Vorlesung Sicherheit

Transkript

1 Vorlesung Sicherheit Dennis Hofheinz IKS, KIT / 29

2 Überblick 1 Sicherheit 2 Struktur der Vorlesung 3 Symmetrische Verschlüsselung Ziel Geheime Verfahren Kerckhoffs Prinzip Cäsar Vigenère Weitere einfache Verfahren One-Time-Pad 2 / 29

3 Was ist Sicherheit? Quelle: Wikipedia, Videoüberwachung 3 / 29

4 Was ist Sicherheit? Quelle: Wikipedia, Sicherheit 4 / 29

5 Was ist Sicherheit? Quelle: Wikipedia, Notausgang 5 / 29

6 Was ist Sicherheit? Quelle: Wikipedia, Feuerwehr 6 / 29

7 Was ist Sicherheit? Quelle: Wikipedia, Sicherheitsgurt 7 / 29

8 Was ist Sicherheit? 8 / 29

9 Was ist Sicherheit? Diskussion: Was kann Sicherheit noch sein? 9 / 29

10 Was Sicherheit für uns ist Generell Sicherheit weit gefasster Begriff Unser Fokus: Sicherheit in der Informationstechnik Beispiele: Schutz von Daten (z.b. s) vor unberechtigtem Zugriff Zugriffskontrolle (z.b. Rechteverwaltung von Betriebssystem) Privatsphäre in verteilten Systemen (z.b. sozialen Netzwerken) Beobachtung: Bausteine (z.b. Verschlüsselung) entscheidend Genaue Definition von Szenario abhängig 10 / 29

11 Überblick 1 Sicherheit 2 Struktur der Vorlesung 3 Symmetrische Verschlüsselung Ziel Geheime Verfahren Kerckhoffs Prinzip Cäsar Vigenère Weitere einfache Verfahren One-Time-Pad 11 / 29

12 Ziele der Vorlesung Fokus: entscheidende Bausteine für sichere digitale Systeme Insbesondere: kryptographische Bausteine Nicht: vollständige Systeme Beispiele: Verschlüsselungssysteme (symmetrisch und asymmetrisch) Authentifikationsmechanismen (z.b. Signaturen, Protokolle) Strategien der Zugriffskontrolle (z.b. Bell-LaPadula) Nicht-Beispiele: Sichere Softwareentwicklung (z.b. Buffer Overflows vermeiden) Sichere Systementwicklung (z.b. durch Virtualisierung) Schadsoftware (z.b. Viren) 12 / 29

13 Vorgehensweise Orientiert an bisheriger Sicherheits-Vorlesung Augenmerk auf formaler Vorgehensweise Definitionen/Beweise, wenn möglich Aber: generell Überblickscharakter Schnittstelle für weiterführende Vorlesungen 13 / 29

14 Logistisches Vorlesungswebseite enthält Folien, Skript Skript nicht vollständig, wird angepasst Übung donnerstags, 14-tgl. ab , Blatt 1 verfügbar Übungsleiter Christoph.Striecks@kit.edu Klausur schriftlich, 60min Klausur :00 Nachklausur , 14:00... Fragen? 14 / 29

15 Überblick 1 Sicherheit 2 Struktur der Vorlesung 3 Symmetrische Verschlüsselung Ziel Geheime Verfahren Kerckhoffs Prinzip Cäsar Vigenère Weitere einfache Verfahren One-Time-Pad 15 / 29

16 Ziel Sichere Nachrichtenübermittlung auf unsicherem Kommunikationskanal: Alice C Bob Statt Nachricht M wird Chiffrat C übertragen Anforderungen: Bob muss Chiffrat aus Nachricht berechnen Alice muss Nachricht aus Chiffrat berechnen Chiffrat soll Außenseiter keinen Hinweis auf Nachricht geben 16 / 29

17 Geheime Verfahren Veraltet: Verschlüsselungsverfahren geheimhalten Alice Dec C:=Enc(M) Bob Enc Chiffrat wird durch Funktion Enc erzeugt: C := Enc(M) Nachricht mit Funktion Dec berechnen: M = Dec(C) Wichtig: nur Alice und Bob kennen Dec und Enc 17 / 29

18 Geheime Verfahren: Beispiel Alice Dec C:=Enc(M) Bob Enc Cäsar 3 -Verschlüsselung: Interpretiere M als Zahlenfolge M = (M i ) n i=1 {0,..., 25}n Jede Zahl steht für einen Buchstaben (A 0,..., Z 25) Enc verschiebt jede Stelle von M zyklisch um 3: Enc(M) := (C i ) n i=1 mit C i := M i + 3 mod 26 Dec verschiebt jede Stelle von M zyklisch um 3 Beispiel: Enc(KIT) = NLW 18 / 29

19 Kerckhoffs Prinzip Problem bei geheimen Verfahren: unsicher, sobald Verfahren bekannt Auguste Kerckhoffs ( ): parametrisierte Verfahren Enc und Dec haben Schlüssel K als zusätzliche Eingabe Enc und Dec dürfen bekannt sein, K muss geschützt werden Vorteil: Enc und Dec von vielen Benutzern gleichzeitig nutzbar (Vorteil nur konzeptionell: grundsätzlich sind parametrisierte Verfahren als unparametrisierte Verfahren interpretierbar) 19 / 29

20 Symmetrische Verfahren Traditionell: symmetrische Verschlüsselung Alice K C:=Enc(K,M) Bob K Alice und Bob besitzen gemeinsames Geheimnis K Chiffrat wird durch Funktion 1 Enc erzeugt: C := Enc(K, M) Nachricht mit Funktion Dec berechnen: M = Dec(K, C) 1 Enc kann probabilistisch sein 20 / 29

21 Das Cäsar-Verfahren Alice Dec C:=Enc(K,M) Bob Enc Cäsar-Verschlüsselung: Interpretiere M als Zahlenfolge M = (M i ) n i=1 {0,..., 25}n Jede Zahl steht für einen Buchstaben (A 0,..., Z 25) Enc verschiebt jede Stelle von M zyklisch um K: Enc(K, M) := (C i ) n i=1 mit C i := M i + K mod 26 Beispiel: Enc(25, KIT) = Enc( 1, KIT) = LHS Frage: Warum immer noch schlechte Idee? 21 / 29

22 Unsicherheit des Cäsar-Verfahrens Erinnerung: Enc(K, M) = (M i + K mod 26) n i=1 Problem: kleiner Schlüsselraum (K {0,..., 25}) Annahme: M sinnvoller Text (genauer: K K Dec(K, C) als unsinnig erkennbar) Dann: Durchprobieren von K {0,..., 25} liefert K Frage: Was, wenn M kein sinnvoller Text? 22 / 29

23 Generalisierung: das Vigenère-Verfahren Cäsar 3 : (C 1, C 2,... ) = (M 1 + 3, M 2 + 3,... ) mod 26 Cäsar: (C 1, C 2,... ) = (M 1 + K, M 2 + K,... ) mod 26 Vigenère: K {0,..., 25} m und (C 1, C 2,... ) = (M 1, M 2,..., M m, M m+1,... ) + (K 1, K 2,..., K m, K 1,... ) mod 26 Allgemein: C i = M i + K (i 1 mod m)+1 mod / 29

24 Unsicherheit des Vigenère-Verfahrens Erinnerung: (C 1, C 2,... ) = (M 1, M 2,..., M m, M m+1,... ) + (K 1, K 2,..., K m, K 1,... ) mod 26 Beobachtung: (C 1, C m+1,... ) = (M 1 + K 1, M m+1 + K 1,... ) mod 26 Unterfolge (C 1, C m+1, C 2m+1, ) Cäsar-verschlüsselt mit K 1 Ansatzpunkt für Kryptoanalyse (rate m, finde K 1, K 2,...) 24 / 29

25 Weitere einfache Verfahren Substitutionschiffren (Substitution von Buchstaben) Permutationschiffren (Reihenfolge ändern) Kombinationen der Konzepte (z.b. C = M M) Schlüssel K = M kann z.b. mit linearer Algebra gefunden werden, wenn Klartext-/Chiffratpaare bekannt 25 / 29

26 One-Time-Pad Hauptproblem des Vigenère-Verfahrens: periodische Wiederverwendung des Schlüssels One-Time-Pad (auf Bits, d.h. M {0, 1} n ): Schlüssel so lang wie Nachricht: K {0, 1} n Enc(K, M) = C = M K {0, 1} n Dec(K, C) = C K Wichtig: K {0, 1} n gleichverteilt gezogen 26 / 29

27 Sicherheit des One-Time-Pad Erinnerung: Enc(K, M) = C = M K Gegeben C ist jedes M möglich (und gleich wahrscheinlich) OTP hat informationstheoretische Sicherheitseigenschaften Selbst unbeschränkter Angreifer erhält durch C keine Information über M (kann formalisiert werden) Aber: OTP oft missverstanden als Patentlösung 27 / 29

28 Unsicherheit des One-Time-Pad Erinnerung: Enc(K, M) = C = M K Nachteil: Schlüssel unhandlich (so lang wie Nachricht)... zudem: Schlüssel darf nicht wiederverwendet werden Aus C = M K und C = M K folgt C C = M M, eine nichttriviale Information über M und M Problem: Chiffrate verwundbar (C X = (M X ) K) Beispiel: wenn M {ja, nein}, dann kann ein Chiffrat C mittels C (ja nein) semantisch verfälscht werden 28 / 29

29 KIT-Karrieremesse 29 / 29