IT-Sicherheit. Jun.-Prof. Dr. Gábor Erdélyi. Siegen, 10. Januar 2018 WS 2017/2018

Transkript

1 IT-Sicherheit WS 2017/2018 Jun.-Prof. Dr. Gábor Erdélyi Lehrstuhl für Entscheidungs- und Organisationstheorie, Universität Siegen Siegen, 10. Januar 2018

2 Wiederholung Hashfunktionen Lineares Sondieren Quadratisches Sondieren Double Hashing Kollisionsresistente Hashfunktionen MAC Digitale Signaturen Anforderungen Vorteile/Nachteile Allgemeine Vorgehensweise

3 ElGamals digitales Signatur-Schema Alice und Bob einigen sich auf eine große Primzahl p und eine Primitivwurzel γ von p; p und γ sind öffentlich. Bob wählt zwei große Zufallszahlen b und s mit ggt (s, p 1) = 1 und berechnet seine Signatur sig B (m) = (σ, ρ) für das Dokument m: β = γ b σ = γ s mod p mod p ρ = (m bσ)s 1 mod (p 1) Bob sendet m, β, sig B (m) an Alice. Alice verifiziert, indem sie überprüft, ob gilt: γ m β σ σ ρ mod p

4 Angriffe auf digitale Signaturen I Totaler Bruch: Dem Kryptoanalytiker gelingt es, den privaten Schlüssel des Senders in einem digitalen Signatur-Schema zu ermitteln. Selektive Fälschung: Dem Kryptoanalytiker gelingt es mit einer nicht vernachlässigbaren Wahrscheinlichkeit, eine gültige Signatur für eine Nachricht zu erzeugen, die nicht von ihm gewählt wurde. Existenzielle Fälschung: Dem Kryptoanalytiker gelingt es, eine gültige Unterschrift für mindestens eine Nachricht zu erzeugen, die von Bob zuvor nicht unterschrieben wurde.

5 Angriffe auf digitale Signaturen II Analog zu Kryptosystemen: Key-Only-Angriff: Eve kennt lediglich Bobs öffentlichen Schlüssel. Known-Message-Angriff: Eve kennt Bobs öffentlichen Schlüssel und einige Paare von Nachrichten und zugehörigen Signaturen. Chosen-Message-Angriff: Eve kennt den öffentlichen Schlüssel und erhält eine Liste von Signaturen Bobs, die zu einer Liste von Nachrichten gehören, die Eve selbst gewählt hat.

6 Aufgaben des Schlüsselmanagements Erzeugung von Schlüsseln Verteilung von Schlüsseln Zertifizierung von Schlüsseln Speicherung/Archivierung von Schlüsseln Vernichtung von Schlüsseln

7 Erzeugung von Schlüsseln Sicherheit der Kryptosysteme ruht auf der sicheren Verwaltung des geheimen Schlüssels Darf nicht leicht zu erraten sein! Symmetrische Systeme: Zufallszahlengeneratoren deterministisch (Pseudozufallszahlgenerator) nicht-deterministisch - erfordert externe Vorgänge Asymmetrische Verfahren - große Primzahlen (Primzahltests, Pseudoprimzahlen)

8 Techniken zur Schlüsselerzeugung Zufallsereignis (benötigt spezielle Hardware): Atmosphärisches Rauschen Radioaktiver Zerfall Entladung von Kapazitäten Deterministische Berechnungen (pseudozufällige Bitfolge): Messung der Tastaturverzögerung Analyse der Mausbewegung Kombination der Uhrzeit, Systemidentifikation und Datum ANSI-Standard X9.17

9 Schlüsseltausch Jeder Kommunikationsteilnehmer sollte mit jedem anderen Teilnehmer einen Schlüssel vereinbaren. Bei n Teilnehmern sind es n(n 1)/2 Schlüssel. Bei großen Gruppen nicht praktisch. Vertrauenswürdige Schlüsselverteilerdienste. Schlüsselhierarchie

10 Das Schlüsseltausch-Protokoll von Diffie und Hellman 1. Alice und Bob einigen sich auf eine große Primzahl p und eine Primitivwurzel γ von p; p und γ sind öffentlich. 2. Alice wählt eine große Zufallszahl a, hält sie geheim und berechnet: α = γ a mod p. 3. Bob wählt eine große Zufallszahl b, hält sie geheim und berechnet: β = γ b mod p. 4. Alice schickt α an Bob, Bob schickt β an Alice. 5. Alice berechnet ihren Schlüssel: k A = β a mod p. 6. Bob berechnet seinen Schlüssel: k B = α b mod p.

11 Man-in-the-Middle-Angriff 1. Keine Authentizitätskontrolle am Anfang 2. Alice und Bob kommunizieren nicht miteinander, sondern mit Eve in der Mitte. 3. Gegenmaßnahme: Authentizität am Anfang überprüfen.

12 Zertifizierung - X.509 Standard Versionsnummer Seriennummer Signatur Zertifikataussteller Gültigkeitsdauer Benutzername Schlüsselinformationen eindeutiger Identifikator Erweiterungen

13 Schlüsselspeicherung Kopf MobileSitter Chipkarte/USB-Token PIN/Biometrie Schlüsselaufteilung Betriebssysteme

14 Schlüsselvernichtung Chip EEPROM: überschreiben EPROM, PROM: zerstören Betriebssysteme: Berienigung des Speicherplatzes!

15 Einführung Authentifikation von Objekten und Subjekten ist die Voraussetzung von Integrität und Vertraulichkeit Aufgabe: Mit geeigneten Maßnahmen die Korrektheit einer behaupteten Identität zu kontrollieren Credentials: Benutzerkennung und Passwort Tickets Praxis: Kenntnis eines spezifischen Wissens Besitz Biometrische Daten/Merkmale Mehr-Faktor-Authentifikation

16 Passwortverfahren Subjekt identifiziert sich indem es die Kenntnis eines Geheimnisses nachweist Wird fast auf allen Arbeitsplatzrechnern benutzt (Windows, Unix/Linux) Das System muss die Passwörter sicher verwalten (Hashwerte) Windows: Systemdatei pwl Unix/Linux:.secure/etc/passwd Auf diese Dateien beschränkte Zugriffsrechte!

17 Sicherheit Sicherheit hängt ab von der Stärke der kryptographischen Hashfunktionen der Qualität der Rechtevergabe Der Zugriffskontrolle Password-Cracking (Chosen-Ciphertext-Angriff): 1. Angreifer rät ein Passwort 2. Lässt es vom Zugangskontrolldienst des Systems verschlüsseln 3. Vergleicht es mit dem Kryptotext in der Passwort-Datei

18 Sicherheit II Gute, frei verfügbare Programme für Password-Cracking: Crack (Unix/Linux) John the Ripper (Unix/Linux, Windows) pwdump2, pwdump3 (Windows) Weiterhin wichtig: Passwortwahl Benutzereingabeüberwachung Spickzettel Mangelndes Sicherheitsbewusstsein Social Engineering

19 Login-Protokoll 1. System verlangt Identifikation/Kennung des Benutzers 2. Benutzer identifiziert sich per Kennung 3. System verlangt die Authentifikation 4. Benutzer gibt sein Passwort ein 5. System Verifiziert das Passwort 6. Im Fehlerfall wird der Benutzer informiert

20 Probleme/Gegenmaßnahmen Zu einfache Passwörter Systemgenerierte Passwörter: User zwingen gute Passwörter zu nutzen Schwer zu merken Für Server Authentifikation - auf der Festplatte Speichern (anfällig gegen Trojaner und Würmer) Einmalpasswörter: Beim jeden Login neues Passwort Einwegfunktionen Bsp.: S/Key-Verfahren Passwort-Vielzahl: PasswortSitter

21 Passwort Anforderungen 1. Länge mind. 8 Zeichen 2. kein Wort aus einem Wörterbuch 3. kein Eigenname 4. mind. ein Sonderzeichen enthalten 5. keine Tastatursequenz 6. regelmäßig ändern 7. Der Systemdienst der Zugriffskontrolle sollte die Punkte 1-3 kontrollieren 8. Das System sollte nur eine geringe Anzahl an Fehlversuchen erlauben, danach Kennung sperren

22 Challenge-Response-Verfahren OTP ist ein spezielles CR-Verfahren Idee: Login Daten nicht mehrfach übermitteln Spezielles Wissen nachweisen (z.b. Online-Banking PIN/TAN) Anwendungen: Authentifikationsprotokolle zwischen Geräten Authentifikation in Mobilfunknetzen WLAN Drucker, Mobiltelefone: Hardware Kontrolle

23 CR mit symmetrischen Kryptosystemen I Voraussetzung: gleiche Verschlüsselungsfunktion (oder Algorithmus) E für alle Geräte gleicher Schlüssel für alle Geräte CID: Identifikation des Clients K CID : der verwendete Schlüssel K r : vom Server gespeicherter Schlüssel Ist der Client authentisch, so gilt: K CID = K r :

24 CR mit symmetrischen Kryptosystemen II 1. Authentifikation: Client sendet Login-Anfrage an dem Server (CID) Server sucht den zu CID passenden Schlüssel K r Falls K r vorhanden, geht es weiter mit Challange 2. Challange: Server sendet eine neu erzeugte Zufallszahl RAND an Client Client verschlüsselt RAND mit E und Schlüssel K CID C = E(RAND, K CID )

25 CR mit symmetrischen Kryptosystemen III 3. Response: Client sendet C an Server Server verschlüsselt RAND mit E und Schlüssel K r C = E(RAND, K r ) Server überprüft ob C = C.

26 Sicherheit Passwort muss nicht übermittelt werden Kommunikation über unsichere Kanäle - Known-Plaintext-Angriff Wörterbuch-Angriff Server speichert den geheimen Schlüssel Benötigt gute Zufallszahlengenerator

27 CR mit asymmetrischen Kryptosystemen I 1. Server bekommt den öffentlichen Schlüssel K CID E 2. Client sendet Login-Anfrage an dem Server (CID) 3. Server sendet eine neu erzeugte Zufallszahl RAND an Client 4. Client signiert RAND mit seinem geheimen Schlüssel K CID D 5. Client sendet Sig an Server Sig = D(RAND, K CID D ) 6. Server verifiziert die Signatur mit K CID E 7. Server prüft ob R = RAND. R = E(Sig, K CID E )

28 Sicherheit Vorteil: Keine Geheimnisse im Voraus absprechen Public-Key-Infrastruktur notwendig Benötigt gute Zufallszahlengenerator Man-in-the-Middle-Angriff

29 Zero-Knowledge-Verfahren There are known knowns. There are things we know that we know. There are known unknowns. That is to say, there are things we know we don t know. But, there are also unknown unknowns. These are things we don t know we don t know. (D. Rumsfeld)

30 Zero-Knowledge-Verfahren There are known knowns. There are things we know that we know. There are known unknowns. That is to say, there are things we know we don t know. But, there are also unknown unknowns. These are things we don t know we don t know. (D. Rumsfeld) And there is zero-knowledge. These are things we know that somebody else knows, and we provably cannot know what they are! (J. Rothe)

31 Zero-Knowledge-Verfahren Wie kann Alice Bob davon überzeugen, dass sie Geheimnis s kennt, ohne dass Alice auch nur einen Teil dieses Geheimnisses Bob oder einem Dritten preisgibt?