SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen

Transkript

1 SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen Immo FaUl Wehrenberg Chaostreff Dortmund 16. Juli 2009 Immo FaUl Wehrenberg (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites 16. zu beschäftigen Juli / 16

2 Übersicht 1 Grundlagen 2 Ciphersuites 3 Mehr Sicherheit durch richtige Konfiguration Unsichere Ciphersuites Sichere Chiphersuites (nach aktuellem Stand der Forschung) 4 Fazit und Fragen Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites 16. zu beschäftigen Juli / 16

3 Kryptographie Übersicht Grundlagen Kryptographie kann man in drei grosse Bereiche unterteilen: symmetrische Krypto Sehr effizient (speed!) Jeder besitzt den gleichen Schlüssel Schlüssel muss über sicheren Kanal ausgetauscht werden Protokolle zum sicheren Schlüsselaustausch existieren (z.b.: Kerberos) und benötigen Langzeitschlüssel die vorher sicher ausgetauscht wurden. asymmetrische Krypto deutlich weniger effizient (am besten Elliptische Kurven mit Patenttretminen an jeder Ecke) gibt einen (öffentlichen) Verschlüsselungs- bzw. Verifikations-Schlüssel und einen (geheimen) Entschlüsselungs- bzw. Signatur-Schlüssel. Schlüssel kann über offenen Kanal ausgetauscht werden (ohne aktive Angreifer) Protokolle Kommunikationsvorschrift um bestimmte Sicherheitsziele zu erreichen Immo FaUl Wehrenberg (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites 16. zu beschäftigen Juli / 16

4 Crypto in der Praxis Grundlagen In der Praxis werden für jede Sitzung Sitzungsschlüssel ausgetauscht und für schnelle, symmetrische Verschlüsselung verwendet. Vorher bekannte Schlüssel werden Langzeitschlüssel genannt, sind oftmals Schlüssel für asymmetrische Kryptographie und werden zum sicheren Austausch der Sitzungschlüssel benutzt. Wie? Einfaches Protokoll: 1 Alice wählt Zufallszahl und sendet diese verschlüsselt mit dem Langzeitschlüssel von Bob zu Bob. 2 Beide benutzen diesen Schlüssel nun Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites 16. zu beschäftigen Juli / 16

5 Crypto in der Praxis Grundlagen In der Praxis werden für jede Sitzung Sitzungsschlüssel ausgetauscht und für schnelle, symmetrische Verschlüsselung verwendet. Vorher bekannte Schlüssel werden Langzeitschlüssel genannt, sind oftmals Schlüssel für asymmetrische Kryptographie und werden zum sicheren Austausch der Sitzungschlüssel benutzt. Wie? Einfaches Protokoll: 1 Alice wählt Zufallszahl und sendet diese verschlüsselt mit dem Langzeitschlüssel von Bob zu Bob. 2 Beide benutzen diesen Schlüssel nun Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites 16. zu beschäftigen Juli / 16

6 Grundlagen Forward Secrecy Forward Secrecy bedeutet: Wenn ein Langzeitschlüssel kompromitiert ist, dann sollte davon vorangegangene Kommunikation nicht betroffen sein. Also: Wenn der Langzeitschlüssel bekannt wird, soll man daraus nicht damit ausgetauschte Sitzungschlüssel wieder herstellen können, auch nicht wenn man alle anderen Offensichtlich: Protokoll auf der letzten Folie ist nicht Forward Secret, denn mit dem Langzeitschlüssel kann man jeden Sitzungsschlüssel entschlüsseln. Immo FaUl Wehrenberg (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites 16. zu beschäftigen Juli / 16

7 Grundlagen Forward Secrecy Forward Secrecy bedeutet: Wenn ein Langzeitschlüssel kompromitiert ist, dann sollte davon vorangegangene Kommunikation nicht betroffen sein. Also: Wenn der Langzeitschlüssel bekannt wird, soll man daraus nicht damit ausgetauschte Sitzungschlüssel wieder herstellen können, auch nicht wenn man alle anderen Offensichtlich: Protokoll auf der letzten Folie ist nicht Forward Secret, denn mit dem Langzeitschlüssel kann man jeden Sitzungsschlüssel entschlüsseln. Immo FaUl Wehrenberg (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites 16. zu beschäftigen Juli / 16

8 Grundlagen Diffie Hellman Key Exchange Methode um einen Schlüssel über abgehörten Kanal auszutauschen: Zwei Kommunikationspartner (Alice und Bob) Einer wählt eine große Primzahl n P und ein Generatorelement α, teilt dem anderen (n, α) (über einen unsicheren Kanal) mit Beide Kommunikationspartner wählen eine Zahl k Partner Jeder berechnet b Partner α k Partner mod n Alice sendet b Alice zu Bob, Bob sendet b Bob zu Alice Beide berechnen b k Partner α kk Bob Alice α kk Alice Bob mod n mod n Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites 16. zu beschäftigen Juli / 16

9 Grundlagen Diffie Hellman Key Exchange Methode um einen Schlüssel über abgehörten Kanal auszutauschen: Zwei Kommunikationspartner (Alice und Bob) Einer wählt eine große Primzahl n P und ein Generatorelement α, teilt dem anderen (n, α) (über einen unsicheren Kanal) mit Beide Kommunikationspartner wählen eine Zahl k Partner Jeder berechnet b Partner α k Partner mod n Alice sendet b Alice zu Bob, Bob sendet b Bob zu Alice Beide berechnen b k Partner α kk Bob Alice α kk Alice Bob mod n mod n mmo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites 16. zu beschäftigen Juli / 16

10 Grundlagen Diffie Hellman Key Exchange Methode um einen Schlüssel über abgehörten Kanal auszutauschen: Zwei Kommunikationspartner (Alice und Bob) Einer wählt eine große Primzahl n P und ein Generatorelement α, teilt dem anderen (n, α) (über einen unsicheren Kanal) mit Beide Kommunikationspartner wählen eine Zahl k Partner Jeder berechnet b Partner α k Partner mod n Alice sendet b Alice zu Bob, Bob sendet b Bob zu Alice Beide berechnen b k Partner α kk Bob Alice α kk Alice Bob mod n mod n mmo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites 16. zu beschäftigen Juli / 16

11 Grundlagen Forward Secrecy mit Diffie Hellman Key Exchange Kann man Forward Secrecy erreichen? Ja! Einfache Lösung: Schlüssel werden über Diffie Hellman Schlüsselaustausch ausgetauscht, keine Langzeitschlüssel werden dafür verwendet. Problem: Aktive Angreifer (Man in the Middle) Lösung: Jeder benutzt Langzeitschlüsses um seinen b Wert zu Signieren. Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites 16. zu beschäftigen Juli / 16

12 Grundlagen Forward Secrecy mit Diffie Hellman Key Exchange Kann man Forward Secrecy erreichen? Ja! Einfache Lösung: Schlüssel werden über Diffie Hellman Schlüsselaustausch ausgetauscht, keine Langzeitschlüssel werden dafür verwendet. Problem: Aktive Angreifer (Man in the Middle) Lösung: Jeder benutzt Langzeitschlüsses um seinen b Wert zu Signieren. Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites 16. zu beschäftigen Juli / 16

13 Grundlagen Forward Secrecy mit Diffie Hellman Key Exchange Kann man Forward Secrecy erreichen? Ja! Einfache Lösung: Schlüssel werden über Diffie Hellman Schlüsselaustausch ausgetauscht, keine Langzeitschlüssel werden dafür verwendet. Problem: Aktive Angreifer (Man in the Middle) Lösung: Jeder benutzt Langzeitschlüsses um seinen b Wert zu Signieren. Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites 16. zu beschäftigen Juli / 16

14 Übersicht Ciphersuites 1 Grundlagen 2 Ciphersuites 3 Mehr Sicherheit durch richtige Konfiguration Unsichere Ciphersuites Sichere Chiphersuites (nach aktuellem Stand der Forschung) 4 Fazit und Fragen Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites 16. zu beschäftigen Juli / 16

15 Cipher Suites Ciphersuites Wie bereits erwähnt: In der praxis nutzt man Asymmetrische Crypto, um symmetrische Sitzungsschlüssel auszutauschen Damit der Schlüsselaustausch erfolgreich funktioniert, müssen sich Client und Server darauf einigen, welche Algorithmen sie benutzen. Es gibt Cipher Suites, die festlegen welche Algorithmen zum Schlüsselaustausch und später für die Verschlüsselung benutzt werden Client und Server einigen sich auf genau so eine Ciphersuite Aufbau Name der Ciphersuite: EXP }{{} - EDH }{{} - DSS }{{} export key exchange signature - DES }{{} sym. Algo - CBC }{{} blockmode - SHA }{{} hash algo Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites 16. zu beschäftigen Juli / 16

16 Ciphersuites Abkürzungen in Cipher Suites Zum Nachschlagen: Was bedeuten diese ganzen Abkürzungen in den Cipher Suites (nur für die Zielsetzung dieses Vortrages benötigte) EXP Export Cipher NULL Null Cipher DSS Digital Signing Standard RSA RSA Signatur und Encryptionalgorithmus (je nach Position) DHE Diffie Hellmann Ephermal Schlüsselaustausch DH Non-Ephermal Diffie Hellmann ECDHE Elliptic Curve Diffie Hellman Ephermal Schlüsselaustausch ADH Anonymous Diffie Hellman Key Exchange DES DES Cipher 3DES 3DES Cipher DES-EDE 3DES Cipher DES-CBC3 3DES Cipher im Cipher Block Chaining Mode Immo FaUl Wehrenberg (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites16. zujuli beschäftigen / 16

17 Mehr Sicherheit durch richtige Konfiguration Zertifikate - was ist das wirklich Wert? Ein Zertifikat in der Krypto ist eine Signatur des Tupels (Identität, öffentlicher Schlüssel) In der Cryptoforschung werden Zertifikate von vertrauenswürdiger dritter Person (Trusted Thidr Party, TTP) erzeugt In der Praxis (zum Beispiel) von Verisign :-) Aber warum sollte man Verisign vertrauen? Zertifikate helfen, um plumpe Man in the Middle Angriffe zu verhindern, eröffnen aber durch blindem Vertrauen der Browser neue Probleme mehr Rant von mir dazu am Ende auf Nachfrage :-) Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites16. zujuli beschäftigen / 16

18 Mehr Sicherheit durch richtige Konfiguration Zertifikate - was ist das wirklich Wert? Ein Zertifikat in der Krypto ist eine Signatur des Tupels (Identität, öffentlicher Schlüssel) In der Cryptoforschung werden Zertifikate von vertrauenswürdiger dritter Person (Trusted Thidr Party, TTP) erzeugt In der Praxis (zum Beispiel) von Verisign :-) Aber warum sollte man Verisign vertrauen? Zertifikate helfen, um plumpe Man in the Middle Angriffe zu verhindern, eröffnen aber durch blindem Vertrauen der Browser neue Probleme mehr Rant von mir dazu am Ende auf Nachfrage :-) mmo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites16. zujuli beschäftigen / 16

19 Mehr Sicherheit durch richtige Konfiguration Zertifikate - was ist das wirklich Wert? Ein Zertifikat in der Krypto ist eine Signatur des Tupels (Identität, öffentlicher Schlüssel) In der Cryptoforschung werden Zertifikate von vertrauenswürdiger dritter Person (Trusted Thidr Party, TTP) erzeugt In der Praxis (zum Beispiel) von Verisign :-) Aber warum sollte man Verisign vertrauen? Zertifikate helfen, um plumpe Man in the Middle Angriffe zu verhindern, eröffnen aber durch blindem Vertrauen der Browser neue Probleme mehr Rant von mir dazu am Ende auf Nachfrage :-) mmo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites16. zujuli beschäftigen / 16

20 Mehr Sicherheit durch richtige Konfiguration Null Cipher, Export Ciphers Unsichere Ciphersuites Null Cipher: Null Algorithmus == Keine Verschlüsselung (!) Keine Sicherheit! Export Ciphers bis ende der 90 er Jahre, haben US-Gesetze starke Cryptographie wie Waffen behandelt. man brauchte komplizierte Ausfuhrgenemigungen Export in verschiedene Länder war ganz verboten Aus dieser Zeit gibt es noch diverse Ciphersuites mit 40Bit Schlüssellänge: EXP-EDH-DSS-DES-CBC-SHA EXP-ADH-RC4-MD5... Keine Sicherheit! Immo FaUl Wehrenberg (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites16. zujuli beschäftigen / 16

21 Mehr Sicherheit durch richtige Konfiguration Null Cipher, Export Ciphers Unsichere Ciphersuites Null Cipher: Null Algorithmus == Keine Verschlüsselung (!) Keine Sicherheit! Export Ciphers bis ende der 90 er Jahre, haben US-Gesetze starke Cryptographie wie Waffen behandelt. man brauchte komplizierte Ausfuhrgenemigungen Export in verschiedene Länder war ganz verboten Aus dieser Zeit gibt es noch diverse Ciphersuites mit 40Bit Schlüssellänge: EXP-EDH-DSS-DES-CBC-SHA EXP-ADH-RC4-MD5... Keine Sicherheit! Immo FaUl Wehrenberg (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites16. zujuli beschäftigen / 16

22 Mehr Sicherheit durch richtige Konfiguration DES, Anonymous Ciphers Unsichere Ciphersuites Data Encyption Standard - DES DES hat nur 56Bit Schlüssellänge und kann (mit Spezialhardware und vermutlich mit modernen Grafikkarten) in wenigen Tagen gebrochen werden DES also auch nicht erlauben als Cipher! (DES-EDE aka DES-EDE3 aka 3DES ist aber ok) Wenig Sicherheit! Anonymous Ciphers Es gibt SSL-Ciphersuites, bei denen keine Zertifikatüberprüfung stattfindet diese werden mit ADH (anonymous, nicht authenticated!) gekennzeichnet Beispiel: ADH-DES-CBC3-SHA... Angreifbar mit simplen Man in the Middle Angriff! Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites16. zujuli beschäftigen / 16

23 Mehr Sicherheit durch richtige Konfiguration DES, Anonymous Ciphers Unsichere Ciphersuites Data Encyption Standard - DES DES hat nur 56Bit Schlüssellänge und kann (mit Spezialhardware und vermutlich mit modernen Grafikkarten) in wenigen Tagen gebrochen werden DES also auch nicht erlauben als Cipher! (DES-EDE aka DES-EDE3 aka 3DES ist aber ok) Wenig Sicherheit! Anonymous Ciphers Es gibt SSL-Ciphersuites, bei denen keine Zertifikatüberprüfung stattfindet diese werden mit ADH (anonymous, nicht authenticated!) gekennzeichnet Beispiel: ADH-DES-CBC3-SHA... Angreifbar mit simplen Man in the Middle Angriff! Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites16. zujuli beschäftigen / 16

24 Mehr Sicherheit durch richtige Konfiguration Sichere Chiphersuites (nach aktuellem Stand der Forschung) Sichere Ciphersuites (nach aktuellem Stand der Forschung) Ohne Forward Secrecy Alle, bei denen (im wesentlichen) Schlüsselaustausch wie in dem naiven Beispiel am Anfang abläuft. Beispiele: Mit Forward Secrecy Alle Ciphersuites mit (ephermal) Diffie Hellmann:.. Dies sind die, die man immer bevorzugen sollte! Immo FaUl Wehrenberg (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites16. zujuli beschäftigen / 16

25 Mehr Sicherheit durch richtige Konfiguration Sichere Chiphersuites (nach aktuellem Stand der Forschung) Sichere Ciphersuites (nach aktuellem Stand der Forschung) Ohne Forward Secrecy Alle, bei denen (im wesentlichen) Schlüsselaustausch wie in dem naiven Beispiel am Anfang abläuft. Beispiele: Mit Forward Secrecy Alle Ciphersuites mit (ephermal) Diffie Hellmann:.. Dies sind die, die man immer bevorzugen sollte! Immo FaUl Wehrenberg (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites16. zujuli beschäftigen / 16

26 Fazit und Fragen Fazit Forward Secrecy ist cool, wenn der private Key verloren geht: Einbruch auf den Server Physikalische Zwänge (Durchsuchungsbefehl + Beschlagnamen), etc... SSL/TLS kann Forward Secrecy Forward Secrecy durch Konfiguration seines Browsers und seines Webservers erzwingbar. Start your Editor! Es lohnt sich zu gucken, was fuer Ciphersuites der Browser unterstützt und wie man seinem Webserver beibringt, nur Ciphersuites zu unterstützen, die auch Forward Secrecy mitbringen Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites16. zujuli beschäftigen / 16

27 Fazit und Fragen Fazit Forward Secrecy ist cool, wenn der private Key verloren geht: Einbruch auf den Server Physikalische Zwänge (Durchsuchungsbefehl + Beschlagnamen), etc... SSL/TLS kann Forward Secrecy Forward Secrecy durch Konfiguration seines Browsers und seines Webservers erzwingbar. Start your Editor! Es lohnt sich zu gucken, was fuer Ciphersuites der Browser unterstützt und wie man seinem Webserver beibringt, nur Ciphersuites zu unterstützen, die auch Forward Secrecy mitbringen Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites16. zujuli beschäftigen / 16

28 Fazit und Fragen Fragen Danke das ihr solange durchgehalten habt! Folien findet man bei uns im Wiki unter... Immo FaUl Wehrenberg (CTDO) SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites16. zujuli beschäftigen / 16