Kryptografie. Die Kryptografie wurde schon in primitiver Form von den Römern verwendet:

Transkript

1 Kryptografie Die Kryptografie wurde schon in primitiver Form von den Römern verwendet: Cäsars Rotier-das-Alphabet Verschlüsselung: Schlüssel war die Anzahl der Stellen, um die man rotiert hat, dieser wurde abhängig vom Wochentag geändert. Moderne Verfahren: sind bekannt und werden nicht geheim gehalten die Sicherheit beruht nur auf der Geheimhaltung des Schlüssels (ein Parameter, der den Output des Verfahrens maßgeblich beeinflusst) Brute-Force-Angriff: systematisches Ausprobieren aller möglichen Schlüssel da heute sehr schnelle Computersysteme vernetzt sind, kann man sehr viele Schlüssel/s ausprobieren. Vor allem moderne Grafikkarten sind um ein Vielfaches schneller beim Schlüssel-Knacken als CPUs, es gibt aber (NSA!) auch spezielle Schaltkreise, die für diesen Zweck entworfen wurden und daher extrem schnell Schlüssel ausprobieren Schutz bietet nur eine große Anzahl von möglichen Schlüsseln => Schlüssellänge in Bits muss ausreichend groß sein A) Verschlüsselungs-Verfahren: 1) Symmetrisches VV: verwendet denselben Schlüssel zum Verschlüsseln und Entschlüsseln Beispiele: DES Digital Encryption Standard, veraltetes Verfahren AES Advanced Encryption Standard modernes Verfahren, seht schnell und sicher es gibt unzählige weitere, z.b. 3DES, Serpent, Blowfish, Twofish, Idea, RC4... AES ist der beste Kompromiss zwischen Schnelligkeit und Sicherheit. Schlüssellänge: 128 Bit ist seeeehr sicher, längere Schlüssel sind bei AES auch möglich Vorteile der symmetrischen VV: schnell, sicher, einfach (kurzer C-Code), Hardware- Beschleunigung möglich (z.b. Intel CPUs neueren Datums haben solche Funktionen eingebaut) Nachteil: Transport des Schlüssels zum Empfänger

2 2) Asymmetrisches VV: verwendet 2 Schlüssel, einen zum Verschlüsseln (Public Key) einen zum Entschlüsseln (Private Key) Beispiel: RSA (ist nach den Erfindern benannt) ist meistverwendet Verschlüsseln: y = x ^ e (Mod N) Potenz und Restoperation Entschlüsseln: x = y ^ d (Mod N) N und e bilden den Public Key, d ist der Private Key. Alle 3 kommen in einer Gleichung vor, die aber nicht gelöst werden kann sondern praktisch nur durch Durchprobieren aller Möglichkeiten lösbar ist. x = y ^ d (Mod N) = ((x^e) Mod N) ^ d (Mod N) = x^(e * d) (Mod N) x = x ^ 1 (Mod N) = x ^ (e*d) (Mod N) ==> e * d = 1 (Mod Phi(N)) Der Ersteller des Schlüsselpaars kennt Phi(N) und kann diese Gleichung binnen Sekunden lösen und so das Schlüsselpaar erzeugen. Der Angreifer kennt nur N und muss zuerst Phi(N) berechnen. Der Trick liegt darin, solche N zu wählen, bei denen das laaaaaange dauert. Ist nämlich N = p1 * p2 Produkt zweier (sehr großer) Primzahlen, so gilt Phi(N) = (p1-1)*(p2-1). Der Ersteller kennt die Primzahlen p1 und p2 und ist damit schnell fertig. Der Hacker sieht nur den Public Key N und müsste daraus die 2 Primfaktoren zurückgewinnen. Das ist aber bei dieser Zahlengröße extrem zeitaufwendig. Schlüssellänge: >= 1024 Bits, besser sind aber 2048 Bits kann nicht mit Schlüsseln von symmetrischen Verfahren verglichen werden (1024 Bit entsprechen etwa 80 Bit bei symmetrischen VV, 2048 Bit entsprechen 113 Bit beim VV) Nachteile: Sehr langsam (um Faktor 1000 zu symmetrischen VV), mathematisch vielleicht angreifbar, kaum durch Hardware beschleunigbar Vorteil: Kein Schlüsseltransport nötig, da der public Key publiziert werden kann (Homepage!) 3) Hybrides Verfahren Das Hybridverfahren verwendet Vorteile beider VV. Die Verschlüsselung der Nachricht erfolgt symmetrisch (z.b. mit AES) mit einem Einmal-Schlüssel (= Session Key). Dieser wird für jeden Empfänger mit dessen Public Key asymmetrisch verschlüsselt und mitgeschickt. z.b. Pay-TV Der Private Key ist in den Smartcards der Anbieter gespeichert (unauslesbar :-( die Session-Keys für jeden legalen Benutzer sind im Programmstrom eingebettet, allerdings nicht im Klartext sondern mit dem Public Key verschlüsselt diese Darstellung ist etwas vereinfacht, in Wirklichkeit läuft es zweistufig ab.

3 4) Adhoc Verfahren zur Sicherung der Verbindung (Perfect Forward Secrecy, PFS) : Sie kommen ohne Schlüsselaustausch zum Einsatz und schützen daher nur die Verbindung, verhindern nicht einen Man-In-The-Middle-Angriff. Das bekannteste Verfahren ist das Verfahren nach Diffie-Hellman (DH). Es beruht darauf, dass eine Gleichung der Form u^x = v (Mod N) extrem schwer nach x aufgelöst werden kann (dank des Modulo!!). Ohne Modulo wäre der Logarithmus die Lösung, deshalb nennt man diese Operation auch den diskreten Logarithmus. Es gibt (bei vernünftiger Wahl von a, b, N) kein schnelles Verfahren, um x zu berechnen. Es läuft in mehreren Schritten ab: Alice will mit Bob kommunizieren: 1) Alice wählt öffentliches (N, u) geheimes a, sendet an Bob: N, u (u^a) mod N 2) Bob wählt zum gleichen N sein geheimes b; sendet an Alice: (u^b) mod N 3) Alice berechnet A = ([u^b mod N] ^a) mod N: ersteres kommt von Bob, a ist bekannt 4) Bob berechnet B = ([u^a) mod N] ^b) mod N : ersteres kommt von Alice, b ist bekannt Es ist A = [u ^ b mod N] ^a mod N = [u^b]^a mod N = u ^(b*a) mod N Es ist B = [u ^ a mod N] ^b mod N = [u^a]^b mod N = u ^(a*b) mod N Also gilt A = B und beide haben dieselbe Zahl berechnet. Dieser dient nun als Basis für einen gemeinsamen symmetrischen Schlüssel, über die alles weitere gesichert wird. Dieses Verfahren wird oft in Verbindung mit anderen Public-Key Krypto-Verfahren eingesetzt und heißt dann PFS (Perfect Forward Secrecy). Die Idee dahinter ist, dass selbst nach Ausspionieren des Private-Keys für jede einzelne Kommunikation das PFS-Verfahren zu knacken ist. PFS wird nicht für die gesamte Kommunikation verwendet, sondern schützt nur den Austausch des Sessionkeys zusätzlich ab. B) Kryptografische Prüfsummen: Kryptografische Prüfsummen- oder Hashverfahren haben folgende Eigenschaften: 1) kleinste Änderungen einer Datei -> große Änderungen der Prüfsumme ( Unstetigkeit ) 2) "Nicht invertierbar": Zu einer gegebenen Prüfsumme darf sich keine Datei "schnell" finden lassen => Prüfsumme muss lang sein. Idee: PS(A) = PS(B) => A=B 128 Bit Prüfsummen reichen heute NICHT mehr aus (Geburtstagsphänomen s.u.!) Verfahren: MD5 "Message Digest" (128 Bit PS, daher obsolet) SHA "Secure Hashing Algorithm" in verschieden langer Ausführung, wird nun verwendet Geburtstagsphänomen: Bei Klassen mit 23 Schülern ist die Wahrscheinlichkeit größer als 50%, dass 2 Schüler am selben Tag des Jahres Geburtstag haben. Grund dafür ist, dass die Chancen quadratisch mit der Schülerzahl wachsen. Umformulierung: PS einer Datei <-> Geburtstag

4 Datei A ist das Original Datei B ist die Fälschung; Hacker wollen: PS(B) = PS(A) schlechter Algorithmus: B zu festem A bestimmen: 2n Versuche ergeben nur 2n Chancen besser: A variieren zu A 1, A 2,..., A n n Versuche (z.b. Leerzeichen anhängen) B variieren zu B 1, B 2,..., B n n Versuche PS(A i ) = PS(B j ) n^2 Chancen Dadurch ist ein Angriff auf Prüfsummen mit N Bits Länge PS in ca. Wurzel(2^N)=2^(N/2) Versuchen möglich. Die Schutzwirkung einer Prüfsumme der Länge N entspricht also nur einer effektiven Länge von N/ Bit Schutz sollten es heutzutage schon sein: N/2 >= 128 => N >= 256 Von den bekannten Verfahren ist MD5 (N = 128) definitiv aus dem Rennen, SHA1 (N = 160) an der Kippe und nur SHA2 mit Varianten (N = 224, N = 256, N = 512) und das neue SHA3 können noch mit gutem Gewissen empfohlen werden. C) Signatur: Eine Signatur ist eine kryptografische Prüfsumme eines Dokuments, asymmetrisch verschlüsselt mit dem Private Key des Signierers. Deshalb ist nur dieser in der Lage, eine persönliche Signatur zu erzeugen. Signatur eines Dokuments (Dokument und Signatur liegen vor) verifizieren: 1) Public Key des Signierers besorgen 2) Signatur entschlüsseln -> man erhält die Prüfsumme der Signatur 3) Prüfsumme für das Dokument neu berechnen, muss übereinstimmen Test beweist: 1) Das Dokument wurde seit dem Signieren nicht verändert 2) Der Hersteller der Signatur besitzt den richtigen Private Key Heute werden fast alle Software-Produkte so gesichert ausgeliefert

5 D) Zertifikate die Firma Netscape hatte das SSL-Verfahren für sichere Webservices ( URL) erfunden und als TLS in die Public Domain gegeben Basis dieses Verfahrens ist das Zertifikat nach dem x509-standard: Diese Norm beschreibt den Aufbau dieser Datei, die verpflichtenden und die möglichen Felder und die Syntaxregeln. Die Grundidee ist dabei, ein digitales Dokument zu schaffen, das einem Personalausweis nachempfunden wurde: 1) Vertrauenswürdiger Herausgeber (Behörde beim Personalausweis) 2) Fälschungssicherheit (durch spezielle Druckverfahren, Papiersorte, Stempel) 3) Genormter Inhalt in maschinenleserlicher Form 4) Identifizierungsmöglichkeit (Lichtbild, Fingerabdruck, Beschreibung...) beim Zertifikat wird das umgesetzt durch 1) Herausgeber sind internationale Firmen (Verisign, Thawte...). Diese werden als CA (Certificate Authority, Certification Authority) bezeichnet. Leider sind 2011 mehrere CA wegen unzureichender Sicherheitsmaßnahmen gehackt worden und falsche Zertifikate erzeugt worden. Auf diese Art soll der Iran den verschlüsselten WWW-Verkehr zu Google für kurze Zeit abgehört haben. Die Sicherheit der Zertifikate steht und fällt mit der Sicherheit der CAs, d.h. deren Signaturen. 2) Fälschungssicher durch eine Signatur der CA 3) Laut x509-norm sind verpflichtend: Herausgeber (CN = Common Name), Seriennummer, Gültigkeitsdauer (von, bis), Inhaber (CN, Mail-Adresse...), Beschreibung des Signaturverfahrens, Signatur der CA 4) Public Key des Inhabers. Damit lässt sich das Challenge-Response-Verfahren durchführen Challenge-Response-Verfahren: Mit dem Public Key der Gegenstelle wird ein Geheimnis (Challenge) verschlüsselt und übermittelt. Die Gegenstelle muss einen Beweis zurückliefern, dass sie die Challenge entschlüsseln konnte (d.h. die Nachricht mit dem Private Key entschlüsseln konnte). Das könnte z.b. eine Prüfsumme über den unverschlüsselten Inhalt sein. Selbstverständlich sollte sich die Challenge ständig ändern, damit keine Replay-Attacken möglich sind (ein Hacker zeichnet die gültige Antwort auf eine Challenge auf und verwendet dieselbe Antwort noch einmal) Ablauf eines Aufrufs: Zuerst muss die IPv4 Adresse des Mailservers ermittelt werden. Dazu wird ein DNS-Server kontaktiert, der die IPv4 Adresse mittteilt. Darauf wird eine TCP-Verbindung zu dieser Adresse auf den https-port 443 geöffnet (3-Way-Handshake). Gleich nach dem Aufbau dieser TCP-Verbindung wird der SSL/TLS Handshake durchgeführt.

6 1) Client verlangt vom Server den Download seines x509-zertifikats 2) Server übermittelt das Zertifikat. Es erfolgt eine Überprüfung des Zertifikats: a. Ist der CA bekannt? (d.h. Public Key ist im Browser gespeichert) b. Ist die Gültigkeitsdauer passend c. Stimmt der CN des Inhabers mit dem DNS-Namen ident (CN == webmail.uibk.ac.at); ein Seitenaufruf der Form führt meist zu einer Warnung, da das Zertifikat eben auf web-mail.uibk.ac.at lautet d. Ist die Signatur des Zertifikats ok 3) Zertifikat vom CA zurückgezogen? 4) Challenge-Response Test der Gegenstelle 5) Über dem Publik-Key wird ein Session-Key vereinbart 6) Digitale Verschlüsselung des gesamten Netzwerk-Traffics Chipcard, Smartcard, Signaturkarte Diese Karten dienen zur sicheren Aufbewahrung des Private Keys. Im Normalfall darf der Private Key nie auszulesen sein. Jede Verwendung des Private Keys ist durch eine verpflichtende Eingabe eines PIN-Codes zu sichern. Bei Überschreiten einer Fehlschranke bei der PIN-Eingabe muss sich die Karte dauerhaft und unwiderruflich deaktivieren. All das und noch mehr sind die gesetzlichen Voraussetzungen für den Einsatz solcher Karten bei der qualifizierten Signatur, d.h. bei einer rechtsverbindlichen digitalen Unterschrift. Die Funktionen solcher Karten erlauben meist: 1) Auslesen des Zertifikats des Inhabers (ungeschützt) 2) Auslesen weiterer optionaler Zertifikate (ungeschützt) 3) Auslesen des Zertifikats der CA (ungeschützt) 4) Verschlüsselung eines Textes x mit dem Private Key (geschützt durch Pin-Eingabe). Hierdurch lässt sich z.b. eine Signatur erzeugen. Der Inhaber berechnet am PC eine Prüfsumme (z.b. SHA256) über das zu signierende Dokument, sendet diese Prüfsumme x an die Smartcard, gibt den PIN ein und bekommt die Signatur aus der Karte zurück. 5) Entschlüsseln eines Textes c mit dem Private Key (geschützt durch Pin-Eingabe). Hierdurch lässt sich z.b. der Sessionkey einer Nachricht entschlüsseln, mit dem man dann die Nachricht dechiffrieren kann. Die Kommunikation mit der Smartcard erfolgt meist über einen Smartcard Reader. Selbstverständlich muss auch dieser Reader bestimmte Voraussetzungen erfüllen, um sicher zu sein. Sonst könnte ja z.b. die Pin-Eingabe aufgezeichnet werden etc. Auch das Umfeld (Web-Cams etc.) sollte überprüft werden. Bei der Einführung der qualifizierten Signatur sind leider längst nicht alle Schwierigkeiten erkannt worden und damit noch ungelöst: z.b. hat ein persönliches Zertifikat (mit dem dazugehörigen Private Key) nur eine beschränkte Gültigkeit. Was geschieht mit erstellten Signaturen nach diesem Zeitraum? Sind diese dann noch gültig, wenn das signierende Zertifikat nicht mehr gültig ist? Was ist bei einem zurückgezogenen Zertifikat usw.?