Kryptografie. Skript zur Vorlesung. Prof. Dr. Nils Martini

Transkript

1 Kryptografie Skript zur Vorlesung Prof. Dr. Nils Martini Hochschule für Angewandte Wissenschaften Hamburg,

2 INHALTSVERZEICHNIS 1 Inhaltsverzeichnis 1 Grundlagen 2 2 Symmetrische Verschlüsselung Einfache Verfahren Kodewörter Substitutions-Chiffren Permutations-Chiffren homophone Substitutions-Chiffren Polyalphabetische Substitutionen Vigenère-Chiffre Hill-Chiffre Vernam-Chiffre One-Time-Pad Rotor-Chiffren Moderne symmetrische Verfahren Data Encryption Standard DES Alternativen zu DES Operationsmodi Asymmetrische Verfahren RSA-Algorithmus Diffie-Hellman-Verfahren ElGamal-Verfahren Digital Signature Algorithm DSA Primzahlen Finden großer Primzahlen Primzahl-Faktorisierung Hash-Funktionen Grundlagen MD Message Authentication Code MAC Authentifizierung 13 7 Kryptografie in Anwendungen Verschlüsselung auf unteren OSI-Schichten IPSecure SSL (Secure Socket Layer) Verschlüsselung in Anwendungen Secure Shell Sicherheit im WLAN Digital Rights Management DRM Anforderungen an DRM-Systeme Authentizität Integrität

3 1 GRUNDLAGEN 2 1 Grundlagen Das Geheimhalten von Informationen ist ein entscheidendes Element bei der Kommunikation z.b. in der Diplomatie, Politik, Wirtschaft oder beim Militär mit der Verbreitung elektronischer Medien wird die Vertraulichkeit der Kommunikation (Artikel des Grundgesetzes) auch im privaten Bereich immer wichtiger grundsätzlich sind zwei Verfahren zu unterscheiden: das Verbergen der Information und die Verschlüsselung der Information Steganografie ( verdeckt schreiben ): eine Nachricht wird nicht verschlüsselt sondern verborgen Spielarten der Steganografie z.b.: Holztafeln mit Wachs verdecken, Botschaften auf feine Seide schreiben und anschließend mit Wachs zu kleinen Kügelchen formen, Eiertrick, alle Arten unsichtbarer Tinte, Mikropunkt, Information innerhalb von Bildpixeln Nachteil: Wenn die Nachricht entdeckt wird, liegt ihr Inhalt frei Vorteil: Niemand erkennt, dass überhaupt eine Nachricht verschickt wurde im Gegensatz dazu macht die Kryptografie ( geheim schreiben ) eine Nachricht unleserlich, verbirgt aber das Vorhandensein der Nachricht nicht Kryptografie: Lehre vom Verschlüsseln von Nachrichten bis vor wenigen Jahren waren kryptografische Verfahren zur Geheimhaltung einer Kommunikation nur im militärischen und diplomatischen Bereich von Bedeutung durch die zunehmende Verbreitung elektronischer Kommunikationssysteme sind sie heute zunehmend auch im ökonomischen und privaten Bereich immer wichtiger ohne einfach anzuwendende sichere Verschlüsselung und Authentifizierung wird sich der kommerzielle Bereich des Internets kaum weiterentwickeln außer der reinen Geheimhaltung von Informationen, ist auch die Authentifizierung eines Benutzers (Verbindlichkeit von Bestellungen) ein weiteres wichtiges Anwendungsgebiet wozu Verschlüsselung? die Datenübertragung im Internet ist ASCII-basiert (d.h. Postkarte statt Brief) es gibt viele Zwischenstationen beim Datentransfer Authentizität bei ist nicht gewährleistet Verfälschung/Diebstahl von Nachrichten Wirtschaftsspionage auf privater Ebene: Käuferprofil und: Schutz der Privatsphäre ist ein Grundrecht Anwendungen im Internet s World Wide Web (Datenbankzugriffe, Systemadministration, kommerzielle Anwendungen, Intranet usw.) Client-Server-Programme VPN Online-Banking Remote Access 2 Symmetrische Verschlüsselung Zur Verschlüsselung wird ein mathematisches Verfahren (Chiffre, Cipher) angewendet, um eine Nachricht (Klartext, Plaintext) in ein zufälliges Muster (Chiffretext, Ciphertext) umzuwandeln

4 2 SYMMETRISCHE VERSCHLÜSSELUNG 3 zusätzlich: Verwendung von Schlüsseln gute Verschlüsselungsalgorithmen sind öffentlich bekannt und beziehen ihre Sicherheit ausschließlich aus dem geheimen Schlüssel Kryptoanalyse ( Knacken von Chiffretexten): Ciphertext-Only (nur der Chiffretext ist bekannt) Known-Plaintext (Klar- und Chiffretext sind bekannt, daraus Ableitung des Schlüssels) Chosen-Plaintext (Chiffretext ist bekannt, Chiffrier-Versuche mit wahrscheinlichem Klartext) 2.1 Einfache Verfahren Kodewörter jede Nachricht entspricht einem Kodewort Vorteil: sehr einfach und bis zum ersten Einsatz absolut sicher Nachteil: nur wenige Nachrichten können kodiert werden, leichtes Erraten beim wiederholten Einsatz Substitutions-Chiffren Caesar-Chiffre einfachste Form einer Substitutions-Chiffre Ersetzen der Klartext-Buchstaben durch andere mathematisch ausgedrückt: diese Operation ist die Addition modulo der Mächtigkeit des Alphabets (n=26) a + s mod n mit a: Klartextzeichen, s: Schlüssel die Dechiffrierung erfolgt mit c s mod n mit c: Chiffretext-Zeichen Analyse: Brute-Force (ausprobieren) oder Häufigkeitsanalyse weitere Form der Substitutionschiffre: Freimaurer-Chiffre allgemeine Substitutionen beliebiges (nicht arithmetisch beschreibbares) Vertauschen der Buchstaben Vorteil: Schlüsselraum gleich n! die Häufigkeitsanalyse muss für jeden Buchstaben des Chiffretextes erfolgen Kryptoanalyse einfacher Substitutionen Brute-Force nur bei arithmetischen Verfahren Ausnutzung der Redundanz einer Sprache: relative Buchstaben-Häufigkeit Bigramme und Trigramme bekannte Wortgrenzen bzw. häufige Wortendungen mögliche Nachbarzeichen von Vokalen und Konsonanten Multiplikative Chiffren jedes Klartextzeichen m wird mit einer Zahl t multipliziert (n als Größe des verwendeten Alphabets; n und t teilerfremd): c = (m t) mod n Nachteil: das Verfahren hat nur sehr wenige Schlüssel bei kleinem n

5 2 SYMMETRISCHE VERSCHLÜSSELUNG 4 Affine Chiffren (Tausch-Chiffren) Caesar-Chiffre und Multiplikations-Chiffre werden kombiniert: c = (m t + k) mod n es muss für die verwendeten Schlüsselwerte eine Dechiffrierfunktion mittels des Modulo- Inversen berechnet werden Permutations-Chiffren Buchstaben werden nicht ersetzt sondern nur vertauscht Permutations-Ciffren gehören zu den ältesten Verschlüsselungsverfahren sie sind mechanisch einfach umsetzbar, da sie oft mit geometrischen Figuren beschrieben werden Beispiel: Skytala (Griechenland, 400 v.chr.; Papyrusstreifen wird um einen Zylinder gewickelt und zeilenweise parallel zur Zylinderachse beschrieben) Prinzip: zeilenweises Eintragen des Klartextes in eine Matrix, spaltenweises Auslesen der Matrix ergibt den Chiffretext (Spaltenpermutation) Analyse über Häufigkeitsverteilungen ist hierbei nicht möglich, da die originalen Buchstaben erhalten bleiben: Versuch Bi- und Trigramme zu finden, ausprobieren Vergrößerung des Schlüsselraumes durch zusätzliches Vertauschen der Spalten Permutationen lassen sich durch Schlüssel beschreiben: Zeichen 1 auf Position 4, Zeichen 2 auf Position 9 usw. wird auch als Block-Transposition bezeichnet gute Verschlüsselung, wenn Spaltenpermutation, Vertauschen der Spalten und Block-Transposition der Zeilen zusammen verwendet werden Schlüssel haben keine gute Wirkung, wenn Bi- und Trigramme nicht gut getrennt werden reine Permutation hat heute keine praktische Bedeutung mehr homophone Substitutions-Chiffren Nachteil einfacher Substitutionen: statistische Eigenschaften des Klartextes sind im Chiffretext enthalten solche charakteristischen Verteilungen eines Textes lassen sich vermeiden, wenn jedem Klartextzeichen unterschiedliche Chiffrezeichen zugeordnet werden Nachteil: Expansion des Chiffretextes historisches Beispiel: Beale-Chiffre, bei der bis heute nur einer der drei Teile des Chiffretextes mittels der amerikanischen Unabhängigkeitserklärung entschlüsselt werden konnte homophone Substitutions-Chiffren sind zwar sehr sicher aber auch sehr unhandlich 2.2 Polyalphabetische Substitutionen Bei polyalphabetischen Substitutions-Chiffren werden mehrere einfache Substitutionen verwendet die Reihenfolge und Auswahl der Substitutionen hängen vom Schlüssel ab Nachteile einfacher oder homophoner Chiffren werden vermieden Vigenère-Chiffre die Substitution erfolgt additiv mittels eines Schlüsselwortes die Buchstabenposition (A=0, B=1, C=2,... Z=25) des Schlüsselwortes wird auf den Klartext addiert

6 2 SYMMETRISCHE VERSCHLÜSSELUNG 5 praktische Handhabung bei Ver- und Entschlüsselung mittels Vigenère-Quadrat prinzipiell setzt sich die Vigenère-Chiffre aus mehreren Caesar-Chiffren zusammen Analyse: finden der Schlüssellänge über sich wiederholende Muster im Chiffretext (Kasiski-Test) und brechen der entsprechenden Anzahl von Caesar-Chiffren; sind Teile des Schlüssels bekannt, lässt sich der Schlüssel auch direkt ableiten Hill-Chiffre wie bei der Vigenère-Chiffre handelt es sich um ein polyalphabetisches Verschlüsselungsverfahren es werden jeweils in einem Berechnungsschritt d Klartextzeichen zu d Chiffretextzeichen gewandelt die Verschlüsselung erfolgt über eine d d-matrix A zu der eine inverse Matrix A 1 existieren muss c = m A mit m als Klartextvektor der Länge d die Dechiffrierung erfolgt mit c A 1 = m A A 1 = m die Ciphertext-only-Analyse ist relativ schwer, sind aber Klartextblöcke und deren Chiffretexte bekannt, kann leicht der Schlüssel gefunden werden, mit A = M 1 C mit M bzw. C als Klartext- bzw. Chiffretextmatrix mit d Klar-/Chiffretextvektoren Vernam-Chiffre je länger der Schlüssel einer Vigenère-Chiffre ist, desto schwieriger wird die Analyse bei der Vernam-Chiffre ist der Schlüssel genauso lang wie der Klartext Analyse: sehr schwierig; besteht der Schlüssel aus einem sinnvollen Wort kann eine Häufigkeitsanalyse erfolgreich sein One-Time-Pad ist der Schlüssel einer Vernam-Chiffre vollkommen zufällig gewählt, ist keine Analyse möglich wird der Schlüssel nur einmal (one-time) verwendet, besteht absolute Sicherheit bei Binärdaten: die Addition entspricht einer XOR-Verknüpfung Nachteile: extrem langer Schlüssel, problematischer Schlüsselaustausch, Erzeugung wirklich zufälliger Schlüssel Rotor-Chiffren historisch wichtigste Anwendung: Enigma-Maschine Prinzip: runde Scheibe mit 26 Metallkontakten auf jeder Seite je zwei Kontakte sind miteinander verdrahtet Verwendung von drei drehbaren Scheiben, die wie ein Tacho verbunden sind je nach Stellung der Rotoren leuchtet nach Drücken einer Taste eine Lampe zusätzlich wird nach jedem Tastendruck Rotor 1 um einen Schritt weitergedreht dadurch entsteht ein polyalphabetisches Substitutionsverfahren mit 26 3 Schlüsseln bei der Enigma-Maschine wird eine vierte Scheibe (der Reflektor) verwendet, bei der die Kontakte nur auf einer Seite liegen; jeder Rotor wird somit zweimal durchlaufen

7 3 MODERNE SYMMETRISCHE VERFAHREN 6 die militärische Version enthielt zusätzlich ein Steckerbrett zwischen Tastatur und Rotoren bzw. zwischen Rotoren und Anzeige (weitere Substitutionen) Parameter für den Schlüssel der Enigma: Typ der Rotoren Anordnung der Rotoren Anfangsstellung der Rotoren Verdrahtung des Steckerbretts Kryptoanalyse der Enigma die Verdrahtung war durch Spionage und Known-Plaintext-Attacken bereits in den 30er- Jahren prinzipiell bekannt ursprünglich wurde die Anfangsposition der Rotoren am Beginn einer Nachricht gesendet durch zu kurze (militärische stereotype) Nachrichten drehte sich oft nur der erste Rotor Known-Plaintext-Attacken durch den Reflektor wird kein Buchstabe auf sich selbst abgebildet 3 Moderne symmetrische Verfahren 3.1 Data Encryption Standard DES DES wurde Anfang der 70er-Jahre von IBM entwickelt, 1977 standardisiert und war für lange Zeit das verbreitetste Verschlüsselungsverfahren Verschlüsselung von Klartext-Blöcken der Länge 64 Bit jeder Klartextblock wird in einen gleichgroßen Chiffretext-Block umgewandelt Schlüssellänge 64 Bit (praktisch nur 56 Bit) DES verwendet nur einfache Grundfunktionen: XOR-Verknüpfung Permutation Substitution die 16-fache Kombination dieser Bestandteile ergibt ein sehr sicheres Verfahren Funktionsweise von DES Eingangspermutation des 64-Bit-Blocks Zerlegung des Ergebnisses in zwei 32-Bit-Blöcke (L und R) Block L wird mit einer Funktion F bearbeitet und anschließend mit R das alte L wird zum neuen R und der Vorgang 16mal wiederholt XOR-verknüpft nach diesen 16 Runden wird der resultierende 64-Bit-Block mit der inversen Eingangspermutation bearbeitet der wichtigste Vorgang ist die Funktion F, in die in jeder Runde ein Teil des Schlüssels eingeht die Funktion F diese Funktion verknüpft einen 32-Bit-Block mit einem Teilschlüssel zunächst Permutation des 32-Bit-Blocks und durch doppelte Verwendung einiger Bits Expansion auf 48 Bit dieser Block wird mit 48 Bits des Schlüssels XOR-verknüpft Zerlegung des resultierenden 48-Bit-Blocks in acht 6er-Blöcke

8 3 MODERNE SYMMETRISCHE VERFAHREN 7 die Bits jedes 6er-Blocks werden zur Auswahl eines 4-Bit-Wertes aus einer festen Tabelle (sog. S-Box) verwendet die acht 4-Bit-Zahlen ergeben wieder einen 32-Bit-Block, der einer weiteren festen Permutation unterzogen wird die Schlüsseltransformation von DES jedes achte Bit des Schlüssels wird entfernt (Paritätsbits zur Fehlerüberprüfung) die verbleibenden 56 Bit werden permutiert Teilung in zwei 28-Bit-Hälften von den 56 Bits werden nach festem Schema 48 ausgewählt Verschiebung der 28-Bit-Hälften in jeder Runde um ein oder zwei Schritte, sodass insgesamt 28 Verschiebungen in den 16 Runden durchgeführt werden De-Chiffrierung von DES erfolgt in der umgekehrten Reihenfolge der Verschlüsselung, wobei allerdings zu berücksichtigen ist, dass die Funktion F nicht rückwärts durchlaufen werden kann Sicherheit von DES trotz Offenlegung und prinzipieller Einfachheit des Verfahrens und der kurzen Schlüssel: sehr sicheres Verfahren seit 1997 waren einige Known-Plaintext-Attacken erfolgreich, heute wird DES bei wichtigen Verschlüsselungsanwendungen nicht mehr eingesetzt es gibt schwache Schlüssel (z.b. nur Einsen) 3.2 Alternativen zu DES Double-DES: zweifache Anwendung von DES mit zwei verschiedenen Schlüsseln (durch Meetin-the-Middle-Attacken erhöht sich die Sicherheit nur um den (unbrauchbaren Faktor 2) Triple-DES: dreifache Anwendung mit zwei Schlüsseln (Erhöhung der Sicherheit wegen MITM- Attacke um den Faktor ) IDEA (Intern. Data Encryption Standard) Designkriterien ähnlich wie bei DES: relativ einfache Grundfunktionen, die in 8 Runden auf 64-Bit-Klartextblöcke angewendet werden (Addition (mod 2 16 ), Multiplikation (mod =), XOR-Verknüpfungen) Schlüssellänge: 128 Bit die Entschlüsselung erfolgt in umgekehrter Reihenfolge wie beim Verschlüsseln Sicherheit: sehr hoch, aber IDEA ist noch nicht so ausführlich untersucht wie DES RC2 (Rivest Cipher) variable Schlüssellänge (Schlüsselraum bis ) Block-Chiffre, jedoch ohne S-Boxen Verfahren wurde bis vor kurzem geheim gehalten die internationale Version war aufgrund der US-Waffenexportbeschränkungen auf 40 Bit eingeschränkt (wird z.b. in S/MIME verwendet) Varianten RC4, RC5, RC6 Skipjack von der NSA Ende der 80er-Jahre entwickelt Verschlüsselungsverfahren für den Clipper-Chip erst nach dem Scheitern des Clipper-Projekts 1998 veröffentlicht Block-Chiffre mit 80-Bit-Schlüssel und 32 Runden AES (Advanced Encryption Standard)

9 3 MODERNE SYMMETRISCHE VERFAHREN 8 ab 1997 wurde ein Wettbewerb zur Entwicklung eines Nachfolgers von DES begonnen die Anforderungen waren: symmetrische Blockchiffre, sicher bzgl. heutiger Analyse-Verfahren, einfaches Design, Unterstützung verschiedener Block- und Schlüssellängen, hohe Effizienz, einfache Implementierung in Hard- und Software Gewinner war der Rijndael-Algorithmus andere gute AES-Kandidaten sind heute gebräuchlich z.b. Twofish, RC6, Serpent Ablauf Schlüsselexpansion Vorrunde mit KeyAddition Verschlüsselungsrunden (10 bis 14 Runden je nach Schlüssellänge; Blocklänge 128 Bit, Schlüssellänge 128, 192 oder 256 Bit) bestehend aus Substitution (ByteSub), ShiftRow, MixColumn und KeyAddition Schlussrunde Stromchiffre RC4 eine Stromchiffre ist prinzipiell ein Pseudo-Zufallsgenerator, der mit einem Startwert (Seed) initialisiert wird der Seed wird aus dem Schlüssel erzeugt die erzeugte Zufallsfolge wird mit dem Klartext XOR-verknüpft, d.h der Schlüssel ist genauso lang wie die Nachricht der Empfänger entschlüsselt den Chiffretext, indem er dieselbe Zufallsfolge mithilfe des Seeds erzeugt und mit dem Chiffretext XOR-verknüpft RC4 ist ein sehr einfaches Verfahren ohne bekannte Schwächen (geringe Probleme am Anfang des Verfahrens bzw. bei sehr kurzen Nachrichten durch die Einfachheit der Schlüsselgenerierung) 3.3 Operationsmodi die Grundchiffrierung bei einer Blockchiffre bearbeitet immer Einheiten fester Länge ein Betriebs- oder Operations-Modus ergänzt die Grundchiffrierung mit einer Rückkopplung auf Basis einfacher Verknüpfungen ein Operationsmodus soll die Handhanbung einer Chiffre in Bezug auf die Anwendung verbessern, wobei weder die Effizienz noch die Sicherheit des Verfahrens beeinträchtigt werden darf Electronic Code Book ECB einfachster Modus (entspricht der Grundfunktion von DES): ein Klartextblock wird in einen Chiffretextblock gewandelt Codebook weist darauf hin, dass es (theoretisch) möglich ist, für jeden Schlüssel ein Codebuch anzulegen, in dem jeder mögliche Klartextblock mit seinem Chiffretextblock verknüpft ist Vorteil: eine lineare Bearbeitung des Klartextes ist nicht zwingend erforderlich Nachteil: gleiche Klartextblöcke m j ergeben denselben Chiffretext c j Bitfehler bei der Übertragung des Chiffretextes c j betreffen lediglich den einen 64-Bit-Block, nachfolgende Blöcke bleiben davon unbeeinflusst fehlende oder ergänzte Bits zerstören jedoch die komplette nachfolgende Chiffre größtes Problem bei ECB: das Hinzufügen oder Entfernen kompletter Chiffretextblöcke wird nicht erkannt, wobei ein Angreifer noch nicht einmal Algorithmus oder Schlüssel zu kennen braucht Cipher Block Chaining CBC die Probleme von ECB lassen sich durch die Verkettung von Chiffretextblöcken vermeiden

10 4 ASYMMETRISCHE VERFAHREN 9 bei CBC fließt das Verschlüsselungsergebnis eines Blockes in die Verschlüsselung des nachfolgenden Klartextblockes mit ein (Rückkopplung) Chiffretestblock A wird mit dem nachfolgenden Klartextblock B XOR-verknüpft und erst dieses Ergebnis zu Chiffretextblock B gewandelt gleiche Klartextblöcke werden damit zu verschiedenen Chiffretextblöcken um zu vermeiden, dass Nachrichten mit demselben Anfang auch mit CBC gleich verschlüsselt werden, wird der erste Block mit zufälligen Werten gefüllt (Initialisierungsvektor IV) weiterer Vorteil des IV: der erste Klartextblock benötigt bei CBC einen Vorgänger Bitfehler bei der Übertragung von c j beeinflussen nur das zugehörige m j und das nachfolgende m j+1 (Fehlerexpansion) fehlende oder ergänzte Bits zerstören jedoch die komplette nachfolgende Chiffre Cipher Feedback Mode CFB beim ECB- und CBC-Modus können Daten erst dann verschlüsselt werden, wenn ein kompletter Klartextblock vorhanden ist der CFB-Modus verschlüsselt dagegen auch kleinere Einheiten Prinzip: es wird ein Schieberegister in Blockgröße verwendet, aber immer nur soviele Bits in das Register geschoben wie verschlüsselt werden sollen erhebliche Ressourcenverschwendung, da immer die komplette Blockgröße verschlüsselt werden muss (zum Empfänger wird jedoch nur die tatsächliche Datenmenge übertragen) Vorteil: die Blockchiffre kann damit wie eine Stromchiffre verwendet werden 4 Asymmetrische Verfahren prinzipieller Nachteil symmetrischer Verfahren: das Problem der gesicherten Schlüsselübertragung asymmetrische Verfahren vermeiden dies, indem die Nachricht mit einem Schlüssel chiffriert und mit einem zweiten dechiffriert wird Prinzip von Public-Key-Verfahren: die Nachricht wird mit einem öffentlich bekannten Schlüssel verschlüsselt sie kann nur noch mit dem zugehörigen geheimen (privaten) Schlüssel dechiffriert werden weiterer Vorteil: diese Verfahren eignen sich für eine digitale Signatur (Authentifizierung) Problem: die Authentizität des öffentlichen Schlüssels in Verschlüsselungs-Software wird meistens kein rein asymmetrisches Verfahren benutzt, da diese Verfahren sehr langsam sind asymmetrische Verfahren basieren auf mathematischen Algorithmen, bei denen die Hin-Rechnung schnell ist, die Rück-Rechnung aber extrem aufwändig sie werden daher auch als Falltür- bzw. Einweg-Verfahren bezeichnet 4.1 RSA-Algorithmus RSA (benannt nach den Anfangsbuchstaben der Entwickler) ist ein asymmetrisches Verfahren, das auch für digitale Signaturen verwendet wird es basiert auf einigen zahlentheoretischen Grundlagen (Satz von Euler) und Gesetzmäßigkeiten der Modulo-Rechnung Satz von Euler: a ϕ(n) mod n = 1 mit a und n als natürliche teilerfremde Zahlen (ggt (a, n) = 1)

11 4 ASYMMETRISCHE VERFAHREN 10 und ϕ(n) als Anzahl der zu n teilerfremden Zahlen kleiner als n ist n eine Primzahl, gilt ϕ(n) = n 1 ist n das Produkt zweier Primzahlen p und q (n = p q) gilt: ϕ(n) = (p 1)(q 1) Berechnung der Schlüssel e d = 1 mod ϕ(n) mit n = p q (Primzahlen) und ggt (e, ϕ(n)) = 1 die Zahl e wird entsprechend der Vorgabe gewählt und d lässt sich daraus mit dem Euklidischen Algorithmus berechnen der öffentliche Schlüssel besteht aus e und n d ist der private Schlüssel die Sicherheit des Verfahrens beruht darauf, dass zwar e und n bekannt sind, aber damit allein d nicht berechnet werden kann dies gelingt nur mit p und q, die aber mit keinem mathematischen Verfahren nur aus n bestimmbar sind da Brute-Force-Attacken bei zu kleinem n erfolgreich sein können, müssen die Schlüssel bei asymmetrischen Verfahren erheblich länger sein als bei symmetrischen (heute mindenstens 1024 Bit) Chiffrierung mit RSA mit den Zahlen e, n und d erfolgt direkt die Ver- und Entschlüsselung sei m der Klartext (m < n) so wird daraus die chiffrierte Nachricht c: c = m e mod n die Entschlüsselung erfolgt mit: m = c d mod n Kryptoanalyse von RSA vollständige Schlüsselsuche schon bei 256 Bit praktisch unmöglich Public-Key-Only-Attacke: Versuch der Faktorisierung von n Low-Exponent-Attacke: viele RSA-Implementierungen verwenden standardmäßig nur e = 3 oder e = 17 wodurch RSA unsicherer wird spezielle Angriffe gegen RSA-Software Nachteil von RSA: die Ver- bzw. Entschlüsselung ist ca. um den Faktor 1000 langsamer als bei DES in der Praxis werden daher hybride Verfahren eingesetzt, die nur einen Sitzungsschlüssel asymmetrisch verschlüsseln und die Daten selbst mit einem symmetrischen Verfahren übertragen 4.2 Diffie-Hellman-Verfahren das Diffie-Hellman-Verfahren ist eine Alternative zu RSA für hybride Verfahren es handelt sich hierbei nur um ein Verfahren für den Schlüsselaustausch es erfolgt keine Verschlüsselung der Daten das Verfahren basiert nicht auf dem Faktorisierungsproblem von RSA sondern auf dem Diskrete- Logarithmus-Problem (Modulo-Logarithmus) der diskrete Logarithmus bezeichnet die Umkehrfunktion zur Modulo-Exponentiation a x mod n aus a, x und n lässt sich leicht b bestimmen, aber aus a,b und n ist es bei großen Zahlen fast unmöglich x zu berechnen es gibt keine schnellen Algorithmen zuur Lösung der Aufgabe

12 4 ASYMMETRISCHE VERFAHREN 11 x = log a b mod n 4.3 ElGamal-Verfahren Verallgemeinerung von Diffie-Hellman eignet sich auch zum Verschlüsseln Parameter: geheime Schlüssel x und y, Primzahl p, Zahl g < p, Zufallszahl z, mit ggt (z, p 1) = 1, öffentliche Schlüssel a = g x mod p bzw. b = g y mod p Verschlüsselung (Sender verschlüsselt mit seinem privaten Schlüssel y und dem öffentlichen Schlüssel a des Empfängers) c = a y m mod p Entschlüsselung (mit b und x) m = b (p 1 x) c mod p ElGamal zum Signieren von Nachricht m (r = g z mod p und s sind die Signatur) m = y r + z s mod (p 1) die Verifikation ist erfolgreich wenn beide Seiten der folgenden Gleichung gleich sind (beachte: g y ist der öffentliche Schlüssel b des Senders) g m = g yr r s mod p 4.4 Digital Signature Algorithm DSA basiert auf dem diskreten Logarithmus und ist im Prinzip eine Variante von ElGamal Signatur (mit z < q mit q als Primzahl, die ein Teiler von p 1 ist und r = (g z mod p) mod q m = z s x r mod q Verifikation mit g m = rs g mod q x r DSA ist im Vergleich zu ElGamal schneller, da statt mit p mit der (kleineren) Zahl q gerechnet wird 4.5 Primzahlen Finden großer Primzahlen Probedivision wenn n eine zusammengesetzte Zahl ist, dann hat n mindestens einen Primfaktor p < n, denn jede Zahl lässt sich als Produkt von Primzaheln darstellen teilt kein p < n die Zahl n, ist n selbst eine Primzahl Nachteil: sehr hoher Aufwand bei sehr großen Zahlen; bei Primzahlen, die bei RSA verwendet werden, ist die Probedivision praktisch undurchführbar Sieb des Erathostenes ist kein Primzahltest im eigentlichen Sinne dient der Bestimmung aller Primzahlen unterhalb einer gegebenen Schranke N Fermat-Test Kleiner Satz von Fermat: Ist n eine Primzahl, so gilt a n 1 = 1 mod n mit a Z und ggt (a, n) = 1 man berechnet hierzu y = a n 1 mod n für verschiedene Basen a ist das Ergebnis y 1 ist n keine Primzahl, bei y = 1 kann n eine Primzahl sein oder auch nicht

13 5 HASH-FUNKTIONEN 12 der kleine Fermatsche Satz findet Primzahlen daher nicht mit Sicherheit heraus Miller-Rabin-Test eine Art Verschärfung des Kleinen Fermatschen Satzes (andere Verfahren vom gleichen Typ: Solovay-Strassen, Elliptic Curve Primality Proving) mit wenigen Test-Durchläufen kann mit hoher Wahrscheinlichkeit gesagt werden, ob eine Zahl Primzahl ist oder nicht Deterministische Primzahltests Miller-Rabin oder Fermat sind sog. probabilistische Primzahltests, die nur mit einer gewissen wahrscheinlichkeit das richtige Ergebnis liefern deterministische Verfahren bestimmen dagegen mit Sicherheit, ob eine Zahl prim ist oder nicht die Probe-Division ist ein solches Verfahren, allerdings mit dem Nachteil, dass sie nicht in Polynomial-Zeit lösbar ist der AKS-Primzahltest ist ein deterministisches Verfahren, das nachweisbar in polynomieller Zeit lösbar ist Primzahl-Faktorisierung Ziel ist es herauszufinden, wie die Primfaktoren p und q der Zahl n = p q lauten Probedivision (wie beim Finden einer Primzahl, nur dass hier alle Primfaktoren gefunden werden müssen) Fermat-Methode (p 1)-Methode 5 Hash-Funktionen 5.1 Grundlagen Hash-Funktionen werden benötigt, um digitale Signaturen für ein Dokument zu erzeugen auch asymmetrische Verfahren sind hierfür geeignet, wobei ein Dokument mit dem privaten Schlüssel chiffriert und mit dem öffentlichen dechiffriert wird Nachteil: sehr langsam mit Hash-Funktionen wird eine eindeutige Prüfsumme aus dem Dokument berechnet (und nur die wird asymmetrisch verschlüsselt) bei einfachen Hash-Funktionen wird es immer Nachrichten oder Dokumente geben, die denselben Hash-Wert besitzen ( Kollisionen ), obwohl die Nachrichten völlig verschieden sind Anforderung an kryptografische Hash-Werte: es darf mit realistischem Aufwand nicht möglich sein, eine Nachricht so zu verändern, dass sie den gleichen Hash-Wert wie das Original hat Hash-Funktionen lassen sich einteilen in schwach kollisionssichere Verfahren stark kollisionssichere Verfahren Prinzip: ähnlich wie symmetrische Verfahren, aber meist ohne Schlüssel Angriffe: finde eine zweite (sinnvolle) Nachricht mit demselben gegebenen Hash-Wert wie die erste finde zwei Nachrichten mit demselben (beliebigen) Hash-Wert Länge von Hash-Werten: mindestens 128, besser 160 Bit wichtige Algorithmen: SHA-1 (Secure Hash Algorithm)

14 6 AUTHENTIFIZIERUNG 13 MD5 (Message Digest) Snefru 5.2 MD5 Hashfunktion, die einen 128 Bit-Wert erzeugt der Eingabetext wird in Blöcke von 512 Bit zerlegt, die wiederum in 16 Teilblöcken zu 32 Bit weiterverarbeitet werden die Ausgabe besteht aus vier 32 Bit-Blöcken (zusammengesetzt 128 Bit, SHA-1 funktioniert ähnlich, fünf Blöcke ergeben hier 160 Bit) zunächst wird die Eingabe auf ein Vielfaches von 512 aufgefüllt zu Beginn des Algorithmus werden vier 32 Bit Variablen mit fest vorgegebenen Werten initialisiert diese Variablen werden mit dem ersten der 512 Bit-Böcke in einer Hauptschleife mit 4 Runden verarbeitet danach werden die nun modifizierten Variablen mit dem nächsten Block verarbeitet 5.3 Message Authentication Code MAC Kombination von Hash-Funktionen und Verschlüsselungsverfahren bzw. Schlüsseln dadurch wird nicht nur die Integrität einer Nachricht sichergestellt sondern auch die Authentizität, da zusätzlich zum Hashwert ein Schlüssel verwendet wird verschiedene Varianten: Hashwert bilden und das Ergebnis verschlüsseln HMAC (keyed-hash MAC): Verknüpfung des Schlüssels mit der Nachricht und anschließend Verarbeitung im Hash-Verfahren 6 Authentifizierung im wahren Leben Authentifizierung durch: etwas was man ist (Aussehen, Fingerabdruck) etwas was man weiß (Passwort, PIN, Code) etwas was man hat (Ausweis, Schlüssel) Online -Authentifizierung: biometrische Verfahren, Passwörter, TokenCards Probleme bei Offline -Authentifizierung: Authentizität des öffentlichen Schlüssels Authentizität des privaten Schlüssels Verbindlichkeit Lösung: Vertrauensmodelle Vertrauensmodelle Direct Trust Web of Trust Vertrauen Validität dem zertifizierten Schlüssel wird die eigene Unterschrift angehängt Hierarchical Trust Verwaltung der Schlüssel bei einer Zertifizierungs-Instanz

15 7 KRYPTOGRAFIE IN ANWENDUNGEN 14 Trust-Center, Certification Authority CA Infrastruktur erforderlich (PKI) Vertrauenswürdigkeit der CA??? CAs können hierarchisch organisiert sein es gibt PKI-Standards: X.509, PKIX, Identrus, OpenPGP 7 Kryptografie in Anwendungen die zuvor vorgestellten Verfahren gehören zur starken Kryptografie viele Programme enthalten nur Verfahren der schwachen Kryptografie was Kryptografie nicht kann: löschen der unverschlüsselten Daten Schutz vor gestohlenen/verlorenen Schlüsseln Verhinderung von Modifikationen am Kodierprogramm Schutz vor Willkür Dritter Schutz vor dem Abhören der Nachrichten Kryptografie und die rechtliche Lage: die bekannten Algorithmen sind im Besitz weniger Firmen (Lizensierung der Software) in vielen Ländern ist der Einsatz von Kryptografie verboten oder beschränkt bis Ende 2000 unterlagen Kryptografie-Produkte den Waffenexportbeschränkungen der USA Pro Verschlüsselung: Privatsphäre, Wirtschaftsspionage, Grundrechte auf Selbstbestimmung und Vertraulichkeit der Kommunikation Contra Verschlüsselung: Verbrechensbekämpfung, Verlust legaler Abhörmaßnahmen 7.1 Verschlüsselung auf unteren OSI-Schichten TCP/IP-Protokolle verschlüsseln nichts in IPv6 sind automatische Verschlüsselungen auch auf unteren Ebenen vorgesehen heute verbreitet: Verschlüsselung auf Schicht 7 Verschlüsselung auf Schicht 1 und 2 ISDN (keine Standards) GSM PPP Virtual Private Networks (VPN) Kopplung zweier LANs über das Internet Varianten: Tunneling über PPP oder IPSec Protokolle: L2F (Layer 2 Forwarding Protocol) PPTP (Point-to-Point Tunneling Protocol) L2TP (Layer 2 Tunneling Protocol)

16 7 KRYPTOGRAFIE IN ANWENDUNGEN IPSecure Security Architecture for IP IPSec kann für VPN-Tunnel oder für direkt verschlüsselnde Verbindungen zwischen zwei Rechnern eingesetzt werden IPSec bietet folgende Sicherheitsdienste Zugangskontrolle Authentifizierung Datenintegrität Schutz vor Wiederholungen (Anti-Replay) Vertraulichkeit durch Verschlüsselung Kompression IPSec verwendet zwei Erweiterungsheader Authentication Header (AH) für Integrität, Authentifizierung, Anti-Replay Encapsulating Security Payload (ESP) für Verschlüsselung für die Schlüsselverwaltung und -übertragung wird ein zusätzliches Protokoll verwendet: Internet Security Association Key Management Protocol ISAKMP der Authentication Header ist optional und wird an den IP-Header angehängt; er hat folgende Elemente Next Header: Typ der Payload-Daten, z.b. Transportprotokoll, IPv6-Erweiterungsheader Payload Length: Länge des Authentication Data-Feldes Security Parameter Index: 32-Bit-Wert, der die sog. Security Association (SA) für dieses Datagramm definiert Sequence No.: Anti-Replay-Wert, wird mit jedem Datagramm um 1 inkrementiert Authentication: Inhalt abhängig vom Algorithmus z.b. HMAC-MD5, HMAC-SHA der AH stellt die Authentizität des Paket-Inhalts sicher (per HMAC); er bezieht außerdem die feststehenden Teile des IP-Headers in den Hashwert mit ein Encapsulating Security Payload Header (ESP) ESP sichert Authentizität, Integrität und Vertraulichkeit des IP-Datagramms kann zusätzlich zum oder auch ohne AH verwendet werden es wird der Paketinhalt verschlüsselt der ESP-Header hat folgende Elemente SPI und Sequence wie bei AH Padding (optional): kann bei zu kleinen Datenmengen diese bis zur benötigten Blockgröße des Verschlüsselungsverfahrens auffüllen oder auch die wahre Blockgröße verschleiern Next Header: Typ des Payloads, enthält ggf. auch einen IV z.b. bei DES-CBC Authentication Data (optional): Inhalt abhängig vom Algorithmus ISAKMP Protokollrahmen für die Verwaltung sog. Security Associations (SA) die SA umfasst alle für die Verschlüsselung und Authentifizierung einer Verbindung erforderlichen Daten (Verschlüsselungsverfahren, Schlüsselaustausch, Gültigkeitsdauer des Schlüssels) ISAKMP (bzw. die Umsetzung IKE Internet Key Exchange) wird von IPSec benötigt, da IPSec die zur Verschlüsselung erforderlichen Informationen von der lokalen SA erhält und nicht selbst überträgt Unterteilung in zwei Phasen:

17 7 KRYPTOGRAFIE IN ANWENDUNGEN 16 Master Secret zum Schutz der ISAKMP-Kommunikation selbst (einmalig festgelegter Schlüssel oder Wechsel tage- oder wochenweise) Aushandlung des Schlüssels zum Schutz der Nutzdaten (automatischer Wechsel minutenweise) Format des ISAKMP: Initiator/Responder-Cookie: Hashwert über IP-Ziel/Quelladresse, Ziel-/Quellport, Systemzeit; wird zur eindeutigen Identifizierung einer Verbindung verwendet Next Payload: Typ der Daten dieses Paketes (SA, Hash, Signatur...) Major/Minor Version: Haupt- und Unterversion von ISAKMP Exchange Type: Art des Nachrichtenaustausches (Identity Protection, Aggressive Mode) Flags: gibt an, ob die nachfolgenden Daten verschlüsselt oder nur authentifiziert sind oder ob die SA noch nicht vollständig ausgehandelt ist 7.3 SSL (Secure Socket Layer) SSL ist ein Erweiterungsprotokoll zur Verschlüsselung auf TCP-Ebene ursprünglich proprietäre Entwicklung (Netscape), heute als Transport Layer Security TLS standardisiert SSL greift nicht direkt in TCP ein, sondern arbeitet zwischen Anwendungen und TCP (es gibt jedoch keine UDP-Variante) Vorteil: die Anwendung greift wie üblich auf einen Socket zu SSL ist verbindungsorientiert und zustandsbehaftet verschiedene Krypto-Verfahren sind aushandelbar SSL gliedert sich in zwei Teilschichten SSL-Record-Protocol weitere Schicht mit Handshake-Protocol, Change-CipherSpec-Protocol, Alert-Protocol, Application- Data-Protocol das Record-Protocol wendet die ausgehandelten Verfahren an (Hashwert und symmetrische Verschlüsselung) das Handshake-Protocol: Client Hello Server Hello Generierung eines Sitzungsschlüssels vom Client Application-Data-Protocol Verschlüsselung in Anwendungen Verschlüsselung im WWW HTTP-1.0 enthält keinerlei Sicherheits-Protokolle es gibt lediglich eine so genannte Basic-Authentification mit einer Passwort-Abfrage Version 1.1 unterstützt einen Authentifizierungs-Mechanismus diese Digest Access Authentification erweitert die Passwort-Abfrage mit einem Challenge- Response-Verfahren moderne Webserver unterstützen SSL zur verschlüsselten Übertragung von Dokumenten das Signieren von Webinhalten ist nicht möglich praktische Anwendung von OpenSSL in einem Webserver

18 7 KRYPTOGRAFIE IN ANWENDUNGEN 17 zu Beginn einer Datenübertragung signalisiert der Benutzer mit der Protokoll-Angabe https: im URL, dass er eine Verschlüsselung wünscht im Client-Hello teilt der Browser die ihm bekannten Verfahren mit: symmetrisches Verfahren (RC2, RC4, DES, TripleDES usw.) Hash-Funktion (MD5, SHA-1) Schlüsselaustausch (RSA, DSA, DH) im Server-Hello übermittelt der Webserver die ausgewählten Verfahren und sein Zertifikat (das den Public Key enthält) der Browser prüft die Echtheit des Zertifikats entweder mittels einer CA oder einer Rückfrage beim Benutzer falls eine Zertifizierung des Server-Schlüssels per CA nicht möglich oder nicht gewünscht ist, muss eine Selbst-Zertifizierung durchgeführt werden der Browser berechnet einen symmetrischen Sitzungsschlüssel und chiffriert diesen mit dem Public Key des Servers der Server kann diesen Sitzungsschlüssel mit seinem Private Key dechiffrieren Beispiel (gilt für Apache mit mod ssl): erzeugen eines RSA-Schlüssels mit 1024 Bit: openssl genrsa -rand /verz1/datei1:/verz2/datei2 -out xx.key 1024 erstellen eines Certificate Requests (PKCS#10) openssl req -new -key xx.key -out xx.csr Selbst-Zertifizierung openssl x509 -req -days 365 -in xx.csr -signkey xx.key -out xx.crt auf diese erzeugten Schlüsseldateien wird in der Konfigurationsdatei httpd.conf verwiesen die Kommunikation erfolgt über Port 443 Verschlüsselung von mit Pretty Good Privacy (PGP) Software zum Chiffrieren und Signieren von s und Dateien ursprünglich Public Domain Software, im Internet heute weit verbreitet PGP verwendet: IDEA oder TripleDES u.a. als Verschlüsselungsverfahren RSA oder DSA zum Signieren RSA oder Diffie-Hellman zum Schlüsselaustausch MD5 oder SHA-1 für Hash-Funktionen PGP ist ein Public-Key-Verfahren ist als OpenPGP standardisiert (zu PGP kompatible Gnu-Software: GPG) PGP im praktischen Einsatz PGP ist ein eigenständiges Programm es gibt Plugins für einige Mailprogramme Installation Angabe von Algorithmus und Schlüssellänge privater Schlüssel ist mit Pass-Satz geschützt Verschlüsseln von Dateien Kommandos: pgp -c datei (Verschlüsseln), pgp datei (Entschlüsseln) Achtung: die Original-Datei wird hierbei nicht gelöscht Problem: Betriebssystem-Kommandos (del, rm) löschen eine Datei nicht physika-

19 7 KRYPTOGRAFIE IN ANWENDUNGEN 18 lisch Lösung: pgp -cw datei Verwaltung der Schlüssel Dateien pubring.pgp und secring.pgp lesen mit pgp -kv Aufnahme neuer Schlüssel: pgp -ka datei oder mittels Add-Symbol im Plugin oder über die Zwischenablage Verschlüsseln von s entweder: Encrypt-Funktion im Plugin oder Copy in Zwischenablage und Funktion encrypt clipboard im grafischen PGP oder Kommando pgp -e datei skenn bzw. pgp -eat datei skenn Lesen verschlüsselter s Decrypt-Funktion im Plugin oder: Zwischenablage, Decrypt Clipboard oder Kommando pgp datei jeweils Pass-Phrase des privaten Schlüssels erforderlich mit PGP ist das Signieren von s oder Dateien möglich nur Signieren: Text bleibt lesbar nur Chiffrieren: Authentizität nicht gewährleistet maximale Sicherheit: Chiffrieren und Signieren das Zertifizieren von Schlüsseln erfolgt mittels Web-of-Trust Remote Login die Standard-Protokolle telnet, rlogin, rsh unterstützen keine Verschlüsselung die Authentifizierung basiert auf dem in Klartext übertragenen Passwort Problem: Abhören des Passworts einfachste Möglichkeit: Einweg-Passwörter (S/Key) Vorteil: keine Software auf dem Client Alternative: Chip-Karten, auf denen ein Secret-Key gespeichert ist Nachteile: Prozessoren und Speicher auf der Chipkarte sind sehr langsam, es ist zusätzliche Hard- und Software erforderlich Alternative: Smart Token (TokenCards) kleines Gerät mit Chip, Display, z.t. Zahlentastatur Authentifizierung per Challenge-Response-Verfahren Vorteil: es ist keine zusätzliche Software nötig Secure Shell SSH ssh ist ein sicheres Login-Verfahren zum Ersatz von telnet, rlogin, rsh, rdist näheres im folgenden Kapitel weitere Verfahren: Kerberos: reines symmetrisches Verfahren mit zwei Servern; Nachteil: Single Point of Failure RADIUS: Standard zur Authentifizierung in heterogenen Netzen auf Basis eines zentralen Authentifikations-Servers TACACS+ : ähnlich wie RADIUS

20 7 KRYPTOGRAFIE IN ANWENDUNGEN Secure Shell Die Secure Shell (SSH) dient als sicheres Login-Verfahren zum Ersatz von telnet, rlogin, rsh, rdist u.a., bei denen die Übertragung der Daten und damit auch der Benutzerkennung und des Passwortes in Klarschrift erfolgt andere Klartextprotokolle (z.b. POP3, IMAP, HTTP) lassen sich mit SSH tunneln ursprünglich als freie Software entwickelt, ist SSH heute ein kommerzielles Produkt (freie Alternative: OpenSSH) Funktionsprinzip: Authentifizierung zwischen Server und Client mittels RSA (ab SSH-Version 2.0 zusätzlich auch DSA) Verschlüsselung der Sitzung mit TripleDES, DES, Blowfish, IDEA (nur kommerzielle Version) Verwendung von zwei Schlüsselpaaren: einer für die Rechner-Authentifizierung und ein zweiter für die Übermittlung des Sitzungsschlüssels benutzer-bezogene Authentifizierung wird unterstützt (d.h. Login nur auf Basis des öffentlichen/privaten Schlüsselpaares Ablauf der Authentifizierung (nach SSH-1.x): Verbindungsaufbau zum TCP-Port 22 des Servers Austausch der auf Server und Client verfügbaren Protokollversionen Umschalten auf ein bestimmtes Paketformat (abhängig von der SSH-Version) der Server schickt seine beiden öffentlichen Schlüssel an den Client und die von ihm unterstützten symmetrischen Verschlüsselungsverfahren der Client prüft, ob er den Rechner-Schlüssel (Host-Key) bereits kennt (Achtung: es könnte ein potenzielles Sicherheitsproblem entstehen, falls ist die Herkunft des Host-Keys nicht eindeutig geklärt ist) der Client wählt das symmetrische Verfahren aus, generiert dann einen zufälligen Sitzungsschlüssel, der mit beiden öffentlichen Schlüsseln chiffriert wird und schickt diesen an den Server auf die beschriebene Weise hat sich der Server beim Client authentifiziert, aber nicht umgekehrt daher ist noch erforderlich: Authentifizierung des Clients bzw. des Benutzers rhosts-verfahren: unsicher, da Vertrauensstellung nur auf Basis der IP-Adresse rhosts-rsa-verfahren: zusätzlich zur IP-Adresse wird ein Public-Key des Clients in einer Datei auf dem Server gespeichert (verhindert zwar IP-Spoofing, aber nicht DNS-Spoofing) reine RSA-Authentifizierung auf Benutzer-Basis: Vorarbeit: der Benutzer muss ein eigenes Schlüsselpaar erzeugen, den Public-Key auf dem Server sowie Public- und Private-Key auf seinem Client hinterlegen beim Verbindungsaufbau Client Server wird der Public-Key des Benutzers an den Server übertragen, der überprüft, ob es diesen Key gibt der Server verschlüsselt eine Zufallszahl mit diesem Public Key und überträgt sie an den Client der Client entschlüsselt diese Zahl mit seinem Private Key, berechnet eine MD5-Summe der Zahl und schickt dies an den Server, der damit feststellen kann, ob der Client über den Private Key verfügt Passwort-Authentifizierung: Verwendung des normalen Unix-Passworts (alternativ: Kerberos oder SecureID), das wegen der zuvor erfolgten Server-Authentifizierung bereits verschlüsselt übertragen wird (Achtung: nur zu empfehlen, wenn kein anderer Dienst Klartext- Passwörter verwendet!)