IT-Security. Teil 17: Authentisierung und Autorisierung

Transkript

1 IT-Security Teil 17: Authentisierung und Autorisierung

2 Übersicht Authentisierung von Nachrichten Authentisierung von Personen 2

3 Authentisierung von Nachrichten I Authentisierung von Nachrichten = Prüfung, ob eine Nachricht in der vorliegenden Form von einer bestimmten Identität stammt, d.h. Inhalt und Herkunft werden geprüft. Modifikationserkennungswert = Modification Detection Code = MDC = Hash-Wert (Fingerabdruck) von Nachrichten Nachrichtenauthentisierungswerte = Message Authentication Code = MAC = Hash-Wert (Fingerabdruck) von Nachrichten, wobei ein geheimer Schlüssel verwendet wird. Mit einem MAC lässt sich die Integrität sowie die Herkunft einer Nachricht nachweisen, mit MDC nur die Integrität. Siehe dazu 3

4 Authentisierung von Nachrichten II 4

5 Authentisierung von Nachrichten III Dies ist eine Variante, bei der ein geheimer Teil der Nachricht beim Erzeugen des Hash-Wertes hinzugefügt wird. Dieser Teil wird natürlich nicht übertragen. 5

6 Bemerkungen Zum 1. Verfahren (1) Es wird ein gemeinsames Geheimnis (key) auf beiden Seiten zur Verschlüsselung des Hashwertes benutzt. Dies ist der symmetrischen Verschlüsselung sehr ähnlich. Zum 2. Verfahren (2) Es wird das Prinzip der elektronischen Unterschrift (Signatur) angewandt. Zum 3. Verfahren (3) Es wird an die Nachricht ein Geheimnis, das beide Seiten kennen müssen, angehängt und den Hash über beide Teile gebildet. Es wurden die grundsätzlichen Algorithmen vorgestellt, die noch durch weitere Maßnahmen verbessert werden sollten, z.b. durch Hinzufügen von Zufallswerten (Nonce, Salz). 6

7 Key-Hash (HMAC) Hash-Funktionen wie z.b. SHA-256 können allein nicht als MAC (Message Authentication Code) benutzt werden, da kein geheimer Schlüssel verwendet wird. Das HMAC-Verfahren ist in RFC 2104 (Keyed-Hashing for Message Authentication) 1997 definiert. Entwurfsziele: Unveränderter Gebrauch verfügbarer Hash-Funktionen Ersetzbarkeit durch andere Hash-Funktionen Einfache Verwendung von Schlüsseln HMAC behandelt die Hash-Funktionen wie Black Boxes, d.h. es wird vom konkreten Hash-Verfahren abstrahiert. Siehe: 7

8 Prinzip des HMAC-Verfahrens 8

9 Bemerkungen Salt = Salz = Begriff für ein für den Angreifer notwendiges, aber möglichst nicht bestimmbares Element "Um dem Angreifer die Suppe zu versalzen" ipod/opod sind zwei im Verfahren festgelegte Konstanten. K ist der aufbereitete geheime Schlüssel, wobei dem Schlüssel so viele Nullen angehängt werden, bis er die Blocklänge hat. Ist der Schlüssel länger als der Block, so wird vom Schlüssel ein Hashwert gebildet und dieser stattdessen benutzt. HMAC ist ein allgemeines Verfahren, das keine bestimmten Schlüssellängen bzw. Blocklängen verlangt; daher sind in speziellen Fällen Anpassungen an die erforderlichen Längen nötig. 9

10 Empfehlungen Die Kombination HMAC mit MD5 kann benutzt werden, da das HMAC-Verfahren nur eine sehr kleine Kollisionsresidenz benötigt. Besser ist die Benutzung von SHA-256 o.ä. Die Kombination HMAC mit SHA-1 sollte nicht benutzt werden, sondern stattdessen SHA-256 oder SHA

11 Grundbegriffe der IT-Sicherheit (Wiederholung) 1)Identifizierung: Bestimmung der beteiligten Personen (Identität) 2) Authentisierung: Prüfung der Identität des Subjekts 3)Autorisierung: Zuordnung von Rechten an Subjekte in Bezug auf Objekte 11

12 3-Faktor-Authentisierung Mit der sicheren 3-Faktor-Authentisierung lassen sich Personen authentisieren: Nur die richtige Person weiß etwas: Z.B. Passwort oder Passphrase Nur die richtige Person besitzt etwas: Z.B. Token, Smartcard Nur die richtige Person ist etwas: Fingerabdruck, Stimme 12

13 Faktor 1 - Wissen I Passwörter Zufällig, mindestens 10, besser 14 Zeichen lang, Ziffern und Sonderzeichen Keine "normalen" Worte oder Muster auf der Tastatur Mit Merksätzen arbeiten: Mausgrau war das Himmelszeit bei Nacht um 11, aber wer weiss das schon?: MwdHbNu1,awwds? Passwörter dürfen niemals im Klartext abgespeichert sein, sondern nur mit einer kryptographischen Hashfunktion und 8-16 byte Salz. Die Prüfung erfolgt dann durch Vergleich von hash(passwort) mit dem abgespeicherten Hash des definierten Passwortes. 13

14 Faktor 1 Wissen Password-Knacker II Brute Force: Einfach alles Durchprobieren Probieren mit bekannten Passwort-Mustern, auch Muster auf der Tastatur Wörterbuchangriff: Häufig werden Kennwörter nicht zufällig ausprobiert sondern anhand von Wörterbüchern. Das verkürzt erheblich den Aufwand, da viele Menschen keine zufälligen Passwörter benutzen. Es werden auch schon geknackte Kennwörter gesammelt und den Wörterbüchern hinzugefügt. Mit Hilfe von 16 GPU-Karten und mehr wird das Knacken realisiert. 14

15 Faktor 1 Wissen Password-Knacker III John the Ripper Klassischer, aber immer noch aktueller Passwort-Knacker Version ab für Windows, für Linux Herkunft und Verweise Relativ harmloses Programm, da es nur auf einem Rechner mit 4-8 Kernen läuft. Raspberry-Pi-Cluster mit 64 Kernen: 15

16 Faktor 2 und 3 Besitzen und Sein Chipkarten Der Inhaber identifiziert sich durch eine (hoffentlich) fälschungssichere Chipkarte (die er nicht verliert oder verleiht) Vorteil: Sicher Nachteil: teuer Biometrie Fingerabdruck Spracherkennung Augenhintergrund Gesicht Nachteil: teuer, unzuverlässig und Datenschutzprobleme Aber wenn es mal funktioniert, dann die beste Methode 16

17 Faktor 2 Besitzen I Smardcard = Kleiner Hardware/Software-Baustein zum Schutz von Informationen (Schlüssel) oder zur Unterstützung der Authentisierung Es gibt Smartcards, die als passiver Speicher fungieren (a), und solche, die einen Mikroprozessor haben (b). (a) (b) Siehe: Alle Bilder aus 17

18 Faktor 2 Besitzen II Token = Sicherheitstoken = kleines Gerät, das auf Knopfdruck einmalige Zahlen bzw. Zeichen generiert und anzeigt Quelle: Server und Token erhalten initial denselben Startwert. Bei jedem Login wird der nächste Wert berechnet, eingegeben und mit dem berechneten Wert im Server verglichen. Daher werden diese Passwörter nur ein einziges Mal benutzt. Aber: Firma RSA hat sehr viel Geld von der NSA erhalten, um ein unsicheres Verfahren zur Generierung der Pseudozufallszahlen zu benutzen. 18

19 Login lokal Vorbereitung Salt:= Zufallszahl(8..16 byte) pwhash:= hash(pw Salt) store {userid,pwhash,salt} Prüfung Hierbei muss neben dem Hashwert noch das Salz gespeichert und geschützt werden. read {userid,pwhash,salt} pwhashc:= hash(pw Salt) if pwhashc=pwhash { logged in } else { Not logged in } 19

20 Login remote I Vorbereitung auf dem Server Salt:= function(userid) pwhash:= hash(pw Salt) store {userid,pwhash} Prüfung - Klient Salt:= function(userid) pwhashc:= hash(pw Salt) Hier wird der Hashwert übertragen und ist damit öffentlich (ohne SSL o.ä.). Prüfung - Server read {userid,pwhash} pwhashc:= read(); if pwhashc=pwhash { logged in } else { Not logged in } 20

21 Login remote II - Pass-the-Hash Angriff (PtH) Variante 1 Abfangen des Login-Pakets, damit Kompromittierung eines Geheimnisses Erneutes Absenden dieses Pakets bzw. Information durch fremde Person Variante 2 Auslesen des Hashwertes aus dem RAM einer Anwendung Erneutes Absenden Login-Pakets durch fremde Person 21

22 Login remote III Abwehr von PtH-Angriffen Extrem kurze Zeit den Hash im RAM halten sowie die Übertragung kryptographisch sichern Aber: immer wieder Eingabe des Passworts Ohne verschlüsselte Verbindung: eines der obigen Verfahren benutzen, d.h. asymmetrische Verfahren, wobei der geheime Schlüssel nur kurze Zeit im RAM verbleibt. Benutzung eines externen Geräts (Smartcard/Leser) für Hash bzw. private Schlüssel, auslesen geht nur während der Übertragung Benutzung von Funktionstasten, deren Speicher per Software nur geschrieben und erst dann gelesen werden können, wenn eine Person darauf drückt. Externes Raspberry Pi Zero-Gerät zur Speicherung von Geheimnissen benutzen; dieses wird über USB angeschlossen und liefert 22

23 Man in the Middle I Wiederholung Ihr Rechner (4) (5) (7) Böser Hacker (6) Ihre Bank (3) (2) (1) DNS Server 23

24 Man in the Middle II Wiederholung (1 ) (2 ) (3 ) (4 ) (5 ) Hacker ändert die IP-Adresse von auf sein System Ihr Rechner fragt nach der IP-Adresse von Und erhält die gefälschte Adresse Aufbau einer Verbindung zum Hacker-System Der Hacker holt sich live die aktuellen Daten von der Bank anhand Ihrer Daten (6 ) (7 ) Die Daten kommen zum Hacker Frage: Können Sie das mit den "üblichen" Methoden (TAN, PIN) verhindern? Antwort: nein. Der Hacker sendet die korrekten(!) aktuellen Daten Ihrem Rechner 24

25 Challenge-Response-Verfahren I - Wiederholung 1. Alice generiert Zufallsbitfolge (Challenge) und verschlüsselt sie mit dem öffentlichen Schlüssel von Bob. 2. Alice sendet Nachricht an Bob (und auch Malory). 3. Bob entschlüsselt mit dem geheimen Schlüssel die Nachricht. 4. Bob sendet die entschlüsselte Nachricht an Alice. 5. Alice prüft, ob die gleiche Nachricht geliefert wurde. Bei Gleichheit wird die Authentisierung als erfolgreich angenommen. Vorteil: Es wird weder ein Schlüssel, noch ein Passwort übertragen. Ergebnis: Alice hat sich davon überzeugt, dass einer der Kommunikations- Partner wirklich Bob ist, denn nur Bob besitzt den geheimen Schlüssel. 25

26 Challenge-Response-Verfahren II - Wiederholung 1. Alice erzeugt sich einen symmetrischen Schlüssel. 2. Alice verschlüsselt diesen Schlüssel mit dem öffentlichen Schlüssel von Bob und sendet diesen Bob (und auch Malory). 3. Bob erhält die Nachricht und entschlüsselt sie. Nur Bob kann den richtigen symmetrischen Schlüssel benutzen. 4. Nun verschlüsselt Alice die gesamte Kommunikation mit dem symmetrischen Schlüssel. Wenn die Kommunikation dann problemlos weiter geht, ist alles in Ordnung. Ergebnis: Alice hat sich davon überzeugt, dass sein Kommunikations- Partner wirklich Bob ist, denn nur Bob besitzt den geheimen Schlüssel. 26

27 Bemerkungen Dieses Verfahren in der ersten Version hat noch den weiteren Nachteil, dass Mallory eine zufällige Nachricht samt Verschlüsselung bekommt. D.h. er kann einen Known-Plain-Text-Angriff durchführen. Dadurch wird das Herausfinden des Schlüssels erleichtert. Mit Hilfe derartiger Authentisierungsverfahren werden Man-inthe-Middle-Angriffe verhindert. 27

28 Variante: Proof of Possession (POP) I Proof of Possession = POP = Prüfung, ob eine Identität tatsächlich in Besitz des richtigen geheimen Schlüssel ist Die Grundidee des Verfahrens wird in verschiedenen Variationen in Protokollen, z. B. TLS, oder anderen Verfahren, wie Challenge Response, verwendet. 28

29 Variante: Proof of Possession (POP) II 1. Prüfer Alice generiert eine zufällige, hinreichend lange Zeichenkette, z. B. 512 bit. 2. Prüfer Alice sendet offen die Zeichenkette an Inhaber Bob. 3. Bob erstellt einen Hash-Code und verschlüsselt ihn mit dem geheimen Teil seines Schlüsselpaares (Signatur). 4. Inhaber Bob sendet offen die unterschriebene Zeichenkette an Prüfer Alice zurück. 5. Prüfer Alice prüft die Unterschrift anhand des öffentlichen Schlüssels von Bob. 6. Ist die Unterschrift korrekt, dann weiß Alice, dass Bob den zum öffentlichen Schlüssel korrespondierenden geheimen Schlüssel besitzt. 7. Alice weiß aber nicht, ob Bob wirklich Bob ist, aber das sollte nicht gezeigt werden. Auch hier kommt der/die Angreifer/in in den Besitz eines Originals und dessen Verschlüsselung (Hashcode und der verschlüsselte Hashcode). 29

30 Kerberos - Der Höllenhund Entwickelt am MIT (Massachusetts Institute of Technology) im Athena-Projekt, 1983 Kerberos ist der drei-köpfige Höllenhund aus der griechischen Mythologie Version 5, 1994, RFC 1510 Authentisierung über 3. Partei (Server), der alle Beteiligten trauen müssen Benutzung von Tickets zur Autorisierung Die bisher behandelten Techniken betreffen die Situation innerhalb eines Systems nun betrachten wir eine Übertragung der Capabilities auf verteilte Systeme: Tickets. 30

31 Kerberos - Geschichte Bis Version 3: interne Benutzung Version 4: Open Source (mit US-Exportbeschränkungen) Nur TCP/IP DES mit Betriebsmodus PCBC Version 5: Beseitigung einiger Schwächen Beliebiges Netz Beliebige Verschlüsselung Abwärtskompatibel zur Version 5 Implementierungen: Heimdal (Schweden) Geänderte Version durch Microsoft 31

32 Kerberos - Ziele Sicherheit in unsicheren Netzen Authentisierung von Personen und Geräten Zuverlässigkeit gegen Ausfall bzw. Überlast (DoS) Transparenz: Benutzer sollte wenig von Kerberos bemerken Skalierbarkeit für größere Umgebungen 32

33 Erläuterung der Syntax und Abkürzungen A --> B: Paket [a, b, c,...] Key{a, b, c,...} Übertragung des Datenpakets von A nach B Zusammensetzung zu einer Struktur Verschlüsselung der Struktur mit Key Beispiel: A --> B: Key{PW} Übertragung eines verschlüsselten Passworts ID PW ADR AS S K Identifikation bzw. Name Passwort Netzwerkadresse Authentification Server Server Key mit Bekanntheit als Index Ein Schlüssel K, den Subjekt a kennt: K a Ein Schlüssel K, die Subjekte a und b kennen: K a,b 33

34 Architektur (1. Schritt) Alle Dienste von Servern werden nur den Clients erbracht, die von einem dritten Server AS (Authentisierungsserver) eine Erlaubnis (Ticket) haben. Der Client muss sich daher immer zuerst an AS wegen des Tickets wenden. Der Server S prüft die Gültigkeit des Tickets vor der Ausführung eines Dienstes. 34

35 Erste Idee: Einfacher Dialog I (1) C --> AS : [ID C, PW C, ID S ] (2) AS --> C : Ticket (3) C --> S : [ID S,Ticket] Ticket = K AS,S {ID C, ADR C, ID S } Der Benutzer gibt ein Passwort ein, das mit seiner ID und der ID des gewünschten Servers an AS übertragen wird (1). Der AS prüft, ob ID c mit dem PW c in seiner Datenbank so definiert ist und sendet ein Ticket, das mit einem Key, der nur dem AS und dem Server S bekannt ist, verschlüsselt ist. Das Ticket kann daher nicht selbst erstellt werden. Im dritten Schritt sendet der Client das Ticket mit der ID des Servers bzw. Dienstes an den Server. 35

36 Erste Idee: Einfacher Dialog II Nachteile Problem durch Spoofing (ADR C des Clients) Spoofig = Fälschung der Absender-Adresse Passwörter werden unverschlüsselt übertragen. Häufige Passwort-Eingabe, da Tickets nur einmal verwendet werden können. Bei der Möglichkeit einer mehrfachen Verwendung eines Tickets, kann eine abgehörte Kopie von Fremden benutzt werden. 36

37 Architektur (2. Schritt) Es gibt einen dritten vertrauenswürdigen Server: TGS (Ticket Granting Server), der Ticket gewährende Tickets ausstellt. Passwörter werden nicht übertragen, sondern Informationen, die nur mit den Passwörtern entschlüsselt werden können. Es werden Informationen teilweise mehrfach verschlüsselt. 37

38 Verbesserter Dialog II Einmaliges Anmelden beim Authentisierungsserver (1) C --> AS : [ID C,ID tgs ] (2) AS --> C : K crypt(pwc) C {Ticket tgs } Ticket tgs = K AS,tgs {ID C, ADR C, Id tgs,ts 1,LT 1 } TS 1 - Time Stamp LT 1 - Life Time K crypt(pwc) C - Schlüssel, erzeugt aus dem PW 38

39 Verbesserter Dialog II Einmaliges Anmelden für jede Dienstart (1) C --> TGS : [ID C,ID tgs,ticket tgs ] (2) TGS --> C : Ticket s Das Ticket muss vom Client entschlüsselt worden sein. Ticket s = K s,tgs {ID C, ADR C,ID s,ts 2,LT 2 } TS 2 - LT 2 - Time Stamp Life Time Bei jeder Benutzung des Dienstes (1) C --> S : [ID C,Ticket s ] 39

40 Bemerkungen I Time Stamp = Zeitstempel = genaue Angabe des Zeitpunktes zur Erstellung des Tickets Life Time = Gültigkeitsdauer = Dauer der Gültigkeit eines Tickets Für das Funktionieren dieses Verfahrens ist wichtig: Übereinstimmung der Uhren bei den betreffenden Geräten Austausch von Schlüsseln bei gemeinsamer Kenntnis, z.b. zwischen Server und TGS. 40

41 Bemerkungen II Auch diese Variante kann nicht alle Probleme lösen: Spoofing nach Ticket-Diebstahl während der Gültigkeit ist noch möglich Abhören des Datentransports bleibt (Kerberos kann nur authentisieren) Ein Gegner kann innerhalb der Gültigkeitszeit ein Ticket stehlen, so dass zwischen kurzen Zeitspannen mit vielen PW- Eingaben und langen Lebensdauern der Tickets mit der Gefahr des Diebstahls abgewogen werden muss. 41

42 Bemerkungen III Das reale Kerberos in der Version 5 ist komplexer und sicherer als hier dargestellt. Folgende Eigenschaften sind realisiert: Weitergabe der Tickets von einem Server zu einem anderen Bereiche (Menge von Benutzern und Servern) Authentisierung über Bereichsgrenzen hinweg Einsatz beliebiger (Secret Key-)Verschlüsselungen statt DES Nicht nur IP-Adressen, sondern auch andere Ids sind möglich Portable Angabe der Byte-Anordnung der Datenpakete Einfügen von Zufallswerten (Nonces), um Angriffe durch Wiederholung zu erschweren 42

43 Nach dieser Anstrengung etwas Entspannung... 43