heißen a und b teilerfremd Erweiterter Euklidischer Algorithmus zur Bestimmung des Multiplikativen Inversen (5.4.7) Wenn eine Zahl z zum Modul m teilerfremd ist, lässt sich ihr Multiplikatives Inverses z 1 mit dem Erweiterten Euklidischen Algorithmus bestimmen. 2 Der Algorithmus liefert auch Aufschluss über die Teilerfremdheit. 1. starte mit erster Gleichung der Form m = 1 m+0 z und nachfolgender Gleichung der Form z = 0 m + 1 z 2. Bilde die Folgegleichungen indem von der vorletzten Gleichung ein vielfaches der letzten Gleichung subtrahiert wird, sodass das Ergebnis der linken Seite dem Rest der Division mit Rest entspricht. 3. Wiederhole 2. solange bis das Ergebnis der linken Seite 1 oder 0 ist. Wenn 1: Das Multiplikative Inverse z 1 ist der Faktor vor z. Wenn 0: Es gibt kein Multiplikatives Inverses von z zum Modul m, da z und m nicht teilerfremd sind. Beispiel: Finde z 1 zu 7 (mod 23): I 23 = II 7 = III 2 = ( 3) 7 I + II ( 3) IV 1 = ( 3) II + III ( 3) Ergebnis: Das Multiplikative Inverse zu 7 zum Modul 23 ist Eulersche ϕ Funktion (5.4.8) ϕ(n) = Anzahl der positiven ganzen Zahlen z n, mit ggt (z, n) = 1. Beispiel: ϕ(21) = 12 speziell für Primzahlen p, q : ϕ(p) = p 1 2 genaue Erläuterung: 19

20 4. Asymmetrische Kryptographie / Public Key Verfahren ϕ(p q) = (p 1) (q 1) wobei p q Satz von Euler (5.4.9) Falls ggt (x, n) = 1, dann gilt x ϕ(n) = 1 (mod n) 4.4. RSA-Verfahren (5.5) Definition des RSA-Verfahrens Der Empfänger bildet rsa-modul n mit zwei Primzahlen p und q: n = p q Öffentliche Exponent e (encrypt) wird gebildet mit: 1 < e < (p 1)(q 1) ggt (e, (p 1)(q 1)) = 1 Öffentlicher Schlüssel ist das Paar (n, e). Geheime Exponent d (decrypt) wird gebildet mit: 1 < d < (p 1)(q 1) e d mod (p 1)(q 1) = 1 Geheimer Schlüssel ist Tripel (p, q, d). Hinweis: Die Berechnung von d erolgt mod ϕ(n) RSA-Verschlüsselung und Entschlüsselung Encryption of Plaintext P with 0 P < n: C = (P e ) (mod n) Decryption of Cyphertext C: P = (C d ) (mod n) RSA Schlüsselänge ist Anzahl Bits des Moduls n. P P e (mod n) ist eine Falltürfunktion da: Ohne geheimem Schlüssel ist die Funktion praktisch nicht invertierbar. Mit Kenntnis des geheimen Schlüssel ist die Invertierung einfach. 20

21 4. Asymmetrische Kryptographie / Public Key Verfahren Falltürfunktion (trap door function) Für ein Geheimnis S ist Funktion F S : X Y eine Falltürfunktion, wenn gilt: 1. x X ist F (x) leicht berechenbar. 2. Ohne Kenntnis des Geheimnisses S ist es für gegebenes y Y praktisch nicht möglich ein Urbild x von y unter F S zu berechnen. 3. Mit Kenntnis des Geheimnisses S ist es für gegebenes y Y leicht ein Urbild x von y unter F S zu berechnen Sicherheit des RSA Aufwand um geheimen Exponenten aus öffentlichem Schlüssel zu berechnen ist äquivalent zur Faktorisierung des RSA-Moduls Bislang unbekannt RSA brechbar ohne Modul zu faktorisieren oder geheimen Exponenten d zu finden. Der Aufwand zur Faktorisierung des rsa-moduls hängt von dessen Größe ab Sichere Auswahl von RSA Parametern RSA-Schlüsssellänge 1024 Bit. Primzahlen p und q sollten zufällig, gleichverteilt gewählt sein. wegen low exponent attack sollte öffentlicher Exponent e nicht zu klein sein: oft wird e = = gewählt. 21

22 5. Blockchiffren (6) Anwendung: Wenn Plaintext länger als vorgegebene Blocklänge des gewählten Chiffrierverfahrens. Plaintext wird durch Padding 1 auf eine Länge k Blocklänge mit k N gebracht. Anschließend wird der Plaintext inklusive Padding in k viele Teile zerlegt. P = (P 1, P 2,..., P k ) 5.1. Electronic Code Book (ECB) Mode Encryption: E(P i, K) = C i Decryption: D(C i, K) = P i Problem: Gleiche Plaintextblöcke ergeben gleiche Chiffretextblöcke! (besonders bei Bilddaten kann dies zu Enthüllungsproblemen führen) P1 P2 Pn K E K E... K E C1 C2 Cn Abbildung 5.1.: ECB Mode 5.2. Cipher Block Chaining (CBC) Mode Encryption: C 0 = Initialisierungsvektor(IV ); C i = E(P i C i 1 ) Decryption: P i = C i 1 D(C i, K) Gleiche Klartextblöcke ergeben gleiche Chiffretextblöcke. (Bilddaten werden so ebenfalls gut verschlüsselt) 1 Padding engl. Auffüllen 22

23 5. Blockchiffren (6) IV P1 P2 P K E K E... K E C1 C2 Cn Abbildung 5.2.: CBC Mode 23

24 6. Hybride Verschlüsselung (7) 6.1. Vergleich von asymmetrischen und symmetrischen Verfahren Schlüsselaustausch: Symmetrische Kryptosysteme erfordern einen vertraulichen Schlüsselaustausch. Bei Asymmetrischen Verfahren ist dies nicht notwendig. Schlüsselanzahl im Netzwerk: Symmetrische Kryptosysteme benötigen für jedes Kommunikationspaar einen eigenen geheimen Schlüssel (bei n Kommunikationspartnern n(n-1)/2 viele Schlüssel). Bei asymmetrischen Systemen hat jeder Teilnehmer einen öffentlichen und einen privaten Schlüssel (2n viele Schlüssel). Performanz: Asymmetrische Verfahren arbeiten mit komplexen mathematischen Operationen und die Berechnung zur Ver- bzw. Entschlüsselung ist im Vergleich zu symmetrischen Verfahren sehr langsam Definition Hybride Verschlüsselung (7.2) Kombination symmetrischer und asymmetrischer Kryptosysteme: Nutzung eines asymmetrischen Kryptosystems zum geheimen Schlüsselaustausch eines symmetrischen Session Keys. Nutzung eines symmetrischen Kryptosystems zur Verschlüsselung der Nachricht mit dem Session Key. Ablauf: 1. Sender wählt (pseudo-)zufällig einen Session Key K. 2. Sender verschlüsselt K asymmetrisch mit dem Public Key P K des Empfängers: P E(P K, K) 3. Sender sendet P E(P K, K) an den Empfänger. 4. Sender und Empfänger können mit symmetrischem Verschlüsselungsverfahren über K geschützt kommunizieren. 24

25 6. Hybride Verschlüsselung (7) Sender Receiver PK public key SK secret key K PE PE(PK, K) PD K session key public key encryption public key decryption M E E(K, M) D M message symmetric encryption symmetric decryption Abbildung 6.1.: Hybrid Crypto System 25

26 7. Nachrichtenauthentisierung (8) Es wird unterschieden: Integrität: Nachweis, dass empfangene Nachricht gleich der ursprünglich gesendeten Nachricht ist. Wird mittels kryptografischer Prüfsummen realisiert ( Message Authentication Codes krzl. MAC). Senderauthentizität: digitale Unterschrift (Digitale Signaturen mittels asymmetrischer Kryptoverfahren) 7.1. Kryptografische Prüfsummen (MAC) (8.1) mac Funktion berechnet kryptografische Prüfsumme einer Nachricht M mit Schlüssel K. mac : {0, 1} k {0, 1} {0, 1} n Sender sendet Nachricht M und mac(k, M). Empfänger weiß nach Prüfung des MAC, dass Nachricht unverändert ist und vom angegebenen Sender stammt. Sicherheitsanforderungen Ohne Kenntnis von K soll es praktisch niemandem möglich sein, für eine Nachricht M eine gültige Prüfsumme zu berechenen. Bei gegebener Nachricht M und Prüfsumme mac(k, M) darf es einem Angreifer praktisch weder möglich sein K zu berechnen noch eine weitere Nachricht M mit identischer Prüfsumme zu finden. Abgrenzung zu Fehler erkennenden Codes Fehler erkennende Codes dienen dazu zufällige Übertragungsfehler zu erkennen. Sie schützen nicht vor Manipulation, da gültige Codes zu gegebener Nachricht leicht neu berechnet werden können. Fehler erkennende Codes dienen also ausschließlich der Safety und nicht der Security. 26

27 7. Nachrichtenauthentisierung (8) sender receiver M M M MAC MAC(K,M) =? MAC K secure connection K Abbildung 7.1.: symmetric message authentication codes 7.2. Verfahren zur MAC Berechnung Blockchiffren im CBC Modus Da der letzte Chiffretextblock C n bei der CBC-Verschlüsselung von allen Klartextblöcken abhängt, kann dieser zur Integritätsprüfung und Authentisierung verwendet werden. Protokollablauf CBC-MAC: 1. Sender sendet Nachricht M und als MAC den letzten Chriffretextblock C n der CBC Verschlüsselung von M mit E K. 2. Empfänger berechnet selbst C n mittels CBC Verschlüsselung von empfangener Nachricht M mit E K. Ist C n = C n so ist davon auszugehen, dass die Nachricht unverfälscht und vom angegebenen Empfänger übertragen wurde. (Da nur Empfänger und Sender den Schlüssel K zur Verschlüsselung kennen) Einsatz von Hashfunktionen Protokollablauf: 1. Sender sendet Die Nachricht M und als MAC mac M = hash(concatenate(k, M)) 2. Empfänger empfängt Nachricht M und berechnet mac M = hash(concatenate(k, M )). Akzeptiert wenn mac M = mac M. Verfahren ist grundsätzlich sicher, weist allerdings bei üblichen Hashfunktionen Schwächen auf. 27

28 7. Nachrichtenauthentisierung (8) Hashed MAC Standard (HMAC) MAC Funktion mit Paddings p 1 und p 2 um Schlüssel K auf Länge eines Blocks der Hashfunktion aufzufüllen. (in Standard RFC 2104 definiert) hmac(k, M) = hash((k p 1 ) hash(k p 2 M)) 7.3. Verbleibende Schwachstellen symmetrischer Verfahren (8.4) Bisher betrachtete Nachrichtenauthentisierungen schützen nicht vor Replay-Angriffen. Falls Schutz erforderlich: Einbinden eines Zeitstempels in die Nachricht. Der Sender kann behaupten für eine Nachricht mit korrekter Prüfsumme, diese nicht gesendet zu haben. (Der Empfänger kann zu jeder beliebigen Nachricht einen gültigen MAC erzeugen.) 28

29 8. Digitale Signaturen 8.1. Anforderungen an Digitale Signaturen (9.1) Eine Digitale Signatur muss: vom Nachrichteninhalt abhängen. den Absender eindeutig ausweisen. einfach zu erzeugen und zu prüfen sein. fälschungssicher sein: Der Empfänger darf keine gültige Signatur vom Sender erzeugen können. Damit kann der Sender nicht mehr leugnen die Signatur angefertigt zu haben. einfach gespeichert werden können. über einen gewissen Zeitraum beweiskräftig bleiben Konstruktion von Digitalen Signaturen (9.2) Digitale Signaturen können mit asymmetrischen Kryptosystemen realisiert werden. Gegeben sei eine kryptografisch sichere Hashfunktion H, ein asymmetrisches Kryptosystem (E, D) und dem Schlüsselpaar (P K, SK). Die Entschlüsselungsfunktion D wird als Signaturfunktion sign benutzt. Gültige Signaturen der Nachricht M des Senders sind sign(sk, M) und sign(sk, H(M)). Zur Prüfung wird die Verschlüsselungsfunktion E als Prüffunktion validate genutzt. Eine Prüfung ist genau dann erfolgreich wenn gilt: validate(p K, sign(m)) = M beziehungsweise: validate(p K, sign(h(m))) = H(M) Dieses Verfahren ist kryptografisch sicher, solange der Secret Key SK des Senders nur dem Sender bekannt ist. 29

30 8. Digitale Signaturen sender receiver M M M sign sign(m) decryp =? SK PK any connection PK Abbildung 8.1.: Signing of message M with sender s secret key SK and validation by receiver with sender s public key P K 8.3. RSA & Digitale Signaturen (9.3) Wenn validate true ist, ist die Validierung erfolgreich abgeschlossen. In der Praxis wird statt der gesamten Nachricht ein Hashwert der Nachricht zur Signierung verwendet. sig(m) = (H(M)) d (mod n) validate(m) = H(M) (mod n) ((H(M)) d ) e 8.4. Digital Signature Standard (9.4) Abschnitt Klausurrelevant? 8.5. Problem Digitaler Signaturen Der Sender kann behaupten, dass sein privater Schlüssel fremden zugänglich war. Lösung: Vereinbarung mit einer Public Key Infrastructure (PKI). 30

31 9. Krypto-Regulierung Abschnitt Klausurrelevant? 31

32 Teil II. Zertifikate und Public Key Infrastructures 32

33 10. Zertifikate Man in the Middle Attack Malcom Malcom s Public Key PK-M. (A, PK-M) (L, SigM(L )) Alice Alice s Public Key PK-A. Sends letter L to Bob. (A, PK-A) (L, SigA(L)) Bob Thinks he received L directly from Alice. Thinks PK-M is Alice s public key. Abbildung 10.1.: Man in the Middle Attack Absicherungsmöglichkeiten: PKs bzw. Hash/Fingerprint des Schlüssels über sicheren Kanal überprüfen. Beglaubigung der Zuordnung des öffentlichen Schlüssels zur Person durch eine vertrauenswürdige Instanz. (siehe Public Key Infrastructures) 33