DIE DIGITALE SIGNATUR

Transkript

1 DIE DIGITALE SIGNATUR 0. Einleitung Willenserklärungen, Ziel: nachträglich zu beweisen, dass eine Willenserklärung tatsächlich und endgültig abgegeben wurde. Wort Signatur: aus lateinischen Begriff Signum und bedeutet Zeichen. Signatur schließt den Vorgang der Willenserklärung ab und dient der späteren Beweisbarkeit. Kein Einscannen von Daumenabdrücken keine Unterschrift von Hand, die eingescannt und digital gespeichert wird, keine Unterschrift, die man mit einem speziellen Stift auf eine elektronisch drucksensible Oberfläche aufträgt, kein simpler Daumenabdruck, der einmal digital erfasst. 1. Digitale Unterschrift engl. Digital Signature, dient zur Authentifikation des Verfassers und zur Integrität seiner Nachricht müssen gewährleisten, daß: die Unterschrift geleistet wurde. die Unterschrift vom Unterschreibenden geleistet wurde. die Unterschrift vom unterschriebenen Dokument abhängt und nicht wieder verwendet werden kann. ein unterschriebenes Dokument nach dem Unterschreiben nicht manipuliert werden kann. der Unterschreibende die Unterschrift nicht leugnen kann. Daten nicht unnötig aufblasen. Digitale Unterschriften können durch Einweg-Hashfunktionen generiert werden, indem der Hashwert verschlüsselt wird.

2 Allgemein basiert die Bildung auf asymmetrischen Verschlüsselungsverfahren. Es wird ein individuelles Schlüsselpaar generiert, bestehend aus öffentlichem Schlüssel, engl. Public Key, und geheimen Schlüssel, engl. Private Key. Das NIST (National Institute of Standards and Technologie) hat den Digital Signature Standard (DSS) mit diesen Anforderungen formuliert. Dieser Standard spezifiziert den Digital Signature Algorithm (DSA) 2. Hashfunktionen Eine Einweg- Hashfunktion H verarbeitet eine beliebig lange Nachricht M zu einem Hashwert (Prüfsumme) h mit einer festen Länge. Es gilt also: h = H(M). Die wichtigsten Eigenschaften dieser Funktionen sind: Einweg-Hashfunktionen bilden den Klartext in einer Prüfsumme (Hash-Summe) ab. Die Abbildung ist nicht umkehrbar. Wird nur ein Zeichen des Klartextes verändert so entsteht eine andere Prüfsumme. Es ist unmöglich für verschiedene Klartexte die gleichen Prüfsummen zu erzeugen. Die Prüfsumme hat immer die gleiche Länge und ist wesentlich kleiner als der Klartext. Es ist möglich mit einem Schlüssel auch individuelle Prüfsummen zu erzeugen. Die Prüfsumme ist somit eine Art komprimierter Klartext. Schwierigkeiten: immer einen Hashwert identischer Länge Ausgangwert kleiner als der Eingabewert.

3 2.2 MD5 MD5 ist eine Einweg- Hashfunktion, die von Ron Rivest entworfen wurde. MD steht für Message Digest (etwa: Zusammenfassung einer Nachricht). Der Algorithmus produziert einen 128 Bit langen Hashwert (oder Message Digest) der Eingabenachricht. MD5 ist der Nachfolger von MD4, der sich mit der Zeit als nicht so sicher herausstellte, wie er einst angepriesen wurde. Entwurfsziele Der Berechnungsaufwand, zwei Nachrichten mit gleichem Hashwert zu finden, geht gegen unendlich. Es gibt keinen effizienteren Angriff als Brute-Force. [Auf Prinzip (des Zufalls) basiert der Brute-Force-Angriff. Ist keinerlei Rückschluß auf die Verschlüsselung möglich, werden mit 'roher Gewalt' (engl. Brute Force) alle denkbaren Nachrichten und Algorithmen ausprobiert.] eignet sich für schnelle Software-Implementierungen. Der Algorithmus benutzt nur einfache Bitmanipulationen mit 32-bit-Operanden, d. h. er ist so einfach wie möglich und benutzt keine großen Datenstrukturen oder ein kompliziertes Programm. ist für Mikroprozessorarchitekturen (speziell Intel-Mikroprozessoren) optimiert. Größere und schnellere Computer führen die nötigen Umsetzungen durch. Beschreibung des Algorithmus Nach einigen Vorbereitungsschritten verarbeitet MD5 den Eingabetext in Blöcken von 512 Bit, aufgeteilt in Teilblöcke der Länge 32 Bit. Durch Anhängen einer 64-bit-Darstellung der Länge der Nachricht, eines einzelnen Bits mit dem Wert Eins und sonst Nullen wird die Nachricht auf ein Vielfaches von 512 Bit aufgefüllt. Dadurch wird sichergestellt, daß verschiedene Nachrichten nach dem Auffüllen nicht identisch sind. Die Hauptschleife des Algorithmus besteht aus vier Runden, die vier 32-bit- Verkettungsvariablen (A, B, C, D) mit nichtlinearen Funktionen und bitweise Rotation verändert, und eine der Variablen durch das Ergebnis ersetzt. Hauptschleife von MD5

4 Eine Runde von MD5 (M j... j-ten Teilblock, t i... Konstanten) Nach jeder Runde werden initialisierte Variablen (a, b, c, d) zu den Verkettungsvariablen (A, B, C, D) addiert, die am Ende die Ausgabe des Algorithmus bilden. Der 128 bit lange Hashwert ist eine Konkatenierung der vier 32 Bit langen Verkettungsvariablen. 2.3 RIPEMD RIPEMD wurde für das RIPE-Projekt der EU entwickelt und ist eine Variante von MD4 mit einer Hashwertlänge von ursprünglich 128 bit. Mittlerweile wurde die Ausgabe des Algorithmus auf 160 bit erweitert. Um sie im Vergleich zu MD4 gegen kryptanalytische Angriffe resistenter zu machen, wurden die Rotationen und die Reihenfolge der Nachrichtenwörter modifiziert. Außerdem sind zwei Algorithmen mit unterschiedlichen Parametern parallelisiert. 2.4 HAVAL HAVAL ist eine Modifikation von MD5 mit variabler Hashwertlänge. Nachrichten werden in 1024 bit langen Blöcken verarbeitet und die Anzahl der Verkettungsvariablen wurde auf acht verdoppelt. Weiterhin wurden die einfachen nicht-linearen Funktionen von MD5 durch kompliziertere Funktionen mit striktem Lawinenkriterium ersetzt. Der Algorithmus arbeitet mit einer variablen Rundezahl von drei bis fünf und es können Hashwerte in der Länge 128, 160, 192, 224 oder 256 Bit erzeugt werden. Dies ergibt insgesamt 15 Versionen dieses Algorithmus.

5 2.5 Der Secure Hash Algorithm (SHA) Der SHA wurde in Zusammenarbeit von NIST und der National Security Agency NSA entworfen und sollte den Algorithmus zum DSS, dem Digital Signature Standard, bilden. Der Algorithmus beruht auf ähnlichen Prinzipien wie das von Ronald Rivest entworfene MD5. SHA produziert einen 160 Bit langen Hashwert, also einen längeren als der von MD5. Beschreibung des Algorithmus Durch Anhängen einer Eins, entsprechend vieler Nullen und einer binären Darstellung der Länge der Nachricht, wird diese auf ein Vielfaches von 512 bit verlängert. Fünf 32-bit- Variablen (A, B, C, D, E) werden initialisiert und in die Variablen (a, b, c, d, e) kopiert. In vier Runden mit 20 Operationen werden jeweils drei der fünf Variablen und die Nachricht in 512 bit langen Blöcken mittels nichtlinearer Funktionen verarbeitet und das Ergebnis mit rundenabhängigen Konstanten Kt und Nachrichtenblöcken Wt addiert. Am Ende jeder Runde werden a bis e zu den Variablen A bis E addiert. Eine Operation von SHA Sicherheit des Algorithmus Bisher sind keine wesentlichen Angriffe gegen SHA bekannt, zumindestens wurden noch keine erfolgreichen kryptoanalytischen Angriffe verzeichnet. Durch den 160 Bit langen Hashwert bietet SHA einen besseren Schutz gegen Brute- Force- Angriffe als MD5 mit der Hashwertlänge von 128

6 2.6 Wahl einer Einweg-Hashfunktion Algorithmus Hashlänge in bit Hashgeschwindigkeit in kbyte/sek Davis-Mayer (mit DES) 64 9 Abreast Davis-Meyer GOST HAVAL (je nach Rundenzahl) variabel MD MD MD N-Hash (je nach Rundenzahl) RIPE - MD SHA SNEFRU (je nach Rundenzahl) Anwendung 3.1 Unterschriften mit dem RSA-Verfahren Die RSA Methode hat allerdings immer noch gravierende Nachteile: Asymmetrisch Verfahren sind außerordentlich langsam. Umfangreiche Dokumente können damit nicht unterzeichnet werden. Das Unterschriebene Dokument ist zunächst nicht lesbar, es muß erst mit dem öffentlichen Schlüssel zeitaufwendig chiffriert werden. In der Praxis wird der unterzeichnete Text daher meist lesbar kursieren. Die Unterschrift ist daher nicht mehr überprüfbar. Die Gefahr nachträglicher Manipulationen ist hoch. Beim Unterzeichnen fremder Dokumente ist mit ausgewähltem Geheimtext ein Angriff auf das RSA-Verfahren möglich. Zum signieren sollte daher ein anderes Schlüsselpaar verwendet werden als zur Schlüsselübermittlung.

7 3.2 Einweg-Hashfunktionen Der Empfänger einer Nachricht kann mit der Prüfsumme und dem zugehörigen Schlüssel für die Hash-Funktion überprüfen ob das erhaltene Dokument während der Übertragung verändert wurde. Die Übermittlung eines Dokuments ist dann in folgende Schritte eingeteilt Alice bildet die Hash-Summe ihres Dokuments und verschlüsselt die Hash-Summe mit ihrem privaten Schlüssel. Die verschlüsselte Hash-Summe bildet dabei Ihre Signatur. Alice hängt die Signatur an ihren Klartext an und schickt das Paket über den Datenkanal. Bob entschlüsselt dann zuerst die Signatur mit Alices öffentlichem Schlüssel und erhält die Hash-Summe. Nun bildet er ebenfalls die Hash-Summe des Klartextes und vergleicht die beiden Hash-Summen miteinander. Sind die Hash-Summen gleich, so kann er davon ausgehen, daß der Klartext nicht verändert wurde. Er kann auch davon ausgehen, daß die Nachricht von Alice stammt. Wäre das Dokument zum Beispiel eine Warenbestellung, könnte Alice diese später auch nicht leugnen. Damit sind die obigen Nachteile ausgeschaltet: Hash-Summen sind in der Regel relativ kurz (ca. 20 Byte lang). Die Anwendung von RSA auf die Prüfsumme ist von der Textlänge unabhängig und kostet wenig Zeit. Hash-Summen sind nicht voraussagbar. Deshalb ist ein Angriff mit ausgewähltem Geheimtext nicht möglich. Das Dokument ist für jedermann lesbar und bei Kenntnis des öffentlichen Schlüssels auch jederzeit überprüfbar.

8 3.3 Unterschriften mit dem RSA-Verfahren und öffentlichem Schlüsseltausch In der Anwendung lassen sich viele Fälle finden, bei denen das chiffrieren des Klartextes zu einem Geheimtext erforderlich ist. Das unten aufgeführte Beispiel zeigt ein mögliches Protokoll, wie ein Dokument unleserlich über einen Datenkanal verschickt werden kann. Dabei müssen die öffentlichen Schlüssel der Partner ausgetauscht werden. Das Protokoll hat folgenden Ablauf Der Sender entschlüsselt einen Text mit seinem privaten Schlüssel und erzeugt damit seine Signatur. Dokument und Signatur werden dann gemeinsam mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und über den Kanal geschickt. Der Empfänger entschlüsselt dann die erhaltenen Daten mit seinem privaten Schlüssel und erhält den Klartext und die Signatur in entschlüsselter Form. Jetzt wendet der Empfänger noch den öffentlichen Schlüssel des Senders auf die Signatur an und erhält den Klartext der Unterschrift. Digitale Signatur und öffentlicher Schlüsseltausch mit RSA

9 3.4 Das DSA-Verfahren DSA steht für Digital Signature Algorithm und ist seit 1994 der Standard für Digitale Unterschriften in den USA. DSA ist eine Variante der Unterschriftsalgorithmen von Schnorr Das Dokument wird hierbei nicht verschlüsselt. Es wird die Echtheit des Dokuments durch die Einweg-Hashfunktion Secure Hash Algorithm (SHA) überprüft und die Signatur bestätigt. Gegebenenfalls kann der Klartext noch mit dem RSA-Verfahren verschlüsselt werden. Das DSA eignet sich aber hauptsächlich zur digitalen Unterschrift. Es gibt aber auch Implementierungen, die eine RSA-Verschlüsselung unterstützen Vergleich der Rechenzeiten von RSA und DAS DSA RSA DSA mit gemeinsamem p, q, g Globale Berechnungen außerhalb(p) - außerhalb(p) Schlüsselerzeugung 14 Sek. außerhalb(s) 4 Sek. Vorausberechnungen 14 Sek. - 4 Sek Signatur 0,03 Sek. 15 Sek. 0,03 Sek Verifizierung 16 Sek. 1,5 Sek 10 Sek. 1-5 Sek. außerhalb(p) 1-3 Sek. außerhalb(p)

10 4. Virtuelle Passämter - Trustcenter Digitale Zertifikate Bei Zertifikaten überprüfen sog. Zertifizierungsstellen die Angaben, das sind die sogenannten Trust Center (oder Zertifizierungsinstanzen). Der Betreiber eines Trust Centers muß eine Reihe strenger Auflagen erfüllen und muß sich selbst gegenüber einer "Super"- Zertifizierungsstelle ausweisen. Die Regulierungsbehörde für Telekommunikation und Post (RegTP) garantiert in der Bundesrepublik die Authentizität der Trust Center und damit letztlich aller ausgestellten Zertifikate. 5. Angriffe Cipher-text-Only-Attacke: der Angreifer kennt den Klartext nicht und möchte entweder den Schlüssel oder den Klartext bekommen. Known-Plaintext-Attacke: der Angreifer kennt sowohl einen oder mehrere Chiffretexte als auch die zugehörigen Klartexte. Hier interessiert sich der Angreifer für den Schlüssel, um zukünftige Chiffretexte decodieren zu können. Chosen-Plaintext-Attacke: der Angreifer will den Schlüssel herausfinden. Er hat hierzu die Möglichkeit, von ihm gewählte Klartexte mit dem gesuchten Schlüssel zu verschlüsseln, d.h. der Angreifer hat Zugang zum System und kann den Schlüssel nutzen, ohne ihn lesen zu können. Chosen-Ciphertext-Attacke: ist vom Prinzip dasselbe wie die Chosen-Plaintext-Attacke, nur hat hier der Angreifer die Möglichkeit von ihm gewählte Chiffretexte zu entschlüsseln. Verfahren gelten für die gesamte Kryptologie 6. Ist die Digitale Unterschrift ohne Zeitsignatur unsicher? durch Technik erhebliche Chancen um Geschäftsprozesse zu beschleunigen und damit Kosten zu sparen. Wann diese digitale Signatur vorgenommen wurde, kann man ihr allerdings nicht ohne weiteres ansehen. Die Zeitsignatur Sie belegt, wann das Dokument vorgelegen hat und dass es seit diesem Zeitpunkt nicht verändert wurde. Zeitsignaturen werden eingesetzt bei: 1. Abschlüssen elektronischer Verträge 2. der elektronischen Auftragsbearbeitung 3. Online-Shopping 4. Abwicklung zeitkritischer Abrechnungen 5. Online-Banking 6. Eingangsbestätigung von s 7. Einhaltung von Fristen 8. Online-Auktionen 9. elektronische Erfassung der Betriebsdauer 10. Protokollierung von Fertigungsprozessen 11. Digitalen Signaturen

11 7. Per Mausklick digital unterschreiben 7.1 PGP PGP ( Pretty Good Privacy) ist zur Zeit das gängigste -Verschlüsselungsprogramm im Internet. Es wurde von Phil Zimmerman implementiert und beinhaltet Verschlüsselung, Authentifikation, digitale Unterschrift und Kompression. Das Programm ist auf allen weit verbreiteten Plattformen verfügbar und kann in viele Mail-Clients (Zmail, Eudora) direkt eingebunden werden. Wenn diese Möglichkeit nicht vorhanden ist, kann PGP mit Hilfe von Cut and Paste (nicht so komfortabel) benutzt werden. In der USA wird PGP als Waffe angesehen, denn nach US-Amerikanischem Recht zählen Verschlüsselungen als Waffe und unterliegen somit dem Waffenexportverbot. Es ist dadurch verboten eine PGP Version von einem amerikanischen Server herunter zu laden. PGP5.5 benutzt vorhandene Verschlüsselungsalgorithmen: Asymmetrische Verfahren: DSS/Diffie-Hellman, RSA Symmetrische Verfahren: 3DES, IDEA, CAST Hash Funktionen: MD5, RIPEMD-160, SHA-1 Schlüsselmanagement von PGP

12 7.2 PEM Verteilung über Keyserver PEM (Privacy Enhanced Mail) ist ein offizieller Internet-Standard und in RFC 1421 bis 1424 beschrieben. Im Unterschied zu PGP ist PEM nicht von einem Einzelnen entwickelt und implementiert, sondern die Entwicklung wurde von einer Workgroup der Area Security der IETF (Internet Engineering Task Force)durchgeführt. Im wesentlichen deckt PEM das gleiche Gebiet ab wie PGP, aber der Ansatz und die Technologie weist im PEM ein paar Unterschiede zu PGP auf. Das Schlüsselmanagement ist z.b. mehr strukturiert als in PGP. Die Schlüssel werden von Zertifizierungsbehörden (Certification Authorities) in Form von Zertifikaten bescheinigt. Jedes Zertifikat hat eine eindeutige Seriennummer. Die Zertifikate beinhalten ein MD5-Hash, das mit dem Private Key der Zertifizierungsbehörde unterschrieben ist. Die Zertifizierungsbehörden müssen wiederum von sogenannten PCAs (Policy Certification Authorities) zertifiziert werden, die schlussendlich von der IPRA (Internet Policy Registration Authorities) zertifiziert sind. PEM Zertifikationshierarchie

13 7.3 S/MIME S/MIME oder auch Secure MIME genannt, ist ein neu entwickeltes Protokoll von RSA, um den bisher unsicheren versand durch Verschlüsselung sicher zu machen. Es dient zwar nicht primär der Übertragung von Kreditkartennummern, jedoch könnten auch diese mit S/MIME sicher an den Empfänger übermittelt werden. S/MIME wird bereits von dem aktuellem Netscape Communicator (Navigator 4.0 bzw. 4.04) und Microsoft Outlook unterstützt. Die komplette Liste der Programme die S/MIME unterstützen, kann bei RSA nachgelesen werden. S/MIME basiert ebenfalls auf einem asymmetrischen Schlüsselsystem. Im direkten Vergleich zu PGP ergeben sich folgende Unterschiede: Im Gegensatz zu PGP, kann bei S/MIME ein unzertifizierter öffentlicher und privater Schlüssel nicht existieren. Das System ist so aufgebaut, dass das Generieren eines öffentlichen und privaten Schlüssels nur mittels Internetverbindung zu einer der Zertifizierungsinstanzen möglich ist. Die Zertifizierungsinstanz authentifiziert dann bei diesem Vorgang automatisch den öffentlichen und privaten Schlüssel des Benutzers. Weiterhin wird, im Unterschied zu PGP, bei der Unterschrift einer immer zwingend der öffentliche Schlüssel angehängt. Der Sinn des öffentlichen Schlüssels ist es ja gerade, möglichst weit verbreitet zu werden, und da liegt es nahe, den öffentlichen Schlüssel immer automatisch an eine unterschriebene Mail anzuhängen.