Netzsicherheit 2 - SSL [Netsec2] Autoren: Prof. Dr. Jörg Schwenk. Ruhr - Universität Bochum

Transkript

1 Netzsicherheit 2 - SSL [Netsec2] Autoren: Prof. Dr. Jörg Schwenk Ruhr - Universität Bochum

2

3 Netzsicherheit 2 - SSL [Netsec2] Autor: Prof. Dr. Jörg Schwenk 1. Auflage Ruhr - Universität Bochum

4 2017 Ruhr - Universität Bochum Ruhr - Universität Bochum Universitätsstraße Bochum 1. Auflage (25. April 2017) Didaktische und redaktionelle Bearbeitung: Jörg Schwenk Das Werk einschließlich seiner Teile ist urheberrechtlich geschützt. Jede Verwendung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung der Verfasser unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, bersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Um die Lesbarkeit zu vereinfachen, wird auf die zusätzliche Formulierung der weiblichen Form bei Personenbezeichnungen verzichtet. Wir weisen deshalb darauf hin, dass die Verwendung der männlichen Form explizit als geschlechtsunabhängig verstanden werden soll. Das diesem Bericht zugrundeliegende Vorhaben wurde mit Mitteln des Bundesministeriums für Bildung, und Forschung unter dem Förderkennzeichen logobmbf gefördert. Die Verantwortung für den Inhalt dieser Veröffentlichung liegt beim Autor.

5 Inhaltsverzeichnis Seite 3 Inhaltsverzeichnis Einleitung 4 I. Abkürzungen der Randsymbole und Farbkodierungen II. Zu den Autoren III. Lehrziele SSL 7 1 Lernziele Leseaufgabe bungsaufgaben Allgemeine Fragen TLS Cipher Suites Bleichenbacher Angriff Malleability Padding Oracle Angriff Literatur Verzeichnisse 13 I. Literatur

6 Seite 4 Einleitung Einleitung I. Abkürzungen der Randsymbole und Farbkodierungen bung

7 Zu den Autoren Seite 5 II. Zu den Autoren Prof. Jörg Schwenk leitet den Lehrstuhl Netz- und Datensicherheit an der Ruhr-Uni Bochum seit dem Jahr Von 1993 bis 2001 arbeitete er im Bereich Sicherheit der Deutschen Telekom in verschiedenen Industrieprojekten. Anschließend lehrte er zwei Jahre lang an der Georg-Simon-Ohm FH Nürnberg. Er hat mehr als 60 Patente und mehr als 40 wissenschaftliche Publikationen verfasst. Seine Forschungsinteressen umfassen kryptographische Protokolle (SSL/TLS, IPSec), XMLund Webservice-Security, sowie Web- und Internetsicherheit.

8 Seite 6 Einleitung III. Lehrziele Die Kryptographie war lange Zeit eine Wissenschaft für Spezialisten. Bis in die zweite Hälfte des letzten Jahrhunderts beschäftigten sich mit ihr nur Militärs und Diplomaten. Mit dem Aufkommen der elektronischen Datenverarbeitung und der digitalen Kommunikation kamen weitere Spezialisten hinzu: Bankangestellte, Datenschützer, Mobilfunker, Pay-TV-Anbieter und auch die ersten Hacker. Mit dem Erfolg des Internet änderte sich die Situation grundlegend. Jetzt hatte jeder die Gelegenheit, persönliche Nachrichten per zu versenden, oder Waren mit einem Mausklick im World Wide Web zu kaufen. Gleichzeitig wuchs das Bewusstsein, wie unsicher das neue Medium ist: Durch Abhörpläne der nationalen Regierungen (die ähnlich wie beim Brief- und Fernmeldegeheimnis auch hier Einschränkungen im Rahmen der Verbrechensbekämpfung durchsetzen wollten) und durch kriminelle Aktivitäten (wie z.b. den Diebstahl von Kreditkartennummern von Webservern). Ziel dieses Moduls ist es, dem Leser eine fundierte Einführung in Secure Sockets Layer (SSL) zu geben. Damit soll er in die Lage versetzt werden, sich anschließend mit geringer Mühe in den Referenzdokumenten zurechtzufinden. Das Modul ist streng praxisorientiert, d.h. es wird nur die heute im Internet tatsächlich eingesetzte Kryptographie behandelt. Zum didaktischen Konzept des Moduls gehören auch die angeführten erfolgreichen Angriffe auf Sicherheitsstandards: Aus den Fehlern anderer Standards kann man lernen. Diese Darstellungen sollen also nicht dazu verleiten, eigene Angriffe auf bestehende Infrastrukturen zu starten, sondern der Leser soll sie beim Entwurf eigener Konzepte stets im Hinterkopf behalten.

9 SSL Seite 7 SSL 1 Lernziele Sie haben verstanden, warum Verbindungen im Internet abgesichert werden müssen. Sie erklären, wie dies mitttels SSL geschieht. Sie zeigen die Bedeutung der hierfür notwendigen Public Key Infrastruktur auf, und stellen die praktische Umsetzung dieser dar. Sie geben Angriffe auf SSL wieder, sowie die Gründe für deren Erfolg. 2 Leseaufgabe Der Inhalt dieses Studienbriefes ist das Kapitel 7 aus dem Buch Schwenk [2014]. 3 bungsaufgaben 3.1 Allgemeine Fragen bung 1 Ist die im RFC 2617 definierte HTTP Basic Authentication -Methode sicher? Begründen Sie ihre Antwort. Welche Vorteile bietet die im selben RFC definierte HTTP Digest Authentication -Methode? Gegen welche Angriffe ist diese Methode resistent? bung 2 Wodurch unterscheiden sich S-HTTP und SSL? bung 3 Welchem Zweck dient die Finished Nachricht des SSL - Handshakes? Ab welcher Nachricht kann der Client sicher sein, dass der Server tatsächlich derjenige ist, für den er sich ausgibt? bung 4 Sind Man-in-the-Middle Angriffe auf das SSL - Protokoll grundsätzlich möglich? Begründen Sie ihre Antwort. Ist ein Benutzer in der Lage einen möglichen Angriff auf die SSL- Session zu erkennen? Begründen Sie ihre Antwort. Ist ein Angreifer in der Lage eine bereits aufgebaute Sesseion zu manipulieren? Begründen Sie ihre Antwort.

10 Seite 8 SSL 3.2 TLS Cipher Suites bung 5 Nennen Sie die Bestandteile der Cipher Suite 1. TLS_DH_DSS_WITH_AES_128_CTR_SHA 2. TLS_RSA_WITH_IDEA_CBC_SHA 3. TLS_ECDH_anon_WITH_NULL_SHA bung 6 Kann es sinnvoll sein die Cipher Suite TLS_ECDH_anon_WITH_NULL_SHA zu verwenden? bung 7 Geben Sie eine Cipher Suite an, die folgenden Bedingungen genügt: Server und Client müssen Schlüsselmaterial für die Berechnung des Pre-Master Secrets beitragen. Alle in das Pre-Master-Secret eingehenden Werte sollen frisch sein, d.h. das Schlüsselmaterial soll nicht bereits in vorherigen Sitzungen verwendet worden sein. Begründen Sie ihre Entscheidung bung 8 Zählen Sie die TLS Handshake-Nachrichten für eine Cipher Suite mit Ephemeral Diffie-Hellmann und Authentifikation des Servers durch Zertifkat auf. Unterscheiden Sie zwischen Pflicht und optionalen Nachrichten. Nachrichten, die nicht Teil des TLS Handshake-Protokolls, sondern Teil eines anderen TLS-Protokolls sind, bitte als solche kennzeichnen 3.3 Bleichenbacher Angriff bung 9 Nennen Sie die Eigenschaften, die ein TLS-Server erfüllen muss, damit der Bleichenbacher-Angriff möglich ist. bung 10 Auf welche Nachricht des TLS-Handshakes wird der Bleichenbacher-Angriff angewendet?

11 3 bungsaufgaben Seite 9 bung 11 Nennen Sie geeignete Maßnahmen, um den Bleichenbacher-Angriff zu verhindern. 3.4 Malleability bung 12 Welche Änderung ist nötig, um im Counter Mode (CTR) das Bit 8 im Klartext m 1 zu switchen? bung 13 Betrachten Sie nun den Electronic Code Book Mode (ECB). Welche Änderung ist nötig, um das Bit 8 im Klartext m 1 zu switchen? bung 14 Nennen Sie die nötige Änderung, um im Cipher Feedback Mode (CFB) das Bit 56 im Klartext m 1 zu switchen. bung 15 Welche Änderung ist beim Galois/Counter Mode (GCM) nötig, um das Bit 8 im Klartext m 1 zu switchen? bung 16 Zeigen Sie, welche Änderung nötig ist, um im Output Feedback Mode (OFB) das Bit 8 im Klartext m 1 zu switchen.

12 Seite 10 SSL 3.5 Padding Oracle Angriff bung 17 Bei dieser Aufgabe soll ein Padding Oracle Angriff durchgerechnet werden. Es wird CBC als Betriebsmodus eingesetzt und das Padding wird durch RFC 2040 vorgenommen. Die Blocklänge beträgt 64 Bit. Nachrichten, die nur aus Padding bestehen, sind ebenfalls gültig. Der Ciphertext C 1 lautet: Der IV lautet: A0B1C2D CDAAFFC047 Die Bytes werden hierbei für alle Werte von links nach rechts gezählt. Byte 1 des IV ist also 24, Byte 2 des IV ist 35 usw. Nutzen Sie für Ihre Berechnungen die hexadezimale Form. bung 18 Beim Dekodieren per Padding Oracle Angriff des letzten Bytes des Klartextes P 1 stellt sich heraus, dass für den Wert 45 als Byte 8 des IV kein Padding- Fehler mehr vom Server produziert wird. Wie lautet daher das letzte Byte des Klartextes P 1? bung 19 Nennen Sie die beiden IVs, die sich nur im letzten Byte unterscheiden und dazu führen, dass der Server keinen Padding-Fehler ausgibt? bung 20 Wie viele Bytes des Klartextes sind Padding? bung 21 Mit welchem IV müsste man nun testen, um das vorletzte Byte (Byte 7) berechnen zu können?

13 4 Literatur Seite 11 bung 22 In dieser bungsaufgabe sollen die restlichen Bytes des Klartextes berechnet werden. Hierzu ist es nötig, dass die bisher berechneten Bytes so gesetzt werden, dass für das nächste Byte das Padding korrekt wäre. Davon ausgehend, dass dieses Padding für die bisher berechneten Bytes korrekt gesetzt wird, verschwindet der Padding-Fehler für die restlichen Bytes bei den folgenden Werten für diese Bytes: Byte 7: C1 Byte 6: FF Byte 5: 70 Byte 4: 08 Byte 3: F6 Byte 2: CD Byte 1: E6 Nennen Sie den vollständigen Klartext P 1. 4 Literatur Joerg Schwenk. Sicherheit und Kryptographie im Internet. Vieweg + Teubner Verlag, 2014.

14

15 Verzeichnisse Seite 13 Verzeichnisse I. Literatur Joerg Schwenk. Sicherheit und Kryptographie im Internet. Vieweg + Teubner Verlag, 2014.

16