Netzsicherheit 13: SSL/TLS

Transkript

1 Netzsicherheit 13: SSL/TLS Das TCP/IP-Schichtenmodell Anwendungsschicht (FTP, HTTP, SMTP,...) Transportschicht (TCP, UDP) s-http https Internetschicht (IP) Netzwerkschicht (z.b. Ethernet, TokenRing,...) Ziel: Sicherung des WWW Session 2 / 1

2 HTTP 1. Nutzer tippt 2. Browser sucht auf einem Domain Name Server (DNS) die IP- Adresse zu Browser baut eine TCP-Verbindung zu und Port 80 auf. 4. Browser sendet ein HTTP-Kommando über TCP an /Port 80: Get start.htm HTTP/1.0 User-agent: Netscape 4.7 Accept: text/plain Accept: text/html Accept: image/gif HTTP (2) 5. Server antwortet über die TCP-Verbindung mit: Einer Statuszeile (Erfolgsmeldung oder Fehler), Metainfomation (Beschreibung der nachfolgenden Information), Einer Leerzeile und Der Information selbst: HTTP/1.0 Status 200 Document follows Server: Apache/1.8 Date: Mon, 14 Mai, :23:22 GMT Content-type: text/html Content-length: 5280 Last-modified: Fri, 11 Mai, :12:12 GMT <html>... </html> Session 2 / 2

3 HTTP (3) Schritt 1-5 wird für jede HTTP(1.0)-Anfrage wiederholt. Insbesondere muß für jede HTTP(1.0)-Anfrage eine neue TCP-Verbindung aufgebaut werden. Moderne Browser schummeln hier und bauen mehrere TCP-Verbindungen gleichzeitig auf, um die verschiedenen Bestandteile einer Webseite schneller zu laden. HTTP Basic Authentication (RFC 2617) Einfaches Username/Passwort-Verfahren Pop-Up-Fenster im Browser erscheint Passwort ist NICHT verschlüsselt, sondern nur BASE64-codiert GET /root/secret.html HTTP/1.0 HOST: HTTP/ Authorization Required WWW-Authenticate: Basic realm="name" GET /root/secret.html HTTP/1.0 HOST: Authorization: Basic QWRtaW46Zm9vYmFy HTTP/ OK secret.html Session 2 / 3

4 HTTP Digest Authentication (RFC 2617) Challenge( nonce )-and-response( response )-Verfahren response = MD5(username, password, nonce, http method, URI) opaque gegen Denial-of-Service-Angriffe GET /root/secret.html HTTP/1.0 HOST: HTTP/ Unauthorized WWW-Authenticate: Digest realm= mitarbeiter@bank.de", nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093", opaque="5ccc069c403ebaf9f0171e9517f40e41" Authorization: Digest username= Hans.Mueller", realm="mitarbeiter@bank.de", nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093", uri= /root/secret.html", response="e966c932a e42c8ee200cec7f6", opaque="5ccc069c403ebaf9f0171e9517f40e41" HTTP/ OK secret.html Zwei Möglichkeiten für sicheres WWW 1. Absicherung der http-nachrichten von Client und Server: S-HTTP 2. Absicherung der zugrunde liegenden TCP-Verbindung: SSL (https) Session 2 / 4

5 S-HTTP: Idee S-HTTP Header HTTP Header S-HTTP Daten HTTP Header HTTP Daten HTTP Daten S-HTTP: Anfrage und Antwort Aus Get start.htm HTTP/1.0 wird Secure * Secure-HTTP/1.4 (der URI wird unterdrückt, um eine Verkehrsanalyse zu verhindern.) Server-Antwort: Secure-HTTP/ OK Session 2 / 5

6 S-HTTP: Beispiel (RFC 2660) C S: Get start.htm HTTP/1.0 S C: 200 OK HTTP/1.0 Server-Name: Navaho alpha Certificate-Info: CMS,MIAGCSqGSIb3DQEHAqCAMIACAQExADCABgkqh... PhZcW1e+nojLvHXWAU/CBkwfcR+FSf4hQ5eFu1AjYv6Wqf430Xe9Et5+jgnM Tiq4LnwgTdA8xQX4elJz9QzQobkE3XVOjVAtCFcmiin80RB8AAAMYAAAAAAA AAAAA== Encryption-Identity: DN-1779, null, CN=Setec Astronomy, OU=Persona Certificate,O="RSA Data Security, Inc.", C=US; SHTTP-Privacy-Enhancements: recv-required=encrypt <A name=tag1 HREF="shttp:// Don't read this. </A> S-HTTP: Beispiel C S: Secure * Secure-HTTP/1.4 Content-Type: message/http Content-Privacy-Domain: CMS MIAGCSqGSIb3DQEHA6CAMIACAQAxgDCBqQIBADBTME0xCzAJBgNVBAYTAlVTMSAw HgYDVQQKExdSU0EgRGF0YSBTZWN1cml0eSwgSW5jLjEcMBoGA1UECxMTUGVyc29u YSBDZXJ0aWZpY2F0ZQICALYwDQYJKoZIhvcNAQEBBQAEQCU/R+YCJSUsV6XLilHG GET /secret HTTP/1.0 RSA-verschlüsselt cnvzwqkcwzmt/rz+duov8ggb7oo/d8h3xuvgq2lsx4kygq2szwj8q6ewhsmhf4oz Security-Scheme: S-HTTP/1.4 User-Agent: Web-O-Vision 1.2beta lvmaadcabgkqhkig9w0bbweweqyfkw4dagcecfif7badxlw3oiaegzbncmexke16 Accept: *.* +mnxx8yqpukbcl0bwqs86lvws/agrkkpelmysbi5lco8mbcswk/fcyrnxirhs1ok Key-Assign: Inband,1,reply,des-ecb; BXBVlsAhKkkusk1kCf/GbXSAphdSgG+d6LxrNZwHbBFOX6A2hYS63Iczd5bOVDDW Op2gcgUtMJq6k2LFrs4L7HHqRPPlqNJ6j5mFP4xkzOCNIQynpD1rV6EECMIk/T7k 1JLSAAAAAAAAAAAAAA== Session 2 / 6

7 S-HTTP: Beispiel S C: Secure * Secure-HTTP/1.4 Content-Type: message/http Prearranged-Key-Info: des-ecb,697fa820df8a6e53,inband:1 Content-Privacy-Domain: CMS MIAGCSqGSIb3DQEHBqCAMIACAQAwgAYJKoZIhvcNAQcBMBEGBSsOAwIHBAifqtdy x6uimyccargvfzjtozbn773dtmxlx037ck3giqnv0wc0qax5f+fesaigaxmqwcir HTTP/ OK DES-verschlüsselt mit r9xvt0nt0lgsq/8tilcdbekdycngdcjaduy3d0r2sb5sntt0tyl9uydg3w55vtnw Security-Scheme: S-HTTP/1.4 k=decr( , Content-Type: text/html 697fa820df8a6e53) apbcpcwludari1uhdzbnojicrvehxg/syx069m8v6vo8psjs7//hh1ym+0nekzq5 Congratulations, you've won. l1p0j7uwku4w0csrlgqhlvejanj6dqagstncooh3jzexgqxntgesk8pofpfhdtj0 <A href="/prize.html CRYPTOPTS="Key-Assign: 5RH4MuJRajDmoEjlrNcnGl/BdHAd2JaCo6uZWGcnGAgVJ/TVfSVSwN5nlCK87tXl Inband,alice1,reply,des-ecb; a0c0e0f; nl7djwaprywxb3mnpknq7atijpf5u162mbwxrddmie7e3sst7nasn+gs0atey5x7 SHTTP-Privacy-Enhancements: recv-required=auth"> AAAAAAAAAAA= Click here to claim your prize</a> SSL De facto Standard für Client-Server-Sicherheit IETF RFC: The TLS Protocol Version 1.0 (RFC 2246) In allen gängigen Browsern integriert Freie Programmbibliotheken, z.b. SSLRef, SSLPlus, SSLava, SSLeay, openssl, modssl Session 2 / 7

8 SSL SSL Session 2 / 8

9 Aufbau von SSL/TLS HTTP(S) Change Chipher Alert Handshake Anwendung Record Layer TCP SSL/TLS Record Layer HTTP-Daten Fragmentierung http 3.1 Länge Kompression http 3.1 Länge Verschlüsselung http 3.1 Länge MAC Padd. P. Länge Session 2 / 9

10 SSL/TLS Verbindungsstatus SSL/TLS arbeitet immer in einem aktuellen Verbindungsstatus (connection state): Ausgewählte Algorithmen Ausgewählte Schlüssel Start-Status ist NULL Das Handshake-Protokoll handelt einen pending state aus Durch [ChangeCipherSpec] wird der pending state in actual state kopiert. SSL/TLS: Handshake bank. com bank. com Session 2 / 10

11 SSL/TLS: Verkürzter Handshake Client ClientHello (Session_ID) [ChangeCipherSpec] Finished Server ServerHello (Session_ID) [ChangeCipherSpec] Finished Vorteil: Einsparung der aufwendigen Public-Key-Operationen beim Weitersurfen auf dem gleichen Server. SSL/TLS: Schlüsselvereinbarungsverfahren Schlüssel- austausch- Algorithm. Benötigter Zertifikatstyp ServerKey- Exchange benötigt? Inhalt ClientKey- Exchange Beschreibung RSA RSA Encryption Nein Verschlüsseltes premaster secret Client verschlüsselt premaster secret mit öffentlichem Schlüssel des Servers RSAExport (>512 Bit) RSA Signing Ja (temporärer RSAKey 512 Bit) Mit temp. RSAKey verschlüsseltes premaster secret Client verschlüsselt premaster secret mit temporärem RSA- Schlüssel des Servers (nur noch relevant wegen Rückwärtskompatibilität). DHE-DSS DSS Signing Ja (g s mod p) g c mod p Diffie-Hellman- Schlüsselvereinbarung, Server signiert (g s mod p) mit dem DSS- Schlüssel. Session 2 / 11

12 SSL/TLS: Schlüsselvereinbarungsverfahren Schlüssel- austausch- Algorithm. Benötigter Zertifikatstyp ServerKey- Exchange benötigt? Inhalt ClientKey- Exchange Beschreibung DHE-RSA RSA Signing Ja (g s mod p) g c mod p Diffie-Hellman- Schlüsselvereinbarung, Server signiert (g s mod p) mit dem RSA- Schlüssel. DH-DSS DH, signiert mit DSS Nein (g s mod p im Zertifikat enthalten) g c mod p Diffie-Hellman- Schlüsselvereinbarung mit festem Serveranteil, Authentisierung über DSS-Zertifikat. DH-RSA DH, signiert mit RSA Nein (g s mod p im Zertifikat enthalten) g c mod p Diffie-Hellman- Schlüsselvereinbarung mit festem Serveranteil, Authentisierung über RSA-Zertifikat. TLS: Generierung der Schlüssel Session 2 / 12

13 TLS: Generierung der Schlüssel TLS: Generierung der Schlüssel Session 2 / 13

14 TLS: Finished-Nachricht TLS: Ciphersuites Session 2 / 14

15 TLS: Ciphersuites Angriffe: Bleichenbacher Der Eine Million Fragen -Angriff SSL verwendet PKCS#1 zur Codierung von RSA-Kryptogrammen: PKCS#1-Klartext beginnt immer mit den Bytes 00 und 02 Angreifer wählt einen Chiffretext und sendet ihn an Server beginnt Klartext nicht mit 00 02, dann Fehler_1 beginnt Klartext mit 00 02, dann Fehler_2 Jedesmal, wenn Fehler_2 auftritt, kann der Angreifer den möglichen Schlüsselraum verkleinern. Effiziente Version des Algorithmus von Håstad und Näslund zur Sicherheit einzelner RSA-Bits Session 2 / 15

16 Angriffe: Bleichenbacher (2) Daniel Bleichenbacher: Chosen Ciphertext Attacks Against Protocols Based on the RSA Encryption Standard PKCS#1, CRYPTO `98. PKCS# Padding String 00 Data Block k Bytes k Länge des Modulus n in Bytes: 2 8(k-1) n<2 8k m PKCS-konforme Zahl ( B = 2 8(k-2) ): 2 B m< 3 B Angriffe: Bleichenbacher (3) RSA ist wegen seiner Homomorphie-Eigenschaft unsicher gegenüber Chosen Ciphertext-Attacken: Um den Klartext zu c zu erhalten, lasse c s e mod n entschlüsseln, und dividiere das Ergebnis durch s. Idee Bleichenbacher: Suche viele verschiedene s i, so dass c (s i ) e mod n PKCSkonform ist. Dann gilt für alle i: 2 B ms i mod n < 3 B Man erhält so viele verschiedene Intervalle, und der gesuchte Klartext m muss in deren Schnittmenge liegen. Session 2 / 16

17 Angriffe: Bleichenbacher (4) Schritt 1: Gegeben ist ein PKCS-konformer Chiffretext c; gesucht ist m = c d mod n. c 0 c M 0 {[2B, 3B-1]} =: {[a,b]} (da m 0 =m PKCS-konform ist, liegt m in diesem Intervall) i 1 Angriffe: Bleichenbacher (5) Schritt 2: Suche die kleinste Zahl s 1 n/3b, so dass c 0 (s 1 ) e mod n PKCS-konform ist. Da ms 1 PKCS-konform ist, gibt es ganze Zahlen r mit 2B ms 1 -rn 3B-1 2B-ms 1 -rn (3B-1)-ms 1 ms 1-2B rn ms 1 - (3B-1) Aus Schritt 1 wissen wir, dass a m b gilt. Daraus folgt as 1 - (3B-1) rn bs 1-2B (Lösungsmenge für r) Analog (2B+rn)/s 1 m (3B-1+rn)/s 1 (Intervalle für m) M 1 r { [max(a, (2B+rn)/s 1 ), min(b, (3B-1+rn)/s 1 ] } i 2 Session 2 / 17

18 Angriffe: Bleichenbacher (6) Schritt 3: Suche die kleinste Zahl s 2 >s 1, so dass c 0 (s 2 ) e mod n PKCS-konform ist Analog zu Schritt 2 erhält man eine Lösungsmenge für r Analog zu Schritt 2 erhält man neue Intervalle für m (2B+rn)/s 2 m (3B-1+rn)/s 2 M 2 r,a,b { [max(a, (2B+rn)/s 1 ), min(b, (3B-1+rn)/s 1 ] } i 3 Angriffe: Bleichenbacher (7) Schritt 4 bis x: Wie Schritt 3, bis nur noch ein Intervall der Länge 1 übrig ist Session 2 / 18

19 Angriffe: Ettercap IP: MAC: 1 Server ARP: Who has Client Ettercap IP: MAC: 2 Ettercap eignet sich die IP-Adresse des Servers an DNS greift dann nicht mehr Angriffe: Javascript history: die Browser- Historie der zuvor besuchten Seiten (wichtig für Forward/Back) location: die URL, ggf. einschließlich des Query- Strings document: das HTML- Dokument title: Titel des Dokuments anchors[i]: i-ter Anker forms[i]: i-tes Formular links[i]: i-ter Hyperlink Session 2 / 19

20 Angriffe: Javascript Beispiel: Öffnen eines Fensters ohne SSL-Indikatoren <html> <head> <script type="text/javascript"> <!-- F1 = window.open("datei.html","f1","location=no,menuebar=no,status=no, toolbar=no"); //--> </script> </head> <body> <p> <a href="datei.html" target="_blank" > Bitte hier klicken (HTML) </a> <p> <a onclick=window.open("datei.html","f1", "location=no,menuebar=no,status=no,toolbar=no")> <u>bitte hier klicken (Javascript) </u> </a> <FORM> <INPUT Type=button Value="Öffne Fenster (Javascript)" onclick=window.open("datei.html","f1", "location=no,menuebar=no,status=no,toolbar=no")> </FORM> </body> </html> Angriffe: Javascript Beispiel: Beim Laden von Test.html wird automatisch ein manipuliertes Fenster geöffnet. Session 2 / 20

21 SSL: PKI Markt ist zwischen großen Anbietern aufgeteilt. Wer nicht mitspielt erhält: SSL: PKI Statistik für SSL-Zertifikate Januar 2009 ( Session 2 / 21

22 SSL/TLS, S-HTTP: Links TLS: SSL: home.netscape.com/security/techbriefs/ssl.html S-HTTP: Implementierungen: Million-Fragen-Angriff: D. Bleichenbacher "Chosen Ciphertext Attacks against Protocols Based on RSA Encryption Standard PKCS #1" in Advances in Cryptology --CRYPTO'98, LNCS vol. 1462, pages: 1--12, Session 2 / 22