Kryptografie. Skript zur Vorlesung. Prof. Dr. Nils Martini

Transkript

1 Kryptografie Skript zur Vorlesung Prof. Dr. Nils Martini Hochschule für Angewandte Wissenschaften Hamburg,

2 INHALTSVERZEICHNIS 1 Inhaltsverzeichnis 1 Grundlagen 2 2 Symmetrische Verschlüsselung Einfache Verfahren Polyalphabetische Substitutionen Moderne symmetrische Verfahren Data Encryption Standard DES Alternativen zu DES Operationsmodi Asymmetrische Verfahren RSA-Algorithmus Primzahlen Finden großer Primzahlen Primzahl-Faktorisierung weitere asymmetrische Verschlüsselungs- und Signaturverfahren Public Key Cryptography Standards (PKCS) Hash-Funktionen 10 6 Authentifizierung Vertrauensmodelle Zertifikat X Schlüsselaustausch Secret Sharing (k,n)-schwellwertverfahren Secret Sharing mit CRT Kryptografie in Anwendungen Verschlüsselung auf unteren OSI-Schichten IPSecure SSL (Secure Socket Layer) Verschlüsselung in Anwendungen

3 1 GRUNDLAGEN 2 1 Grundlagen Kryptografie: Lehre vom Verschlüsseln von Nachrichten bis vor wenigen Jahren waren kryptografische Verfahren zur Geheimhaltung einer Kommunikation nur im militärischen und diplomatischen Bereich von Bedeutung durch die zunehmende Verbreitung elektronischer Kommunikationssysteme sind sie heute zunehmend auch im ökonomischen und privaten Bereich immer wichtiger ohne einfach anzuwendende sichere Verschlüsselung und Authentifizierung wird sich der kommerzielle Bereich des Internets kaum weiterentwickeln außer der reinen Geheimhaltung von Informationen, ist auch die Authentifizierung eines Benutzers (Verbindlichkeit von Bestellungen) ein weiteres wichtiges Anwendungsgebiet wozu Verschlüsselung? die Datenübertragung im Internet ist ASCII-basiert (d.h. Postkarte statt Brief) es gibt viele Zwischenstationen beim Datentransfer Authentizität bei ist nicht gewährleistet Verfälschung/Diebstahl von Nachrichten Wirtschaftsspionage auf privater Ebene: Käuferprofil und: Schutz der Privatsphäre ist ein Grundrecht Anwendungen im Internet s World Wide Web (Datenbankzugriffe, Systemadministration, kommerzielle Anwendungen, Intranet usw.) Client-Server-Programme VPN Online-Banking Remote Access 2 Symmetrische Verschlüsselung Zur Verschlüsselung wird ein mathematisches Verfahren (Chiffre) angewendet, um eine Nachricht (Klartext) in ein zufälliges Muster (Chiffretext) umzuwandeln zusätzlich: Verwendung von Schlüsseln gute Verschlüsselungsalgorithmen sind öffentlich bekannt und beziehen ihre Sicherheit nur aus dem geheimen Schlüssel Kryptoanalyse ( Knacken von Chiffretexten): Ciphertext-Only (nur der Chiffretext ist bekannt) Known-Plaintext (Klar- und Chiffretext sind bekannt, daraus Ableitung des Schlüssels) Chosen-Plaintext (Chiffretext ist bekannt, Chiffrier-Versuche mit wahrscheinlichem Klartext) 2.1 Einfache Verfahren Kodewörter jede Nachricht entspricht einem Kodewort Vorteil: sehr einfach und bis zum ersten Einsatz absolut sicher

4 2 SYMMETRISCHE VERSCHLÜSSELUNG 3 Nachteil: nur wenige Nachrichten können kodiert werden, leichtes Erraten beim wiederholten Einsatz Caesar-Chiffre einfachste Form einer Substitutions-Chiffre Ersetzen oder Vertauschen der Buchstaben mathematisch ausgedrückt: diese Operation ist die Addition modulo der Mächtigkeit des Alphabets (n=26) a+s mod n mit a: Klartextzeichen, s: Schlüssel die Dechiffrierung erfolgt mit c s mod n mit c: Chiffretext-Zeichen Analyse: Brute-Force (ausprobieren) oder Häufigkeitsanalyse weitere Form der Substitutionschiffre: Freimaurer-Chiffre allgemeine Substitutionen beliebiges (nicht arithmetisch beschreibbares) Vertauschen der Buchstaben Vorteil: Schlüsselraum gleich n! die Häufigkeitsanalyse muss für jeden Buchstaben des Chiffretextes erfolgen Kryptoanalyse einfacher Substitutionen Brute-Force nur bei arithmetischen Verfahren Ausnutzung der Redundanz einer Sprache: relative Buchstaben-Häufigkeit Bigramme und Trigramme bekannte Wortgrenzen bzw. häufige Wortendungen mögliche Nachbarzeichen von Vokalen und Konsonanten Multiplikative Chiffren jedes Klartextzeichen m wird mit dem Schlüssel t multipliziert: c m t mod n Bedingung: ggt(t,n) = 1 da das Inverse zu t modulo n existieren muss, um die Verschlüsselung rückgängig machen zu können da für t nur Werte t < n 1 betrachtet werden müssen, ist der Schlüsselraum sehr klein Affine Chiffren Addition und Multiplikation werden bei affinen Chiffren kombiniert: c m t+k mod n Permutations-Chiffren Buchstaben werden nicht ersetzt sondern nur vertauscht Permutations-Ciffren gehören zu den ältesten Verschlüsselungsverfahren sie sind mechanisch einfach umsetzbar, da sie oft mit geometrischen Figuren beschrieben werden Beispiel: Skytala (Griechenland, 400 v.chr.; Papyrusstreifen wird um einen Zylinder gewickelt und zeilenweise parallel zur Zylinderachse beschrieben) Prinzip: zeilenweises Eintragen des Klartextes in eine Matrix, spaltenweises Auslesen der Matrix ergibt den Chiffretext Einfache Analyse: originale Buchstaben bleiben erhalten, Versuch Bi- und Trigramme zu finden, ausprobieren Vergrößerung des Schlüsselraumes durch zusätzliches Vertauschen der Spalten Permutationen lassen sich durch Schlüssel beschreiben: Zeichen 1 auf Position 4, Zeichen 2 auf Position 9 usw.

5 2 SYMMETRISCHE VERSCHLÜSSELUNG 4 wird auch als Block-Transposition bezeichnet gute Verschlüsselung, wenn Spalten-Permutation, Vertauschen der Spalten und Block- Transposition der Zeilen zusammen verwendet werden Schlüssel haben keine gute Wirkung, wenn Bi- und Trigramme nicht gut getrennt werden reine Permutation hat heute keine praktische Bedeutung mehr homophone Substitutions-Chiffren Nachteil einfacher Substitutionen: statistische Eigenschaften des Klartextes sind im Chiffretext enthalten solche charakteristischen Verteilungen eines Textes lassen sich vermeiden, wenn jedem Klartextzeichen unterschiedliche Chiffrezeichen zugeordnet werden Nachteil: Expansion des Chiffretextes historisches Beispiel: Beale-Chiffre, bei der bis heute nur ein Teil des Chiffretextes mittels der amerikanischen Unabhängigkeitserklärung entschlüsselt werden konnte homophone Substitutions-Chiffren sind zwar sehr sicher aber auch sehr unhandlich 2.2 Polyalphabetische Substitutionen Bei polyalphabetischen Substitutions-Chiffren werden mehrere einfache Substitutionen verwendet die Reihenfolge und Auswahl der Substitutionen hängen vom Schlüssel ab Nachteile einfacher oder homophoner Chiffren werden vermieden Vigenère-Chiffre die Substitution erfolgt additiv mittels eines Schlüsselwortes die Buchstabenposition (A=0, B=1, C=2,... Z=25) des Schlüsselwortes wird auf den Klartext addiert prinzipiell setzt sich die Vigenère-Chiffre aus mehreren Caesar-Chiffren zusammen Analyse: finden der Schlüssellänge und brechen der entsprechenden Anzahl von Caesar- Chiffren; sind Teile des Schlüssels bekannt, lässt sich der Schlüssel auch direkt ableiten Hill-Chiffre zur Verschlüsselung wird eine d d-schlüsselmatrix A mit einem Klartextvektor m (der Länge d) multipliziert: c = m A wobei zu A eine inverse Matrix A 1 existieren muss die Dechiffrierung: m = c A 1 die Kryptoanalyse (Ciphertext only) ist sehr schwer sind jedoch einige Klartext- und die zugehörigen Chiffretextblöcke bekannt, kann leicht der Schlüssel bestimmt werden: A = M 1 C mit M und C als Matrizen aus mehreren bekannten Klartext- und dazugehörigen Chiffretextblöcken Vernam-Chiffre je länger der Schlüssel einer Vigenère-Chiffre ist, desto schwieriger wird die Analyse bei der Vernam-Chiffre ist der Schlüssel genauso lang wie der Klartext Analyse: sehr schwierig; besteht der Schlüssel aus einem sinnvollen Wort kann eine Häufigkeitsanalyse erfolgreich sein One-Time-Pad ist der Schlüssel einer Vernam-Chiffre vollkommen zufällig gewählt, ist keine Analyse möglich wird der Schlüssel nur einmal (one-time) verwendet, besteht absolute Sicherheit bei Binärdaten: die Addition entspricht einer XOR-Verknüpfung

6 3 MODERNE SYMMETRISCHE VERFAHREN 5 Nachteile: extrem langer Schlüssel, problematischer Schlüsselaustausch, Erzeugung wirklich zufälliger Schlüssel Rotor-Chiffren historisch wichtigste Anwendung: Enigma-Maschine Prinzip: runde Scheibe mit 26 Metallkontakten auf jeder Seite je zwei Kontakte sind miteinander verdrahtet Verwendung von drei drehbaren Scheiben, die wie ein Tacho verbunden sind je nach Stellung der Rotoren leuchtet nach Drücken einer Taste eine Lampe zusätzlich wird nach jedem Tastendruck Rotor 1 um einen Schritt weitergedreht dadurch entsteht ein polyalphabetisches Substitutionsverfahren mit 26 3 Schlüsseln bei der Enigma-Maschine wird eine vierte Scheibe (der Reflektor) verwendet, bei der die Kontakte nur auf einer Seite liegen; jeder Rotor wird somit zweimal durchlaufen die militärische Version enthielt zusätzlich ein Steckerbrett zwischen Tastatur und Rotoren bzw. zwischen Rotoren und Anzeige (weitere Substitutionen) Parameter für den Schlüssel der Enigma: Typ der Rotoren Anordnung der Rotoren Anfangsstellung der Rotoren Verdrahtung des Steckerbretts Kryptoanalyse der Enigma die Verdrahtung war durch Spionage und Known-Plaintext-Attacken bereits in den 30er-Jahren prinzipiell bekannt ursprünglich wurde die Anfangsposition der Rotoren am Beginn einer Nachricht gesendet durch zu kurze (militärische stereotype) Nachrichten drehte sich oft nur der erste Rotor Known-Plaintext-Attacken durch den Reflektor wird kein Buchstabe auf sich selbst abgebildet 3 Moderne symmetrische Verfahren 3.1 Data Encryption Standard DES DES wurde Anfang der 70er-Jahre von IBM entwickelt, 1977 standardisiert und ist seitdem das verbreitetste Verschlüsselungsverfahren Verschlüsselung von Klartext-Blöcken der Länge 64 Bit jeder Klartextblock wird in einen gleichgroßen Chiffretext-Block umgewandelt Schlüssellänge 64 Bit (praktisch nur 56 Bit) DES verwendet nur einfache Grundfunktionen: XOR-Verknüpfung Permutation Substitution die 16-fache Kombination dieser Bestandteile ergibt ein sehr sicheres Verfahren Funktionsweise von DES Eingangspermutation des 64-Bit-Blocks

7 3 MODERNE SYMMETRISCHE VERFAHREN 6 Zerlegung des Ergebnisses in zwei 32-Bit-Blöcke (L und R) Block L wird mit einer Funktion F bearbeitet und anschließend mit R XOR-verknüpft das alte L wird zum neuen R und der Vorgang 16mal wiederholt nach diesen 16 Runden wird der resultierende 64-Bit-Block mit der inversen Eingangspermutation bearbeitet der wichtigste Vorgang ist die Funktion F, in die in jeder Runde ein Teil des Schlüssels eingeht die Funktion F diese Funktion verknüpft einen 32-Bit-Block mit einem Teilschlüssel zunächst Permutation des 32-Bit-Blocks und durch doppelte Verwendung einiger Bits Expansion auf 48 Bit dieser Block wird mit 48 Bits des Schlüssels XOR-verknüpft Zerlegung des resultierenden 48-Bit-Blocks in acht 6er-Blöcke die Bits jedes 6er-Blocks werden zur Auswahl eines 4-Bit-Wertes aus einer festen Tabelle (sog. S-Box) verwendet die acht 4-Bit-Zahlen ergeben wieder einen 32-Bit-Block, der einer weiteren festen Permutation unterzogen wird die Schlüsseltransformation von DES jedes achte Bit des Schlüssels wird entfernt (Paritätsbits zur Fehlerüberprüfung) die verbleibenden 56 Bit werden permutiert Teilung in zwei 28-Bit-Hälften von den 56 Bits werden nach festem Schema 48 ausgewählt Verschiebung der 28-Bit-Hälften in jeder Runde um ein oder zwei Schritte, sodass insgesamt 28 Verschiebungen in den 16 Runden durchgeführt werden De-Chiffrierung von DES erfolgt in der umgekehrten Reihenfolge der Verschlüsselung Sicherheit von DES trotz Offenlegung und prinzipieller Einfachheit des Verfahrens und der kurzen Schlüssel: sehr sicheres Verfahren seit 1997 waren einige Known-Plaintext-Attacken erfolgreich es gibt schwache Schlüssel 3.2 Alternativen zu DES Double-DES: zweifache Anwendung von DES mit zwei verschiedenen Schlüsseln Triple-DES: dreifache Anwendung mit zwei Schlüsseln IDEA (Intern. Data Encryption Standard) Designkriterien ähnlich wie bei DES: relativ einfache Grundfunktionen, die in 8 Runden auf 64-Bit-Klartextblöcke angewendet werden (Addition (mod 2 16 ), Multiplikation (mod =), XOR-Verknüpfungen) Schlüssellänge: 128 Bit die Entschlüsselung erfolgt in umgekehrter Reihenfolge wie beim Verschlüsseln Sicherheit: sehr hoch, aber IDEA ist noch nicht so ausführlich untersucht wie DES RC2 (Rivest Cipher) variable Schlüssellänge (Schlüsselraum bis ) Block-Chiffre, jedoch ohne S-Boxen

8 4 ASYMMETRISCHE VERFAHREN 7 Verfahren wurde bis vor kurzem geheim gehalten die internationale Version war aufgrund der US-Waffenexportbeschränkungen auf 40 Bit eingeschränkt (wird z.b. in S/MIME verwendet) Varianten RC4, RC5, RC6 Skipjack von der NSA Ende der 80er-Jahre entwickelt Verschlüsselungsverfahren für den Clipper-Chip erst nach dem Scheitern des Clipper-Projekts 1998 veröffentlicht Block-Chiffre mit 80-Bit-Schlüssel und 32 Runden AES (Advanced Encryption Standard) neuestes Verfahren als Ersatz für DES Block-Chiffre mit 10 Runden (Rijndael-Algorithmus) Schlüssellänge 128, 192, 256 Bit Strom-Chiffre RC4 RC4 ist im Prinzip ein Pseudozufallsgenerator, der mit einem Startwert (Seed) initialisiert wird der Seed wird aus dem Schlüssel generiert die erzeugte Zufallszahlenfolge wird mit dem Klartext XOR-verknüpft Vorteil einer Stromchiffre: im Gegensatz zur Blockchiffre können kleine Datenmengen (z.b. ein einziges Klartextzeichen) verschlüselt werden 3.3 Operationsmodi ein Operationsmodus soll die Handhabung einer Chiffre in Bezug auf die Anwendung verbessern Op-Modus ECB (Electronic Code Book) Op-Modus CBC (Chiper Block Chaining) Op-Modus CFB (Cipher FeedBack) 4 Asymmetrische Verfahren prinzipieller Nachteil symmetrischer Verfahren: die gesicherte Schlüsselübertragung asymmetrische Verfahren vermeiden dieses Problem, indem die Nachricht mit einem Schlüssel chiffriert und mit einem zweiten dechiffriert wird Prinzip von Public-Key-Verfahren: die Nachricht wird mit einem öffentlich bekannten Schlüssel verschlüsselt sie kann nur noch mit dem zugehörigen geheimen (privaten) Schlüssel dechiffriert werden weiterer Vorteil: diese Verfahren eignen sich für eine digitale Signatur (Authentifizierung) Problem: die Authentizität des öffentlichen Schlüssels in Verschlüsselungs-Software wird meistens kein rein asymmetrisches Verfahren benutzt, da diese Verfahren sehr langsam sind asymmetrische Verfahren basieren auf mathematischen Algorithmen, bei denen die Hin-Rechnung schnell ist, die Rück-Rechnung aber extrem aufwändig sie werden daher auch als Falltür- bzw. Einweg-Verfahren bezeichnet

9 4 ASYMMETRISCHE VERFAHREN RSA-Algorithmus RSA (benannt nach den Anfangsbuchstaben der Entwickler) ist ein asymmetrisches Verfahren, das auch für digitale Signaturen verwendet wird es basiert auf einigen zahlentheoretischen Grundlagen (Satz von Euler) und Gesetzmäßigkeiten der Modulo-Rechnung Satz von Euler: a ϕ(n) mod n 1 mit a und n als natürliche teilerfremde Zahlen (ggt(a,n) = 1) und ϕ(n) als Anzahl der zu n teilerfremden Zahlen kleiner als n ist n eine Primzahl, gilt ϕ(n) = n 1 ist n das Produkt zweier Primzahlen p und q (n = p q) gilt: ϕ(n) = (p 1)(q 1) Berechnung der Schlüssel e d 1 mod ϕ(n) mit n = p q (Primzahlen) und ggt(e,ϕ(n)) = 1 die Zahl e wird entsprechend der Vorgabe gewählt und d lässt sich daraus mit dem Euklidischen Algorithmus berechnen der öffentliche Schlüssel besteht aus e und n d ist der private Schlüssel die Sicherheit des Verfahrens beruht darauf, dass zwar e und n bekannt sind, aber damit allein d nicht berechnet werden kann dies gelingt nur mit p und q, die aber mit keinem mathematischen Verfahren nur aus n bestimmbar sind da Brute-Force-Attacken bei zu kleinem n erfolgreich sein können, müssen die Schlüssel bei asymmetrischen Verfahren erheblich länger sein als bei symmetrischen (heute mindenstens 1024 Bit) Chiffrierung mit RSA mit den Zahlen e, n und d erfolgt direkt die Ver- und Entschlüsselung sei m der Klartext (m < n) so wird daraus die chiffrierte Nachricht c: c m e mod n die Entschlüsselung erfolgt mit: m c d mod n Kryptoanalyse von RSA vollständige Schlüsselsuche schon bei 256 Bit praktisch unmöglich Public-Key-Only-Attacke: Versuch der Faktorisierung von n Low-Exponent-Attacke: viele RSA-Implementierungen verwenden standardmäßig nur e = 3 oder e = 17 wodurch RSA unsicherer wird Seitenkanalangriffe, Reaktionsattacken (z.b. durch die Datenaufbereitung in PKCS#1 ) spezielle Angriffe gegen RSA-Software Nachteil von RSA: die Ver- bzw. Entschlüsselung ist ca. um den Faktor 1000 langsamer als bei DES in der Praxis werden daher hybride Verfahren eingesetzt, die nur einen Sitzungsschlüssel asymmetrisch verschlüsseln und die Daten selbst mit einem symmetrischen Verfahren übertragen

10 4 ASYMMETRISCHE VERFAHREN Primzahlen Finden großer Primzahlen Probedivision Sieb des Eratosthenes Fermat-Test: Ist n eine Primzahl so gilt a n 1 1 mod n allerdings sagt der Satz nur aus, dass dies für Primzahlen grundsätzlich gilt, schließt andererseits aber nicht aus, dass es auch für einige zusammengesetzte Zahlen gilt Miller-Rabin-Test Fermat und Miller-Rabin sind sog. probabilistische Primzahltests, die nur mit einer gewissen Wahrscheinlichkeit eine Primzahl bestimmen deterministische Verfahren (wie z.b. AKS) bestimmen mit Sicherheit, ob eine Zahl prim ist, sind aber sehr aufwändig Primzahl-Faktorisierung Probedivision Fermat-Methode (p-1)-methode 4.3 weitere asymmetrische Verschlüsselungs- und Signaturverfahren Diffie-Hellman-Schlüsselaustausch: das Diffie-Hellman-Verfahren ist eine Alternative zu RSA für hybride Verfahren es handelt sich hierbei nur um ein Verfahren für den Schlüsselaustausch es erfolgt keine Verschlüsselung der Daten das Verfahren basiert auf einer Falltür-Funktion: diskreter Logarithmus (Modulo-Logarithmus) a x mod n aus a, x und n lässt sich leicht b bestimmen, aber aus a,b und n ist es bei großen Zahlen fast unmöglich x zu berechnen ElGamal-Verfahren eine Verallgemeinerung von Diffie-Hellman, die sich auch zum Verschlüsseln eignet Verschlüsselung: c a y m mod p mit m als Klartext und a y als DH-Schlüssel Entschlüsselung: m b p 1 x c mod p mit c als Chiffretext und b x als DH-Schlüssel bei ElGamal muss für jede Nachricht m ein neuer geheimer Schlüssel x bzw. y gewählt werden ElGamal als Signaturverfahren Signieren einer Nachricht m: m x r +z s mod (p 1) mit x als geheimem Schlüssel, g x als öffentlichem Schlüssel, einer Zufallszahl z und r g z mod p hieraus ist s als einzig unbekannte Größe zu berechnen Verifikation:g m g x r r s mod p mitg x als öffentlicher Schlüssel sowier undsals Signatur der Empfänger berechnet beide Seiten, bei Gleichheit ist die Signatur in Ordnung Digital Signature Algorithm DSA eine schnellere Variante von ElGamal Signatur: m z s x r mod q mit q als Primzahl, die ein Teiler von p 1 ist Verifikation: g m rs g x r mod q

11 5 HASH-FUNKTIONEN Public Key Cryptography Standards (PKCS) PKCS definiert Standrads und Formate für Public-Key-Kryptografie (kein freier Standard sondern eine Entwicklung der Fa. RSA Security) PKCS#1: beschreibt eine zu X.509 identische Syntax für öffentliche und private Schlüssel und definiert das RSA-Verfahren einschl. Aufbereitung des Klartextes PKCS#3: Schlüsselaustausch mit Diffie-Hellman PKCS#5: Methode zum Ableiten eines Passwortes aus einem geheimen Schlüssel PKCS#6: Syntax für Zertifikate PKCS#7: allgemeine Syntax für die Formatierung kryptografisch behandelter Nachrichten PKCS#8: beschreibt eine Syntax zur Speicherung des privaten schlüssels PKCS#10: Syntax für Zertifizierungs-Anfragen an eine CA, sog. Certificate Requests (CSR) PKCS#13: Einführung der Elliptic Curve Cryptography ECC zur beschleunigten Berechnung von RSA für die Sicherheit von RSA ist eine geeignete Datenaufbereitung (PKCS#1) von großer Bedeutung PKCS#1 Fragen und Probleme: Definition, wie eine Folge von Bytes als natürliche Zahl zu interpretieren ist Wie kann man feststellen, ob eine Nachricht überhaupt korrekt übertragen wurde? ein Sicherheitsproblem: Ein Angreifer könnte einer Person eine Nachricht (angeblich) zur Entschlüsselung vorlegen und erhielte somit eine gültige Signatur dieser Nachricht Lösung durch die Aufbereitung des Klartextes nach PKCS#1 v.1: Prüfung der korrekten Entschlüsselung dadurch, dass dem Klartext immer das Byte vorangestellt wird danach folgt eine beliebig lange Zufallsfolge, abgeschlossen mit und dann erst die eigentliche Nachricht diese Form der Datenaufbereitung ermöglichte jedoch Seitenkanal-Angriffe bzw. Reaktionsattacken in PKCS#1 v.2 wird daher ein anderes Verfahren zur Datenaufbereitung verwendet die Zufallsbytes dienen hier als Startwert einer Pseudo-Zufallsfolge, die mit dem Klartext XOR-verknüpft wird (sog. Maskierung) Vorteil ist, dass ein Angreifer kein einziges Byte des Klartextes kennt (auch nicht den Startwert der Zufallsfolge, da dieser ebenfalls maskiert wird) auch für die Aufbereitung von Signaturen definiert PKCS#1 Methoden, z.b. die Expansion von 128 oder 160 Bit Hashes auf die Blocklänge (gleich der Schlüssellänge) die Umsetzung der Klartext-Bytes in eine natürliche Zahl: es seine B 1,B 2,...,B k die Klartext-Bytes und b k i der Ganzzahlwert des Bytes B i dann setzt sich der Ganzzahlwert b (der eigentliche Klartext für die Berechnung in RSA) zusammen aus: b = b k k 1 +b k k b b 0 5 Hash-Funktionen Hash-Funktionen werden benötigt, um digitale Signaturen für ein Dokument zu erzeugen auch asymmetrische Verfahren sind hierfür geeignet, wobei ein Dokument mit dem privaten Schlüssel chiffriert und mit dem öffentlichen dechiffriert wird

12 6 AUTHENTIFIZIERUNG 11 Nachteil: sehr langsam mit Hash-Funktionen wird eine eindeutige Prüfsumme aus dem Dokument berechnet (und nur die wird asymmetrisch verschlüsselt) bei einfachen Hash-Funktionen wird es immer Nachrichten oder Dokumente geben, die denselben Hash-Wert besitzen ( Kollisionen ), obwohl die Nachrichten völlig verschieden sind Anforderung an kryptografische Hash-Werte: es darf mit realistischem Aufwand nicht möglich sein, eine Nachricht so zu verändern, dass sie den gleichen Hash-Wert wie das Original hat Hash-Funktionen lassen sich einteilen in schwach kollisionssichere Verfahren stark kollisionssichere Verfahren Prinzip: ähnlich wie symmetrische Verfahren, aber meist ohne Schlüssel Angriffe: finde eine zweite (sinnvolle) Nachricht mit demselben gegebenen Hash-Wert wie die erste finde zwei Nachrichten mit demselben (beliebigen) Hash-Wert Länge von Hash-Werten: mindestens 128, besser 160 Bit wichtige Algorithmen: SHA-1 (Secure Hash Algorithm) MD5 (Message Digest) Snefru Message Authentication Code MAC Kombination von Hash-Funktionen mit Schlüsseln außer der Integrität einer Nachricht wird auch die Authentizität sichergestellt, da zusätzlich ein Schlüssel verarbeitet wird Varianten: Hashwert bilden und das Ergebnis verschlüsseln oder Verknüpfung des Schlüssels mit der Nachricht, die dann mit dem Hash-Verfahren bearbeitet wird (HMAC) 6 Authentifizierung 6.1 Vertrauensmodelle im wahren Leben Authentifizierung durch: etwas was man ist (Aussehen, Fingerabdruck) etwas was man weiß (Passwort, PIN, Code) etwas was man hat (Ausweis, Schlüssel) Online -Authentifizierung: biometrische Verfahren, Passwörter, TokenCards Probleme bei Offline -Authentifizierung: Authentizität des öffentlichen Schlüssels Authentizität des privaten Schlüssels Verbindlichkeit Lösung: Vertrauensmodelle Vertrauensmodelle Direct Trust Web of Trust Vertrauen Validität

13 7 SECRET SHARING 12 dem zertifizierten Schlüssel wird die eigene Unterschrift angehängt Hierarchical Trust Verwaltung der Schlüssel bei einer Zertifizierungs-Instanz Trust-Center, Certification Authority CA Infrastruktur erforderlich (PKI) Vertrauenswürdigkeit der CA??? CAs können hierarchisch organisiert sein es gibt PKI-Standards: X.509, PKIX, Identrus, OpenPGP 6.2 Zertifikat X.509 öffentliche Schlüssel werden überlicherweise nicht direkt sondern in Strukturen (sog. Zertifikate) übertragen Zertifikate enthalten zur Bestätigung der Echtheit eines öffentlichen Schlüssels die Signatur eines Dritten im einfachsten Fall handelt es sich um eine Selbstzertifizierung zur tatsächlichen Bestätigung der Authentizität ist jedoch die Signatur einer CA erforderlich zur Verifikation der Signatur muss ggf. eine Zertifikatskette geprüft werden, wobei i.d.r. die Verifikation des Root-Zertifikats ausreichend ist ungültige oder korrumpierte Zertifikate müssen manuell oder über Certificate Revocation Lists (CRL) aus der Kette gelöscht werden zur Automatisierung dieser Aufgabe wurde das Online Certification Status Protocol (OCSP) entwickelt 6.3 Schlüsselaustausch Austausch symmetrischer Schlüssel mit Key Distribution Center KDC Austausch symmetrischer Schlüssel mit hybriden Verfahren Schlüsselaustausch mit digitalen Signaturen (KDC als CA) Authentifizierung und Schlüsselaustausch mit ausschließlich symmetrischen Verfahren: einfaches Verfahren mit KDC: A chiffriert Sitzungschlüssel S und schickt diesen an KDC, KDC dechiffiriert dies und sendet seinerseits S (verschlüsselt mit Schlüssel von B) an B weiter Needham-Schroeder-Protokoll Variante von Needham-Schroeder mit Zeitstempeln: Kerberos (Authentifizierungsdienst für Client-Server-Anwendungen) 7 Secret Sharing 7.1 (k,n)-schwellwertverfahren Secret Sharing: Ein Geheimnis S soll auf eine Anzahl n Personen aufgeteilt werden, sodass eine Untermenge k (k n) Personen in der Lage ist, das Geheimnis wiederherzustellen Grundidee: ein Polynom lässt sich (abhängig vom Grad) aus einer bestimmten Anzahl von Punkten eindeutig wiederherstellen bei einer Anzahl k Wiederhersteller wird ein Polynom vom Grad k 1 gewählt und daraus die Schlüssel (beliebige Punkte auf der Kurve) für die n Teilnehmer berechnet

14 8 KRYPTOGRAFIE IN ANWENDUNGEN 13 das Polynom ist f(x) = S + a 1 x + a 2 x a k 1 x k 1 mit a 0 = S und zufällig gewählten Koeffizienten a j für alle Teilnehmer werden beliebige (aber eindeutige) Werte x j gewählt und daraus der Funktionswert f(x j ) = y j berechnet; der Punkt (x j,y j ) ist der Schlüssel für Teilnehmer j nun können k Teilnehmer mit ihren Schlüsseln (Punkten) ein Polynom vom Grad k 1 wiederherstellen mithilfe des Lagrangeschen Interpolationspolynoms L(x) = k j=0 y j l j (x) mit den Lagrangeschen Basispolynomen l j (x) um ein sicheres Secret Sharing zu erreichen wird nicht mit zweidimensionalen Kurven sondern in einem endlichen Körper (sog. Galois-Feld GF(p) ) gerechnet, d.h. alle Berechnungen erfolgen modulo einer Primzahl p 7.2 Secret Sharing mit CRT auch der Chinesische Restsatz (Chinese Remainder Theorem CRT) eignet sich zur Aufteilung eines Geheimnisses in der direkten Anwendung des Satzes lässt sich ein Geheimnis S aufnpersonen aufteilen und alle zusammen können S wiederherstellen man benötigt hierzu n paarweise teilerfremde Zahlen m j mit n 1 j=0 m j > S und teilt jeder Person den Rest der Division von S durch ein m j mit, also a j S mod m j zur Wiederherstellung des Geheimnisses muss das System aus n simultanen Kongruenzen gelöst werden der CRT lässt sich aber auch in solchen Fällen verwenden, in denen nur k < n Personen das Geheimnis wiederherstellen sollen eine simultane Kongruenz lässt sich nämlich auch dann eindeutig lösen, wenn lediglich das Produkt aus einigen Moduln m j größer als S ist damit jedes Produkt aus k < n Moduln größer als S ist, muss dies für das Produkt der k kleinsten Moduln gelten damit jedoch nicht weniger als k Personen das Geheimnis aufdecken können, muss andererseits gelten, dass S größer sein muss als das Produkt der k 1 größten Moduln 8 Kryptografie in Anwendungen die zuvor vorgestellten Verfahren gehören zur starken Kryptografie viele Programme enthalten nur Verfahren der schwachen Kryptografie was Kryptografie nicht kann: löschen der unverschlüsselten Daten Schutz vor gestohlenen/verlorenen Schlüsseln Verhinderung von Modifikationen am Kodierprogramm Schutz vor Willkür Dritter Schutz vor dem Abhören der Nachrichten Kryptografie und die rechtliche Lage: die bekannten Algorithmen sind im Besitz weniger Firmen (Lizensierung der Software) in vielen Ländern ist der Einsatz von Kryptografie verboten oder beschränkt bis Ende 2000 unterlagen Kryptografie-Produkte den Waffenexportbeschränkungen der USA Pro Verschlüsselung: Privatsphäre, Wirtschaftsspionage, Grundrechte auf Selbstbestimmung und Vertraulichkeit der Kommunikation

15 8 KRYPTOGRAFIE IN ANWENDUNGEN 14 Contra Verschlüsselung: Verbrechensbekämpfung, Verlust legaler Abhörmaßnahmen 8.1 Verschlüsselung auf unteren OSI-Schichten TCP/IP-Protokolle verschlüsseln nichts in IPv6 sind automatische Verschlüsselungen auch auf unteren Ebenen vorgesehen heute verbreitet: Verschlüsselung auf Schicht 7 Verschlüsselung auf Schicht 1 und 2 ISDN (keine Standards) GSM PPP Virtual Private Networks (VPN) Kopplung zweier LANs über das Internet Varianten: Tunneling über PPP oder IPSec Protokolle: L2F (Layer 2 Forwarding Protocol) 8.2 IPSecure PPTP (Point-to-Point Tunneling Protocol) L2TP (Layer 2 Tunneling Protocol) Security Architecture for IP IPSec kann für VPN-Tunnel oder für direkt verschlüsselnde Verbindungen zwischen zwei Rechnern eingesetzt werden IPSec bietet folgende Sicherheitsdienste Zugangskontrolle Authentifizierung Datenintegrität Schutz vor Wiederholungen (Anti-Replay) Vertraulichkeit durch Verschlüsselung Kompression IPSec verwendet zwei Erweiterungsheader Authentication Header (AH) für Integrität, Authentifizierung, Anti-Replay Encapsulating Security Payload (ESP) für Verschlüsselung für die Schlüsselverwaltung und -übertragung wird ein zusätzliches Protokoll verwendet: Internet Security Association Key Management Protocol ISAKMP der Authentication Header ist optional und wird an den IP-Header angehängt; er hat folgende Elemente Next Header: Typ der Payload-Daten, z.b. Transportprotokoll, IPv6-Erweiterungsheader Payload Length: Länge des Authentication Data-Feldes Security Parameter Index: 32-Bit-Wert, der die sog. Security Association (SA) für dieses Datagramm definiert Sequence No.: Anti-Replay-Wert, wird mit jedem Datagramm um 1 inkrementiert Authentication: Inhalt abhängig vom Algorithmus z.b. HMAC-MD5, HMAC-SHA der AH stellt die Authentizität des Paket-Inhalts sicher (per HMAC); er bezieht außerdem die feststehenden Teile des IP-Headers in den Hashwert mit ein

16 8 KRYPTOGRAFIE IN ANWENDUNGEN 15 Encapsulating Security Payload Header (ESP) ESP sichert Authentizität, Integrität und Vertraulichkeit des IP-Datagramms kann zusätzlich zum oder auch ohne AH verwendet werden es wird der Paketinhalt verschlüsselt der ESP-Header hat folgende Elemente SPI und Sequence wie bei AH Padding (optional): kann bei zu kleinen Datenmengen diese bis zur benötigten Blockgröße des Verschlüsselungsverfahrens auffüllen oder auch die wahre Blockgröße verschleiern Next Header: Typ des Payloads, enthält ggf. auch einen IV z.b. bei DES-CBC Authentication Data (optional): Inhalt abhängig vom Algorithmus ISAKMP Protokollrahmen für die Verwaltung sog. Security Associations (SA) die SA umfasst alle für die Verschlüsselung und Authentifizierung einer Verbindung erforderlichen Daten (Verschlüsselungsverfahren, Schlüsselaustausch, Gültigkeitsdauer des Schlüssels) ISAKMP (bzw. die Umsetzung IKE Internet Key Exchange) wird von IPSec benötigt, da IPSec die zur Verschlüsselung erforderlichen Informationen von der lokalen SA erhält und nicht selbst überträgt Unterteilung in zwei Phasen: Master Secret zum Schutz der ISAKMP-Kommunikation selbst (einmalig festgelegter Schlüssel oder Wechsel tage- oder wochenweise) Aushandlung des Schlüssels zum Schutz der Nutzdaten (automatischer Wechsel minutenweise) Format des ISAKMP: Initiator/Responder-Cookie: Hashwert über IP-Ziel/Quelladresse, Ziel-/Quellport, Systemzeit; wird zur eindeutigen Identifizierung einer Verbindung verwendet Next Payload: Typ der Daten dieses Paketes (SA, Hash, Signatur...) Major/Minor Version: Haupt- und Unterversion von ISAKMP Exchange Type: Art des Nachrichtenaustausches (Identity Protection, Aggressive Mode) Flags: gibt an, ob die nachfolgenden Daten verschlüsselt oder nur authentifiziert sind oder ob die SA noch nicht vollständig ausgehandelt ist 8.3 SSL (Secure Socket Layer) SSL ist ein Erweiterungsprotokoll zur Verschlüsselung auf TCP-Ebene ursprünglich proprietäre Entwicklung (Netscape), heute als Transport Layer Security TLS standardisiert SSL greift nicht direkt in TCP ein, sondern arbeitet zwischen Anwendungen und TCP (es gibt jedoch keine UDP-Variante) Vorteil: die Anwendung greift wie üblich auf einen Socket zu SSL ist verbindungsorientiert und zustandsbehaftet verschiedene Krypto-Verfahren sind aushandelbar SSL gliedert sich in zwei Teilschichten SSL-Record-Protocol weitere Schicht mit Handshake-Protocol, Change-CipherSpec-Protocol, Alert-Protocol, Application- Data-Protocol

17 8 KRYPTOGRAFIE IN ANWENDUNGEN 16 das Record-Protocol wendet die ausgehandelten Verfahren an (Hashwert und symmetrische Verschlüsselung) das Handshake-Protocol: Client Hello Server Hello Generierung eines Sitzungsschlüssels vom Client Application-Data-Protocol 8.4 Verschlüsselung in Anwendungen Verschlüsselung im WWW HTTP-1.0 enthält keinerlei Sicherheits-Protokolle es gibt lediglich eine so genannte Basic-Authentification mit einer Passwort-Abfrage Version 1.1 unterstützt einen Authentifizierungs-Mechanismus diese Digest Access Authentification erweitert die Passwort-Abfrage mit einem Challenge- Response-Verfahren moderne Webserver unterstützen SSL SSL-Verschlüsselung wird über die URL-Kennung aufgerufen das Signieren von Webinhalten ist nicht möglich Verschlüsselung von mit Pretty Good Privacy (PGP) Software zum Chiffrieren und Signieren von s und Dateien Public Domain Software, im Internet heute weit verbreitet PGP verwendet: IDEA oder TripleDES u.a. als Verschlüsselungsverfahren RSA oder DSA zum Signieren RSA oder Diffie-Hellman zum Schlüsselaustausch MD5 oder SHA-1 für Hash-Funktionen PGP ist ein Public-Key-Verfahren ist als OpenPGP standardisiert PGP im praktischen Einsatz PGP ist ein eigenständiges Programm es gibt Plugins für einige Mailprogramme Installation Angabe von Algorithmus und Schlüssellänge privater Schlüssel ist mit Pass-Satz geschützt Verschlüsseln von Dateien Kommandos: pgp -c datei (Verschlüsseln), pgp datei (Entschlüsseln) Achtung: die Original-Datei wird hierbei nicht gelöscht Problem: Betriebssystem-Kommandos (del, rm) löschen eine Datei nicht physikalisch Lösung: pgp -cw datei Verwaltung der Schlüssel Dateien pubring.pgp und secring.pgp lesen mit pgp -kv Aufnahme neuer Schlüssel: pgp -ka datei

18 8 KRYPTOGRAFIE IN ANWENDUNGEN 17 oder mittels Add-Symbol im Plugin oder über die Zwischenablage Verschlüsseln von s entweder: Encrypt-Funktion im Plugin oder Copy in Zwischenablage und Funktion encrypt clipboard im grafischen PGP oder Kommando pgp -e datei skenn bzw. pgp -eat datei skenn Lesen verschlüsselter s Decrypt-Funktion im Plugin oder: Zwischenablage, Decrypt Clipboard oder Kommando pgp datei jeweils Pass-Phrase des privaten Schlüssels erforderlich mit PGP ist das Signieren von s oder Dateien möglich nur Signieren: Text bleibt lesbar nur Chiffrieren: Authentizität nicht gewährleistet maximale Sicherheit: Chiffrieren und Signieren das Zertifizieren von Schlüsseln erfolgt mittels Web-of-Trust Remote Login die Standard-Protokolle telnet, rlogin, rsh unterstützen keine Verschlüsselung die Authentifizierung basiert auf dem in Klartext übertragenen Passwort Problem: Abhören des Passworts einfachste Möglichkeit: Einweg-Passwörter (S/Key) Vorteil: keine Software auf dem Client Alternative: Chip-Karten, auf denen ein Secret-Key gespeichert ist Nachteile: Prozessoren und Speicher auf der Chipkarte sind sehr langsam, es ist zusätzliche Hard- und Software erforderlich Alternative: Smart Token (TokenCards) kleines Gerät mit Chip, Display, z.t. Zahlentastatur Authentifizierung per Challenge-Response-Verfahren Vorteil: es ist keine zusätzliche Software nötig Secure Shell SSH ssh ist ein sicheres Login-Verfahren zum Ersatz von telnet, rlogin, rsh, rdist Unterstützung verschiedener Algorithmen (TripleDES, IDEA, RSA, Diffie-Hellman) Funktion: per asymmetrischem Verfahren wird ein Schlüssel ausgetauscht, der dann in einem symmetrischen Verschlüsselungs-Verfahren verwendet wird Verwendung von zwei Schlüsseln, die stündlich gewechselt werden die Unterstützung von Zertifikaten (X.509, OpenPGP) ist im Standard vorgesehen ssh kann nicht nur Logins absichern, sondern auch andere Protokolle (FTP, HTTP); ähnliche Funktion wie SSL auf dem Server muss der Damon sshd aktiv sein Verbindungsaufbau vom Client: ssh rechner -l user weitere Verfahren: Kerberos: reines symmetrisches Verfahren mit zwei Servern; Nachteil: Single Point of Failure RADIUS: Standard zur Authentifizierung in heterogenen Netzen auf Basis eines zentralen

19 8 KRYPTOGRAFIE IN ANWENDUNGEN 18 Authentifikations-Servers TACACS+ : ähnlich wie RADIUS