Vorlesung Datensicherheit. Sommersemester 2010

Transkript

1 Vorlesung Datensicherheit Sommersemester 2010 Harald Baier Kapitel 2: Kryptographische Begriffe und symmetrische Verschlüsselungsverfahren

2 Inhalt Kryptographische Begriffe Historische Verschlüsselungsverfahren Verschiebechiffren Rotormaschinen Moderne symmetrische Verschlüsselungsverfahren Data Encryption Standard (DES) Advanced Encryption Standard (AES) Harald Baier Datensicherheit h_da SS 10 2

3 Inhalt Kryptographische Begriffe Historische Verschlüsselungsverfahren Verschiebechiffren Rotormaschinen Moderne symmetrische Verschlüsselungsverfahren Data Encryption Standard (DES) Advanced Encryption Standard (AES) Harald Baier Datensicherheit h_da SS 10 3

4 Begriffe im Zshg. mit Verschlüsselung Klartext (plaintext): Datenstruktur, die über einen unsicheren Kanal vertraulich übertragen werden soll. Geheimtext (ciphertext): Datenstruktur, die über einen unsicheren Kanal übertragen wird. Verschlüsseln (encipher): Umwandlung Klartext zu Geheimtext. Entschlüsseln (decipher): Umwandlung Geheimtext zu Klartext. Schlüssel (key): Datenstruktur, die zum Ver- bzw. Entschlüsseln benötigt wird. Harald Baier Datensicherheit h_da SS 10 4

5 Verschlüsselung: Prinzip Klartext oder Plaintext Geheimtext oder Ciphertext Klartext oder Plaintext Angebot verschlüsseln entschlüsseln Angebot Verschlüsselungsschlüssel e Entschlüsselungsschlüssel d Alice Bob Unsichere Leitung Harald Baier Datensicherheit h_da SS 10 5

6 Begriffe Kryptologie: Wissenschaft der Verschlüsselung und verwandter Techniken (z.b. Signaturverfahren) Kryptographie: Wissenschaft vom Entwurf von Verschlüsselungsverfahren und verwandter Techniken Kryptoanalyse: Wissenschaft der Sicherheitsanalyse von Verschlüsselungsverfahren und verwandter Techniken Steganographie: Verschleierung der Existenz einer Nachricht (also keine Disziplin der Kryptologie) Harald Baier Datensicherheit h_da SS 10 6

7 Symmetrische vs. asymmetrische Verschlüsselung Symmetrische Verschlüsselung: Verschlüsselungsschlüssel e = Entschlüsselungsschlüssel d = im Sinne von 'Im wesentlichen gleich' Beide Schlüssel sind Sender u. Empfänger bekannt Beide Schlüssel sind geheim Asymmetrische Verschlüsselung: Verschlüsselungsschlüssel e Entschlüsselungsschlüssel d im Sinne von 'hinreichend verschieden' Verschlüsselungsschlüssel e öffentlich: Public Key Entschlüsselungsschlüssel d geheim: Private Key Harald Baier Datensicherheit h_da SS 10 7

8 Symmetrische Verschlüsselung: Prinzip Klartext oder Plaintext Geheimtext oder Chiffretext Klartext oder Plaintext Angebot verschlüsseln entschlüsseln Angebot Verschlüsselungsschlüssel e Entschlüsselungsschlüssel d Alice geheim = geheim Symmetrische Verschlüsselung Bob Harald Baier Datensicherheit h_da SS 10 8

9 Asymmetrische Verschlüsselung Klartext oder Plaintext Geheimtext oder Chiffretext Klartext oder Plaintext Angebot verschlüsseln entschlüsseln Angebot Verschlüsselungsschlüssel e Entschlüsselungsschlüssel d Alice öffentlich: Public Key geheim: Private Key Bob asymmetrisch Harald Baier Datensicherheit h_da SS 10 9

10 Elektronische Signatur lt. Signaturgesetz (SigG) Deutsches Signaturgesetz vom Mai 2001 (Einfache) elektronische Signatur ( 2 Nummer 1): Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen. Zwei Klassen von Signaturverfahren: Symmetrische Signaturen: Message Authentication Code (MAC) Asymmetrische Signaturen: Elektronische Signaturen Nur asymmetrische Signaturen sind im SigG geregelt. Harald Baier Datensicherheit h_da SS 10 10

11 Message Authentication Code: Prinzip Angebot Angebot gültig / ungültig signieren Signatur verifzieren Alice Signaturschlüssel d Signaturprüfschlüssel e Bob geheim = geheim Message Authentication Code (MAC) Harald Baier Datensicherheit h_da SS 10 11

12 (Asymmetrische) Elektronische Signatur: Prinzip Angebot Angebot gültig / ungültig signieren Signatur verifizieren Alice Signaturschlüssel d Signaturprüfschlüssel e Bob geheim: Private Key öffentlich: Public Key elektronische Signatur Harald Baier Datensicherheit h_da SS 10 12

13 Sicherheitsziele vs. Kryptographische Technik Sicherheitsziel Authentizität Integrität Verbindlichkeit Vertraulichkeit Kryptographische Technik Elektronische Signatur / MAC Elektronische Signatur / MAC Elektronische Signatur Verschlüsselung Zeitpunkt beweisen Elektronische Signatur u. Normalzeit Harald Baier Datensicherheit h_da SS 10 13

14 Kryptographische Techniken: Zusammenfassung Zwei Klassen kryptographischer Verfahren: Symmetrische Verfahren Asymmetrische Verfahren (Public Key Techniken) Signaturverfahren: Symmetrisch: Message Authentication Code (MAC) Asymmetrisch: Elektronische Signatur Verschlüsselungsverfahren: Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Harald Baier Datensicherheit h_da SS 10 14

15 Kerkhoffsches Prinzip Veröffentliche alle Details eines kryptographischen Verfahrens: Kryptosystem = Verschlüsselungsverfahren: Veröffentliche Ver- und Entschlüsselungsfunktionen Geheimhaltung des Klartextes hängt nur von der Geheimhaltung des geheimen Schlüssels ab. Signaturverfahren: Veröffentliche Signaturerzeugungs- und Signaturprüffunktionen Fälschungssicherheit der Signatur hängt nur von der Geheimhaltung des geheimen Schlüssels ab. Durchsetzung verlangt öffentlichen Review-Prozess Oft verletzt: Verwendung proprietärer Algorithmen: Security by Obscurity Harald Baier Datensicherheit h_da SS 10 15

16 Inhalt Kryptographische Begriffe Historische Verschlüsselungsverfahren Verschiebechiffren Rotormaschinen Moderne symmetrische Verschlüsselungsverfahren Data Encryption Standard (DES) Advanced Encryption Standard (AES) Harald Baier Datensicherheit h_da SS 10 16

17 Caesars Chiffre a b c d... x y z D E F G... A B C Beispiel Julius Caesar ( b. Chr.) Plaintext: Ciphertext: c r y p t o F U B S W R Leicht zu allgemeiner Verschiebechiffre erweiterbar Anzahl an Verschlüsselungsschlüsseln? Harald Baier Datensicherheit h_da SS 10 17

18 Buchstabenhäufigkeit der deutschen Sprache Buchstabe Relative Häufigkeit a 6.51% b 1.89% c 3.06% d 5.08% e 17.40% f 1.66% g 3.01% h 4.76% i 7.55% j 0.27% k 1.21% l 3.44% m 2.53% n 9.78% o 2.51% p 0.79% q 0.02% r 7.00% s 7.27% t 6.15% u 4.35% v 0.67% w 1.89% x 0.03% y 0.04% z 1.13% relative Häufigkeit Buchstabenhäufigkeit im Deutschen 20.00% 18.00% 16.00% 14.00% 12.00% 10.00% 8.00% 6.00% 4.00% 2.00% 0.00% a b c d e f g h i j k l m n o p q r s t u v w x y z Buchstabe Harald Baier Datensicherheit h_da SS 10 18

19 Mechanische Verschlüsselung: Rotormaschinen Walzen Lampenfeld Tastatur Arthur Scherbius ( ) Quelle: S. Singh, Geheime Botschaften Enigma Quelle: Steckerbrett Verschiedene Modelle: Bekannt sind Modelle der deutschen Wehrmacht im 2. Weltkrieg Harald Baier Datensicherheit h_da SS 10 19

20 Funktionsweise der Enigma Quelle: S. Singh, Geheime Botschaften Vereinfachte Darstellung: Eine Walze, sechs Buchstaben Harald Baier Datensicherheit h_da SS 10 20

21 Funktionsweise der Enigma (2) Drei Walzen mit sechs Anordnungsmöglichkeiten Quelle: S. Singh, Geheime Botschaften Sechs Steckverbindungen zum Buchstabentausch Harald Baier Datensicherheit h_da SS 10 21

22 Schlüssel der Enigma Zwei Schlüsselarten: Tages- und Spruchschlüssel Tagesschlüssel: Gültig für einen Kalendertag Verteilung in Schlüsselbüchern (sehr sensitive Information) Legen fest: Auswahl der Walzen (bei mehr als 3 Walzen) Anordnung der Walzen in der Enigma Anfangsstellung jeder Walze Steckerverbindungen für Buchstabentausch Harald Baier Datensicherheit h_da SS 10 22

23 Schlüssel der Enigma (2) Spruchschlüssel: Einmalschlüssel: Werden für die Verschlüsselung einer einzelnen Nachricht verwendet Gegenüber Tagesschlüssel: Nur Änderung der Anfangsstellung der Walzen Beispiel einer Verschlüsselung (3 Walzen): Spruchschlüssel wird festgelegt (z.b. hda) Konkatenation des Spruchschlüssels (hda --> hdahda) Enigma wird auf Tagesschlüssel eingestellt 6 Buchstaben werden verschlüsselt Enigma wird auf Spruchschlüssel eingestellt Nachricht wird verschlüsselt Harald Baier Datensicherheit h_da SS 10 23

24 Kryptoanalyse der Enigma: 40er Jahre Turing nutzt Known-Plaintext-Attacke: Erraten von Klartexten zu abgefangenen Geheimtexten: Cribs Beispiele: Alan Turing ( ) Quelle: S. Singh, Geheime Botschaften Anreden (zu Beginn einer Nachricht) Schlussfloskeln (am Ende einer Nachricht: 'Heil Hitler') Wetterbericht Schiffskoordinaten Mechanische Bomben als Hilfsmittel Deutsche schöpfen keinen Verdacht (Briten opfern z.b. Coventry) Kriegsverkürzung durch Enigma Harald Baier Datensicherheit h_da SS 10 24

25 Inhalt Kryptographische Begriffe Historische Verschlüsselungsverfahren Verschiebechiffren Rotormaschinen Moderne symmetrische Verschlüsselungsverfahren Data Encryption Standard (DES) Advanced Encryption Standard (AES) Harald Baier Datensicherheit h_da SS 10 25

26 Moderne symmetrische Kryptoverfahren Seit Ende 60er Jahre des 20. Jahrhunderts Alphabet: Bisher Buchstaben: Σ = {a,b,c,d,e,...,w,x,y,z} Jetzt Bits: Σ = {0,1} Grund: Verbreitung von Computern Verschlüsselungsverfahren: Blockchiffren Stromchiffren Signaturverfahren: Message Authentication Code (MAC) Harald Baier Datensicherheit h_da SS 10 26

27 Basistechniken der Verschlüsselung Gehen auf C.Shannon zurück (1949) Zwei Prinzipien: Konfusion: Verberge Zusammenhang zwischen Klartext, Chiffretext u. Schlüssel Kryptoanalyst lernt aus Chiffretext nichts über Klartext oder Schlüssel Basistechnik: Substitution Diffusion: Jedes Chiffretext-Bit soll von möglichst vielen Bits des Klartextes und des Schlüssels abhängen (Ideal: Abhängigkeit von allen Bits) Faustregel: Änderung eines Klartext- oder Schlüssel-Bits ändert mindestens 50% der Chiffretext-Bits Basistechnik: Permutation (Transposition) Harald Baier Datensicherheit h_da SS 10 27

28 Prinzip der Blockchiffre Verschlüsselung: Unterteile Klartext in Blöcke fester Länge Typische Blocklängen: 64 Bit (z.b. DES) 128 Bit (z.b. AES) Fülle Klartext auf Vielfaches der Blocklänge auf durch geeignetes Verfahren: Padding Verschlüssele blockweise Aus verschlüsselten Blöcken wird Chiffretext gebildet Analog für Entschlüsselung Harald Baier Datensicherheit h_da SS 10 28

29 Prinzip der Blockchiffre Klartext Block 1 Block 2 Block 3... Block k-1 Block k Harald Baier Datensicherheit h_da SS 10 29

30 Electronic Code Book Mode: Verschlüsselung Klartext m 1 m 2 m 3... m t-1 m t E e (m 1 ) E e (m 2 ) E e (m 3 )... E e (m t-1 ) E e (m t ) Chiffretext Harald Baier Datensicherheit h_da SS 10 30

31 Electronic Code Book Mode: Entschlüsselung Chiffretext c 1 c 2 c 3... c t-1 c t D d (c 1 ) D d (c 2 ) D d (c 3 )... D d (c t-1 ) D d (c t ) Klartext Harald Baier Datensicherheit h_da SS 10 31

32 Data Encryption Standard: Vorgeschichte Data Encryption Standard: DES März 1973: Erste Ausschreibung für Verschlüsselungs-Algorithmus durch National Bureau of Standards (NBS, heute NIST) Anforderungen: Hohes Sicherheitsmaß Vollständige Spezifikation und einfach verständlich Algorithmus muss bewertbar sein Umsetzung des Kerkhoffschen Prinzips Computer tauglich Exportierbar Keine geeignete Einreichung nach erster Ausschreibung Harald Baier Datensicherheit h_da SS 10 32

33 AES: Vorgeschichte Aufruf zu Einreichungen durch die NIST: 1997 Ziel: Auswahl durch öffentlichen Review-Prozess Anforderungen: Symmetrische Blockchiffre Blocklänge: 128 Bit Schlüssellängen: 128, 192, 256 Bit Sicherheit mindestens Triple-DES, aber effizienter Einsatzzeitraum bis ca Daten geschützt bis ca Nutzbar ohne Zahlung von Lizenzgebühren Harald Baier Datensicherheit h_da SS 10 33

34 AES: Einreichungen der ersten Runde 15 Einreichungen in erster Runde (Mai 1998) Beispiele: Magenta (Deutsche Telekom): Scheidet als erstes Verfahren aus CAST-256 (Entrust): Scheidet in Vorrunde aus Safer+ (Cylink): Scheidet in Vorrunde aus Mars (IBM): Finalist Rijndael (V. Rijmen, J. Daemen): Finalist RC6 (R. Rivest, RSA): Finalist Serpent (R. Anderson, E. Biham, L. Knudsen): Finalist Twofish (B. Schneier, Counterpane): Finalist Harald Baier Datensicherheit h_da SS 10 34

35 AES: Finale Befragung im Rahmen der Konferenz AES3 (April 2000): Algorithmus Geeignet Nicht geeignet Mars Rijndael RC Serpent 59 7 Twofish Im November 2001: Rijndael wird als AES standardisiert Standard: FIPS PUB 197 (Federal Information Processing Standards Publication) Harald Baier Datensicherheit h_da SS 10 35