Grundlagen der Kryptographie

Transkript

1 Grundlagen der Kryptographie Geschichte Einfache Verschlüsselungsverfahren Symmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselungsverfahren Authentisierung H. Lubich Sicherheit in Datennetzen Grundlagen 1

2 Kryptologie als wissenschaftliches Gebiet Kryptologie ist die Wissenschaft der algorithmischen Methoden zur Sicherung der Information Kryptographie: Entwurf neuer Verfahren für die Informationssicherung Symmetrische Verfahren: Kommunikationspartner haben ein gemeinsames Geheimnis Asymmetrische (public-key) Verfahren: Kein gemeinsames Geheimnis notwendig Kryptoanalyse: Das Brechen von Verfahren (Entschlüsseln, Herausfinden von Schlüsseln aufgrund der erhältlichen Information) H. Lubich Sicherheit in Datennetzen Grundlagen 2

3 Ägypter, Perser, Griechen Cäsar: Cäsar-Code Geschichte Frühmittelalter: verschlüsselte Runen (Stein in Rök, Schweden) ab 10. Jh: Klerus: Mythen, Latein ab 16. Jh: Politik, z.b. Maria Stuart 1. Weltkrieg: Telegramm von Zimmermann 2. Weltkrieg: U-Boot-Krieg, Enigma, Pearl Harbor 1948 Shannon's Informationstheorie 1974 Data Encryption Standard (DES) 1976 Public Key Cryptography (Diffie und Hellman) 1977 Digitale Unterschriften (Rivest, Shamir, Adleman) H. Lubich Sicherheit in Datennetzen Grundlagen 3

4 Modell eines Kommunikationskanals Angreifer clear text Klartext clear text Klartext Geheimnis cyphertext Chiffrat Sicherheitstransformation Sicherheitstransformation Geheimnis Sender Vertrauenswürdige Instanz Empfänger H. Lubich Sicherheit in Datennetzen Grundlagen 4

5 Einfache Verschlüsselungsverfahren Cäsar-Verschlüsselung A F B G C H D I... X C Y D Z E Alphabetische Substitution A X B R C S D L... X W Y I Z M H. Lubich Sicherheit in Datennetzen Grundlagen 5

6 Symmetrische Verschlüsselungsverfahren Sender Alice Angreifer Empfänger Bob Klartext m Chiffrat c Verschlüsselung Entschlüsselung Klartext m geheimer Schlüssel vertraulicher u. authentischer Kanal geheimer Schlüssel H. Lubich Sicherheit in Datennetzen Grundlagen 6

7 One-Time Pad (Vernam, 1917) Sender Alice Klartext m Bitweises XOR Chiffrat c Empfänger Bob Klartext m Schlüssel = Zufallsfolge vertraulicher u. authentischer Kanal Schlüssel = Zufallsfolge H. Lubich Sicherheit in Datennetzen Grundlagen 7

8 Verschlüsselung mit Pseudo-Zufallsfolgen Sender Alice Klartext Bitweises XOR Chiffrat c Empfänger Bob Klartext Pseudo-Zufallsgenerator Schlüssel s Schlüssel s H. Lubich Sicherheit in Datennetzen Grundlagen 8

9 Pseudozufallsgenerator Linear feedback shift register Mathematische Behandlung möglich: Algebraische Kryptologie H. Lubich Sicherheit in Datennetzen Grundlagen 9

10 Data Encryption Standard (DES) 1977 vom (US) National Bureau of Standards (heute NIST) als Standard für die USA verabschiedet. Arbeitet auf 64-Bit Blöcken, mit 56-Bit Schlüsseln Ursprünglich von IBM entwickelt (LUCIFER), mit 128-Bit Schlüsseln Kontroversen um Schlüssellänge und die Tatsache, dass die Design-Kriterien der "S-Boxen" nie offengelegt wurden Breite Anwendung begünstigt durch Verfügbarkeit vieler Implementationen (Software und Hardware) Kann auch heute als vernünftig sicher betrachtet werden, bei Bedarf bessere Sicherheit durch Triple-DES. H. Lubich Sicherheit in Datennetzen Grundlagen 10

11 DES-Verschlüsselungsvorgang I H. Lubich Sicherheit in Datennetzen Grundlagen 11

12 DES-Verschlüsselungsvorgang II Verschlüsselung in 16 Runden Jede Runde arbeitet auf 64 Bit K i entsteht für jede Runde durch Rotation, Permutation und Kompression aus K i-1 Entschlüsselung wie Verschlüsselung mit umgekehrter Folge von K i 32 Bit 32 Bit L i-1 R i-1 Expansion 48 K i Substitution: Substitution S1 S2 S3 S4 S5 S6 S7 S Permutation 32 L i-1 R i-1 H. Lubich Sicherheit in Datennetzen Grundlagen 12

13 International Data Encryption Algorithm (IDEA) Symmetrisches Kryptoverfahren mit ähnlichem Ansatz wie DES Entwickelt 1991 von X. Lai und J. Massey an der ETH Zürich (nach ca. 15 Jahren Erfahrung mit DES!) Arbeitet auf 64-Bit Klartextblöcken, mit 128-Bit Schlüsseln Basiert auf drei Primitivoperationen (XOR, "Addition", "Multiplikation") (DES nur auf XOR); schwierig zu brechen Effizient implementierbar in Hard- und Software H. Lubich Sicherheit in Datennetzen Grundlagen 13

14 Blowfish ( Steckerkompatibler Ersatz für DES und IDEA 64-Bit Blockchiffrierung Schlüssellängen 32 bis 448 Bit Designer: Bruce Schneier Schneller als DES und IDEA Nicht patentiert, ohne Lizenz frei verwendbar Quellcode gratis erhältlich (ftp://ftp.replay.com/pub/replay/pub/crypto/libs/blowfish/) Hat bisher allen Attacken widerstanden H. Lubich Sicherheit in Datennetzen Grundlagen 14

15 Betriebsarten von Blockverschlüsselungsverfahren Electronic Codebook Mode (ECB): blockweise Verschlüsselung; gefährlich bei längeren und strukturierten Klartexten Cypher Block Chaining (CBC): Blockweises Mischen mit Zufallswerten Output Feedback (OFB): Blockcypher wird rückgekoppelt als Pseudo-Zufallsgenerator eingesetzt Cipher Feedback (CFB): ähnlich OFB, jedoch wird c rückgekoppelt; selbstsynchronisierend H. Lubich Sicherheit in Datennetzen Grundlagen 15

16 Cypher Block Chaining (CBC) Verschlüsselung Entschlüsselung m 1 m 2 m 3 m 1 m 2 m 3 IV IV V V V E E E c 1 c 2 c 3 c 1 c 2 c 3 IV: Initialisierungsvektor (Zufallszahl, wird klar übertragen) H. Lubich Sicherheit in Datennetzen Grundlagen 16

17 Output Feedback (OFB) m i c i V S r i r i-1 SP IV SP: Speicher Die Pseudozufallssequenz r wird unabhängig von m erzeugt; der Initialisierungsvektor IV wird als Klartext übertragen H. Lubich Sicherheit in Datennetzen Grundlagen 17

18 IV Cipher Feedback (CFB) 64-j j 64 V j j 64 V 64 j m 1 irrelevant j irrelevant j j j c 2 c 1 j m 2 H. Lubich Sicherheit in Datennetzen Grundlagen 18

19 Überprüfung der Authentizität und Integrität Prüfung der Echtheit von Information, Systembenutzern, Prozessen, Personen, Gegenständen aller Art Bei einem symmetrischen Verfahren: Erfolgreiches Entschlüsseln impliziert Kenntnis des Schlüssels durch den Absender, somit ist die Nachricht authentisch und wurde nicht verändert. Aber: Wie erkenne ich, dass ich erfolgreich entschlüsseln konnte? Aufgrund des Formates des Klartexts (deutscher Text, Windows-Programm): implizite Redundanz. Durch die Überprüfung eines Authentifikators, Message Integrity Code (MIC) oder Message Authentication Code (MAC): explizite Redundanz. H. Lubich Sicherheit in Datennetzen Grundlagen 19

20 Ein einfacher MIC für die Authentisierung bei symmetrischer Verschlüsselung s m m V CRC Gen. MIC Achtung: Die Authentizität von m basiert auf der Authentizität von s! H. Lubich Sicherheit in Datennetzen Grundlagen 20

21 Asymmetrisches Verschlüsselungsverfahren Sender Alice Angreifer Empfänger Bob Klartext m p B Chiffrat c Verschlüsselung Entschlüsselung Klartext m authentischer Kanal p' öffentlicher Schlüssel p B vertraulicher und authentischer Kanal Schlüsselgenerator geheimer Schlüssel s B H. Lubich Sicherheit in Datennetzen Grundlagen 21

22 Diffie-Hellman (1976) Diffie und Hellmann: Erfinder der asymmetrischen Chiffrierverfahren (mit einem öffentlichen und einem geheimen Schlüssel) Experiment: Wir vereinbaren?????? Wählen Sie eine ganze Zahl x T, 0 < x T < 10. Berechnen Sie Ihren öffentlichen Schlüssel y T =? x T und teilen Sie mir diesen mit. Ich mache das gleiche und teile Ihnen y M = 16 mit. Sie berechnen k = (y M ) xt = 16 xt Ich berechne k = y T xm H. Lubich Sicherheit in Datennetzen Grundlagen 22

23 Diffie-Hellman, diesmal richtig... Benötigte Mathematik: Modulare Arithmetik - das Rechnen mit Resten: R n (a) ist der Rest r (zwischen 0 und n-1) bei einer ganzzahligen Division a DIV n = (q, r), so dass a = q*n+r Andere Schreibweise: a = r (mod n) Modulares Exponentieren: R n (a 3 ) = R n (a R n (a 2 )) Primzahlen sind positive Zahlen >= 2, die nur durch 1 und durch sich selbst teilbar sind. Eine Zahl g ist dann ein primitives Element modulo einer Primzahl p, wenn die Sequenz R p (g 0 ), R p (g 1 ), R p (g 2 ),... alle Zahlen zwischen 1 und p-1 enthält. 2, 6, 7, 8 sind primitive Elemente modulo 11 H. Lubich Sicherheit in Datennetzen Grundlagen 23

24 Diskreter Logarithmus Inversion der Exponentierung: Gegeben: Eine Primzahl p, ein primitives Element g modulo p und eine Zahl b, 0 < b < p Welches ist das kleinste e, so dass R p (g e ) = b? e existiert immer und ist der diskrete Logarithmus modulo p von b zur Basis g Beispiel: log 2 3 (mod 11) = 8, da 2 8 (mod 11) = 3 Anders als der "normale" Logarithmus ist der diskrete Logarithmus aufwendig zu berechnen. Für p > ist die Berechnung praktisch unmöglich: Einwegfunktion! H. Lubich Sicherheit in Datennetzen Grundlagen 24

25 Das Diffie-Hellman Protokoll vereinbart sind Primzahl p und ein primitives Element g unsicherer Kanal Alice wählt xa zufällig aus 0,..., p-2 ya = g xa (mod p) yb Bob wählt xb zufällig aus 0,..., p-2 yb = g xb (mod p) S AB =yb xa (mod p) ya S BA =ya xb (mod p) Es gilt: S AB = yb xa = (g xb ) xa = g xbxa = S BA Alice und Bob haben nun ein gemeinsames Geheimnis H. Lubich Sicherheit in Datennetzen Grundlagen 25

26 Sicherheit des Diffie-Hellman Systems Primzahl p sollte 512 bis 1024 Bit lang sein g sollte mindestens 60 Dezimalstellen aufweisen Es ist nicht bewiesen, dass das System nicht einfacher zu brechen ist als mit der Berechnung des diskreten Logarithmus Die wirkliche Schwierigkeit der Berechnung des diskreten Logarithmus ist unbekannt. H. Lubich Sicherheit in Datennetzen Grundlagen 26

27 Rivest-Shamir-Adleman (RSA, 1977) Generieren der Schlüssel: Berechnen zweier grosser Primzahlen p und q m = p q und f = (p - 1) (q - 1) Wahl von e teilerfremd zu f Berechnung von d, so dass e d = 1 (mod f) Öffentlicher Schlüssel: (m, e) Geheimer Schlüssel: d H. Lubich Sicherheit in Datennetzen Grundlagen 27

28 Verschlüsseln / Entschlüsseln mit RSA unsicherer Kanal Alice (Empfänger) generiert m, e und d hält d geheim x = c d (mod m) m, e c Bob (Sender) merkt sich (m, e) als Alice's öffentlicher Schlüssel Klartext x, Chiffrat c: c = x e (mod m) Chiffrier- und Dechiffrier-Algorithmen sind dieselben! H. Lubich Sicherheit in Datennetzen Grundlagen 28

29 Digitales Unterschreiben einer Nachricht (Feststellen der Authentizität) Alice (unterschreibt) generiert m, e und d hält d geheim unsicherer Kanal m, e Bob (prüft Unterschrift) merkt sich (m, e) als Alice's öffentlicher Schlüssel Nachricht x (mit Redundanz) u = x d (mod m) u Prüft Redundanz in x = u e (mod m) H. Lubich Sicherheit in Datennetzen Grundlagen 29

30 Bemerkungen zu RSA 1977 entdeckt von Rivest, Shamir und Adleman (MIT). Erstes Verfahren, das für digitales Unterschreiben verwendet werden konnte. Heute weltweit verwendet. In den USA patentiert (RSA Data Security Inc.) bis Öffentlicher Schlüssel muss authentisch sein -> Zertifizierung. f (und damit d) kann nur mit p und q berechnet werden. RSA beruht somit auf der Schwierigkeit des Faktorisierens von grossen Zahlen. Es ist nicht bewiesen, dass es keine schnellere Methode gibt! Rekord heute: Faktorisierung einer 143-stelligen Zahl. Wahl des Exponenten e ist unkritisch (oft e=3). Aufwand für Schlüsselgenerierung und Ver-/Entschlüsselung. H. Lubich Sicherheit in Datennetzen Grundlagen 30

31 Zertifikat: Datenstruktur für die Verbreitung öffentlicher Schlüssel Grundidee: Der öffentliche Schlüssel einer vertrauenswürdigen Zertifizierungsstelle (Certification Authority, CA) kann authentisch verbreitet werden. Die Unterschrift der CA bindet den Name und den öffentlichen Schlüssel eines Benutzers unfälschbar zusammen. Die Integrität eines Zertifikats kann von jedermann überprüft werden Name des Benutzers Öffentlicher Schlüssel des Benutzers Name einer vertrauenswürdigen Instanz (CA) Unterschrift der CA unter die Namen und den Schlüssel H. Lubich Sicherheit in Datennetzen Grundlagen 31

32 Effiziente Chiffrierung mit Session Key und symmetrischem Verfahren m DES, IDEA unsicherer Kanal Chiffrat c DES, IDEA s m symmetrische Verschlüsselung RSA unsicherer Kanal RSA Public Key Verschlüsselung Session Key s Zufallsgenerator verschlüsseln und unterschreiben entschlüsseln und Unterschrift prüfen H. Lubich Sicherheit in Datennetzen Grundlagen 32

33 Einweg- und Hashfunktionen Einwegfunktion: Funktion f, die eine Nachricht m in eine Nachricht n abbildet (transformiert), so dass n aus m einfach zu berechnen ist, die Berechnung einer Nachricht a, so das f(a) = n ist (Inverse von f), sehr aufwendig ist. Hashfunktion: Bildet eine Nachricht beliebiger Länge auf einen String fester Länge ab (z.b. 32 Bit Cyclic Redundancy Check, CRC). Einweg-Hashfunktion: Sowohl Einweg- als auch Hashfunktion. Kryptographisch sichere Hashfunktion: Funktion, für die es berechenmässig unmöglich ist, zwei Nachrichten zu finden, die den gleichen Hashwert ergeben. H. Lubich Sicherheit in Datennetzen Grundlagen 33

34 Beispiele von Einweg- und sicheren Hashfunktionen UNIX-Passwortverschlüsselung (Einweg-Hashfkt. crypt()) Message Digest 2 (MD2, RFC 1319): Nachricht mit m Bytes Länge wird auf 128 Bit gehasht. Message Digest 4 (MD4, RFC 1320): Optimiert für 32-Bit- Rechner, 128 Bit Hashcode Message Digest 5 (MD5, RFC 1321): Sicherere Variante von MD4, weniger auf Geschwindigkeit ausgerichtet. Secure Hash Algorithm (SHA): Als Standard vorgeschlagen vom US National Institute of Standards and Technology (NIST), Input max Bit, Output 160 Bit. H. Lubich Sicherheit in Datennetzen Grundlagen 34

35 Effizientes Unterschreiben m Einweg- Hashfunktion unsicherer Kanal. m wird klar übertragen m Einweg- Hashfunktion MIC MIC unterschreiben RSA unsicherer Kanal geheimer Schlüssel des Absenders RSA =? MIC vergleichen öffentlicher Schlüssel des Absenders H. Lubich Sicherheit in Datennetzen Grundlagen 35

36 Literatur Charlie Kaufman, Radia Perlman, Mike Speciner: Network Security Private Communication in a Public World, Prentice-Hall, 1995, ISBN: B. Schneier: Applied Cryptography, 2nd Ed (1995) John Wiley and Sons; ISBN: David Kahn: The Codebreakers, Revised Ed (1997) Simon & Schuster; ISBN: William Stallings: Network Security Essentials, (1999) Prentice Hall; ISBN: H. Lubich Sicherheit in Datennetzen Grundlagen 36