IT-Sicherheit. Jun.-Prof. Dr. Gábor Erdélyi. Siegen, 5. Januar 2015 WS 2015/2016

Transkript

1 IT-Sicherheit WS 2015/2016 Jun.-Prof. Dr. Gábor Erdélyi Lehrstuhl für Entscheidungs- und Organisationstheorie, Universität Siegen Siegen, 5. Januar 2015

2 Wiederholung Hashfunktionen Einwegfunktionen Schwach und stark kollisionsresistente Hashfunktionen Konstruktion sicherer Hashfunktionen Klassen Message Authentication Code (MAC) Digitale Signaturen Anforderungen Vorteile/Nachteile Allgemeine Vorgehensweise ElGamal Angriffe auf digitale Signaturen

3 Aufgaben des Schlüsselmanagements Erzeugung von Schlüsseln Verteilung von Schlüsseln Zertifizierung von Schlüsseln Speicherung/Archivierung von Schlüsseln Vernichtung von Schlüsseln

4 Erzeugung von Schlüsseln Sicherheit der Kryptosysteme ruht auf der sicheren Verwaltung des geheimen Schlüssels Darf nicht leicht zu erraten sein! Symmetrische Systeme: Zufallszahlengeneratoren deterministisch (Pseudozufallszahlgenerator) nicht-deterministisch - erfordert externe Vorgänge Asymmetrische Verfahren - große Primzahlen (Primzahltests, Pseudoprimzahlen)

5 Techniken zur Schlüsselerzeugung Zufallsereignis (benötigt spezielle Hardware): Atmosphärisches Rauschen Radioaktiver Zerfall Entladung von Kapazitäten Deterministische Berechnungen (pseudozufällige Bitfolge): Messung der Tastaturverzögerung Analyse der Mausbewegung Kombination der Uhrzeit, Systemidentifikation und Datum ANSI-Standard X9.17

6 Schlüsseltausch Jeder Kommunikationsteilnehmer sollte mit jedem anderen Teilnehmer einen Schlüssel vereinbaren. Bei n Teilnehmern sind es n(n 1)/2 Schlüssel. Bei großen Gruppen nicht praktisch. Vertrauenswürdige Schlüsselverteilerdienste. Schlüsselhierarchie

7 Das Schlüsseltausch-Protokoll von Diffie und Hellman 1. Alice und Bob einigen sich auf eine große Primzahl p und eine Primitivwurzel γ von p; p und γ sind öffentlich. 2. Alice wählt eine große Zufallszahl a, hält sie geheim und berechnet: α = γ a mod p. 3. Bob wählt eine große Zufallszahl b, hält sie geheim und berechnet: β = γ b mod p. 4. Alice schickt α an Bob, Bob schickt β an Alice. 5. Alice berechnet ihren Schlüssel: k A = β a mod p. 6. Bob berechnet seinen Schlüssel: k B = α b mod p.

8 Man-in-the-Middle-Angriff 1. Keine Authentizitätskontrolle am Anfang 2. Alice und Bob kommunizieren nicht miteinander, sondern mit Eve in der Mitte. 3. Gegenmaßnahme: Authentizität am Anfang überprüfen.

9 Zertifizierung - X.509 Standard Versionsnummer Seriennummer Signatur Zertifikataussteller Gültigkeitsdauer Benutzername Schlüsselinformationen eindeutiger Identifikator Erweiterungen

10 Schlüsselspeicherung Kopf MobileSitter Chipkarte/USB-Token PIN/Biometrie Schlüsselaufteilung Betriebssysteme

11 Schlüsselvernichtung Chip EEPROM: überschreiben EPROM, PROM: zerstören Betriebssysteme: Berienigung des Speicherplatzes!

12 Einführung von Objekten und Subjekten ist die Voraussetzung von Integrität und Vertraulichkeit Aufgabe: Mit geeigneten Maßnahmen die Korrektheit einer behaupteten Identität zu kontrollieren Credentials: Benutzerkennung und Passwort Tickets Praxis: Kenntnis eines spezifischen Wissens Besitz Biometrische Daten/Merkmale Mehr-Faktor-

13 Passwortverfahren Subjekt identifiziert sich indem es die Kenntnis eines Geheimnisses nachweist Windows, Unix/Linux Das System muss die Passwörter sicher verwalten (Hashwerte) Windows: Systemdatei pwl Unix/Linux:.secure/etc/passwd Auf diese Dateien beschränkte Zugriffsrechte!

14 Sicherheit Sicherheit hängt ab von der Stärke der kryptographischen Hashfunktionen der Qualität der Rechtevergabe Der Zugriffskontrolle Password-Cracking (Chosen-Ciphertext-Angriff): 1. Angreifer rät ein Passwort 2. Lässt es vom Zugangskontrolldienst des Systems verschlüsseln 3. Vergleicht es mit dem Kryptotext in der Passwort-Datei

15 Sicherheit II Gute, frei verfügbare Programme für Password-Cracking: Crack (Unix/Linux) John the Ripper (Unix/Linux, Windows) pwdump2, pwdump3 (Windows) Weiterhin wichtig: Passwortwahl Benutzereingabeüberwachung Spickzettel Mangelndes Sicherheitsbewusstsein Social Engineering

16 Login-Protokoll 1. System verlangt Identifikation/Kennung des Benutzers 2. Benutzer identifiziert sich per Kennung 3. System verlangt die 4. Benutzer gibt sein Passwort ein 5. System Verifiziert das Passwort 6. Im Fehlerfall wird der Benutzer informiert

17 Probleme/Gegenmaßnahmen Zu einfache Passwörter Systemgenerierte Passwörter: User zwingen gute Passwörter zu nutzen Schwer zu merken Für Server - auf der Festplatte Speichern (anfällig gegen Trojaner und Würmer) Einmalpasswörter: Beim jeden Login neues Passwort Einwegfunktionen Bsp.: S/Key-Verfahren Passwort-Vielzahl: PasswortSitter

18 Passwort Anforderungen 1. Länge mind. 8 Zeichen 2. kein Wort aus einem Wörterbuch 3. kein Eigenname 4. mind. ein Sonderzeichen enthalten 5. keine Tastatursequenz 6. regelmäßig ändern 7. Der Systemdienst der Zugriffskontrolle sollte die Punkte 1-3 kontrollieren 8. Das System sollte nur eine geringe Anzahl an Fehlversuchen erlauben, danach Kennung sperren

19 Challenge-Response-Verfahren OTP ist ein spezielles CR-Verfahren Idee: Login Daten nicht mehrfach übermitteln Spezielles Wissen nachweisen (z.b. Online-Banking PIN/TAN) Anwendungen: sprotokolle zwischen Geräten in Mobilfunknetzen WLAN Drucker, Mobiltelefone: Hardware Kontrolle

20 CR mit symmetrischen Kryptosystemen I Voraussetzung: gleiche Verschlüsselungsfunktion (oder Algorithmus) E für alle Geräte gleicher Schlüssel für alle Geräte CID: Identifikation des Clients K CID : der verwendete Schlüssel K r : vom Server gespeicherter Schlüssel Ist der Client authentisch, so gilt: K CID = K r :

21 CR mit symmetrischen Kryptosystemen II 1. : Client sendet Login-Anfrage an dem Server (CID) Server sucht den zu CID passenden Schlüssel K r Falls K r vorhanden, geht es weiter mit Challange 2. Challange: Server sendet eine neu erzeugte Zufallszahl RAND an Client Client verschlüsselt RAND mit E und Schlüssel K CID C = E(RAND, K CID )

22 CR mit symmetrischen Kryptosystemen III 3. Response: Client sendet C an Server Server verschlüsselt RAND mit E und Schlüssel K r Server überprüft ob C = C. C = E(RAND, K r )

23 Sicherheit Passwort muss nicht übermittelt werden Kommunikation über unsichere Kanäle - Known-Plaintext-Angriff Wörterbuch-Angriff Server speichert den geheimen Schlüssel Benötigt gute Zufallszahlengenerator

24 CR mit asymmetrischen Kryptosystemen I 1. Server bekommt den öffentlichen Schlüssel K CID E 2. Client sendet Login-Anfrage an dem Server (CID) 3. Server sendet eine neu erzeugte Zufallszahl RAND an Client 4. Client signiert RAND mit seinem geheimen Schlüssel K CID D 5. Client sendet Sig an Server Sig = D(RAND, K CID D ) 6. Server verifiziert die Signatur mit K CID E 7. Server prüft ob R = RAND. R = E(Sig, K CID E )

25 Sicherheit Vorteil: Keine Geheimnisse im Voraus absprechen Public-Key-Infrastruktur notwendig Benötigt gute Zufallszahlengenerator Man-in-the-Middle-Angriff

26 Zero-Knowledge-Verfahren There are known knowns. There are things we know that we know. There are known unknowns. That is to say, there are things we know we don t know. But, there are also unknown unknowns. These are things we don t know we don t know. (D. Rumsfeld)

27 Zero-Knowledge-Verfahren There are known knowns. There are things we know that we know. There are known unknowns. That is to say, there are things we know we don t know. But, there are also unknown unknowns. These are things we don t know we don t know. (D. Rumsfeld) And there is zero-knowledge. These are things we know that somebody else knows, and we provably cannot know what they are! (J. Rothe)

28 Zero-Knowledge-Verfahren Wie kann Alice Bob davon überzeugen, dass sie Geheimnis s kennt, ohne dass Alice auch nur einen Teil dieses Geheimnisses Bob oder einem Dritten preisgibt?

29 Fiat und Shamir Verfahren 1. Alice wählt zwei große Primzahlen p, q und eine geheime Zahl s Z n 2. Alice berechnet n = pq und v = s 2 mod n 3. Alice sendet (n, v) an Bob 4. Alice wählt zufällig r Z n und berechnet x = r 2 mod n 5. Alice sendet x an Bob 6. Bob wählt ein zufallsbit a {0, 1} 7. Bob sendet a an Alice 8. Alice berechnet y = r s a mod n 9. Alice sendet y an Bob 10. Bob verifiziert y 2 x v a mod n