INFORMATIONSSICHERHEIT

Transkript

1 Fakultät Informatik/Mathematik Professur Informatikrecht/Informationssysteme INFORMATIONSSICHERHEIT Prof. Dr. Andreas Westfeld Dresden, Wintersemester 2017/2018

2 Die revolutionäre Idee Diffie und Hellman Trennen von Schlüsseln zum Ver- und Entschlüsseln; asymmetrische Paare von Schlüsseln Brechen eines Schlüssels oder Kryptogramms soll äquivalent zur Lösung eines bisher ungelösten mathematischen Problems sein Komplexitätstheorie: NP-vollständige Probleme Martin Hellman (links) und Whitfield Diffie (rechts) veröffentlichten 1976 einen richtungsweisenden Beitrag. NP-vollständig z. B.: Problem des Handlungsreisenden, Erfüllbarkeitsproblem der Aussagenlogik, Rucksackproblem Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 86 von 171

3 Kongruenzarithmetik Modulare Reduktion Die Kongruenzarithmetik basiert auf einer festen ganzen Zahl m > 1, die Modulus genannt wird. Die grundlegende Operation ist die Reduktion modulo m. Um eine ganze Zahl a modulo m zu reduzieren, teilt man a durch m und erhält den Rest r. Diese Operation schreibt man r := a mod m Der Rest r erfüllt die Bedingung 0 r < m. Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 89 von 171

4 Kongruenzarithmetik Kongruenzen Zwei Zahlen a und b nennt man kongruent modulo m, wenn sie nach modularer Reduktion das gleiche Ergebnis liefern. Diese Beziehung schreibt man a b (mod m) Beispiel: 3 11 (mod 7) Aus r = a mod m folgt r a (mod m). Für a 1 b 1 (mod m) und a 2 b 2 (mod m) gilt: a 1 + a 2 b 1 + b 2 (mod m) a 1 a 2 b 1 b 2 (mod m) a 1 a 2 b 1 b 2 (mod m) Übung: Reduziere 10 (mod 8), 3 (mod 11), 3 (mod 7) und 5 (mod 5). Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 90 von 171

5 Kongruenzarithmetik Ganze Zahlen modulo m Die ganzen Zahlen modulo m sind mögliche Ergebnisse der Reduktion modulo m. Ihre Menge ist Z m = {0, 1,..., m 1} Die Addition, Subtraktion und Multiplikation wird auf der Menge Z m wie in den ganzen Zahlen bei gleichzeitiger Reduktion modulo m ausgeführt. Übung: Berechne 8 + 9, 6 9 und 3 4 in Z 7. Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 91 von 171

6 Kongruenzarithmetik Vorüberlegungen zum modularen Potenzieren leerer Exponent Potenz ist eins: a 0 = 1; a n = } a a {{ a a } n Faktoren Rechenregeln für Potenzen a n a m = a n+m (1) (a n ) m = a n m (2) a n = 1 a n = ( 1 a ) n (3) a n b n = (ab) n (4) Das bedeutet insbesondere: Potenz mit Basis multiplizieren Exponent inkrementieren: a n a = a n+1 Potenz quadrieren Exponent verdoppeln: (a n ) 2 = a 2n Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 92 von 171

7 Kongruenzarithmetik Modulares Potenzieren Square-and-Multiply zur effizienten Berechnung der Potenz a n mod m naïve Lösung: n 1 (modulare) Multiplikationen BSI schlägt 900-stelligen Modulus für sichere Anwendung vor: Wie lange würde die naïve Lösung brauchen? ( Multiplikationen) Wie lang wäre a n, wenn die Operanden jeweils 3000 Bits lang sind? l = log 2 (a n ) l = n log 2 a l log 2 ( ) = Bits(!) Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 93 von 171

8 Kongruenzarithmetik Beispiel (mod 27) mit Papier und Bleistift; = ((((23 2 ) 2 23) 2 23) 2 ) 2 (44 = ) = = (mod 27) = = (mod 27) = 4 23 = (mod 27) = (mod 27) = (mod 27) mit Taschenrechner Casio fx-7400gii/fx-9860gii MOD_Exp(23, 44, 27) Casio ClassPad II imod(23^44, 27) HP Prime powmod(23, 44, 27) TI nspire CX CAS numtheory\pwrmod(23, 44, 27) Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 94 von 171

9 Kongruenzarithmetik Beispiel (mod 27) = (44 = ) separat quadrieren, Exponent von rechts abarbeiten Bitoperatoren a >> 1 und a & 1 nutzen statt Division durch 2 mit Rest Binärwandlung Quadrieren Multiplizieren 44 : 2 = 22 Rest = 1 22 : 2 = 11 Rest = = 1 11 : 2 = 5 Rest = = 13 5 : 2 = 2 Rest = = : 2 = 1 Rest = : 2 = 0 Rest = = Welche Registergröße (welcher Datentyp) wird benötigt? Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 95 von 171

10 Kongruenzarithmetik Größter gemeinsamer Teiler Der größte gemeinsame Teiler (ggt) zweier ganzer Zahlen a und b ist die größte positive Zahl d, welche a und b teilt. Falls d = 1, heißen a und b teilerfremd. Der größte gemeinsame Teiler lässt sich effizient mit dem euklidischen Algorithmus berechnen. function ggt(a, b) while a ~= 0 do b, a = a, b % a end return b end Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 96 von 171

11 Kongruenzarithmetik Kleinstes gemeinsames Vielfaches Das kleinste gemeinsame Vielfache (kgv) zweier ganzer Zahlen a und b ist die kleinste positive Zahl k, die sowohl a als auch b zum Teiler hat. Wenn a und b positiv sind, gilt für den ggt und das kgv die Beziehung ggt(a, b) kgv(a, b) = a b, so dass sich das kgv leicht berechnen lässt, wenn der ggt bekannt ist. function kgv(a, b) return a * b / ggt(a, b) end Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 97 von 171

12 Kongruenzarithmetik Modulare Division Das inverse Element bezüglich Multiplikation (multiplikatives Inverses, Kehrwert ) von a modulo m ist die Zahl b, für die a b 1 (mod m) gilt. Das multiplikative Inverse von a wird üblicherweise a 1 (mod m) geschrieben. Es existiert nur, wenn a und m teilerfremd sind. Für zwei Zahlen g und h modulo m und ggt(h, m) = 1 ist der modulare Quotient g/h modulo m gleich der Zahl q = g h 1 mod m. Für q gilt dann g h q (mod m). Für die modulare Division gibt es effiziente Verfahren. Übung: Dividiere 10/3 (mod 11), 10/4 (mod 13) und 10/5 (mod 17). Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 98 von 171

13 Kongruenzarithmetik Multiplikatives Inverses euklidischer Algorithmus findet den größten gemeinsamen Teiler (ggt) erweiterter euklidischer Algorithmus findet Zerlegung von ggt: ggt(a, b) = s a + t b Besonderheiten, wenn inverses Element gesucht ist: a ist Modulus, muss teilerfremd zu b sein b ist zu invertierendes Element ggt(a, b) = 1 s a 0 (mod a) t ist invers zu b, effektiv steht oben 1 t b (mod a) Übung: Berechne 3 1 (mod 11), 4 1 (mod 13) und 5 1 (mod 17). Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 99 von 171

14 Kongruenzarithmetik Erweiterter Euklidischer Algorithmus Die folgende Implementierung in Lua gibt den größten gemeinsamen Teiler sowie die Koeffizienten s und t von dessen Zerlegung zurück. function xeuklid(a, b) if b == 0 then return a, 1, 0 end local d, s, t = xeuklid(b, a % b) return d, t, s - math.floor(a / b) * t end Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 100 von 171

15 Kryptografie Kryp to gra fie, Kryp to gra phie, die; -,... ien (Psychol. absichtslos entstandene Kritzelzeichnung bei Erwachsenen; Disziplin der Informatik; Informationen unverständlich machen veraltet für Geheimschrift) griech. geheim + schreiben DUDEN als Disziplin der Informatik auch wesentlich mehr, z. B. Echtheit, Authentizität nachweisen elektronisch bezahlen Lehre vom Verschlüsseln auch Kryptologie Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 33 von 171

16 Kryptografisches System Symmetrische Kryptografie Klartext (message) m M (auch Nachricht, plain text) Chiffretext c C (auch Schlüsseltext, cipher text) Schlüssel (key) k K Funktionen verschlüsseln (encrypt) e : (m, k) c bzw. e : M K C entschlüsseln (decrypt) d : (c, k) m notwendige Bedingung m M : d(e(m, k), k) = m Jede mit k verschlüsselte Nachricht m lässt sich mit k korrekt entschlüsseln. Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 34 von 171

17 Symmetrisches Kryptosystem Zufallszahl k Schlüsselgenerator k m c m e d Kerckhoffs-Prinzip e, d und c können ohne Nachteil in die Hände des Feindes fallen, k und m müssen geheimgehalten werden. Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 35 von 171

18 Kryptografisches System Asymmetrische Kryptografie Klartext (message) m M (auch Nachricht, plain text) Chiffretext c C (auch Schlüsseltext, cipher text) Schlüsselpaar: geheimer Schlüssel k d, öffentlicher Schlüssel k e Funktionen verschlüsseln (encrypt) e : (m, k e) c bzw. e : M K C entschlüsseln (decrypt) d : (c, k d ) m notwendige Bedingung m M : d(e(m, k e), k d ) = m Jede mit k e verschlüsselte Nachricht m lässt sich mit k d korrekt entschlüsseln. Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 36 von 171

19 Asymmetrisches Kryptosystem Zufallszahl k e Schlüsselgenerator k d m c m e d k e ist öffentlich, falls das System die Vertraulichkeit sichern soll. k d ist öffentlich, falls das System die Zurechenbarkeit sichern soll. Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 37 von 171

20 Vergleich Symmetrische/asymmetrische Systeme Wieviele Schlüssel müssen bei n Teilnehmern ausgetauscht werden? symmetrische Systeme: ( n) 2 = n (n 1) Schlüssel 2 asymmetrische Systeme: n Schlüssel (je System) Typische Schlüssellängen: (bei vergleichbarem Sicherheitsniveau) symmetrische Systeme: Bit asymmetrische Systeme: Bit (Elliptische Kurven: ca. 160 Bit) Performance symmetrische Systeme ver- bzw. entschlüsseln etwa um den Faktor schneller Geringere Effizienz und größere Schlüssellängen werden jedoch aufgewogen durch den stark vereinfachten Schlüsselaustausch Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 65 von 171

21 Hybride Systeme Kombiniere einfachen Schlüsselaustausch der asymmetrischen Systeme hohe Verschlüsselungsleistung der symmetrischen Systeme Verfahren asymmetrisches Kryptosystem zum Austausch eines symmetrischen Sitzungsschlüssels k (session key) verwenden eigentliche Nachricht m mit k verschlüsseln Erst ab einer bestimmten Länge von m sinnvoll Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 66 von 171

22 Einordnung Anwendungsfall Schlüsselbeziehung Verschlüsselung Authentikation symmetrische AES, IDEA MAC 3 asymmetrische RSA, Elgamal DSS 3 hier: Message Authentication Code Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 67 von 171

23 Gütekriterien nach Shannon Konfusion Verschleierung des Zusammenhangs zwischen Schlüssel und Chiffretext Redundanz des Klartextes wird zerstreut in der Statistik des Chiffretextes Mittel: Substitution, Ersatz der Zeichen (S-Box) Diffusion Auflösung der statistischen Strukturen des Klartextes Strenges Avalanche-Kriterium: Änderung eines Bits im Klartext Änderung aller Bits im Chiffretext mit der Wahrscheinlichkeit ½ Mittel: Transposition, Permution der Zeichen (P-Box) Produktchiffren (Substitutions-Permutationschiffren) erreichen beides Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 75 von 171

24 Einwegfunktionen Diskreter Logarithmus leicht: y ermitteln in y = 2 17 mod 19 schwer: x ermitteln in 11 = 2 x mod 19 Beispiele: Elgamal, DH Faktorisierung leicht: y ermitteln (multiplizieren) in y = schwer: Primfaktoren a und b ermitteln in 8549 = a b Beispiel: RSA 2 x mod x Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 108 von 171

25 Diffie-Hellman Schlüsselaustausch 1. Alice und Bob einigen sich (öffentlich) auf Primzahl p und Zahl g. 2. g ist ein erzeugendes Element der Gruppe Z p. 3. Alice berechnet α g a (mod p) mit a geheim, zufällig 4. Bob berechnet β g b (mod p) mit b geheim, zufällig 5. Beide tauschen α und β öffentlich aus. 6. Alice berechnet k β a (mod p). 7. Bob berechnet k α b (mod p). Gleiches Geheimnis k g ba g ab (mod p) Was muss Eve tun, um das Geheimnis k zu ermitteln? Wovon hängt die Sicherheit des Systems ab? Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 109 von 171

26 Diffie-Hellman Schlüsselaustausch Beispiel 1. Alice und Bob einigen sich (öffentlich) auf die Primzahl p = 7 und Zahl g = 5 2. (5 ist ein erzeugendes Element der Gruppe Z 7.) 3. Alice wählt a = 2 (zufällig) und berechnet α g a = (mod p). 4. Bob wählt b = 4 (zufällig) und berechnet β g b = (mod p). 5. Beide tauschen α = 4 und β = 2 öffentlich aus. 6. Alice berechnet k β a = 2 2 = 4 (mod p). 7. Bob berechnet k α b = (mod p). Alice und Bob kennen nun den gleichen Schlüssel k = 4. Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 110 von 171

27 Elgamal Schlüsselerzeugung Alice wählt bestimmende Elemente einer zyklischen Gruppe G der Ordnung p 1 (muss großen Primfaktor haben 7 ) mit erzeugendem Element g, wählt a {2,..., p 2} zufällig, berechnet α g a (mod p), veröffentlicht g, p und α als öffentlichen Schlüssel und bewahrt a als ihren geheimen Schlüssel für die Entschlüsselung auf. 7 Meist wird p = 2q + 1 als Germainsche Primzahl gewählt, q prim. Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 111 von 171

28 Elgamal Verschlüsselung Bob wählt seine geheime Nachricht (oder eine Teilnachricht) m Z p wählt b {2,..., p 2} zufällig, berechnet β g b (mod p), berechnet das gemeinsame Geheimnis k α b (mod p), berechnet c m k (mod p) und sendet den Chiffretext (β, c) an Alice. Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 112 von 171

29 Elgamal Entschlüsselung Alice berechnet das gemeinsame Geheimnis k β a (mod p), ermittelt den Klartext m c (mod p) k Der Entschlüsselungsalgorithmus erzeugt den gewünschten Klartext, da c k m αb m gab = m (mod p). g ab g ab Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 113 von 171

30 RSA Schlüsselerzeugung Alice berechnet n als Produkt von unabhängigen, zufälligen Primzahlen p und q, RSA-Herausforderung (im Jahre 2009 faktorisiert: 768 Bit) 1728 Bit seit Ende 2010 nicht mehr geeignet bis zum Jahre 2022: n mindestens 1976 Bit lang (Empfehlung: 2048 Bit) log 2 p log 2 q ungefähr im Bereich 0, wählt den öffentlichen Schlüssel e teilerfremd zu ϕ(n) = Z n = (p 1)(q 1), sehr empfohlen: e , aber möglichst klein für Rechenvorteil berechnet den geheimen Schlüssel d als multiplikatives Inverses zu e traditionell modulo ϕ(n), alternativ modulo λ(n) = kgv(p 1, q 1): e d 1 (mod ϕ(n)) und veröffentlicht e und n als ihren öffentlichen Schlüssel. Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 114 von 171

31 RSA Ver- und Entschlüsselung Bob wählt seine geheime Nachricht (oder eine Teilnachricht) 0 m < n, berechnet c m e (mod n) und sendet den Chiffretext c an Alice. Alice entschlüsselt m c d (mod n). Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 115 von 171

32 RSA Mathematischer Hintergrund Gilt (m e ) d m e d (m d ) e m (mod n) allgemein für alle m? e und d invers zueinander modulo ϕ(n): e d 1 (mod ϕ(n)) e d = 1 + k ϕ(n) für k Z Satz von Euler: Für zwei teilerfremde Zahlen a und n gilt a ϕ(n) 1 (mod n). 8 Daraus folgt m e d = m 1+k ϕ(n) = m (m ϕ(n) ) k m 1 k = m (mod n) 8 Funktion λ von Carmichael findet die kleinste Zahl λ(n) für die gilt: a λ(n) 1 (mod n). Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 116 von 171

33 RSA Beispiel zufällige große Primzahlen p = 3 und q = 11, n = pq = 33 ϕ(n) = (p 1)(q 1) = (3 1)(11 1) = 20 öffentlichen Exponent wählen (für Rechenvorteil klein) e = 3 das multiplikative Inverse (geheimen Exponent d) zu e bestimmen: 20 = = ggt ist 1 1 = = 3 1 (20 6 3) = Probe: 7 3 = 21 1 (mod 20) Nachricht m = 15 verschlüsseln: c m e = 15 3 = (mod 33) Chiffretext c = 9 entschlüsseln: c d = 9 7 = = m (mod 33) Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 117 von 171

34 Multiplikativer Angriff... auf naïve RSA-Signatur zufällige große Primzahlen p = 2 und q = 11, n = pq = 22 Signaturprüfschlüssel t = 3 wählen, Signaturschlüssel s = 7 bestimmen Angenommen, Signierer schuldet 5 Euro und weitere 3 Euro Nachricht m 1 = 5 signieren: c 1 m1 s = 57 = (mod 22) Nachricht m 2 = 3 signieren: c 2 m2 s = 37 = (mod 22) Angreifer will aus = 8 einen Schuldenbetrag von m = 5 3 = 15 Euro machen, bestimmt die Signatur dazu Signatur c passt zu Dokument m : c = c 1 c 2 = 3 9 = 27 5 (mod 22) c t = 5 3 = = m (mod 22) Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 118 von 171

35 Nützliche Anwendung... des Angriffs als blinde Signatur zufällige große Primzahlen p = 3 und q = 11, n = pq = 33 Signaturprüfschlüssel t = 3 wählen, Signaturschlüssel s = 7 bestimmen Angenommen, jemand will die geheime Nachricht m = 7 signieren lassen, ohne dass der Signaturleistende danach m kennt. Zufallszahl z wählen, z. B. z = 17 und Blendfaktor b bestimmen: b z t = 17 3 = (mod 33). Nachricht m blenden: m m z t m b = 7 29 = (mod 33) geblendete Nachricht signieren: m s = 5 7 = (mod 33) Signatur der geblendeten Nachricht anpassen (blind geleistete Signatur bestimmen) m s z = 28 (mod 33), (17 2 = 34 1 (mod 33)) Prüfen: 28 3 = = m (mod 33) mathematischer Hintergrund der blind geleisteten Signatur: (m z t ) s z 1 = m s z s t 1 = m s z 1+k ϕ(n) 1 = m s (z ϕ(n) ) k m s (mod n) mit s t = 1 + k ϕ(n) 1 (mod ϕ(n)), k Z, Satz von Euler z ϕ(n) 1 (mod n) Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 119 von 171

36 Hashfunktionen $ echo "Hallo Maria" md5sum 099d66dc0717c078ed26aea742b73d9e - $ echo "Hallo Mario" md5sum 5b34e3722d83a31338ba546bf835435f - $ echo "Auch längere Texte lassen sich hashen" md5sum ab c49f481dfd b76f - $ echo "Hallo Maria" sha256sum 73216a6b0807d3289bb1f88f29197f8ca0ef9cbbea a5b00e662c - $ echo "Hallo Mario" sha256sum ba e9ac3dbb0ce1720b4081dd1084c99cff7050e2eea1f6e44357bf76e - $ echo "Auch längere Texte lassen sich hashen" sha256sum 440c6f39a3851a35f578c985a89211f9b539004a10e351e74b ff9a00 - Hashfunktion h bildet Eingabe m beliebiger Länge in einen kurzen, möglichst eindeutige Hashwert h(m) fester Länge ab Datenreduktion, Chaos Westfeld, Wintersemester 2017/2018 Informationssicherheit Folie 120 von 171