Verlässliche Verteilte Systeme 1. Prof. Dr. Felix Gärtner. Basiswissen Kryptographie

Transkript

1 Verlässliche Verteilte Systeme 1 Angewandte IT Robustheit und IT Sicherheit Vorlesung im Wintersemester 2004/2005 Prof. Dr. Felix Gärtner Basiswissen Kryptographie Lehr und Forschungsgebiet Informatik 4, RWTH Aachen, 1

2 Ankündigungen Frohe Weihnachten: Vorlesung am Donnerstag, 23. Dezember findet nicht statt Erste Vorlesung im neuen Jahr am Dienstag, 11. Januar

3 Übersicht Kryptographie ist eines der Hauptwerkzeuge in der IT Sicherheit Mit Kryptographie kann man erreichen: Schutz von Geheimnissen Verhinderung von Manipulationen Zurechenbarkeit von Handlungen Heute: Alles, was man als Experte im Bereich IT Sicherheit über Kryptographie wissen muss, um mitreden zu können Vertiefung: Vorlesungen zum Thema von Prof. Mathar und Dr. Unger Bücher, insbesondere das exzellente Handbook of Applied Cryptography von Manezes, van Oorschot und Vanstone komplett online unter: 3

4 Basiswissen Kryptographie Klassifikation kryptographischer Techniken Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Kryptographische Hashfunktionen Zero Knowledge Proofs 4

5 Kryptographie Kryptographie: Wissenschaft von der Verschlüsselung und Verschleierung von Informationen Kryptologie = Kryptographie + Kryptoanalyse Wesentliche Ziele von Kryptographie: Vertraulichkeit von Informationen gewährleisten Integrität von Informationen gewährleisten Komponenten: Klartext Chiffretext (Geheimtext) Fingerprint (Message Digest, Hash) kryptographischer Algorithmus Schlüssel Prinzip: Die Sicherheit eines kryptographischen Systems steckt vollständig im Schlüssel 5

6 Kryptographische Werkzeuge Verschlüsselungsalgorithmen: Klartext in Chiffretext umwandeln und umgekehrt Nur Kenntnis eines Schlüssels sollte eine der Operationen ermöglichen Chiffretext soll nichts über Klartext verraten Ziel: Geheimhaltung Kryptographische Hashfunktionen (Einwegfunktionen): Kann beliebige Dateien abbilden auf eine kurze Checksumme (Hash, fingerprint) Zu einer gegebenen Nachricht mit Hash ist es schwer, eine andere Nachricht mit gleichem Hash zu konstruieren Ziel: Integrität Beide Werkzeuge können verwendet werden, um jemanden zu überzeugen, dass man ein Geheimnis kennt Verwendung zur Authentifikation 6

7 Basiswissen Kryptographie Klassifikation kryptographischer Techniken Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Kryptographische Hashfunktionen Zero Knowledge Proofs 7

8 Prinzip symmetrischer Verschlüsselung Sender, Klartext, Chiffretext, Empfänger Blockchiffren vs. Stromchiffren 8

9 Schlüssellänge und brute force Angriffe Kryptographischer Algorithmus ist bekannt Möglicher Angriff: Ausprobieren aller möglichen Schlüssel und schauen, ob etwas sinnvolles rauskommt Schlüssel: Folge von Bits Bei 56 Bits hat man 256 verschiedene Schlüssel Wenn man eine Milliarde Schlüssel pro Sekunde ausprobieren könnte (geht heute), braucht man weniger als 834 Tage Mit jedem zuätzlichem Bit verdoppelt sich die Anzahl der möglichen Schlüssel Wenn Schlüssellänge groß genug: Angriff wird unmöglich Verfahren ist gegen brute force Angriffe sicher 9

10 Sicherheit symmetrischer Verfahren Basiert auf: Vertraulichkeit des Schlüssels Der Schwierigkeit herauszufinden, welcher Schlüssel verwendet wurde Der Schwierigkeit, den verwendeten Algorithmus zu invertieren (ihn zu brechen) Systemsicherheit (Implementierung des Algorithmus) Sicherheit eines Algorithmus kann nie bewiesen werden Veröffentlichte Algorithmen, die von vielen Experten analysiert und bisher nicht gebrochen wurden, gelten als sicher Neu entwickelte Verfahren sollten gemieden werden Insbesondere solche, die unveröffentlicht sind und deutlich sicherer sind als alle bisher verwendeten Algorithmen 10

11 Schlüssellänge und Sicherheit Schlüssellänge von 56 Bits galt bis 1990 als ausreichend Standardverfahren DES galt damals als sicher DES Schlüssel können heute innerhalb weniger Tage (mit größerem Aufwand) geknackt werden (brute force) Heutige Verfahren benutzen mindestens 128 Bit Auch wenn man Schlüssel pro Sekunde ausprobieren könnte, bräuchte man 108 Millionen Jahre 128 Bit sind sicher genug Neue Verfahren bieten 192 oder 256 Bit an Nützt zum Beispiel etwas, falls eine Schwäche des Verfahrens erlauben würde, die Hälfte der Schlüsselbits einfach so herauszubekommen Ansonsten: 256 Bits nicht deutlich sicherer als 128 Bit 11

12 Symmetrische Verfahren Geordnet nach zunehmender Stärke: DES (Blockchiffre, Schlüssellänge 56 Bit) US Standard von 1977, widersteht echten Angriffen nicht Triple DES (Blockchiffre, 168 Bit) Dreifache Anwendung von DES, verwendet im Finanzsektor IDEA (Blockchiffre, 128 Bit) Veröffentlicht 1990, wird in PGP verwendet, patentiert Blowfish (Blockchiffre, Bit) optimiert für Hardware, von Bruce Schneier RC4 (Stromchiffre, Bit) entwickelt von Ron Rivest RC2 (Blockchiffre, Bit) entwickelt von Ron Rivest AES (Rijndael, Blockchiffre, Bit) neuer internationaler Standard ab 2000 entwickelt von Joan Daemen und Vincent Rijmen (damals in Leuven) Generell sind RC2 und AES erste Wahl 12

13 Basiswissen Kryptographie Klassifikation kryptographischer Techniken Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Kryptographische Hashfunktionen Zero Knowledge Proofs 13

14 Prinzip asymmetrischer Verschlüsselung Verschlüsselung und Signierung 14

15 Prinzipielle Probleme Idee 1975 veröffentlicht von Whitfield Diffie und Martin Hellman Sicherheit basiert auf der Schwierigkeit, bestimmte mathematische Probleme zu lösen Beispiel: große Zahlen in Primfaktoren zu zerlegen, oder diskrete Logarithmen zu berechnen Wird das jeweilige Problem gelöst, wird der Algorithmus sofort unsicher Deutlich größere Schlüssellängen nötig 15

16 Asymmetrische Algorithmen Diffie Hellman Schlüsseltausch eigentlich kein Verschlüsselungsalgorithmus erlaubt es, zwei Parteien über einen unsicheren Kanal ein gemeinsames Geheimnis zu erzeugen DSA/DSS (Digital Signature Standard) US Standard für digitale Signaturen, entwickelt von der NSA Schlüssellänge Bit RSA bekanntestes Verfahren, 1977 vorgestellt von Rivest, Shamir und Adleman, Schlüssellänge beliebig kann zum Verschlüsseln und für digitale Signaturen verwendet werden Elliptische Kurven basieren auf anderen mathematischen Problemen, dadurch kürzere Schlüssellängen möglich können effizient in Hardware berechnet werden 16

17 Symmetrisch vs. Asymmetrisch Probleme symmetrischer Verschlüsselung: Es muss vorher ein Schlüssel ausgetauscht werden (auf einem sicheren Kanal). Das kann in der Praxis schwierig sein. Es gibt zwei Kopien des Schlüssels (je einer bei jeder Partei). Wenn eine Partei kompromittiert wurde, ist auch der Schlüssel der anderen Partei kompromittiert. Kann also nicht für digitale Signaturen benutzt werden Pro Paar von Parteien benötigt man ein eigenes Schlüsselpaar bei N Parteien, O(N 2 ) Schlüssel Probleme bei asymmetrischer Verschlüsselung: ist etwa 1000 Mal langsamer als symmetrische Verschlüsselung man muss die Echtheit des Schlüssels überprüfen 17

18 Hybride Verfahren In der Praxis: hybride Verfahren (z.b. in PGP) Verschlüsselung eines session key per asymmetrischem Verfahren Verschlüsselung der Nachricht mit symmetrischem Verfahren und session key 18

19 Basiswissen Kryptographie Klassifikation kryptographischer Techniken Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Kryptographische Hashfunktionen Zero Knowledge Proofs 19

20 Prinzip von Hashfunktionen 20

21 Eigenschaften von Hashfunktionen Erzeugen einen kleinen Hash (fingerprint, message digest) beliebig großer Nachrichten Erwünschte Eigenschaften: Jedes Bit im Output sollte von jedem Bit im Input beeinflusst werden können Wenn man ein Bit im Input ändert, sollte jedes Bit im Output mit Wahrscheinlichkeit 0.5 kippen oder nicht Gegeben ein Input und ein Hash sollte es unmöglich sein, einen zweiten (unterschiedlichen) Input zu finden, der den gleichen Hash hat sogenannte Einwegfunktion 21

22 Verwendung von Hashfunktionen Können kleine Modifikationen in großen Dateien effizient erkennen Hashfunktionen sind effizienter berechenbar als normale symmetrische Verschlüsselungsverfahren, haben aber vergleichbare kryptographische Eigenschaften Es gibt keine Patente oder Exportrestriktionen auf den bekannten Hashfunktionen Können verwendet werden, um ein Passwort in einen zufälligen Schlüssel zu verwandeln Verwendung zur Authentifizierung Message Authentication Codes (MACs): später 22

23 Populäre Hashfunktionen MD2 (Länge des Hashs: 128 Bit) von Ron Rivest, sehr langsam MD4 (128 Bit) schnelle Variante von MD2, aber mit Schwächen MD5 (128 Bit) Modifikation von MD4, sehr populär, heute in der Kritik SHA (160 Bit) original Teil des DSS, aber schnell für ungültig erklärt SHA 1 (160 Bit) überarbeitetes SHA, unklar ob sicherer als SHA SHA 256, SHA 384, SHA 512 (SHA x = x Bit Hashlänge) seit 2001 Teil des neuen US Standards (mit AES) 23

24 Schlüsselabhängige Hashfunktionen Hashwert hängt zusätzlich von einen (geheimen) Schlüssel ab Einfachster Ansatz: Hashwert berechnen auf Konkatenation von Nachricht und Schlüssel Einsatz, um Integrität und Authentizität einer Nachricht zu prüfen: Hash bei Verwendung eines geheimen Schlüssels berechnen Datei mit Hash verschicken Empfänger prüft (mit Kenntnis des Schlüssels) den Hash Man kann auch beliebige symmetrische Blockchiffren als Einwegfunktionen benutzen Spezieller Trick: cipher feedback mode (Hash des i ten Blocks geht ein in die Verschlüsselung des i+1 ten Blocks) 24

25 Basiswissen Kryptographie Klassifikation kryptographischer Techniken Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Kryptographische Hashfunktionen Zero Knowledge Proofs 25

26 Ali Babas seltsame Höhle 26

27 Die Story Ali Baba wird täglich auf dem Basar beraubt, verfolgt die Diebe jeweils in eine Höhle mit zwei Sackgassen, wählt aber zufällig immer den falschen Weg Nach dem 40. Misserfolg denkt Ali: Da stimmt irgendetwas nicht! Die 40 Diebe hatten entweder wahnsinniges Glück, oder es muss ein Geheimnis geben. Tats ä chlich: Es gibt ein geheimes Passwort, welches die Höhle zu einem Kreis erweitert. Ali Baba ändert dieses Passwort und behauptet nun öffentlich, er kenne es. 27

28 Die Story (Forts.) Ali kann es Dir beweisen, ohne das Passwort zu verraten: Ali läuft vor in die Höhle, Du kommst später nach bis an die Weggabelung. Dann wirfst Du eine Münze und je nach Ausgang des Münzwurfs rufst Du: "Komm links heraus" oder "Komm rechts heraus" Behauptung: Wenn Ali das Geheimnis weiss, dann wird er immer aus der geforderten Richtung ankommen. Wenn er es nicht weiss, besteht die 50%ige Chance, dass er auffliegt. Führe das Protokoll so lange durch, bis Du überzeugt bist (z.b. 40 Mal) 28

29 Zero Knowledge Proofs (ZKPs) Man kann beweisen, dass man ein Geheimnis weiss, ohne das Geheimnis zu verraten Prinzip der Ali Baba Höhle verallgemeinerbar auf beliebige Geheimnisse ZKPs können zur Authentifikation eingesetzt werden Speicheraufwand größer als bei asymmetrischen Verfahren Protokolle aufwändiger als bei asymmetrischen Verfahren (mehr Protokollrunden) eigentliche Arithmetik leichter als bei asymmetrischen Verfahren, dennoch ungeeignet für kleine Systeme (Chipkarten) Quelle der Ali Baba Geschichte: Quisquater, Guillou, Berson: How to Explain Zero Knowledge Protocols to Your Children, CRYPTO

30 Zusammenfassung und Ausblick Kryptographische Werkzeuge: symmetrische und asymmetrische Verschlüsselung Fingerprints (message digests) Digitale Signaturen und MACs Grosse Fortschritte in den Techniken seit einiger Zeit Sicherheit endet aber nicht mit Kryptographie: Implementierung wichtig (sichere Programmierung) Kontext wichtig (Kommunikationsendpunkte sichern) Heute ist Kryptographie nicht mehr die Haupt Schwachstelle von Sicherheitslösungen Als Angreifer kommt man schneller zum Ziel, wenn man woanders ansetzt Dennoch: Beim Einsatz von Kryptographie aufpassen Für Standardprobleme auch Standardprotokolle verwenden 30