Perspektiven der Sicherheit kryptographischer Verfahren gegen starke Angreifer

Transkript

1 Perspektiven der Sicherheit kryptographischer Verfahren gegen starke Angreifer Prof. Dr. Hannes Federrath Technologische Aspekte der Internetüberwachung und der Kryptographie der Europäischen Akademie für Informationsfreiheit und Datenschutz, Berlin,

2 Einteilung von Kryptosystemen Kryptographische Basisbausteine Konzelationssysteme Authentikationssysteme Hashfunktionen Pseudozufallszahlengeneratoren Schlüsselbeziehung Sender Empfänger Symmetrische Systeme Asymmetrische Systeme Erreichbare Sicherheit 4

3 Anwendungsfall x Schlüsselbeziehung Konzelation (Verschlüsselung) Authentikation symmetrische One-time-pad, DES, Triple- DES, AES, IDEA, A5/1 (GSM), A5/2 (GSM) Symmetrische Authentikationscodes, CCM, A3 (GSM), GnuPG/PGP WPA2 SecurID WPA2 IPSec SSL/TLS IPSec SSL/TLS asymmetrische RSA, ElGamal, McEliece, RSA, ElGamal, DSA, GMR, GnuPG/PGP GnuPG/PGP HBCI SSL/TLS HBCI SSL/TLS Algorithmus Anwendung 5

4 Erreichbare Sicherheit Sicherheit (informations) theoretisch sicher kryptographisch stark (beweisbar) gegen aktive Angriffe gegen passive Angriffe wohluntersucht (praktisch sicher) Chaos Zahlentheorie geheim gehaltene komplexitätstheoretisch sicher Kerckhoffs-Prinzip Die Sicherheit eines kryptographischen Verfahrens soll von der Geheimhaltung des kryptographischen Schlüssels abhängen. Geht zurück auf Auguste Kerckhoffs: La Cryptographie militaire,

5 Brechen kryptographischer Systeme Vollständiges Durchsuchen (bruteforce, exaustive search) Supercomputer Quantencomputer Stichwort: Schlüssellänge betrifft alle komplexitätsth. sicheren Systeme Ausnutzen von verborgenen Designschwächen (cryptananlysis) unabsichtlich: schlechtes Design absichtlich: backdoors Ausnutzen von Implementierungsfehlern Angriffe auf die physische Sicherheit Seitenkanalangriffe (timing attacks, power analysis) Protokollfehler Kryptologie als Geheimwissenschaft? DES, A5/1 (GSM), ECC (NIST-Kurven) Diskrepanz zwischen Theorie und Praxis Fault Injection, Cold Boot, GSM-Verschlüsselung 11

6 Vollständiges Durchsuchen (brute-force, exaustive search) Angriff über Supercomputer und künftig Quantencomputer betrifft nur komplexitätstheoretisch sichere Systeme Schutz gegen Supercomputer Schlüssel ausreichend lang wählen Schutz gegen Quantencomputer symmetrisch: Schlüssellänge verdoppeln auf mind. 256 Bit asymmetrisch: [post-quantum cryptography] Key lengths Super Computer Complexity Quantum Computer nach: Bernstein, Buchmann, Dahmen: Post Quantum Cryptography. Springer, 2009 Symm. 128 Bit Bit Grover, Asymm Bit Shor, Bit

7 Ausnutzen von verborgenen Designschwächen (cryptananlysis) Kryptographische Verfahren erweisen sich manchmal als schwächer als vermutet. daher wenigstens: Offenlegung Algorithmus (Kerckhoffs, 1883) Risiken bei Geheimhaltung? Verborgene Designschwächen? Data Encryption Standard DES und differenzielle Kryptanalyse 1993 vorgestellt von Biham und Shamir S1: 0: ! 1: ! 2: ! 3: !! S2: 0: ! 1: ! 2: ! 3: !! S3: 0: ! 1: ! 2: ! 3: !! S4: 0: ! 1: ! 2: ! 3: ! S5: 0: ! 1: ! 2: ! 3: !! S6: 0: ! 1: ! 2: ! 3: !! S7: 0: ! 1: ! 2: ! 3: !! S8: 0: ! 1: ! 2: ! 3: !

8 Ausnutzen von verborgenen Designschwächen (cryptananlysis) Kryptographische Verfahren erweisen sich manchmal als schwächer als vermutet. daher wenigstens: Offenlegung Algorithmus (Kerckhoffs, 1883) Risiken bei Geheimhaltung? Verborgene Designschwächen? Data Encryption Standard DES und differenzielle Kryptanalyse 1993 vorgestellt von Biham und Shamir zufällige S-Boxen: «geringer» Schutz gegen diff. Kryptan. Komplexität etwa 2 37 bis 2 47 standardisierte S-Boxen: «Hohe» Resistenz dagegen Komplexität etwa 2 52 bis

9 Ausnutzen von verborgenen Designschwächen (cryptananlysis) Kryptographische Verfahren erweisen sich manchmal als schwächer als vermutet. daher wenigstens: Offenlegung Algorithmus (Kerckhoffs, 1883) Risiken bei Geheimhaltung? Verborgene Designschwächen Absichtliche Designschwächen? Data Encryption Standard DES und differenzielle Kryptanalyse 1993 vorgestellt von Biham und Shamir Global System for Mobile Communication GSM A5/ praktisch gebrochen von Nohl benötigt ca. 2 TByte vorberechneter Rainbow tables Elliptic Curve Cryptography NIST FIPS Skepsis ist wohl zunächst berechtigt 15

10 Ausnutzen von Implementierungsfehlern Selbst wenn die kryptographischen Algorithmen in der Theorie als sicher eingeschätzt werden, so müssen sie auch praktisch implementiert werden. Typische Angriffsszenarien Angriffe auf die physische Sicherheit Seitenkanalangriffe (timing attacks, power analysis) Protokollfehler Fault Injection, Cold Boot, GSM-Verschlüsselung mobile station air interface (encrypted) BTS Microwave link (not encrypted) fixed network (not encrypted) (Gateway)-MSC 16

11 Ausnutzen von Implementierungsfehlern Selbst wenn die kryptographischen Algorithmen in der Theorie als sicher eingeschätzt werden, so müssen sie auch praktisch implementiert werden. Typische Angriffsszenarien Angriffe auf die physische Sicherheit Seitenkanalangriffe (timing attacks, power analysis) Protokollfehler Speicherinhalt normales Ausschalten Cold Boot 17 nach t Minuten citp.princeton.edu/research/memory/

12 Brechen kryptographischer Systeme Vollständiges Durchsuchen (bruteforce, exaustive search) Supercomputer Quantencomputer Ausnutzen von verborgenen Designschwächen (cryptananlysis) unabsichtlich: schlechtes Design absichtlich: backdoors Ausnutzen von Implementierungsfehlern Angriffe auf die physische Sicherheit 18 Seitenkanalangriffe (timing attacks, power analysis) Protokollfehler Bilder: UHH, Wikipedia, priceton.edu

13 Universität Hamburg Fachbereich Informatik Arbeitsbereich SVS Prof. Dr. Hannes Federrath Vogt-Kölln-Straße 30 D Hamburg Telefon