Kryptographie: Einführung. Prof. Dr. Hannes Federrath Sicherheit in verteilten Systemen (SVS) hcp://svs.informaek.uni-hamburg.de

Transkript

1 Kryptographie: Einführung Prof. Dr. Hannes Federrath Sicherheit in verteilten Systemen (SVS) hcp://svs.informaek.uni-hamburg.de 1

2 Kriterien zur Einteilung von Kryptosystemen Kryptographische Basisbausteine KonzelaEonssysteme AuthenEkaEonssysteme HashfunkEonen Pseudozufallszahlengeneratoren Schlüsselbeziehung Sender Empfänger Symmetrische Systeme Asymmetrische Systeme Alphabet, auf dem die Chiffre operiert Blockchiffre: Operiert auf Blöcken von Zeichen Stromchiffren: Operiert auf einzelnen Zeichen Längentreue Erreichbare Sicherheit 2

3 Anwendungsfall x Schlüsselbeziehung KonzelaEon (Verschlüsselung) AuthenEkaEon symmetrische One-%me-pad, DES, Triple-DES, AES, IDEA, A5/1 (GSM), A5/2 (GSM) Symmetrische Authen%ka%onscodes, CCM, A3 (GSM), GnuPG/PGP WPA2 SecurID WPA2 IPSec SSL/TLS IPSec SSL/TLS asymmetrische RSA, ElGamal, McEliece, RSA, ElGamal, DSA, GMR, GnuPG/PGP GnuPG/PGP HBCI SSL/TLS HBCI SSL/TLS Algorithmus 3 Anwendung

4 Erreichbare Sicherheit Sicherheit (informaeons) theoreesch sicher kryptographisch stark (beweisbar) gegen akeve Angriffe gegen passive Angriffe wohluntersucht (prakesch sicher) Chaos Zahlentheorie geheim gehaltene komplexitätstheoreesch sicher Kerckhoffs-Prinzip Die Sicherheit eines kryptographischen Verfahrens soll nur von der Geheimhaltung des kryptographischen Schlüssels abhängen. 4 Geht zurück auf Auguste Kerckhoffs: La cryptographie militaire, 1883

5 Angriffsarten Ciphertext Only ACack Angreifer kennt nur Schlüsseltext Known Plaintext ACack Angreifer kennt Klartext-Schlüsseltext-Paare [AdapEvely] Chosen Plaintext (Ciphertext) ACack AdapEvely: Angreifer kann in Abhängigkeit vorheriger gewählter Nachrichten neue Nachrichten wählen Non-adapEvely: Angreifer muss alle Nachrichten zu Beginn wählen, kann also nicht abhängig vom Verschlüsselungsergebnis, weitere Nachrichten wählen 5

6 Angriffsarten AuthenEkaEons- KonzelaEonssysteme: systeme: Brechen = Fälschen Entschlüsseln Vollständiges Brechen: Finden des Schlüssels Universelles Brechen: Finden eines zum Schlüssel äquivalenten Verfahrens Nachrichtenbezogenes Brechen: Brechen für einzelne Nachrichten, ohne den Schlüssel selbst in Erfahrung zu bringen selekeves Brechen: für eine besemmte Nachricht existenzielles Brechen: für irgendeine Nachricht Aufwand/Kosten: Einmalige Kosten, jeder Schlüssel effizient knackbar Jeder Angriff verursacht Kosten beim Angreifer 6

7 HashfunkEonen Abbildung h: X > Y EinwegfunkEon (auch: FalltürfunkEon) UmkehrfunkEon nicht effizient berechenbar HashfunkEonen sind verkürzend Beliebig lange Inputs werden auf Output besemmter Länge abgebildet, z.b. SHA3 mit 256 Bit (16 Blöcke zu je 16 Bit in Hex) 17EC 1A95 14E4 F581 7C68 2AC D2CA 9879 FFBF AA3B 43BD 9A95 55DB 891C F3BF x 1 h Kollision: h(x 1 ) = h(x 2 ) mit x 1!= x 2 x 2 h Kryptographische HashfunkEonen sind kollisionsresistent nicht mit vertretbarem Aufwand möglich, eine Kollision gezielt herbeizuführen, z.b. Finden eines x 2 zu einem gegebenen h(x 1 ) 7

8 Symmetrische Verschlüsselung Schutzziel: Vertraulichkeit Zufallszahl z Schlüsselgenerierung k:=gen(z) k geheimer Schlüssel k Klartext x Verschlüsselung Schlüsseltext s k(x) Entschlüsselung Klartext x s:=e(x,k) oder s:=enc(x,k) oder s:=k(x) Angriffsbereich x:=e -1 (s,k) oder x:=dec(s,k) oder x:=k(s) 8 «UndurchsichEger Kasten mit Schloss. Es gibt zwei gleiche Schlüssel.»

9 Schlüsselverteilung für symmetrische Systeme Schlüsselaustausch: 1. A und B tauschen Offline jeweils einen symmetrischen Schlüssel mit Z aus: k AZ und k BZ 2. Z generiert auf Anforderung einen symmetrischen KommunikaEonsschlüssel k und verschlüsselt diesen für A und B: k AZ (k) A k BZ (k) B 3. A und B entschlüsseln k KommunikaEon: Sender verschlüsselt Nachricht N mit k: k(n) für A verschlüsselter geheimer Schlüssel Schlüsselverteilzentrale Z k AZ (k) k(n) für B verschlüsselter geheimer Schlüssel k BZ (k) Teilnehmerin A Teilnehmer B 9

10 Dezentralisierte Variante Dezentralisierte Schlüsselverteilung ist möglich Ziel: Alle beteiligten Schlüsselverteilzentralen müssen zusammen arbeiten, damit sie den KommunikaEonsschlüssel k erfahren Überlagerung der Teilschlüssel z.b. mit XOR-Verknüpfung Schlüsselverteilzentralen X Y Z k AX (k 1 ) k AY (k 2 ) k AZ (k 3 ) k BX (k 1 ) k BY (k 2 ) k BZ (k 3 ) Schlüssel k = k 1 + k 2 + k 3 10 Teilnehmerin A k(nachrichten) Teilnehmer B

11 Asymmetrische Verschlüsselung Schutzziel: Vertraulichkeit geheimer Bereich c Chiffrierschlüssel, öffentlich bekannt Schlüsselgenerierung d Zufallszahl z (c,d):=gen(z) Dechiffrierschlüssel, geheim gehalten Klartext x Verschlüsselung Schlüsseltext s c(x) Entschlüsselung Klartext x Zufallszahl r > 100 Bit (indeterminisesche Verschlüsselung) 11 s:=enc(x,c) oder s:=c(x) Angriffsbereich x:=dec(s,d) oder x:=d(s) Vertrauensbereich des Empfängers «Kasten mit Schnappschloss. Es gibt nur einen Schlüssel.»

12 Schlüsselgenerierung gzjbz =XOR z 1 z 2 z 3 z n z gen Erzeugung einer Zufallszahl z für die Schlüsselgenerierung: XOR aus z 1, einer im Gerät erzeugten, z 2, z 3, z n, einer vom Hersteller gelieferten, einer vom Benutzer gelieferten, einer aus Zeitabständen errechneten. 12

13 Beispiel: Trusted Pla{orm Module (TPM) 2.0 Pla~orm Primary Seed niemals änderbar Endorsement Primary Seed echter Zufallszahlengenerator neu erzeugbar Storage Primary Seed Absichern des Bootvorgangs Absichern des Anmeldevorgangs, Persönliche Schlüssel z.b. FestplaCenverschlüsselung z.b. Sitzungsschlüssel Key DerivaEon FuncEon... Endorsement Key s t ACestaEon IdenEty Key s t Primary Keys (dauerha}, ggf. änderbar) Ephemeral Keys (vorübergehend, z.b. Session Keys) RSA RSA 13 symmetrische oder asymmetrische Schlüssel

14 ZerEfizierung des öffentlichen Schlüssels ZerEfizierungsstelle (CerEficaEon Authority) CA 1. A lässt ihren öffentlichen Chiffrierschlüssel c A nach IdenEtätsprüfung eintragen und erhält ein SchlüsselzerEfikat sig CA (A, c A ) zurück. 3. B prü} das SchlüsselzerEfikat (Signatur von CA) und fragt ggf. bei der CA, ob der Schlüssel noch güleg ist 2. B besorgt sich den öffentlichen Chiffrierschlüssel von A, konkret: sig CA (A, c A ). Teilnehmerin A 14 c A (Nachricht an A) 4. B verschlüsselt seine Nachricht mit dem öffentlichen Chiffrierschlüssel von A. Teilnehmer B

15 Maskerade-Angriff 1/2 Alice hat Schlüsselpaar generiert und will ihn veröffentlichen. Alice -----BEGIN PGP PUBLIC KEY BLOCK----- mqgibdqyjk0rbadvpjcdvwmyotqszbt6z4/5m9mydb i+dynnyisqebxqch/rge2i30lrvrk4asx++jstylku 8LMOlYorgW+lbmsVNXeQSdmbSAUfd3d9bI/+fGwQcz 6W8lIw2zyQkfDaF7xPI7oVZUY1I7cqEfTvic003bgL suzytg1nefxqifxgukkj01o66wvmqlnxcbi2xuebka Teilnehmerin A L0ViFDNkla2aw590ZW59gf5I0eUBevSmydIaliH9Pm -----END PGP PUBLIC KEY BLOCK----- Angreifer c Alice hält c Alice zurück (blockiert Verteilung) generiert Maskerade-Angriff selbst ein Schlüsselpaar c Mask, d Mask unter falschem Namen schickt c Mask an Bert c Mask Bert besitzt jetzt nicht autheneschen Schlüssel von Alice. 15 Alice <alice@abc.de> -----BEGIN PGP PUBLIC KEY BLOCK----- OTUAoLncfli6Yit0Kqgp/N9h37uopJHbiQCVAw xbbplrdmalp22ij0darxbjlo7u7xornyv3b4m0 l4ydps/ruj9yay62bwqnmeogjanzga5t3mmgdf 7ZLp1dmFYYVYPL4xRfOJ+MF5ifb8RXaDAl+lP8 CwMBAgAKCRDhQCBhSe8dhOYYAJsEEURK2o+VsA Teilnehmer B u64hbo2wufqlwwq1yb+jad8dbra0optk7v9cne -----END PGP PUBLIC KEY BLOCK-----

16 Maskerade-Angriff 2/2 Bert will Alice eine Nachricht N schicken. c Mask (N) Angreifer: Weiterleitung verhindern entschlüsseln von c Mask (N) mit d Mask verschlüsseln von N mit c Alice c Alice (N) Alice erhält die Nachricht N. N ist verschlüsselt mit ihrem öffentlichen Schlüssel. 16 Ohne die Gewissheit über die Echtheit eines öffentlichen Schlüssels funkeoniert keine sichere asymmetrische Kryptographie. Deshalb: SchlüsselzerEfizierung

17 Symmetrische AuthenEkaEon Schutzziel: Verfälschungen erkennen (Integrität) k Schlüsselgenerierung k:=gen(z) Zufallszahl z geheimer Schlüssel k Klartext x Codieren MAC := code(x,k) MAC Message AuthenEcaEon Code Klartext x Testen? MAC = code(x,k) «ok» oder «falsch» Testergebnis und Klartext Angriffsbereich 17

18 Challenge-Response-AuthenEkaEon Frage-Antwort-Verfahren meist basierend auf symmetrischem AuthenEkaEonssystem A soll sich vor B authenesieren B A Random Generator K Challenge (Auth. Request) R K E E Response E(R,K) = 18 Angriffsbereich

19 GegenseiEge AuthenEkaEon A Berechnet Response E(R 1,K), generiert Challenge R 2 R 1 E(R 1,K), R 2 B Generiert Challenge R 1 Prü} Response E(R1,K), Generiert Response E(R 2,K) Prü} Response E(R 2,K) E(R 2,K) 19 Angriffsbereich

20 GegenseiEge AuthenEkaEon AkEver Angriff auf gegenseiege AuthenEkaEon auf der Basis symmetrischer Kryptosysteme Angreifer M maskiert sich als A, kennt K nicht A M R 1 B E(R 1,K), R 2 Berechnet Response E(R 1,K), generiert Challenge R 2 M eröffnet zweite Verbindung zu B, sendet R2 als Challenge R 2 E(R 2,K), R 3 Berechnet Response E(R 2,K), generiert Challenge R 3 M führt erste Verbindung zu B weiter: E(R 2,K) 20

21 Digitales Signatursystem Schutzziel: Zurechenbarkeit Zufallszahl Text mit Signatur und Testergebnis geheimer Bereich öffentlicher Bereich «ok» oder «falsch», sig(x) Test t Schlüssel zum Testen der Signatur, öffentlich bekannt x, sig(x) Text mit Signatur Angriffsbereich Schlüsselgenerierung s Sig Schlüssel zum Signieren, geheim gehalten Text x Vertrauensbereich des Signierers, Schlüsselgenerierung in Signierkomponente für opemalen Schutz von s 21

22 ZerEfizierung des öffentlichen Testschlüssels ZerEfizierungsstelle (CerEficaEon Authority) CA 3. B besorgt sich ggf. sig CA (A, t A ), prü} (Signatur von CA) und fragt, ob t A noch güleg ist. 1. A lässt t A, den Schlüssel zum Testen seiner Signatur, nach IdenEtätsprüfung eintragen und erhält ein SchlüsselzerEfikat sig CA (A, t A ) zurück. 2. A signiert ihre Nachricht N mit t A und schickt in manchen Systemen das ZerEfikat gleich mit. N, sig A (N), sig CA (A, t A ) Teilnehmer B Teilnehmerin A 22

23 Digitales Signatursystem mit RSA Zufallszahl Text mit Signatur und Testergebnis «ok» oder «falsch», sig(x) 23 geheimer Bereich öffentlicher Bereich x = RSA Hashwert t Schlüssel zum Testen der Signatur, öffentlich bekannt sig(x) Text mit Signatur x Angriffsbereich Schlüsselgenerierung s RSA Schlüssel zum Signieren, geheim gehalten Hashwert Text x

24 Schlüssellängen Symmetrische Systeme Vergrößerung des Schlüssels um 1 Bit Verdoppelung des Suchraums Jeder Schlüssel ist aus Sicht des Angreifers gleichwahrscheinlich. Schlüssellängen: Bit gelten als auf «absehbare Zeit» sicher. Beispiel: 56 Bit (DES) sind heute unsicher. 56 Bit Schlüssellänge 2 56 mögliche Schlüssel (ca ) Ausprobieren eines Schlüssels in angenommen 1 Nanosekunde (10-9 s) Ausprobieren aller Schlüssel: s = s = 2,28 Jahre 25

25 Schlüssellängen Asymmetrische Systeme meist Vergrößerung des Zahlenbereichs nöeg, da nur besemmte Zahlen (z.b. Primzahlen) Schlüssel sein können Schlüssellängen bei Verfahren auf Basis der Faktorisierungsannahme und des diskreten Logarithmus: Bit Schlüssellängen bei Verfahren mit ellipeschen Kurven: ab 256 Bit Wieviele Zahlen sind Primzahlen? l: Schlüssellänge Primzahlsatz: π(2 l ) = 2 l / ln(2 l ). Mit l=256 ist π(2 256 ) 6,5 * Bit Tatsächliches Problem bei asymmetrischen Systemen: Existenz subexponeneeller Algorithmen für die zahlentheoreesch zugrunde liegenden Annahmen. 26

26 Welche Schlüssellängen und Kryptoalgorithmen sind sicher? Jährlicher Algorithmenkatalog nach 17 (1) SigG des Bundesamts für die Sicherheit in der InformaEonstechnik (BSI) 27 hcps://

27 Vollständiges Durchsuchen (brute-force, exhauseve search) Angriff über Supercomputer und kün}ig Quantencomputer betriˆ nur komplexitätstheoreesch sichere Systeme Schutz gegen Supercomputer Schlüssel ausreichend lang wählen Schutz gegen Quantencomputer symmetrisch: Schlüssellänge verdoppeln auf mind. 256 Bit asymmetrisch: Hoffen auf post-quantum cryptography Key lengths Super Computer Complexity Quantum Computer nach: Bernstein, Buchmann, Dahmen: Post Quantum Cryptography. Springer, 2009 Symm. 128 Bit Bit Grover, Asymm Bit 2 2 Shor, Bit

28 Kryptographie: Anwendungsbeispiele Prof. Dr. Hannes Federrath Sicherheit in verteilten Systemen (SVS) hcp://svs.informaek.uni-hamburg.de 29

29 Visuelle Kryptographie Symmetrisches Verfahren Symmetrischer Schlüssel: Sender und Empfänger erzeugen sich Zufallsmuster aus zwei Basismustern und Visuelle Botscha}: Sender verwendet negiertes Muster für schwarze Bildpunkte Für «weiße» Bildpunkte: keine Veränderung 30 Schlüssel Klartext Schlüsseltext Empfänger

30 Visuelle Kryptographie: Demo 31

31 Vergleich: symmetrische-asymmetrische Systeme Wieviele Schlüssel müssen bei n Teilnehmern ausgetauscht werden? symmetrische Systeme: n (n-1)/2 Schlüssel asymmetrische Systeme: n Schlüssel (je System) Typische Schlüssellängen: (bei vergleichbarem Sicherheitsniveau) symmetrische Systeme: Bit asymmetrische Systeme: Bit EllipEsche Kurven: ca. 250 Bit Performance: symmetrische Systeme ver- bzw. entschlüsseln etwa um den Faktor schneller Asymmetrische Systeme: Geringere Effizienz und größere Schlüssellängen werden aufgewogen durch den stark vereinfachten Schlüsselaustausch 32

32 Hybride Kryptosysteme Vorgehensweise gewährleistet keine Forward Secrecy c B ist Langzeitschlüssel Beobachter könnte c B (k) und k(n) speichern Hat er später Zugriff auf d B (durch Einbruch bei B oder weil ihm die Faktorisierung des RSA-Moduls gelingt), dann kann er k nachträglich ermiceln und alle Nachrichten rückwirkend entschlüsseln. Forward Secrecy schützt k auch bei Kompromi erung von d B Diffie-Helmann-Schlüsselaustausch (interakev) A A möchte N an B schicken B Besorge c B Wähle k c B (k), k(n) Entschlüssle k mit d B 33 Entschlüssle N mit k

33 Fehlende Forward Secrecy A A möchte N an B schicken B Besorge c B Wähle k c B (k), k(n) Entschlüssle k mit d B Entschlüssle N mit k Forward Secrecy: verwendeter Sitzungsschlüssel k lässt sich nach Beendigung der Sitzung nicht mehr aus dem verwendeten Langzeitschlüssel c B rekonstruieren. 34 Beobachter zeichnet gesamte verschlüsselte KommunikaEon in der Hoffnung auf, später einmal d B in Erfahrung zu bringen, um rückwirkend alle Session Keys und damit alle von B empfangenen Nachrichten entschlüsseln zu können Beispiel für Verfahren mit Forward Secrecy: interakever Diffie-Hellman- Schlüsselaustausch

34 Verbindungsverschlüsselung Nicht alle Teilstrecken müssen verschlüsselt sein Wenig Kontrolle durch den Endnutzer In VermiClungsstelle liegt Klartext vor Anwendungsgebiete: Virtuelle Private Netze (VPN) Leitungsverschlüsselung in TelekommunikaEonsnetzen Rich{unkstrecken WLAN 35 Outsider Outsider verbindungsverschlüsselt Ende-zu-Ende-verschlüsselt VermiClungsstellen Betreiber Hersteller (Trojanische Pferde) Angestellte

35 Ende-zu-Ende-Verschlüsselung Verschlüsselung der Inhalte von Endgerät zu Endgerät Symmetrisch und asymmetrische Verschlüsselung möglich AdressierungsinformaEon kann nicht mit verschlüsselt werden Anwendungsgebiete: Secure Sockets Layer (SSL) Secure Shell (SSH) -Verschlüsselung mit PGP oder S/MIME 36 Outsider Outsider verbindungsverschlüsselt Ende-zu-Ende-verschlüsselt VermiClungsstellen Betreiber Hersteller (Trojanische Pferde) Angestellte

36 KombinaEon von Verbindungs- und Ende-zu-Ende-Verschlüsselung Ende-zu-Ende-Verschlüsselung allein schützt nicht die Adressierungsdaten vor Außenstehenden Zusätzliche Verbindungsverschlüsselung schützt auch Adressierungsdaten vor Außenstehenden Restproblem Verkehrsdaten Netzbetreiber kann weiterhin feststellen, wer mit wem, wann, wie lange, wo, wieviel InformaEon ausgetauscht hat 37 verbindungsverschlüsselt Ende-zu-Ende-verschlüsselt Outsider VermiClungsstellen benöegen Adressdaten können Verkehrsanalysen durchführen

37 KombinaEon von Signatur, Verschlüsselung und MAC Nachricht N Signieren Verschlüsseln MAC Nachricht N Signatur testen Entschlüsseln MAC testen enc( N, sig(n) ), mac( enc( N, sig(n) ) Sender Empfänger Angriffsbereich 38

38 SicherheitsfunkEonen nach Schichten geordnet KommunikaEonsschicht im OSI- Referenzmodell Anwendungsschicht SicherheitsfunkEon PreCy Good Privacy (PGP), S/MIME (Secure MulEpurpose Internet Mail Extensions), Secure Shell (SSH) Transportschicht Secure Sockets Layer/Transport Layer Security (SSL/TLS) VermiClungsschicht AuthenEcaEon Header (AH) zur Integritätssicherung von Datagrammen, Encapsulated Security Payload (ESP) zur Verschlüsselung von Datagrammen Schichten 1/2 Challenge Handshake Protocol (CHAP, Passwort), Encrypt Control Protocol (ECP), WiFi Protected Access (WPA) 2 39

39 Verschlüsselung in Schicht 1/2: Beispiel WLAN-Verschlüsselung Verbindungsverschlüsselung nur der KommunikaEonsabschniC zwischen Endgerät und WLAN-Router ist verschlüsselt Client Server Anwendung Anwendung Transport WLAN-Router Transport VermiClung VermiClung VermiClung 1/2 E/D Ver-/Entschl. E/D 1/2 1/2 Angriffsbereich 40

40 Verschlüsselung in VermiClungsschicht: IPSec Transportmodus Verbindungs- und Ende-zu-Ende-Verschlüsselung möglich Client Server Anwendung Anwendung Transport Router Transport VermiClung E/D E/D VermiCl. VermiClung 1/2 1/2 1/2 Angriffsbereich 41

41 Verschlüsselung in VermiClungsschicht: IPSec Transportmodus Verbindungs- und Ende-zu-Ende-Verschlüsselung möglich Client Server Anwendung Anwendung Transport Router Transport E/D E/D 1/2 Angriffsbereich 42

42 Verschlüsselung in VermiClungsschicht: IPSec Tunnelmodus Momentane Hauptanwendung: Virtuelles Privates Netz Client Server Anwendung Internet Anwendung Transport Router im Internet IP-Sec-Router im Intranet Transport E/D E/D 1/2 1/2 1/2 1/2 43 IP-in-IP-Tunnel Angriffsbereich

43 Verschlüsselung in Transportschicht: SSL/TLS Verschlüsselung von TCP-Verbindungen Beispiele: HTTPS, SMTP over SSL Client Server Anwendung Anwendung Transport E/D Router E/D Transport VermiClung VermiClung VermiClung 1/2 1/2 1/2 Angriffsbereich 46

44 Verschlüsselung in Anwendungsschicht Ende-zu-Ende-Verschlüsselung zwischen Client und Server Beispiel: Secure Shell (SSH) Client Server Anwendung E/D E/D Anwendung Transport Router Transport VermiClung VermiClung VermiClung 1/2 1/2 1/2 Angriffsbereich 47

45 Vergleich SSL IPSec Schicht 7 Schicht 4 Schicht 3 Schicht 2 Beispiel SSH SSL IPSec WLAN Komplexität meist hoch hoch gering gering Anwendungsnähe sehr hoch hoch gering gering IntegraEonsaufwand für Anwendungsentwickler sehr hoch gering hoch Für VPNs geeignet? nein bedingt ja Für paketorieneerte Dienste geeignet? Für verbindungsorieneerte Dienste geeignet? ja nein ja ja ja ja 48

46 -Verschlüsselung Unverschlüsselte -KommunikaEon SMTP (Simple Mail Transfer Protocol) POP (Post Office Protocol) IMAP (Internet Message Access Protocol) Verbindungsverschlüsselung SMTP/POP/IMAP over SSL Verschlüsselung zwischen MTAs (Mail Transfer Agents) Sicherheit von D etc. Ende-zu-Ende- -Verschlüsselung S/MIME PGP 49

47 Herkömmliche s sind unsicher Unverschlüsselte (schemaesch): Von: An: Betreff: Abendessen Hallo Bob, wollen wir uns morgen zum Abendessen treffen? Schöne Grüße, Alice Übertragung von ist unsicher Mitlesen möglich Fälschen des Absenders möglich Fälschen des Nachrichteninhalts möglich 50

48 Grundlagen der -KommunikaEon Store & Forward-Prinzip: wird nicht direkt an Empfänger, sondern über MTA (Mail Transfer Agents) geschickt Senden via SMTP: Textbasiertes Protokoll auf TCP-Port 25 Empfangen: POP, IMAP unverschlüsselt 25 SMTP SMTP POP/ IMAP Sender Server SMTP Server Empfänger Server 51

49 Verbindungsverschlüsselung SMTP/POP/IMAP over SSL Verschlüsselte Teilstrecke zwischen Sender und MTA MTA und Empfänger alle MTAs können mitlesen unverschlüsselt SMTP SMTP POP/ IMAP Sender Server SMTP Server Empfänger Server 52

50 Verbindungsverschlüsselung SMTP/POP/IMAP over SSL Verschlüsselte Teilstrecke zwischen Sender und MTA MTA und Empfänger alle MTAs können mitlesen unverschlüsselt SMTP SMTP POP/ IMAP Sender Server SMTP Server Empfänger Server 53

51 Verbindungsverschlüsselung SMTP/POP/IMAP over SSL Verschlüsselung zwischen MTAs Verschlüsselte Teilstrecke zwischen MTAs nicht alle Teilstrecken müssen verschlüsselt sein alle MTAs können mitlesen unverschlüsselt SMTP SMTP POP/ IMAP Sender Server SMTP Server Empfänger Server 54

52 Verbindungsverschlüsselung SMTP/POP/IMAP over SSL Verschlüsselung zwischen MTAs Verschlüsselte Teilstrecke zwischen MTAs nicht alle Teilstrecken müssen verschlüsselt sein alle MTAs können mitlesen unverschlüsselt SMTP SMTP POP/ IMAP Sender Server SMTP Server Empfänger Server Meldung: hcps://heise.de/

53 Verbindungsverschlüsselung Sicherheit von D etc. gleiche Sicherheit wie « Made in Germany» keine Ende-zu-Ende-Verschlüsselung Server kann mitlesen unverschlüsselt Sender D Empfänger Server 56

54 Verbindungsverschlüsselung Sicherheit von D etc. gleiche Sicherheit wie « Made in Germany» keine Ende-zu-Ende-Verschlüsselung Server kann mitlesen unverschlüsselt Sender D Empfänger Server 57

55 58 Quelle: Wikipedia

56 Ende-zu-Ende-Verschlüsselung schützt die Vertraulichkeit Ende-zu-Ende-Verschlüsselung Inhalte sind durchgehend verschlüsselt MTAs (Server) können nicht mitlesen Header (Adressen, Datum, Betreff etc.) bleiben unverschlüsselt Konkrete Ende-zu-Ende-Verschlüsselungslösungen S/MIME PGP SMTP SMTP POP/ IMAP Sender Server SMTP Server Empfänger Server 59

57 Ende-zu-Ende-Verschlüsselung schützt die Vertraulichkeit Verschlüsselte (schemaesch): Von: An: Betreff: Abendessen -----BEGIN ENCRYPTED MESSAGE----- AkRFMRcwFQYDVQQDEw5Sb2xmIFdlbmRvbHNreTEUMBI GA1UECBMLRGV1dHNjaGxhbmxEzARBgNVBAcTClJlZ2V uc2j1cmcxdzanbgnvbaotbnbaxzhddekmcigcsqgsib 3DQEJARYVcm9sZi53ZW5kxza3lAZ214LmRlMIGfMA0G CSqGSIb3DQEBAQUAA4GNABDCBiQKBgQDUVvgaQK9OQP XvgZm2bU/QqDnsbemv83gDiSuCq07S/cSMiGFjEZas6 5MZ47W951LlNLvFTjwS2fUfsZ5oAxfU+RDWb3GgijZp 5cAxTfFKQ/amaWAtmCkt1FMntRXZ393gOkSSUlWQ7Cr 6GWAYF+deC5CuWptRPpSLYRqSwIDAQABMA0GCSqGSIb 3DQEBBAUAA4GBAIGVTNbu0eOTfGuuL0MWHLfVD -----END ENCRYPTED MESSAGE

58 Signatur schützt Integrität und AuthenEzität Signierte (schemaesch): Von: An: Betreff: Abendessen -----BEGIN SIGNED MESSAGE----- Hallo Bob, wollen wir uns morgen zum Abendessen treffen? Schöne Grüße, Alice -----BEGIN SIGNATURE----- U/QqDnsbemv8p83gDiSuCq07S/cSMiGFjEZas65MZ47W 951LlNLvFTSdkjwS2fUfsZ5oAxfU+RDWb3GgijZAxTfF F+deC5CuWpRPpSLYRqSwIDAQABMA0GCSqGSIb -----END SIGNATURE

59 Konkrete Ende-zu-Ende-Verschlüsselungslösungen S/MIME (Secure MulEpurpose Internet Mail Extensions) ursprünglich von RSA Data Security Inc. S/MIME v3 im Juli 1999 als IETF-Standard verabschiedet 62 Internet Standards RFCs (und weitere) in die meisten -Clients integriert verschlüsselung und signatur One-pass processing: Die Mail ist in einem SchriC verarbeitbar, da alle benöegten Daten in die Mail selbst integriert sind PGP (PreCy Good Privacy) 1991 von Philip Zimmermann entwickelt - und Dateiverschlüsselung und signatur heute: Open PGP, GnuPG (Gnu Privacy Guard) Zahlreiche grafische Frontends erhältlich, z.b. GPA, WinPT Plugins für verschiedene Mailclients, z.b. Outlook, Thunderbird, Pegasus, KMail

60 S/MIME und PGP nutzen hybrides Verschlüsselungsverfahren A A möchte N an B schicken B Besorge c B Wähle k c B öffentlicher Schlüssel von B d B privater Schlüssel von B k symmetrischer Nachrichtenschlüssel c B d B k RSA c B (k) RSA k N AES k(n) AES N 63 c B öffentlicher Schlüssel von B d B privater Schlüssel von B k symmetrischer Nachrichtenschlüssel Entschlüssle k mit d B Entschlüssle N mit k

61 S/MIME und PGP nutzen hybrides Verschlüsselungsverfahren Hybrides Verschlüsselungsverfahren Nachrichten selbst werden symmetrisch verschlüsselt Nachrichtenschlüssel werden asymmetrisch verschlüsselt A A möchte N an B und C schicken Besorge c B Besorge c C Wähle k c B (k), c C (k), k(n) c B (k), c C (k), k(n) B Entschlüssle k mit d B Entschlüssle N mit k C 64 c i öffentlicher Schlüssel von Teilnehmer i d i privater Schlüssel von Teilnehmer i k symmetrischer Nachrichtenschlüssel Entschlüssle k mit d C Entschlüssle N mit k

62 Gnu Privacy Guard (GnuPG) hcp:// Ende-zu-Ende-Verschlüsselung schützt die Vertraulichkeit -----BEGIN PGP MESSAGE----- Version: GnuPG v1.4.8 (Darwin) hqioa2thyngsetjkeaga4i9+hpudvc95sip7xghxqxooxpeqzb7xaav84xhs1y48 wddhe4dk9kwqklyzjgw5df/pw9mzhjhi1q9jgu90ae5t5ikmcb+ejsor1yqxujmz Q7baKGRNBQhVNP/+5i3K2GuuXVeYaccYfGvF4mSAnremmbHeH0L9j6cSrGCsqQqa Vaml6/s2j1ufdPLuTF9g3i0xeQuJnv5pKv0DcTxwPR0mLBOKJUS6DDUq1lY6rviO l7km72jiz83wl6pzafwmzj4iyzq8ktpcz/fdnrz50fe34vfwzvh0lbrqdefy6gpw f6y3fnf9djukm1kyuap65x6e19fapjdantvjb2wv9xwrmpypjicf5ktxl8volctu yz6r+ps0q6c= =x END PGP MESSAGE----- Digitale Signatur schützt Integrität und AuthenEzität -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Das ist die Nachricht BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.8 (Darwin) 65 ieyearecaayfakjh9yqacgkq4uagyunvhysahqcfawrrhll9s4txeftoa6aqpryw TX4AoL7l7WQHHXPzxVG6SX9fSOAskCzn =Ebit -----END PGP SIGNATURE-----

63 Verschlüsselte Cloud-Speicher Verbindungsverschlüsselung ist heute Standard unverschlüsselt PC Cloudspeicher D1 66

64 Verschlüsselte Cloud-Speicher Ende-zu-Ende-Verschlüsselung wäre kein Problem verschlüsselt PC k Cloudspeicher D1 AES k(d1) 67

65 Verschlüsselte Cloud-Speicher Ende-zu-Ende-Verschlüsselung besser hybrid verschlüsselt PC c Cloudspeicher D1 D2 AES+RSA c(k1), k1(d1), c(k2), k2(d2) 68

66 Verschlüsselte Cloud-Speicher Usability-Aspekte Wie bekommt der Nutzer auf alle seine Geräte seine(n) Schlüssel? verschlüsselt PC c,d c Cloudspeicher D1 AES+RSA c(k1), k1(d1) Smartphone c,d d D1 AES+RSA c(k1), k1(d1) 69

67 Verschlüsselte Cloud-Speicher Usability-Aspekte Wie bekommt der Nutzer auf alle seine Geräte seine(n) Schlüssel? verschlüsselt verschlüsselt c,d Passwort PW PBKDF AES k PW k PW (d) Cloudspeicher Das Schlüsselpaar c,d wird lokal beim Nutzer erzeugt. Aus dem Passwort PW wird ein symm. Schlüssel k PW (Passwortschlüssel) abgeleitet. Mit dem Passwortschlüssel wird der private Schlüssel d verschlüsselt. Auf dem Keyserver werden abgelegt: Nutzername, c, k PW (d). D1 c,d AES+RSA c(k1), k1(d1) Keyserver Andere Geräte können sich den (verschlüsselten) privaten Schlüssel holen und nur bei Kenntnis von PW entschlüsseln. Der Betreiber des Keyservers erfährt nichts über d und alle damit verschlüsselten Schlüssel. 70

68 Verschlüsselte Cloud-Speicher Usability-Aspekte Wie bekommt der Nutzer auf alle seine Geräte seine(n) Schlüssel? verschlüsselt Passwort PW PBKDF Cloudspeicher c,d AES k PW k PW (d) Keyserver c,d D1 AES+RSA c(k1), k1(d1) 71

69 Key Recovery und Key Escrow Key Recovery Hinterlegung des Entschlüsselungsschlüssels zum Zweck der Entschlüsselbarkeit bei Schlüsselverlust. Schwellwertschema: Schlüssel wird in n+k Teile zerlegt. Zur RekonstrukEon werden wenigstens n Teile benöegt. Key Escrow Hinterlegung des Entschlüsselungsschlüssels zum Zweck der Strafverfolgung. so dass alle Nachrichten ab einem besemmten Zeitpunkt entschlüsselt werden können so dass Nachrichten auch rückwirkend entschlüsselt werden können Beachte Signaturschlüssel müssen nie hinterlegt werden, da eine Signatur stets testbar bleibt. Bei Verlust des Signierschlüssels: neuen erzeugen. 73

70 Key Recovery Schutz der KommunikaEon LangfrisEge Speicherung Verschlüsselung Key Recovery Key Recovery Authen- EkaEon symmetrisch (MACs) für FunkEon unnöeg, aber sinnvoll asymmetrisch (dig. Signatur) zusätzliches Sicherheitsrisiko 74