IT-Sicherheit SSL/TLS. Jens Kubieziel. Fakultät für Mathematik und Informatik. 6. Januar 2012

Transkript

1 IT-Sicherheit SSL/TLS Jens Kubieziel Fakultät für Mathematik und Informatik 6. Januar 2012 Jens Kubieziel (FSU Jena) IT-Sicherheit 6. Januar / 14

2 Überblick Secure Sockets Layer (SSL) bzw. Transport Layer Security (TLS) ist ein Protokoll zur Verschlüsselung von Daten. Dabei werden assymetrische Verfahren und Zertifikate verwendet. Die Verbindung wird von einem Ende zum anderen verschlüsselt. Man spricht von Ende-zu-Ende-Verschlüsselung. Jens Kubieziel (FSU Jena) IT-Sicherheit 6. Januar / 14

3 Geschichte 1994 von Netscape entwickelt 1995 versucht sich Microsoft mit Private Communication Technology (PCT) Umbenennung in TLS in RFC 2246, dann RFC 4346 (TLS ) und RFC 5246 (TLS ) Jens Kubieziel (FSU Jena) IT-Sicherheit 6. Januar / 14

4 Zertifikate Zertifikate sind die Grundlage von SSL/TLS. Im Zertifikat sind die zur Prüfung wichtigen Daten enthalten. Basis ist der Standard X.509 der ITU. Jens Kubieziel (FSU Jena) IT-Sicherheit 6. Januar / 14

5 Bestandteile eines Zertifikats Versionsnummer Seriennummer Signaturalgorithmus Aussteller Gültigkeit von bis Zertifikatsinhaber Schlüsselinformationen Erweiterungen Jens Kubieziel (FSU Jena) IT-Sicherheit 6. Januar / 14

6 Zertifikate Erweiterungen Die Key Usage legt fest, für welchen Zweck der Schlüssel eingesetzt werden darf. Digitale Signatur Nichtabstreitbarkeit Schlüsselverschlüsselung (key encipherment) Datenverschlüsselung (data encipherment) Schlüsselvereinbarung Zertifikatsignatur CRL-Signatur Nur zur Ver-/Entschlüsselung Jens Kubieziel (FSU Jena) IT-Sicherheit 6. Januar / 14

7 Zertifizierungsstelle Eine Zertifizierungsstelle (certificate authority, CA) ist eine Firma, Behörde etc., welche Zertifikate prüft bzw. ausstellt. Jens Kubieziel (FSU Jena) IT-Sicherheit 6. Januar / 14

8 Public-Key-Infrastruktur Bestandteile CA Registration Authority (RA) Verzeichnisdienst Certificate Revocation List (CRL) evtl. Zeitstempeldienst Jens Kubieziel (FSU Jena) IT-Sicherheit 6. Januar / 14

9 Protokolle von TLS Handshake Protocols Change Cipher Spec Protocol Alert Protocol Handshake Protocol Record Protocol Jens Kubieziel (FSU Jena) IT-Sicherheit 6. Januar / 14

10 Handshake Protocol 1 Verhandlungsphase Der Client sendet ClientHello mit TLS-Version, Zufallszahl, Cipher Suite, SessionID und mehr. Der Server antwortet ServerHello mit Zeitstempel, Zufallszahl und diversen Verfahren. Eventuell sendet Server ein Zertifikat und fordert ggf. vom Client ein Zertifikat an (CertificateRequest). Ohne Zertifikat sendet Server ServerKeyExchange mit temporärem RSA-Schlüssel. Server sendet ServerHelloDone. Jens Kubieziel (FSU Jena) IT-Sicherheit 6. Januar / 14

11 Handshake Protocol Nun sendet der Client wieder eine Nachricht. Zunächst wird mittels ClientKeyExchange ein 48 Byte großes Pre-Master-Secret übermittelt. Daraus wird später das Master-Secret berechnet. Das ChangeCipherSpec teilt dem Server mit, dass nun alles authentifiziert ist. Es folgt ein Finished mit einem Hash und einem MAC über die vorigen Handshakes. Auch der Server sendet ChangeCipherSpec und Finished. Damit haben beide Seiten die Parameter akzeptiert und senden ohne weitere Bestätigung verschlüsselte Werte. Jens Kubieziel (FSU Jena) IT-Sicherheit 6. Januar / 14

12 Master Secret Das Master Secret M wird aus dem Pre-Master-Secret P sowie aus R C und R S berechnet: M = MD5(P SHA( A P R C R S )) MD5(P SHA( BB P R C R S )) MD5(P SHA( CCC P R C R S )) Jens Kubieziel (FSU Jena) IT-Sicherheit 6. Januar / 14

13 (Un)sicherheit Bei SSL in der Version 2.0 werden identische Schlüssel für Authentifizierung und Verschlüsselung verwendet wird eine schwache Konstruktionsvariante von MACs verwendet gibt es keinen Schutz für den Handshake Alle aktuellen Browser setzen keine Version 2.0 mehr ein. Jens Kubieziel (FSU Jena) IT-Sicherheit 6. Januar / 14

14 (Un)sicherheit Downgrade des Protokolls Rogue-CA Kaputte CAs BEAST Jens Kubieziel (FSU Jena) IT-Sicherheit 6. Januar / 14