SSL/TLS im Detail. Eine Einführung in SSL/TLS, die Integration in (E)SMTP und die Nutzung mit Postfix

Transkript

1 SSL/TLS im Detail Eine Einführung in SSL/TLS, die Integration in (E)SMTP und die Nutzung mit Postfix

2 Postfix/TLS: Übersicht Motivation: Warum SMTP mit TLS? TLS: Das Protokoll Einbindung in Postfix und Konfiguration

3 Warum verschlüsseln? Authentifizierung zumeist mit Paßwörtern Abhören ist trivial Kryptographisch geschützte Verbindungen schützen gegen das Ausspähen von Paßwörtern schützen gegen Man in the Middle Angriffe gestatten den Einsatz von Public Key Authentifizierung

4 Und was ist mit DIGEST MD5? DIGEST MD5 überträgt nur Hashwerte Jede Übertragung hat Zufallskomponenten Hierdurch werden Replay Angriffe verhindert Abgehörte Konversationen angreifbar Ein Dictionary Angriff kann erfolgen Risikopotential? Angriff aufwendig... aber lohnend? Gleiche Paßworte häufig für viele Dienste

5 Verschlüsselungslösungen TLS Transportation Layer Security (vorm. SSL) TCP orientierte Lösung an der Verbindungsschicht SSH Secure Shell Login orientierte Lösung mit zusätzlichen Tunneln IPsec VPN Netzwerkorientierte Lösung für Netz zu Netz Verkehr

6 TLS: Historische Entwicklung Erste verbreitete Version SSLv2, noch mit Sicherheitsproblemen (Autor: Netscape) Erheblich überarbeitetes Protokoll SSLv3 (Netscape) IETF Standard RFC2246 als TLSv1 (entsprechend SSLv3.1 ) Januar 1999 Ergänzungen (z. B. AES in RFC3268) zugefügt TLSv1.1 als RFC4346 seit April 2006

7 TLS: Grundeigenschaften TLS ist verbindungsorientiert (anders als IPsec/VPN) TLS setzt auf einer bestehenden Verbindung auf TLS verlangt eine zuverlässige Verbindung (Vollständigkeit und Reihenfolge der Datenpakete müssen garantiert sein) TLS stellt genau einen Kanal in der Verbindung bereit, es gibt also kein Multiplexing oder zusätzliche Tunnel (anders als SSH)

8 TLS: Separate Ports Die ersten Protokolle, die mit SSL ergänzt wurden, erhielten separate Ports: https (port 443) statt http (port 80) pop3s (port 995) statt pop (port 110) imaps (port 993) statt imap4 (port 143) smtps (port 465) statt smtp (port 25)!?

9 TLS: Separate Vorschaltprozesse Direkt Client Process Mit TLS Client Process socket socket Server Process socket socket stunnel socket socket stunnel socket socket Server Process

10 TLS: Separate Ports/Prozesse Separate Ports gestatten es, TLS/SSL Protokoll Handling in separate Prozesse auszulagern Separate Prozesse erlauben ein höheres Sicherheitsniveau Separate Prozesse erschweren es dem Serverprozeß, Informationen über den Client zu sammeln Separate Ports verschlingen zu viele Well Known Ports

11 TLS: Protokollintegration Neuere Definitionen integrieren einen STARTTLS Befehl in die Protokolle: RFC2487/3207: STARTTLS for ESMTP RFC2817: Upgrade: TLS/1.0 for HTTP/1.1 RFC2595: STARTTLS for IMAP4 RFC2595: STLS for POP3

12 TLS: Algorithmen TLS definiert einen Satz von Algorithmen DHE DSS AES256 SHA SSLv3 Kx=DH Au=DSS Enc=AES(256) Mac=SHA1 AES256 SHA SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1 EDH RSA DES CBC3 SHA SSLv3 Kx=DH Au=RSA Enc=3DES(168) Mac=SHA1 EDH DSS DES CBC3 SHA SSLv3 Kx=DH Au=DSS Enc=3DES(168) Mac=SHA1 DES CBC3 SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1 DES CBC3 MD5 SSLv2 Kx=RSA Au=RSA Enc=3DES(168) Mac=MD5 DHE RSA AES128 SHA SSLv3 Kx=DH Au=RSA Enc=AES(128) Mac=SHA1 DHE DSS AES128 SHA SSLv3 Kx=DH Au=DSS Enc=AES(128) Mac=SHA1 AES128 SHA SSLv3 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1 IDEA CBC SHA SSLv3 Kx=RSA Au=RSA Enc=IDEA(128) Mac=SHA1 IDEA CBC MD5 SSLv2 Kx=RSA Au=RSA Enc=IDEA(128) Mac=MD5 RC2 CBC MD5 SSLv2 Kx=RSA Au=RSA Enc=RC2(128) Mac=MD5 DHE DSS RC4 SHA SSLv3 Kx=DH Au=DSS Enc=RC4(128) Mac=SHA1 RC4 SHA SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=SHA1 RC4 MD5 SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5 RC4 MD5 SSLv2 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD

13 TLS: Auswahl der Algorithmen Der Client sendet eine Liste der von ihm unterstützten Algorithmen, sortiert nach seinen Präferenzen Der Server wählt aus dieser Liste einen Algorithmus aus OpenSSL folgt dabei den Präferenzen des Clients OpenSSL API würde auch ermöglichen, Präferenzen des Servers zu verwenden

14 TLS: Symmetrische Verschlüsselung Symmetrische Verfahren (DES, AES, RC4) sind schnell Beide Seiten haben den gleichen geheimen Schlüssel, im Wesentlichen eine Zufallszahl Der Schlüssel wird aus dem Premaster Secret gewonnen, das der Client während des Handshakes generiert und zum Server schickt Der Client muß über einen guten Zufallsgenerator verfügen

15 TLS: Handshake ohne DHE Client sendet Hello mit Liste der Algorithmen Server sendet Antwort mit seinem Zertifikat Zertifikat enthält Identifikation Zertifikat enthält öffentlichen RSA Schlüsselteil Client sendet Premaster Secret verschlüsselt mit dem öffentlichen Schlüssel des Servers Server entschlüsselt das Secret mit seinem privaten RSA Schlüssel. Wenn er dies kann, hat er sich authentifiziert Jeder andere, der den privaten RSA Schlüssel hat, kann das Secret auch entschlüsseln und mitlesen (man ssldump : )

16 TLS: Handshake mit DHE Client sendet Hello mit Liste der Algorithmen Server sendet Antwort mit Zertifikat und DH Schlüssel Zertifikat enthält Identifikation (und öffentlichen RSA Schlüssel) Öffentlicher DH Schlüssel signiert mit privatem RSA Schlüssel DH Schlüssel wird vom Server jeweils frisch generiert Client sendet Premaster Secret verschlüsselt mit dem öffentlichen DH Schlüssel des Servers Server entschlüsselt das Secret mit seinem privaten DH Schlüssel Ein anderer, der den privaten RSA Schlüssel hat, kann das Secret nicht entschlüsseln, da ihm der DH Schlüssel unbekannt bleibt

17 TLS: Vor /Nachteile von DHE Diffie Hellman Exchange Erfordert gute Zufallszahlen auch beim Server Erfordert zusätzliche Rechenzeit durch Schlüsselgenerierung und zusätzliche private Schlüsseloperationen am Server Bietet Forward Secrecy da auch beim Bekanntwerden des privaten RSA Schlüssels des Servers keine Entschlüsselung möglich ist Erlaubt nur das Entschlüsseln je einer Sitzung, deren Schlüssel bekannt geworden ist

18 X.509 Zertifikate X.509 Zertifikate enthalten Informationen über ein Objekt (Server, Person) Ggf. zusätzliche Information, z. B. Rechte Den öffentlichen Schlüssel (zumeist RSA) des Objekts Eine Bestätigung ( Zertifikat ), daß alle Angaben zusammengehören und passen Eine Information über den Aussteller

19 X.509 Zertifikate: Modell Personalausweis enthält Bild Name, Geburtstag, Wohnort Stempel bzw. Unterschrift zur Bestätigung der Zusammengehörigkeit dieser Informationen Eine Information über den Aussteller (z. B. Einwohnermeldeamt

20 X.509 Zertifikate: Beispiel openssl x509 text in serv01_cert.pem Certificate: Data: Version: 3 (0x2) Serial Number: 8426 (0x20ea) Signature Algorithm: md5withrsaencryption Issuer: C=DE, ST=Brandenburg, L=Cottbus, O=Brandenburgische Technische Universitaet Cottbus, OU=Rechenzentrum, CN=BTU CA ( )/ Address=ca btu@tu cottbus.de Validity Not Before: May 4 14:31: GMT Not After : Jun 4 14:31: GMT Subject: C=DE, ST=Brandenburg, L=Cottbus, O=Brandenburgische Technische Universitaet Cottbus, OU=Lehrstuhl Allgemeine Elektrotechnik und Num. Feldberechnung, CN=serv01.aet.tu cottbus.de/ address=postmaster@serv01.aet.tu cottbus.de Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:97:c1:f8:aa:d8:50:52:67:36:2a:48:d0:27:53:... Exponent: (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Key Usage: Digital Signature, Key Encipherment X509v3 Subject Alternative Name: postmaster@serv01.aet.tu cottbus.de X509v3 CRL Distribution Points: URI: Cottbus.De/CA/ /btu ca.crl Netscape Cert Type: SSL Server

21 X.509 Zertifikate: Beispiel DN Distinguished Name des Objekts Subject: C=DE, ST=Brandenburg, L=Cottbus, O=Brandenburgische Technische Universitaet Cottbus, OU=Lehrstuhl Allgemeine Elektrotechnik und Num. Feldberechnung, CN=serv01.aet.tu cottbus.de/ address Darstellung (,/= usw) durch Programm, nicht im Zertifikat kodiert!

22 X.509 Zertifikate: Beispiel DN Distinguished Name des Ausstellers Issuer: C=DE, ST=Brandenburg, L=Cottbus, O=Brandenburgische Technische Universitaet Cottbus, OU=Rechenzentrum, CN=BTU CA ( )/ Address=ca

23 X.509 Zertifikate: Beispiel Extensions X509v3 Basic Constraints: CA:FALSE X509v3 Key Usage: Digital Signature, Key Encipherment X509v3 Subject Alternative Name: cottbus.de X509v3 CRL Distribution Points: URI: Cottbus.De/CA/ /btu ca.crl

24 X.509 Zertifikate: Probleme Es gibt nur einen CN CommonName Lösung: Verwendung des Subject Alternative Names Hier sind mehrere dnsname Einträge möglich Es gibt mehr als einen CN CommonName Die meisten Applikationen verwenden aber nur den Ersten... Zertifizierungsstelle (CA) sind nicht unumstritten Verwendung einer eigenen CA hat Vor und Nachteile

25 TLS: Durchsatz/Performance Durchsatz wird durch symmetrischen Algorithmus bestimmt und sollte immer gut genug sein Der Handshake ist sehr aufwendig, da Operationen mit den privaten Schlüsseln notwendig sind (Signieren, Entschlüsseln) Problem von HTTPS bekannt, da dort viele Verbindungen aufgebaut werden müssen Lösung: TLS Session Caching

26 TLS: Session Caching Nach erfolgreichem Handshake werden gespeichert: Authentifizierungsdaten und status der Gegenstelle Ausgehandelte kryptographische Algorithmen Premaster Secret Damit kann eine neue Verbindung unter Verwendung der alten Session ohne teuren Handshake aufgebaut werden (nacheinander oder parallel) Aufwand immer noch hoch, vgl. SMTP Session Caching

27 STARTTLS Protokoll ESMTP (Enhanced SMTP) wird um STARTTLS Option und Befehl erweitert (RFC2487/3207) STARTTLS wird in der EHLO Antwort aufgelistet STARTTLS wird vom Client geschickt Server antwortet (mit 220 Go on...) TLS Handshake wird ausgeführt SMTP Verbindung wird fortgesetzt mit EHLO

28 STARTTLS: Sicherheit Die EHLO Antwort könnte verfälscht worden sein. Daher darf ein Client auch STARTTLS senden, wenn kein STARTTLS angeboten wurde Der Client muß prüfen, ob das Zertifikat der Gegenstelle den Erwartungen entspricht Was sind die Erwartungen? Nach dem STARTTLS wird ein neues EHLO abgesetzt, da die erste EHLO Antwort verfälscht sein könnte der Server mit TLS andere Optionen anbieten könnte

29 STARTTLS: Beispiel 1 telnet serv01.aet.tu cottbus.de serv01.aet.tu-cottbus.de ESMTP Postfix EHLO lutzpc 250-serv01.aet.tu-cottbus.de 250-PIPELINING 250-SIZE VRFY 250-ETRN 250-STARTTLS 250 8BITMIME STARTTLS 220 Ready to start TLS...

30 STARTTLS: Beispiel 2 openssl s_client starttls smtp connect serv01.aet.tucottbus.de: serv01.aet.tu-cottbus.de ESMTP Postfix EHLO lutz 250-serv01.aet.tu-cottbus.de 250-PIPELINING 250-SIZE VRFY 250-ETRN 250-AUTH LOGIN PLAIN 250 8BITMIME...

31 STARTTLS: Authentifizierung Bei TLS wird zwingend das Zertifikat des Servers übertragen Algorithmen ohne Server Zertifikat sind in OpenSSL per default abgeschaltet Algorithmen ohne Server Zertifikat können von der jeweiligen Applikation aber aktiviert werden

32 STARTTLS: Authentifizierung Der Client kann ein Zertifikat übersenden, wenn der Server ihn dazu auffordert Der Server liefert eine Liste der ihm bekannten CAs mit OpenSSL Client ist nicht standardkonform und sendet das konfigurierte Zertifikat, auch wenn keine passende CA gefunden wurde Automatische Auswahl eines richtigen Client Zertifikats schwer zu implementieren, da die komplette Chain passen muß Authentifizierung mit Client Zertifikaten im STARTTLS Standard nicht durchdacht

33 Postfix und TLS Die Integration von TLS in Postfix beeinflußt 3 Hauptkomponenten: smtpd (eingehende Verbindungen) smtp (ausgehende Verbindungen) tlsmgr (Hilfsfunktionen)

34 Postfix und TLS Struktur: <---seed seed---> Network-> smtpd(8) tlsmgr(8) smtp(8) ->Network <-session-> <-session-> / \ / \ smtpd PRNG smtp session state session key cache file key cache (Source: Wietse Venema: Postfix 2.2, TLS_README)

35 Postfix: smtpd smtpd wurde erweitert, um das STARTTLS Protokoll zu unterstützen Nach erfolgreichem STARTTLS Handshake wird SSL_accept() aufgerufen Bei erfolgreichem TLS Handshake wird Verbindung verschlüsselt weitergeführt Bei Handshake Fehler ist der Status der Gegenstelle unbekannt und die Verbindung muß abgebrochen werden

36 Postfix: smtpd Optionen smtpd_tls_cert_file, smtpd_tls_key_file enthalten den öffentlichen und privaten Schlüssel smtpd_tls_cafile, smtpd_tls_capath enthalten File bzw. Verzeichnis mit CA Liste smtpd_tls_security_level aktivieren (may) bzw. erzwingen (encrypt) TLS global smtpd_tls_session_cache_database Datenbank mit TLS session cache (per tlsmgr)

37 Postfix: smtpd Optionen smtpd_tls_loglevel Ausgaben im Level 1 4, empfohlen 1 smtpd_tls_received_header Ausgabe der TLS Informationen im Header smtpd_tls_auth_only Unterstütze AUTH nur für TLS geschützte Verbindungen

38 Postfix: smtpd Optionen smtpd_tls_ask_ccert, smtpd_tls_req_ccert erfragen bzw. erfordern eines Client Zertifikats relay_clientcerts, permit_tls_clientcerts, permit_tls_allclientcerts, check_ccert_access Freigabe für Mail Weiterleitung basierend auf Client Zertifikat, Datenbank/Tabelle mit Fingerprints

39 Postfix: smtp smtp wurde erweitert, um das STARTTLS Protokoll zu unterstützen Nach erfolgreichem STARTTLS Handshake wird SSL_connect() aufgerufen Bei erfolgreichem TLS Handshake wird Verbindung verschlüsselt weitergeführt Bei Handshake Fehler ist Status der Gegenstelle unbekannt und die Verbindung muß abgebrochen werden

40 Postfix: smtp Optionen smtp_tls_cert_file, smtp_tls_key_file Öffentlicher bzw. privater Schlüssel smtp_tls_cafile, smtp_tls_capath Datei bzw. Verzeichnis mit CA Zertifikaten smtp_tls_security_level Benutze TLS wenn angeboten (may) oder immer (encrypt) Mit Prüfung des Server Zertifikats (verify/secure) smtp_tls_policy_maps Auswahl von TLS Benutzung nach Ziel

41 Postfix: smtp Optionen smtp_tls_session_cache_database Datenbank mit Session Informationen (via tlsmgr) smtp_tls_loglevel Ausgabe mit Level 1 4, empfohlen 1 smtp_tls_note_starttls_offer Logge Informationen, welche Server STARTTLS angeboten hätten

42 Postfix: tlsmgr tlsmgr verwaltet Session Cache Datenbanken Datenbanken würde ohne Grenze wachsen tlsmgr läuft regelmäßig durch die Datenbanken und löscht alte Einträge Synchronisation erfolgt durch tlsmgr, welcher als einziger auf die Datenbanken zugreift tlsmgr koordiniert auch den Zugriff auf Zufallsgeneratoren nur nötig bei EGD mit begrenztem Vorrat

43 Postfix/TLS: Geschichte Ursprünglich entwickelt für spezielles Problem Postfix/TLS 0.1.0: März 1999 Entwicklung zur Fully Featured Ergänzung Wesentliche Entwicklungen: Pflege und Anpassung: Integration in Postfix Main Stream Postfix 2.2: März 2005 Inzwischen gepflegt durch Wietse Venema & Victor Duchovni

44 Tools OpenSSL SSLdump Stunnel

45 Kontaktdaten OpenSource Projekte jaenicke.de jaenicke.de/ Firmenkontakt Dr. Lutz Jänicke Innominate Security Technologies AG Albert Einstein Straße Berlin