Seminar zur Kryptologie

Transkript

1 Seminar zur Kryptologie Practical Key Recovery Schemes Basierend auf einer Veröffentlichung von Sung-Ming Yen Torsten Behnke Technische Universität Braunschweig

2

3 Einführung Einführung Heutzutage werden selbst im Alltag für immer mehr Anwendungen Passwörter benötigt. Seien es PIN Nummern für Handys oder EC-Karten oder Passwörter für den Login auf den Uniworkstations. Die große Anzahl macht es immer schwieriger, seine Passwörter nicht zu vergessen. Sollte dies jedoch trotzdem einmal geschehen, können Key Recovery Schemes benutzt werden, um vergessene Passwörter wiederzubeschaffen. Zunächst einmal muß zwischen verschiedenen Arten von Passwörtern unterschieden werden. Die Unterschiedene liegen dabei in der Sicherheit bzw. in der Erratbarkeit der Passwörter. Es wird dabei zwischen drei Arten unterschieden: simple password (einfaches Passwort) Einfache Passwörter sind, grob gesagt, alle Wörter, die in einem Wörterbuch stehen. Sie sind relativ einfach zu merken, können aber auch recht einfach von einem Angreifer erraten werden. In einem Wörterbuch stehen etwa Wörter, dies macht es (zumindest bei einem offline-angriff) recht einfach, sie alle durchzuprobieren. Es werden dann im Mittel etwa Versuche benötigt. Ein online-angriff hingegen ist nur schwer möglich, da es länger dauert und vom entsprechenden Server zu bemerken ist. Es solten hier trotz der bereits vorhandenen Unsicherheit bestimmte Wörter wie der eigene Name, Geburtstage, passwort, usw. nicht verwendet werden, da solche Wörter typischerweise zuerst getestet werden. strong passwort (sicheres Passwort) Ein sicheres Passwort ist eine vollkommen zufällige Folge von Zeichen oder Ziffern. Dies macht es sehr schwer zu erraten, da bei N möglichen Passwörtern jedes nur mit einer Wahrscheinlichkeit von 1 N gewählt wird, ist für den Benutzer aber nur sehr schwer zu merken und daher in der Praxis kaum zu gebrauchen. pseudo strong passwort (pseudosicheres Passwort) Ein pseudosicheres Passwort ist eine Mischung aus einem einfachen und einem sicheren Passwort. Es ist z.b. ein leicht zu merkendes Wort, daß auf eine ebenfalls leicht zu merkende Weise verändert wurde. Beispielsweise durch entfernen aller Vokale oder durch zusammenfügen mehrerer Wörter zu einer sogenannten Passphrase. Ein solches Passwort ist leicht zu merken und trotzdem relativ sicher gegenüber Angriffen. Um ein Key Recovery Scheme in Anspruch zu nehmen, ist noch immer ein Passwort erforderlich, allerdings kann ein sicheres Passwort durch ein pseudosicheres oder ein einfaches ersetzt werden. Für den alltäglichen Gebrauch wird noch immer das sichere Passwort benutzt, sollte es vergessen werden, reicht aber ein pseudosicheres Passwort, um das sichere wiederzuerlangen. Es wird für alle sicheren Passwörter nur ein pseudosicheres benötigt, mit dem sich dann alle sicheren Passwörter wiederherstellen lassen. Anforderungen an ein praktisch nutzbares Key Recovery Scheme Um in der Praxis Anwendung zu finden, muß ein Key Recovery Scheme einigen Anforderungen genügen. Diese stellen sicher, daß nicht nur das Passwort wiederhergestellt werden kann, sondern daß auch die nötige Sicherheit und Geheimhaltung vorhanden sind. (1) Es muß möglich sein, daß verlorene Passwort online wiederzuerlangen, d.h. ohne persönliche Anwesenheit beim Key Recovery Server. Damit dies möglich wird, muß sowohl die Authentizität als auch die Geheimhaltung gewährleistet sein. Es darf also niemand den Server mit einer falschen Identität nutzen oder die Übertragung des Passwort abhören können. (2) Der Server darf das auf ihm gespeicherte Passwort ebenfalls nicht kennen. Eine reine Backup-Lösung scheidet also aus. (3) Der Versuch eines Angreifers, ein Passwort mit Hilfe einer falschen Identität zu stehlen, muß vom Server bemerkt werden. Der Server muß weiterhin geeignete Gegenmaßnahmen egreifen. (4) Es darf nicht erforderlich sein, daß der Anwender Klartextbackups seiner Passwörter aufbewahren muß, um seine Passwörter nicht zu verlieren. 3

4 Einführung (5) Auch wenn der Anwender alle Passwörter einschließlich dem für den Key Recovery Server benötigten vergißt, muß eine Wiederherstellung seiner verschlüsselten Daten möglich sein. Dafür kann gegebenfalls die persönliche Anwesenheit des Anwenders beim Key Recovery Server notwendig sein. Im folgenden werden drei Protokolle veranschaulicht werden. Das Bell Labs Key Recovery Scheme und zwei verbesserte Varianten, KRS-1 und KRS-2. Es wird davon ausgegangen, daß mit dem sicheren Passwort eine Datei verschlüsselt werden soll. Andere Anwendungsfälle funktionieren analog. 4

5 Bell Labs Key Recovery Scheme Bell Labs Key Recovery Scheme Dieses Protokoll wird von zwei Parteien durchgeführt, einem Anwender A und dem Key Recovery Server S. S besitzt einen geheimen Schlüssel x s und einen öffentlichen y s = α xs mod P. P ist eine große Primzahl und α eine beliebige Zahl. Es wird außerdem eine sichere Einweg-Hashfunktion h benötigt. Den öffentlichen Schlüssel y s erhält A bei der einmaligen Anmeldung durch einen sicheren Kanal (persönliche Anwesenheit, Post,...). (1) Um eine Datei M zu verschlüsseln, wählt A ein pseudosicheres Passwort pass und berechnet das für die Verschlüsselung zu benutzende sichere Passwort K wie folgt: K = h(α pass mod P y pass s mod P ) Neben E K (M) wird α pass mod P ebenfalls gespeichert. Beides kann öffentlich zugänglich sein, da, um K zu erhalten, noch pass benötigt wird, was aus α pass mod P nicht berechnet werden kann, da dazu der diskrete Logarithmus berechnet werden muß. (2) Hat A sein Passwort pass vergessen, kann er K wiedererlangen, in dem er (das neben der Datei gespeicherte) α pass mod P an den Server S schickt. (3) Der Server S berechnet T = (α pass ) x s mod P und sendet T an A. (4) A kann K berechnen als K = h(α pass mod P T ). In (4) kann A den Schlüssel K berechnen, da folgendes gilt: T = (α pass ) xs mod P = α pass xs mod P = (α xs ) pass mod P = ys pass mod P A kann damit den Schlüssel K wiederherstellen, ohne pass zu kennen. Diese Anforderung ist also erfüllt. Das Protokoll weist jedoch noch einige Schwächen auf. So ist weder Authentizität noch Geheimhaltung gewährleistet. In Schritt (2) wird α pass mod P ohne Identitätsnachweis an S geschickt. Da dies jedoch zusammen mit E K (M) aufbewahrt wird, kann es mit E K (M) zusammen gestohlen werden, wodurch sich ein Angreifer anstelle von A das T berechnen lassen kann. Alternativ könnten der Angreifer warten bis A den Schlüssel verloren hat und dann in Schritt (3) die Übertragung von T abhören. Er wäre dann ebenfalls in der Lage, K zu berechnen. Diese Probleme ließen sich durch persönliche Anwesenheit von A bei S lösen, was aber wenig praktikabel und auch nicht Sinn der Sache ist. Ein weiteres Problem ist die Vertauenswürdigkeit von S. Diese ist unbedingt erforderlich, da S nach Berechnung von T das Passwort K ebenfalls berechnen kann. Kann S nicht vertraut werden, kann das Verfahren nicht durchgeführt werden. Eine Lösung besteht darin, mehrere Server S 1, S 2,..., S n zu benutzen. Von jedem Server S i wird dann ein Teilschlüssel K i berechnet, aus denen dann auf geeignete Weise der Schlüssel K berechnet wird. In diesem Fall würde kein Server S i das komplette Passwort erfahren und die Geheimhaltung wäre gewährleistet, wobei immer die Gefahr besteht, daß alle Server zusammenarbeiten. Es muß also mindestens einem Server soweit getraut werden, daß er nicht mit den anderen zusammenarbeitet. Allerdings sinkt dadurch die Ausfallsicherheit, da immer alle Server S i benötigt werden. Bereits der Ausfall eines Servers macht das Wiederherstellen des Passworts unmöglich. Beispiel zum Bell Labs Key Recovery Scheme 5

6 Bell Labs Key Recovery Scheme Es werden P = 23 und α = 2 gewählt. Der Server besitzt folgende Schlüssel: Den geheimen Schlüssel x s = 15 und den entsprechenden öffentlichen Schlüssel y s = 2 15 mod 23 = 16. (1) A wählt ein Passwort pass = 12 und als Hashfunktion die Identität h = id, um die Rechnung zu vereinfachen. A berechnet K = h(2 12 mod mod 23) = h(2 16) = 216. (2) A hat sein Passwort pass vergessen und schickt an den Key Recovery Server. (3) Der Key Recovery Server berechnet α pass mod P = 2 12 mod 23 = 2 T = (2 12 ) 15 mod 23 = 16 und schickt T = 16 zurück an A. (4) Der Schlüssel K kann nun als K = h(2 16) = 216 berechnet werden. 6

7 KRS-1 KRS-1 KRS-1 basiert auf dem Bell Labs Key Recovery Scheme und wird ebenfalls von zwei Parteien durchgeführt, einem Server S und einem Anwender A. S besitzt wieder einen geheimen Schlüssel x s und einen öffentlichen y s = α x s mod P. P ist eine goße Primzahl, und α eine primitive Wurzel zu P, d.h. α gehört modulo P zum Exponenten P 1. α gehört zu P 1, wenn α P 1 mod P = 1 gilt und α r mod P 1 für 0 < r < p 1. P sollte eine sichere Primzahl sein, d.h. P = 2q + 1, wobei q ebenfalls eine große Primzahl ist. Der Benutzer A wählt ein einfaches Passwort P a, daß benötigt wird, um sein sicheres Passwort online wiederherzustellen. Die Identität von A und sein Passwort P a werden von S gespeichert, so daß A, falls er P a vergißt, sein sicheres Passwort durch persönliche Anwesenheit bei S wiedererlangen kann. Es wird außerdem eine sichere Einweg-Hashfunktion h benötigt. (1) Benötigt A ein sicheres Passwort K, so wählt er ein pseudosicheres Passwort pass und berechnet K durch K = h(ys pass mod P ) und R durch R = (α pass mod P ) P a. R wird benötigt, um das Passwort K wiederherzustellen, und wird zusammen mit E K (M) gespeichert. (2) Hat A sein Passwort pass vergessen, kann er aus R und P a α pass mod P = R P a berechnen. A wählt eine zufällige Zahl r 1 und berechnet V = α pass α r1 mod P. Die Zufallszahl r 1 ist nötig, um das Passwort K vor dem Server S zu verbergen. A berechnet weiterhin {c 1, c 2 }, um V nach dem ElGamal Verfahren zu verschlüsseln. c 1 = α r 2 mod P c 2 = y r 2 s V mod P r 2 ist eine weitere, von A gewählte Zufallszahl. Anschließend sendet A {c 1, c 2 } und h(v, P a ) zusammen mit seiner Identität an S. (3) Um aus {c 1, c 2 } V zu bekommen, führt S folgende Rechnung gemäß ElGamal aus: c 2 (c x s 1 ) 1 mod P = ys r2 V ((α r2 ) xs ) 1 mod P = (α x s ) r 2 V (α r 2 x s ) 1 mod P = α xs r2 (α xs r2 ) 1 V mod P = α xs r2 α xs r2 V mod P = α xs r2 xs r2 V mod P = α 0 V mod P = 1 V mod P = V Anschließend berechnet S h(v, P a ), um die Authentizität der Nachricht sicherzustellen. War dies erfolgreich, berechnet der Server T als T = V xs mod P = (α pass α r1 ) xs mod P = α pass xs α r1 xs mod P = α xs pass α xs r1 mod P = y pass s y r1 s 7 mod P

8 KRS-1 und sendet T an A. Durch den Exponenten r 1, der nur A bekannt ist, ist die Geheimhaltung des Passworts gegenüber S und einem potentiellem Angreifer sichergestellt. (4) Da A r 1 kennt, kann er ys pass mod P berechnen durch y pass s T (y r1 s ) 1 (mod P ). Das verlorene Passwort K kann dann durch K = h(t (y r 1 s ) 1 mod P ) wiedergewonnen werden. Es sind mehrere Angriffe bei KRS-1 denkbar. Wenn ein Angreifer O sowohl die verschlüsselte Datei E K (M) als auch R kennt, ist folgender online-angriff denkbar. O rät ein Passwort P a und berechnet G = R P a. Anschließend berechnet er V = G α r1 mod P und führt das Protokoll weiter aus. In Schritt 3 berechnet S h(v, P a ). Stimmt dies mit h(v, P a) überein, wird T an O übertragen. O kann also T erfahren, indem er systematisch alle möglichen P a testet. Dies kann und sollte aber von S erkannt werden, da normalerweise ein einzelner Benutzer nicht viele verschiedene, falsche Anfragen innerhalb kurzer Zeit stellt. Die Reaktion darauf könnte sein, weitere Versuche zu ignorieren und A darüber zu informieren und ihn zu bitten, sein Passwort P a zu ändern. Es kann allerdings von O verhindert werden, daß S den Angriff erkennt. Anstatt zu versuchen, die Identität von A anzunehmen, stellt O die Anfragen unter seiner eigenen Identität. Der vorherige Angriff konnte erkannt werden, weil die Hashwerte von P a abhängen, den O nicht kennt. Benutzt er aber seine eigene Identität, kennt er natürlich sein eigenes Passwort, so daß die Hashwerte dann immer übereinstimmen und S den Angriff nicht erkennen kann. Es wird dann zum Berechnen des Hashwertes P o benutzt, aber zum Entschlüsseln von α pass mod P aus R ein P a, das noch immer durch Probieren gefunden werden muß. Obwohl die Hashwerte jetzt immer richtig berechnet werden, kann der Angriff erkannt werden, da noch immer ein einzelner Benutzer viele Anfragen in kurzer Zeit stellt. Da ein solcher Dienst vermutlich kostenpflichtig wäre, müßte O außerdem jeden Versuch bezahlen, was den vermutlich zu teuer machen würde, als daß sich ein Angriff lohnen würde. Eine Möglichkeit, an das Passwort K zu gelangen, besteht in der Zusammenarbeit von S und O. Wenn O R kennt, kann S daraus K berechnen. Falls ein solcher Dienst jedoch kommerziell betrieben wird, wäre der Ruf des Unternehmens schwer geschädigt, würde eine solche Zusammenarbeit bekannt werden. Es liegt also auch im Interesse von S, die Geheimhaltung zu gewährleisten. Es sind alle Anforderungen an ein Key Recovery Scheme erfüllt, KRS-1 könnte also in der Praxis Anwendung finden. Beispiel zum KRS-1 Es werden P = 23 und α = 5 gewählt. Der Server besitzt folgende Schlüssel: Den geheimen Schlüssel x s = 8 und den entsprechenden öffentlichen Schlüssel y s = 5 8 mod 23 = 16. A wählt P a = 10 und pass = 12. Als Hashfunktion wird wieder die Identität h = id gewählt, um die Rechnung zu vereinfachen. (1) A benötigt ein sicheres Passwort, also berechnet er K. K = h(16 12 mod 23) = 16 Zusammen mit der verschlüsselten Datei E K (M) wird R gespeichert. R = (5 12 mod 23) 10 = = = = 24 8

9 KRS-1 (2) A berechnet V, c 1 und c 2 und wählt r 1 = 7 und r 2 = 13. A sendet c 1, c 2 und h(7, 10) an S. (3) S berechnet V und T. V = mod 23 = 7 c 1 = 5 13 mod 23 = 21 c 2 = mod 23 = 21 h(7, 10) = (7, 10) V = 21 (21 8 ) 1 mod 23 = 21 8 mod 23 = 7 T = 7 8 mod 23 = 12 S sendet T = 12 an A. (4) A berechnet K als K = h(12 (16 7 ) 1 mod 23) = h(12 9 mod 23) = h(16) = 16. 9

10 KRS-2 KRS-2 Diese Variante eines Key Recovery Schemes basiert auf der RSA Verschlüsselung. Es gibt wieder zwei Parteien, den Server S und den Benutzer A. Anstelle einer Primzahl P werden dieses Mal zwei Primzahlen p und q benötigt, aus denen S dann n = p q berechnet. p und q sind dabei natürlich geheim, während n öffetlich ist. Es wird außerdem eine Zahl α der Ordnung φ(n) benötigt mit φ(n) = (p 1)(q 1). Das bedeutet, α φ(n) mod n = 1. Der Server wählt außerdem zwei Exponenten e und d für die Ver- bzw. Entschlüsselung. Es muß also gelten e d 1. Es wird außerdem wieder eine sichere Einweg-Hashfunktion h benötigt. Bei der Anmeldung benötigt A neben einem einfachen Password P a auch noch eine eindeutige Identität ID a mit der Eigenschaft ggt(id a, φ(n)) = 1, die dann von S gespeichert werden. ggt = 1 ist erforderlich, da das Inverse von ID a modulo φ(n) berechnet werden muß, was sonst evtl. nicht möglich wäre. (1) Um an ein sicheres Passwort zu gelangen, wählt A ein pseudosicheres Passwort pass und berechnet und K = h(α pass mod n) R = α pass IDa mod n. Es werden E K (M) und R gespeichert. (2) Falls A sein Passwort pass vergessen hat, wählt er zwei Zufallszahlen r 1 und r 2 mit 1 < r 1, r 2 < n 1 und ggt(r 1, n) = 1, und berechnet V als V = R r IDa 1 mod n = α pass ID a r ID a 1 mod n. Anschließend sendet A V, r e 2 mod n, h(v, r 2, P a ) und seine Identität ID a an S. (3) Der Server S berechnet r 2 = (r e 2 mod n) d mod n und h(v, r 2, P a ) und vergleicht das Ergebnis mit dem von A gesendeten Hashwert. Sind sie identisch, weiß S, daß die Anfrage von A kommt, da nur A P a kennt, und führt folgende Rechnung aus: ID 1 T = V ID 1 a mod n = (α pass ID a r ID a 1 ) ID 1 a mod n = (α pass r 1 ) mod n. a ist dabei das Inverse von ID a modulo φ(n). Anschließend schickt S T an A. (4) A berechnet nun α pass T r1 1 (mod n) und daraus den benötigten Schlüssel K = h(t r1 1 mod n). r1 1 ist dabei das Inverse modulo n. Es ist leicht einzusehen, daß KRS-2 alle Anforderungen an ein Key Recovery Scheme erfüllt. Es wird natürlich das Passwort wiederhergestellt, bei vorhandenem P a online, ansonsten offline, da S P a ebenfalls kennt. Zum Berechnen von K wird r1 1 benötigt, welches nur A kennt. Auch der Server S kennt also das Passwort nicht. Weiterhin kann sich kein Angreifer als A ausgeben, da das Passwort P a in den Hashwert einfließt und ein Angreifer nicht in der Lage ist, den korrekten Hashwert zu berechnen. Das Passwort kann auch nicht bei der Übertragung abgehört werden, da es mit r 1 verschlüsselt wurde und somit nur von A entschlüsselt werden kann. Es ist allerdings der bereits in KRS-1 beschriebene Angriff durch Kooperation von O und S möglich. Hier kann S bei Kenntnis von R das Inverse von ID a benutzen, um an α pass mod P zu gelangen. Beispiel zum KRS-2 10

11 KRS-2 Der Server S wählt p = 5 und q = 7 und damit n = p q = 5 7 = 35 und φ(n) = (p 1)(q 1) = 4 6 = 24. Als α wird α = 2 gewählt, da 2 24 mod 35 = 1. Weiterhin wählt S e = 5 und damit d = 29, da e d mod φ(n) = 5 29 mod 24 = 1. A wählt P a = 18, pass = 28 und ID a = 25. Als Hashfunktion wird wieder h = id vereinbart, um die Rechnungen zu vereinfachen. (1) A berechnet K = h(2 28 mod 35) = h(16) = 16 und R = mod 35 = mod 35 = 16. (2) A hat sein Passwort vergessen und wählt r 1 = 12 und r 2 = 3. Es gilt ggt(12, 35) = 1. A berechnet V = mod 35 = 17, r e 2 mod n = 3 5 mod 35 = 33 und sendet V, r e 2 mod n und h(17, 3, 18) an S. (3) S berechnet zuerst r 2 = mod 35 = 3 und daraus dann h(v, r 2, P a ). Dieser entspricht dem von A gesendeten Hashwert, also wird T berechnet T = 17 (25 1) mod 35 = 17 1 mod 35 = 17 und an A geschickt. (4) A berechnet α pass T r 1 1 und damit dann den Schlüssel K. K = h( mod 35) = h(17 3 mod 35) = h(16) =

12 Literaturverzeichnis Literaturverzeichnis [1] Sung-Ming Yen. Practical Key Recovery Schemes [2] D. Wätjen. Vorlesungsskript zur Kryptologie 12