ix-edition Kryptografie Verfahren, Protokolle, Infrastrukturen von Klaus Schmeh überarbeitet

Transkript

1 ix-edition Kryptografie Verfahren, Protokolle, Infrastrukturen von Klaus Schmeh überarbeitet Kryptografie Schmeh schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Thematische Gliederung: Kryptologie, Informationssicherheit dpunkt.verlag 2007 Verlag C.H. Beck im Internet: ISBN

2 xi Inhaltsverzeichnis Teil 1 Wozu Kryptografie? 1 1 Einleitung Kryptografie heute Die dritte Auflage Mein Bedauern, meine Bitten und mein Dank Was ist Kryptografie und warum ist sie so wichtig? The Name of the Game Die kurze Antwort Die lange Antwort Die Kryptografie ein wichtiges Teilgebiet Warum ist die Kryptografie so wichtig? Wirtschaftsspionage Kommerz im Netz Die Privatsphäre Anwendungen der Kryptografie Und wer zum Teufel ist Alice? Wie Daten abgehört werden können Mallory am Übertragungsmedium Kupferkabel Koaxialkabel Glasfaser Drahtlose Datenübertragung Satellit... 19

3 xii Inhaltsverzeichnis 3.2 Mallory in Computernetzen Mitlesen und Verändern von Dateien Abhören analoger Telefonleitungen Abhören im LAN ISDN-Sicherheitsprobleme DSL Mobilfunk WLANs Mallory im Internet ARP-Spoofing Abhörangriffe auf Router und Gateways IP-Spoofing DNS-Spoofing Mitlesen von s URL-Spoofing Abhören von Internettelefonie Ein paar Fälle aus der Praxis Passwort-Schnüffeleien Abgehörte s Echelon Weitere Fälle Ist Kryptografie gefährlich? Nachteile einer Krypto-Beschränkung Vorteile einer Krypto-Beschränkung Fazit Symmetrische Verschlüsselung Symmetrische Verschlüsselung Kryptografische Fachbegriffe Angriffe auf Verschlüsselungsverfahren Einfache Verschlüsselungsverfahren Cäsar-Chiffre Substitutionschiffren Permutationschiffren Polyalphabetische Chiffren Vigenère-Chiffre Vernam-Chiffre One-Time-Pad... 50

4 Inhaltsverzeichnis xiii 5 Die Enigma und andere Verschlüsselungsmaschinen Rotorchiffren Heberns Rotormaschine Die Enigma Weitere Rotor-Chiffriermaschinen Andere Verschlüsselungsmaschinen Die Kryha-Maschine Hagelin-Maschinen Die Purple Der Geheimschreiber Lorenz-Maschine Schlüsselgerät 41 (Hitler-Mühle) Teil 2 Moderne Kryptografie 71 6 Der Data Encryption Standard DES-Grundlagen Funktionsweise des DES Die Rundenfunktion F Die Schlüsselaufbereitung des DES Entschlüsseln mit dem DES Sicherheit des DES Vollständige Schlüsselsuche bis Die DES-Challenge Differenzielle Kryptoanalyse Lineare Kryptoanalyse Schwache Schlüssel Wie sicher ist der DES heute? DES-Fazit Weitere symmetrische Verschlüsselungsverfahren Chiffrendesign Anforderungen an die Sicherheit Die ideale Schlüssellänge Aufbau symmetrischer Verschlüsselungsverfahren Triple-DES Doppel-DES Triple-DES... 99

5 xiv Inhaltsverzeichnis 7.3 SAFER Funktionsweise von SAFER Bewertung von SAFER RC2, RC5 und RC RC RC RC Blowfish und Twofish Blowfish Twofish Der Advanced Encryption Standard (AES) Funktionsweise des AES Rundenaufbau Entschlüsselung mit dem AES Schlüsselaufbereitung Mathematische Betrachtung des AES Bewertung des AES AES als algebraische Formel Quadratische Kryptoanalyse Noch weitere symmetrische Verschlüsselungsverfahren MISTY1, KASUMI und Camellia MISTY KASUMI Camellia Serpent Funktionsweise von Serpent S-Box-Design Schlüsselaufbereitung von Serpent Bewertung von Serpent AES-Kandidaten Die besten drei Die weiteren zwei Finalisten Wegen geringer Performanz ausgeschieden Die Unsicheren Einige AES-Kandidaten im Detail Fazit

6 Inhaltsverzeichnis xv 9.4 Weitere Verfahren Chiasmus und Libelle IDEA und IDEA NXT Skipjack TEA Weitere Verfahren Asymmetrische Verschlüsselung Ein bisschen Mathematik Modulo-Rechnen Einwegfunktionen und Falltürfunktionen Der Diffie-Hellman-Schlüsselaustausch Funktionsweise von Diffie-Hellman MQV RSA Funktionsweise des RSA-Verfahrens Ein Beispiel Sicherheit des RSA-Verfahrens Symmetrisch und asymmetrisch im Zusammenspiel Unterschiede zwischen symmetrisch und asymmetrisch Hybridverfahren Digitale Signaturen Was ist eine digitale Signatur? RSA als Signaturverfahren Funktionsweise Sicherheit von RSA-Signaturen Signaturen auf Basis des diskreten Logarithmus ElGamal-Verfahren DSA Unterschiede zwischen DLSSs und RSA Weitere asymmetrische Krypto-Verfahren Krypto-Systeme auf Basis elliptischer Kurven Mathematische Grundlagen ECC-Verfahren Die wichtigsten ECC-Verfahren

7 xvi Inhaltsverzeichnis 12.2 Weitere asymmetrische Verfahren NTRU XTR Krypto-Systeme auf Basis hyperelliptischer Kurven HFE Weitere asymmetrische Verfahren Kryptografische Hashfunktionen Was ist eine kryptografische Hashfunktion? Nichtkryptografische Hashfunktionen Kryptografische Hashfunktionen Angriffe auf kryptografische Hashfunktionen Die wichtigsten kryptografischen Hashfunktionen SHA Neue SHA-Varianten MD MD RIPEMD Tiger WHIRLPOOL Weitere kryptografische Hashfunktionen Hashfunktionen aus Verschlüsselungsverfahren Fazit Schlüsselabhängige Hashfunktionen Anwendungsbereiche Die wichtigsten schlüsselabhängigen Hashfunktionen Weitere Anwendungen kryptografischer Hashfunktionen Hashbäume Weitere Anwendungen Kryptografische Zufallsgeneratoren und Stromchiffren Zufallszahlen in der Kryptografie Anforderungen der Kryptografie Echte Zufallsgeneratoren Pseudozufallsgeneratoren Die Grauzone zwischen echt und pseudo Mischen von Zufallsquellen

8 Inhaltsverzeichnis xvii 14.2 Die wichtigsten Pseudozufallsgeneratoren Kryptografische Hashfunktionen als Fortschaltfunktion Linear rückgekoppelte Schieberegister Weitere Pseudozufallsgeneratoren Stromchiffren RC A E Weitere Stromchiffren Primzahlgeneratoren Teil 3 Implementierung von Kryptografie Real-World-Attacken Seitenkanalangriffe Zeitangriffe Stromangriffe Fehlerangriffe Weitere Seitenkanalangriffe Malware-Angriffe Malware und digitale Signaturen Vom Entwickler eingebaute Hintertüren Gegenmaßnahmen Physikalische Angriffe Die wichtigsten physikalischen Angriffe Gegenmaßnahmen Schwachstellen durch Implementierungsfehler Implementierungsfehler in der Praxis Implementierungsfehler in vielen Variationen Gegenmaßnahmen Insiderangriffe Unterschätzte Insider Gegenmaßnahmen Der Anwender als Schwachstelle Schwachstellen durch Anwenderfehler Gegenmaßnahmen Fazit

9 xviii Inhaltsverzeichnis 16 Standardisierung in der Kryptografie Standards Standardisierungsgremien Standardisierung im Internet Wissenswertes zum Thema Standards Standards und die Realität OIDs Wichtige Krypto-Standards PKCS IEEE P Standards für verschlüsselte und signierte Daten PKCS# XML Signature und XML Encryption Weitere Formate Betriebsarten und Datenformatierung Betriebsarten von Blockchiffren Electronic-Codebook-Modus Cipher-Block-Chaining-Modus Output-Feedback-Modus Cipher-Feedback-Modus Counter-Modus Fazit Datenformatierung für das RSA-Verfahren Der PKCS#1-Standard Datenformatierung für die RSA-Verschlüsselung Datenformatierung für RSA-Signaturen Datenformatierung für DLSSs Kryptografische Protokolle Protokolle Konzeptprotokolle Netzwerkprotokolle Eigenschaften von Netzwerkprotokollen Protokolle in der Kryptografie Eigenschaften kryptografischer Netzwerkprotokolle

10 Inhaltsverzeichnis xix 18.3 Angriffe auf kryptografische Protokolle Replay-Attacke Spoofing-Attacke Man-in-the-Middle-Attacke Hijacking-Attacke Known-Key-Attacken Verkehrsflussanalyse Denial-of-Service-Attacke Sonstige Angriffe Beispielprotokolle Beispielprotokoll: Messgerät sendet an PC Weitere Beispielprotokolle Authentifizierung Authentifizierung im Überblick Etwas, was man weiß Was man hat Was man ist Biometrische Authentifizierung Grundsätzliches zur biometrischen Authentifizierung Biometrische Merkmale Fazit Authentifizierung in Computernetzen Passwörter im Internet Authentifizierung mit asymmetrischen Verfahren Biometrie im Internet Verteilte Authentifizierung Single Sign-On Credential-Synchronisation Lokales SSO Ticket-SSO Web-SSO Kerberos Vereinfachtes Kerberos-Protokoll Vollständiges Kerberos-Protokoll Vor- und Nachteile von Kerberos

11 xx Inhaltsverzeichnis 20.3 RADIUS und andere Triple-A-Server Triple-A-Server Beispiele für Triple-A-Server SAML Funktionsweise von SAML SAML in der Praxis Krypto-Hardware und Krypto-Software Krypto-Hardware oder Krypto-Software? Pro Software Pro Hardware Ist Hardware oder Software besser? Smartcards Erfolgsmodell Smartcard Smartcards und Kryptografie Smartcard-Alternativen Kryptografie in eingebetteten Systemen Eingebettete Systeme und Kryptografie Kryptografische Herausforderungen in eingebetteten Systemen RFID und Kryptografie Sicherheitsprobleme beim Einsatz von EPC-Chips RFID und Kryptografie Weitere kryptografische Werkzeuge Management geheimer Schlüssel Schlüsselgenerierung Schlüsselspeicherung Schlüsselauthentifizierung Schlüsseltransport und Schlüssel-Backup Schlüsselwechsel Löschen eines Schlüssels Key Recovery Trusted Computing und Kryptografie Trusted Computing und Kryptografie Das Trusted Platform Module Funktionen und Anwendungen des TPM Fazit

12 Inhaltsverzeichnis xxi 22.3 Krypto-APIs PKCS# MS-CAPI Universelle Krypto-APIs Evaluierung und Zertifizierung ITSEC Common Criteria FIPS Die vier Stufen von FIPS Die Sicherheitsbereiche von FIPS Bewertung von FIPS Fazit und Alternativen Open Source als Alternative Theorie und Praxis Teil 4 Public-Key-Infrastrukturen Public-Key-Infrastrukturen Digitale Zertifikate Probleme asymmetrischer Verfahren Digitale Zertifikate Vertrauensmodelle Direct Trust Web of Trust Hierarchical Trust PKI-Varianten PKI-Standards X PKIX ISIS-MTT OpenPGP Aufbau und Funktionsweise einer PKI Komponenten einer PKI Rollen in einer PKI Prozesse in einer PKI

13 xxii Inhaltsverzeichnis 24.5 Identitätsbasierte Krypto-Systeme Funktionsweise Das Boneh-Franklin-Verfahren Digitale Zertifikate X.509v1- und X.509v2-Zertifikate Das Format Nachteile von X.509v1 und v X.509v3-Zertifikate Die X.509v3-Standarderweiterungen Weitere X.509-Profile Die PKIX-Erweiterungen Die ISIS-MTT-Erweiterungen X.509-Attribut-Zertifikate X.509-Fazit OpenPGP-Zertifikate OpenPGP-Pakete OpenPGP-Zertifikatsformat Unterschiede zu X PKI-Prozesse im Detail Anwender-Enrollment Schritt 1: Registrierung Schritt 2: Zertifikate-Generierung Schritt 3: PSE-Übergabe Enrollment-Beispiele Zertifizierungsanträge Recovery Schlüsselverlust-Problem Chef-Sekretärin-Problem Urlauber-Vertreter-Problem Virenscanner-Problem Abruf von Sperrinformationen Sperrlisten Online-Sperrprüfung Weitere Formen des Abrufs von Sperrinformationen

14 Inhaltsverzeichnis xxiii 27 Spezielle Fragen beim Betrieb einer PKI Outsourcing oder Eigenbetrieb? Gültigkeitsmodelle Schalenmodell Kettenmodell Certificate Policy und CPS Was steht in einem CPS und einer Certification Policy? Nachteile von RFC Policy-Hierarchien Hierarchietiefe Policy Mapping Policy-Hierarchien in der Praxis Beispiel-PKIs Signaturgesetze und dazugehörende PKIs EU-Signaturrichtlinie Deutsches Signaturgesetz Österreichisches Signaturgesetz Schweizer ZertES Fazit Nationale Kartenprojekte mit PKI Nationale Karten in Deutschland Österreich Schweiz Andere Länder Weitere PKIs Organisationsinterne PKIs Kommerzielle Trust Center Übergreifende PKIs Verwaltungs-PKI European Bridge-CA DFN-PCA Wurzel-CAs

15 xxiv Inhaltsverzeichnis Teil 5 Kryptografische Netzwerkprotokolle Kryptografie im OSI-Modell Das OSI-Modell Die Schichten des OSI-Modells Die wichtigsten Netzwerkprotokolle im OSI-Modell In welcher Schicht wird verschlüsselt? Kryptografie in Schicht 7 (Anwendungsschicht) Kryptografie in Schicht 4 (Transportschicht) Schicht 3 (Vermittlungsschicht) Schicht 2 (Sicherungsschicht) Schicht 1 (Bitübertragungsschicht) Fazit Krypto-Standards für OSI-Schicht Krypto-Erweiterungen für ISDN Kryptografie im GSM-Standard Wie GSM Kryptografie einsetzt Sicherheit von GSM Kryptografie im UMTS-Standard Von UMTS verwendete Krypto-Verfahren UMTS-Krypto-Protokolle Krypto-Standards für OSI-Schicht Krypto-Erweiterungen für PPP CHAP und MS-CHAP EAP ECP und MPPE Virtuelle Private Netze in Schicht Kryptografie für WLANs WEP WPA WPA Kryptografie für Bluetooth Grundlagen der Bluetooth-Kryptografie Bluetooth-Authentifizierung und -Verschlüsselung Angriffe auf die Bluetooth-Sicherheitsarchitektur

16 Inhaltsverzeichnis xxv 32 IPsec (Schicht 3) Bestandteile von IPsec ESP AH IKE ISAKMP Wie IKE ISAKMP nutzt Kritik an IPsec Virtuelle Private Netze mit IPsec SSL und TLS (Schicht 4) Funktionsweise von SSL Protokolleigenschaften SSL-Teilprotokolle SSL-Protokollablauf Das Handshake-Protokoll Das ChangeCipherSpec-Protokoll Das Alert-Protokoll Das ApplicationData-Protokoll SSL in der Praxis Vergleich zwischen IPsec und SSL VPNs mit SSL Verschlüsselte und signierte s (Schicht 7) und Kryptografie Kryptografie für s S/MIME S/MIME-Format S/MIME-Profil von ISIS-MTT Bewertung von S/MIME OpenPGP OpenPGP Bewertung von OpenPGP Abholen von s: POP und IMAP Gefahren beim Abholen von s Krypto-Zusätze für IMAP Krypto-Zusätze für POP

17 xxvi Inhaltsverzeichnis 35 Weitere Krypto-Protokolle der Anwendungsschicht Kryptografie im World Wide Web Basic Authentication Digest Access Authentication NTLM HTTP über SSL (HTTPS) Was es sonst noch gibt Kryptografie für Echtzeitdaten im Internet (RTP) SRTP SRTP-Schlüsselaustausch Bewertung von SRTP Secure Shell (SSH) Entstehungsgeschichte der Secure Shell Funktionsweise der Secure Shell Bewertung der Secure Shell Online-Banking mit HBCI Der Standard Bewertung von HBCI und FinTS Weitere Krypto-Protokolle in Schicht Krypto-Erweiterungen für SNMP DNSSEC und TSIG Kryptografie für SAP R/ SASL Sicheres NTP und sicheres SNTP Noch mehr Kryptografie in der Anwendungsschicht Dateiverschlüsselung Manuelle Dateiverschlüsselung Transparente Dateiverschlüsselung Code Signing Online-Bezahlsysteme Kreditkartensysteme Kontensysteme Bargeldsysteme Einige aktuelle Online-Bezahlsysteme Digital Rights Management DRM und Kryptografie Beispiele für DRM-Systeme

18 Inhaltsverzeichnis xxvii Teil 6 Mehr über Kryptografie Krypto-Wettbewerbe Kryptoanalyse-Wettbewerbe Algorithmen-Wettbewerbe Wer in der Kryptografie eine Rolle spielt Die zehn wichtigsten Personen Die zehn wichtigsten Unternehmen Die fünf wichtigsten Non-Profit-Organisationen Wo Sie mehr zum Thema erfahren Die wichtigsten Informationsquellen Die zehn wichtigsten Bücher Die zehn wichtigsten Webseiten Das letzte Kapitel Die zehn größten Krypto-Flops Schlangenöl Zehn populäre Krypto-Irrtümer Murphys zehn Gesetze der Kryptografie Bildnachweis 729 Literatur 731 Index 753