Einführung in Verschlüsselungstechniken

Transkript

1 Von der Enigma bis zum Internetbanking Informationstechnologie und Sicherheitspolitik Wintersemester 2010/11

2 Über mich IT-Sicherheitsberatung: Schulungen und Beratungen zu Social Engineering, Security Awareness, Counter Intelligence, Sicherheitsmanagement Vorsitzender der MASH Organisator der Ringvorlesung

3 Übersicht 1 Einführung 2 Prüfsummen 3 symmetrische Verfahren 4 asymmetrische Verfahren 5 kryptographische Signatur 6 Enigma

4 1 Einführung 2 Prüfsummen 3 symmetrische Verfahren 4 asymmetrische Verfahren 5 kryptographische Signatur 6 Enigma

5 Motivation Jede Form der elektronischen Kommunikation kann abgehört oder verändert werden: Fax, Telefon, , HTTP, BOS-Funk... drahtlose (grenzenlose) Kommunikation breitet sich aus: WLAN, Bluetooth, Richtfunk, Satelliten-Uplink, Drohnen-Steuerung... Elektronifizierung der Kriegsführung schreitet immer weiter voran: Network Centric Warfare, Infanterist der Zukunft, GPS, Drohnen, Data Warehousing Wirtschafts- und Staatssystem werden immer abhängiger vom Internet: ebusiness, Logistik, Home-Office, SCADA... Cyberwar als Schlagwort: Stuxnet...

6 Motivation Kryptologie hat über-strategische Bedeutung 500 v. Chr.: mit Skytale verschlüsselte Botschaften 1586: Babington-Komplott 1917: Zimmermann-Telegramm 1918: ADFGX während der Frühjahrsoffensive gebrochen : Enigma 2000: Kryptographie gilt als Waffe und unterliegt u.a. Wassenaar, Exportverbot aus den USA 2010: Taliban sniffen Überwachungsdrohnen neuer Personalausweis mit elektronischer Identität und qualifizierter elektronischer Signatur Chaosradio: Angriff gegen npa-lesegerät vorgestellt

7 Motivation Kryptologie hat über-strategische Bedeutung 500 v. Chr.: mit Skytale verschlüsselte Botschaften 1586: Babington-Komplott 1917: Zimmermann-Telegramm 1918: ADFGX während der Frühjahrsoffensive gebrochen : Enigma 2000: Kryptographie gilt als Waffe und unterliegt u.a. Wassenaar, Exportverbot aus den USA 2010: Taliban sniffen Überwachungsdrohnen neuer Personalausweis mit elektronischer Identität und qualifizierter elektronischer Signatur Chaosradio: Angriff gegen npa-lesegerät vorgestellt

8 Ziele Vertraulichkeit (Geheimhaltung) Integrität (Unveränderlichkeit) Verbindlichkeit (Nicht-Abstreitbarkeit) Authentizität (Urheberschaft)

9 Strategische Ebene Man-in-the-Middle-Attacke unsicherer Kanal zwischen Alice und Bob Mallory klinkt sich dazwischen und gibt sich als Bob bzw. Alice aus Alice und Bob müssen unsicheren Kanal absichern: sicherer Kanal (schwierig) Verschlüsselung (Vertraulichkeit) Signatur (Integrität) Kryptographie erforderlich

10 grundlegende Verfahren Definition (Transposition) Vertauschung der Stellen Anzahl der Transpositionen ist n! festes Muster in M grenzt Raum ein

11 Transposition: Skytale, ca 500 v. Chr. Dicke des Stabes ist Schlüssel

12 grundlegende Verfahren Definition (Substitution) Ersetzung der Zeichen durch andere Zeichen monoalphabetische: genau ein Geheimtextalphabet mit fester Zuordnung polyalphabetische: mehrere Geheimtextalphabete ohne feste Zuordnung Caesar/Rot13: ist involutorisch A B C D E F G H I J K L M N O P Q R S T U V W X Y Z N O P Q R S T U V W X Y Z A B C D E F G H I J K L M

13 grundlegende Verfahren Definition (Substitution) Ersetzung der Zeichen durch andere Zeichen monoalphabetische: genau ein Geheimtextalphabet mit fester Zuordnung polyalphabetische: mehrere Geheimtextalphabete ohne feste Zuordnung Caesar/Rot13: ist involutorisch A B C D E F G H I J K L M N O P Q R S T U V W X Y Z N O P Q R S T U V W X Y Z A B C D E F G H I J K L M

14 grundlegende Verfahren Definition (Substitution) Ersetzung der Zeichen durch andere Zeichen monoalphabetische: genau ein Geheimtextalphabet mit fester Zuordnung polyalphabetische: mehrere Geheimtextalphabete ohne feste Zuordnung Caesar/Rot13: ist involutorisch A B C D E F G H I J K L M N O P Q R S T U V W X Y Z N O P Q R S T U V W X Y Z A B C D E F G H I J K L M

15 Caesar Xrffva, 31. Qrmrzore. Zrvar yvror Znzn! Qnf jveq aha jbuy rva ynatre Fpuervoroevrs jreqra, qraa vpu unor - qvr Xnegr erpuarg avpug - ynatr avpugf iba zve uöera ynffra. Nyf vpu qnf yrgmgrzny fpuevro, fgrpxgr vpu abpu va qra Jrvuanpugfibeorervghatra, wrgmg yvrtra qvr Jrvuanpugfgntr fpuba mheüpx.

16 Caesar Xrffva, 31. Qrmrzore. Zrvar yvror Znzn! Qnf jveq aha jbuy rva ynatre Fpuervoroevrs jreqra, qraa vpu unor - qvr Xnegr erpuarg avpug - ynatr avpugf iba zve uöera ynffra. Nyf vpu qnf yrgmgrzny fpuevro, fgrpxgr vpu abpu va qra Jrvuanpugfibeorervghatra, wrgmg yvrtra qvr Jrvuanpugfgntr fpuba mheüpx. Kessin, 31. Dezember. Meine liebe Mama! Das wird nun wohl ein langer Schreibebrief werden, denn ich habe - die Karte rechnet nicht - lange nichts von mir hören lassen. Als ich das letztemal schrieb, steckte ich noch in den Weihnachtsvorbereitungen, jetzt liegen die Weihnachtstage schon zurück.

17 Caesar Xrffva, 31. Qrmrzore. Zrvar yvror Znzn! Qnf jveq aha jbuy rva ynatre Fpuervoroevrs jreqra, qraa vpu unor - qvr Xnegr erpuarg avpug - ynatr avpugf iba zve uöera ynffra. Nyf vpu qnf yrgmgrzny fpuevro, fgrpxgr vpu abpu va qra Jrvuanpugfibeorervghatra, wrgmg yvrtra qvr Jrvuanpugfgntr fpuba mheüpx. Kessin, 31. Dezember. Meine liebe Mama! Das wird nun wohl ein langer Schreibebrief werden, denn ich habe - die Karte rechnet nicht - lange nichts von mir hören lassen. Als ich das letztemal schrieb, steckte ich noch in den Weihnachtsvorbereitungen, jetzt liegen die Weihnachtstage schon zurück.

18 Substitution: Vigenere-Tabelle ( 1596)

19 Substitution: Vigenere-Tabelle ( 1596)

20 Schwächen Substitution behält Muster im Text bei: Wortgrenzen Groß-/Kleinschreibung Buchstabenhäufigkeiten (ERNSTL) statistische Auswertung möglich Room 40; Bletchley Park; Bomba; Turing-Bombe; Perl-Skripte

21 Schwächen Substitution behält Muster im Text bei: Wortgrenzen Groß-/Kleinschreibung Buchstabenhäufigkeiten (ERNSTL) statistische Auswertung möglich Room 40; Bletchley Park; Bomba; Turing-Bombe; Perl-Skripte

22 heutige Algorithmen basieren immer noch auf Substitution und Transposition mit mehreren Runden und komplexer und pseudozufälliger DES: 16 Runden von Substitution und Transposition Feistelnetzwerke

23 Größenordnungen Bit: Binary Digit: kleinste Speichereinheit, 0 oder 1 1 Byte: 1 Zeichen aus mehreren Bits, i386-welt: 8 Bit=1 Byte ; ; ; ;... ; ; = 256 mögliche Zeichen Blitzschlagwahrscheinlichkeit == 1 : 2 33 Blitzschlag + Lottogewinn == 1 : 2 55 Lebensdauer des Universums == 2 37 a == 2 61 s Atome im Universum == 2 265

24 Brechbarkeit jedes kryptographische Verfahren kann gebrochen werden es kommt nur auf Zeit und Geld an Brute-Force (erschöpfendes Absuchen des Schlüsselraumes) trifft immer es gibt kein sicheres System 56-Bit Schlüssel in 1 Woche mit CPUs für 6,7 Mio$ geknackt 128-Bit Schlüssel in 1 Woche mit 5, CPUs

25 Theorie 1 Einführung 2 Prüfsummen 3 symmetrische Verfahren 4 asymmetrische Verfahren 5 kryptographische Signatur 6 Enigma

26 Theorie Prüfsummen Basiszahl (Information) und Prüfziffer Prüfziffer wird aus Basiszahl berechnet beide Werte werden übertragen Empfänger berechnet Prüfziffer und vergleicht Authentizität (Integrität der Prüfziffer?)

27 Praxis EAN13 Europäische Artikelnummer, 13 Stellen a + 3b + c + 3d + e + 3f + g + 3h + i + 3j + k + 3l = I 13. Stelle= nächstgrößeres x 10 I = = m =

28 Praxis EAN13 Europäische Artikelnummer, 13 Stellen a + 3b + c + 3d + e + 3f + g + 3h + i + 3j + k + 3l = I 13. Stelle= nächstgrößeres x 10 I = = m =

29 Praxis EAN13 Europäische Artikelnummer, 13 Stellen a + 3b + c + 3d + e + 3f + g + 3h + i + 3j + k + 3l = I 13. Stelle= nächstgrößeres x 10 I = = m = 5

30 SHA1 Anwendung sha1(1) RFC3174, erzeugt 160-Bit-Prüfsummen Falltürfunktion: Datum SHA1, SHA1 Datum Passworthash, Fingerprint (SSL, Downloads, mtree) SHA1 ("Hallo") = 59d9a6df06b9f610f7db8e036896ed03662d168f SHA1 ("hallo") = fd4cef7a4e607f1fcc920ad6329a6df2df99a4e8

31 SHA1 Anwendung sha1(1) Kollision: selbe Prüfsumme für 2 unterschiedliche Dokumente Inputgröße: Bit == ,8 Mrd DVDs 68 Mio Tonnen x CVN-65 USS Enterprise mögliche größte Dokumente 1 MB = 2 20 Byte = Byte = Zahl mit Stellen Kollision bei 2 69 Versuchen, 1 Mrd Ops/s Jahre

32 Prüfsummenverfahren Einsatz als Passworthash Passwort wird eingegeben, Hash berechnet und gespeichert Passwort wird eingegeben, Hash berechnet und verglichen Problem: gleiche Passwörter gleiche Hashes Raum der von Menschen ausgedachten Passwörter sehr klein Rainbowtables (pre-computed Attack)

33 Prüfsummenverfahren Einsatz als Passworthash Passwort wird eingegeben, Hash berechnet und gespeichert Passwort wird eingegeben, Hash berechnet und verglichen Problem: gleiche Passwörter gleiche Hashes Raum der von Menschen ausgedachten Passwörter sehr klein Rainbowtables (pre-computed Attack) Lösung: Zufallskomponenten anfügen (Salt) Problem: Salt muss vermerkt werden

34 Prüfsummenverfahren Einsatz als Passworthash Passwort wird eingegeben, Hash berechnet und gespeichert Passwort wird eingegeben, Hash berechnet und verglichen Problem: gleiche Passwörter gleiche Hashes Raum der von Menschen ausgedachten Passwörter sehr klein Rainbowtables (pre-computed Attack) Lösung: Zufallskomponenten anfügen (Salt) Problem: Salt muss vermerkt werden

35 Theorie 1 Einführung 2 Prüfsummen 3 symmetrische Verfahren 4 asymmetrische Verfahren 5 kryptographische Signatur 6 Enigma

36 Theorie symmetrische Verfahren verwendet genau einen Schlüssel wandelt Klartext M mit Schlüssel K in Chiffrat C um wandelt Chiffrat C mit Schlüssel K in Klartext M um Anwendung: mcrypt(1) mcrypt -k GEHEIM Brief.tex mcrypt -d -k GEHEIM Brief.tex.nc

37 Theorie symmetrische Verfahren Prinzipien Alice schickt Brief.tex.nc an Bob Alice schickt Schlüssel K an Bob GEFAHR Schlüssel kann abgefangen werden sicherer Kanal nötig

38 Theorie symmetrische Verfahren Prinzipien Alice schickt Brief.tex.nc an Bob Alice schickt Schlüssel K an Bob GEFAHR Schlüssel kann abgefangen werden sicherer Kanal nötig Integrität?

39 Theorie symmetrische Verfahren Prinzipien Alice schickt Brief.tex.nc an Bob Alice schickt Schlüssel K an Bob GEFAHR Schlüssel kann abgefangen werden sicherer Kanal nötig Integrität? Gruppenkommunikation: n (n 1)/2 Schlüssel nötig 10 Personen 45 Schlüssel

40 Theorie symmetrische Verfahren Prinzipien Alice schickt Brief.tex.nc an Bob Alice schickt Schlüssel K an Bob GEFAHR Schlüssel kann abgefangen werden sicherer Kanal nötig Integrität? Gruppenkommunikation: n (n 1)/2 Schlüssel nötig 10 Personen 45 Schlüssel

41 Theorie symmetrische Verfahren Vor-/Nachteile schlecht geeignet für Gruppenkommunikation erfordert sicheren Kanal zur Schlüsselübermittlung geeignet für persönliche Verschlüsselung oder kleine Gruppen mit sicherem Kanal z.b. Festplattenverschlüsselung, Datensicherung

42 Theorie 1 Einführung 2 Prüfsummen 3 symmetrische Verfahren 4 asymmetrische Verfahren 5 kryptographische Signatur 6 Enigma

43 Theorie Zahlentheorie Primzahlen Primzahl: natürliche Zahl mit genau zwei natürlichen Zahlen als Teiler, nämlich der Zahl 1 und sich selbst. Primzahlen lassen sich nicht als Produkt zweier natürlicher Zahlen, die beide größer als 1 sind, darstellen. Jede natürliche Zahl lässt sich als Produkt von Primzahlen schreiben, welche bis auf die Reihenfolge der Faktoren eindeutig ist. z. Zt. größte Primzahl: mit Stellen

44 Theorie Zahlentheorie Primfaktorzerlegung Primfaktorzerlegung: Darstellung einer natürlichen Zahl n als Produkt von Primzahlen. n = p e pe M M = M k=1 pe k k = = = = (kanonisch) 842 = = =

45 Theorie Faktorisierungsverfahren bis heute kein effizientes Primfaktorzerlegungsverfahren bekannt Quadratisches Sieb, Zahlkörpersieb, Methode der Elliptischen Kurven,... Multiplikation zweier Primzahlen ist trivial; Primfaktorzerlegung der Summe ist nicht-trivial

46 Theorie RSA-Challenge 2009: RSA-768 (768 Bit) in 2000 Jahren auf 2.2GHz-Opteron-CPU = *

47 Theorie asymmetrische Verfahren Schlüsselpaar aus öffentlichem und privatem Schlüssel Schlüssel besteht aus Primzahl und Modul privater Schlüssel ist geheim zu halten Alice und Bob haben je öffentlichen (e A, e B ) und privaten (d A, d B ) Schlüssel Alice verschlüsselt für Bob schematisch so: Chiffrierung(M d A e B ) C Bob entschlüsselt so: Dechiffrierung(C d B e A ) M extrem langsam (Faktor 1.000) symmetrische Verschlüsselung + Sitzungsschlüssel

48 Theorie asymmetrische Verfahren Alice schickt C und e A an Bob Sniffer kann nichts damit anfangen, benötigt d B Bob besitzt d B und kann C dechiffrieren Bob kann Integrität prüfen, da nur Alice d A hat

49 Theorie 1 Einführung 2 Prüfsummen 3 symmetrische Verfahren 4 asymmetrische Verfahren 5 kryptographische Signatur 6 Enigma

50 Theorie kryptographische Signatur Sonderfunktion der asymmetrischen Verfahren sichert Integrität und Authentizität (digitale Unterschift) 1 Alice bildet Prüfsumme über Nachricht h(m) 2 verschlüsselt Prüfsumme mit d A so, dass das Chiffrat mit e A entschlüsselt werden kann: S = {h(m)} Da 3 Bob empfängt Nachricht, Signatur und e A 4 Bob bildet selbst Prüfsumme h (M) 5 Bob entschlüsselt S mit e A h(m) 6 gilt h (M) = h(m)?

51 Theorie Beispielsignatur -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Nichts ist wahr, alles ist erlaubt. Friedrich Nietzsche -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (NetBSD) id8dbqfgdslfeftehrp7rjmraivwaj4vdjcimre7nl1ggqo5tb8z750pfgcfq5bb OoLgojv50eKZMGAMItxpdyw= =FaI END PGP SIGNATURE-----

52 Schlüsselsignatur kryptographische Signatur Ist Alice überhaupt Alice? Gehört e A wirklich Alice? (0xDEADBEEF) 1 Jemand signiert e A 2 Prüfe Alice Identität (Ausweis) 3 Prüfe e A (Name, ...) 4 Schicke Signatur verschlüsselt per

53 Schlüsselsignatur kryptographische Signatur Ist Alice überhaupt Alice? Gehört e A wirklich Alice? (0xDEADBEEF) 1 Jemand signiert e A 2 Prüfe Alice Identität (Ausweis) 3 Prüfe e A (Name, ...) 4 Schicke Signatur verschlüsselt per

54 Schlüsselsignatur kryptographische Signatur Baumhierarchie zentrale Zertifizierungsinstanz (teuer, aufwendig) anfälliger (Kann ich der CA trauen?)

55 Schlüsselsignatur kryptographische Signatur Web of Trust gerichteter Graph ohne Wurzel weniger anfällig bei einem Fehler keine CA nötig, aber möglich Angabe der Vertrauenswürdigkeit

56 Schlüsselsignatur Web of Trust

57 1 Einführung 2 Prüfsummen 3 symmetrische Verfahren 4 asymmetrische Verfahren 5 kryptographische Signatur 6 Enigma

58 Enigma meldet Dr.-Ing. Arthur Scherbius die Enigma zum Patent an international vermarktet Mitte der 1920er vom Markt genommen, da militärisches Interesse ca Enigmas im 2. WK produziert eingesetzt bei Reichswehr, Polizei, Geheimdienst, Wehrmacht, SS, SD, Reichspost, Reichsbahn

59 Enigma

60 Aufbau Tastatur Eingabe Steckerbrett monoalphabetische Substition des Eingabebuchstabens Walzen elektrisch: polyalphabetische Substitution der Eingabe, mechanisch: Änderung der Walzenlage nach 26 Umdrehungen Änderung des Alphabets Umkehrwalze lenkt den Stromfluss der Eingabe wieder zur Ausgabe zurück Involutorisch Walzen Strom fließt wieder über die Walzen zurück Steckerbrett nochmals monoalphabetische Substition des Eingabebuchstabens Leuchtanzeige Anzeige des Chiffrats Involution: Maschine ver- und entschlüsselt mit selbem Mechanismus

61 Enigma Steckerbrett

62 Enigma Walzensatz

63 Verdrahtungsschema I II III IV V A B C D E F G H I J K L M N O P Q R S T U V W X Y Z E K M F L G D Q V Z N T O W Y H X U S P A I B R C J A J D K S I R U X B L H W T M C Q G Z N P Y F V O E B D F H J L C P R T X V Z N Y E I W G A K M U S Q O E S O V P Z J A Y Q U I R H X L N F T G K D C M W B V Z B R G I T Y U P S D N H L X A W M J Q O F E C K UKW A AE BJ CM DZ FL GY HX IV KW NR OQ PU ST UKW B AY BR CU DH EQ FS GL IP JX KN MO TZ VW UKW C AF BV CP DJ EI GO HY KR LZ MX NW QT SU

64 Schlüsseltafel Tag UKW Walzenlage Ringstellung ---- Steckerverbindungen 31 B I IV III AD CN ET FL GI JV KZ PU 30 B II V I BN DZ EP FX GT HW IY OU 29 B III I IV AH BL CX DI ER FK GU NP

65 Schwächen Involution vereinfachte den Aufbau, Ver- und Entschlüsselung möglich Durch diesen Rückgang des Stromes durch den Chiffrierwalzensatz findet eine weitere Verwürfelung statt. Infolge dieser Anordnung ist es möglich, mit verhältnismäßig wenig Chiffrierwalzen auszukommen und trotzdem eine große Chiffriersicherheit aufrechtzuerhalten. aus DRP Nr fixpunktfreie Permutation Eingabe Ausgabe Verringerung der Alphabete

66 Fixpunkte Alle Permutationen aus A B C D ABCD ABDC ACBD ACDB ADBC ADCB BACD BADC BCAD BCDA BDAC BDCA CABD CADB CBAD CBDA CDAB CDBA DABC DACB DBAC DBCA DCAB DCBA

67 Fixpunkte Alle Permutationen aus A B C D Alle Fixpunkt-Permutationen fallen weg ABCD ABDC ACBD ACDB ADBC ADCB BACD BADC BCAD BCDA BDAC BDCA CABD CADB CBAD CBDA CDAB CDBA DABC DACB DBAC DBCA DCAB DCBA

68 Fixpunkte Alle Permutationen aus A B C D Alle Fixpunkt-Permutationen fallen weg Alle fixpunktfreien Permutationen werden benutzt ABCD ABDC ACBD ACDB ADBC ADCB BACD BADC BCAD BCDA BDAC BDCA CABD CADB CBAD CBDA CDAB CDBA DABC DACB DBAC DBCA DCAB DCBA

69 Fixpunktfreiheit: Nichts ist jemals es selbst Ein A ist nie ein A, ein B nie ein B, Cribs BHNCXSEQKOBIIODWFBTZGCYEHQQJEWOYNBDXHQBALHTSSDPWGW 1 OBERKOMMANDODERWEHRMACHT 2 OBERKOMMANDODERWEHRMACHT 3 OBERKOMMANDODERWEHRMACHT 4 OBERKOMMANDODERWEHRMACHT 5 OBERKOMMANDODERWEHRMACHT 6 OBERKOMMANDODERWEHRMACHT 7 OBERKOMMANDODERWEHRMACHT

70 Enigma Turing-Bombe

71 Steganographie Inhalt der Kommunikation zwar verschlüsselt, aber Meta-Daten zugänglich (wer mit wem wann, wie oft und wie lange/viel) Verstecken von Information Bspw. Geheimtinte, Wasserzeichen, Kopierschutzverfahren nützlich wenn Kryptographie verboten

72 Ausblick Fragen? www.