Vorlesung Sicherheit

Transkript

1 Vorlesung Sicherheit Dennis Hoheinz ITI, KIT / 38

2 Überblick 1 Ergebnisse der Vorlesungsberagung 2 Benutzerauthentiikation Motivation Szenario Wörterbuchangrie Komprimieren des Wörterbuchs Rainbow Tables Angrie abwehren Parallelisierte Brute-Force-Angrie Die Realität Interaktive Nutzerauthentiikation 2 / 38

3 Ergebnisse der Vorlesungsberagung Sehr viele nützliche Kommentare, vielen Dank! Bewertung in Zahlen positiv Bei Anschaulichkeit und Arbeitsauwand große Streuung Gut geallen hat: Seitenkanal-VL, Verweis au Forschung/Anwendung Interaktion/Gelegenheit zu Fragen Details: Fragen wiederholen, Zusammenassungen, Doktor Meta 3 / 38

4 Ergebnisse der Vorlesungsberagung Nicht gut geallen hat: Pseudo-Formalismus Zuwenige konkrete Anwendungen/aktuelle Forschung Big Picture ehlt teilweise Einige Grundlagen nicht wiederholt (Gruppen, Graphen Taelbilder nicht digital verügbar, sonst wenige Bilder Übungen zu schwer (sind Klausuren auch so? Details: manchmal Herumreden, Verahren ungenau/nicht ausührlich beschrieben, Reihenolge Theorie Praxis 4 / 38

5 Ergebnisse der Vorlesungsberagung Feedback von mir: Interaktion ist rege und gut (aber gerne mehr! Mehr eigene Wünsche einbringen (geeignetes Forum? 5 / 38

6 Überblick 1 Ergebnisse der Vorlesungsberagung 2 Benutzerauthentiikation Motivation Szenario Wörterbuchangrie Komprimieren des Wörterbuchs Rainbow Tables Angrie abwehren Parallelisierte Brute-Force-Angrie Die Realität Interaktive Nutzerauthentiikation 6 / 38

7 Überblick 1 Ergebnisse der Vorlesungsberagung 2 Benutzerauthentiikation Motivation Szenario Wörterbuchangrie Komprimieren des Wörterbuchs Rainbow Tables Angrie abwehren Parallelisierte Brute-Force-Angrie Die Realität Interaktive Nutzerauthentiikation 7 / 38

8 Motivation Szenario: Nutzer U möchte sich au Server S einloggen Frage: Was zeichnet U aus? Üblich: U kennt Passwort pw Möglich: biometrische Merkmale (Fingerabdruck, Irisscan Etwas exotischer: Wissen/Fähigkeiten von U Annahme zunächst: U kennt Passwort pw Frage: Wie könnte/sollte Überprüung aussehen? 8 / 38

9 Erster Versuch Erster Versuch: U pw pw S pw (Server vergleicht pw mit ür U gespeichertem Passwort Frage: Warum nicht optimal? Antwort: Server kennt pw Problematisch, weil Server alle pw kennt Server korrumpiert alle pw öentlich Heikel: Nutzer verwenden pw evtl. auch bei anderen Diensten 9 / 38

10 Zweiter Versuch Zweiter Versuch (schon angerissen bei Hashunktionen: U pw H(pw S H(pw Idee: Server speichert nur H(pw ür Hashunktion H Frage: Verbesserung? Server muss nur H(pw (und nicht pw speichern Bringt keine Verbesserung, weil H(pw schon hinreichend! Besser: U pw pw S H(pw (Server wendet H au Nutzereingabe an und vergleicht 10 / 38

11 Ziel Ziel: Das Verahren U pw pw S H(pw näher beleuchten (Angrie, Verbesserungen, Implementierungen 11 / 38

12 Überblick 1 Ergebnisse der Vorlesungsberagung 2 Benutzerauthentiikation Motivation Szenario Wörterbuchangrie Komprimieren des Wörterbuchs Rainbow Tables Angrie abwehren Parallelisierte Brute-Force-Angrie Die Realität Interaktive Nutzerauthentiikation 12 / 38

13 Angrisziel Szenario: Server korrumpiert, (Liste von H(pw bekannt Angrisziel: Finde pw Bei sicherer Hashunktion H schwierig, H zu invertieren wenn H-Eingabe pw gleichverteilt gewählt Aber: Passwörter üblicherweise nicht gleichverteilt 13 / 38

14 Häuige Passwörter Passwort-Hitliste: (englischsprachig, 2012, Quelle: SplashData 10 baseball dragon 7 letmein 6 monkey 5 qwerty 4 abc password Kommen diese Passwörter ot vor? (Quelle: Mark Burnett 91% nutzen eins der 1000 häuigsten Passwörter 99, 8% nutzen eins der häuigsten Passwörter 14 / 38

15 Überblick 1 Ergebnisse der Vorlesungsberagung 2 Benutzerauthentiikation Motivation Szenario Wörterbuchangrie Komprimieren des Wörterbuchs Rainbow Tables Angrie abwehren Parallelisierte Brute-Force-Angrie Die Realität Interaktive Nutzerauthentiikation 15 / 38

16 Wörterbuchangrie Gegeben: H(pw und ein Wörterbuch Ziel: Finde pw Vorgehen: Vergleiche H(pw mit H(pw ür alle Wörterbucheinträge pw Problem: Sehr langsam, wenn Wörterbuch riesig Hier: einige Annahmen über Passwort Server erzwingt nichttriviale Passwörter Passwort nicht trivial ratbar ( Wörterbuch groß 16 / 38

17 Wörterbuchangri Problem: Wörterbuchangri langsam Lösung: Sortiere Wörterbuch nach Hashwert: ( H(pw 1, pw 1 ( H(pw 2, pw mit H(pw 1 < H(pw 2 <... Sortieren einmal nötig, danach binäre Suche möglich Allerdings: hoher Speicherplatzbedar, wenn Liste lang 17 / 38

18 Überblick 1 Ergebnisse der Vorlesungsberagung 2 Benutzerauthentiikation Motivation Szenario Wörterbuchangrie Komprimieren des Wörterbuchs Rainbow Tables Angrie abwehren Parallelisierte Brute-Force-Angrie Die Realität Interaktive Nutzerauthentiikation 18 / 38

19 Wörterbuchangri Problem: Wörterbuch zu groß Idee: Tausche Speicherplatz gegen Rechenzeit (Time-Memory-Tradeo Genauer: Verlagere Arbeit Wörterbuch verkleinert Fehlende Teile beim Angri selektiv rekonstruiert Schwierigkeit: nur benötigte Teile sollen rekonstruiert werden 19 / 38

20 Grundidee Grundidee: betrachte Ketten von Hash-Passwort-Paaren (H(pw 1,1, pw 1,1 (H(pw 2,1, pw 2,1 (H(pw n,1, pw n,1 (H(pw 1,2, pw 1,2 (H(pw 2,2, pw 2,2... (H(pw n,2, pw n, (H(pw 1,m, pw 1,m (H(pw 2,m, pw 2,m (H(pw n,m, pw n,m Hier Funktion, die nächstes Tupel aus vorherigem ableitet Ergibt matrixartige Anordnung, spart so noch keinen Platz Tatsächlich geht Sortierung verloren, Angri unklar 20 / 38

21 Grundidee Reparieren: so unktioniert Angri jetzt (H(pw 1,1, pw 1,1 (H(pw n,1, pw n,1 (H(pw 1,2, pw 1,2... (H(pw n,2, pw n, Sortiere Liste initial nach Endpunkten H(pw i,m Wähle, das nur von Hashwert abhängt (H(pw 1,m, pw 1,m (H(pw n,m, pw n,m Angreier kann nun gegebenes H(pw mit weiterentwickeln: H(pw (H(pw 1, pw 1 (H(pw 2, pw und in der Liste der Endpunkte (eizient binär! suchen 21 / 38

22 Grundidee Angenommen, Angreier indet gemeinsamen Endpunkt: (H(pw i,1, pw i,1 H(pw (H(pw i,2, pw i,2 (H(pw 1, pw 1 mit pw m = pw i,m und m m Angreier geht i-te Kette in Liste von vorn durch (H(pw i,m, pw i,m (H(pw m, pw m Honung: (H(pw, pw taucht au (dann pw geunden Problem bei -Kollision (dann gemeinsames Kettenende bei unterschiedlichen Ketten möglich 22 / 38

23 Wie die Liste komprimiert wird Beobachtung: nur Anangs- und Endpunkte der Liste (H(pw 1,1, pw 1,1 (H(pw n,1, pw n,1 (H(pw 1,2, pw 1,2... (H(pw n,2, pw n, (H(pw 1,m, pw 1,m (H(pw n,m, pw n,m benötigt (benötigter Rest kann on-the-ly generiert werden Konsequenz: Liste kann au (H(pw 1,1, pw 1,1, (H(pw 1,m, pw 1,m... (H(pw n,1, pw n,1, (H(pw n,m, pw n,m komprimiert werden (spart Faktor m/2 an Speicherplatz 23 / 38

24 Anorderungen an Funktion sollte einige Anorderungen erüllen sollte sinnvolle Passwörter (mit Hashes ausgeben ((H(pw, pw sollte nur von H(pw abhängen (damit Angreier au gegebenes H(pw anwenden kann sollte hinreichend kollisionsresistent sein Insbesondere: sollte Passwortraum gut abdecken Spagat: willkürlich genug, um Kollisionen zu vermeiden, aber nicht zu willkürlich, um häuige Passwörter zu inden Mögliches : nimmt die ersten 40 Bits von H(pw, arrangiert diese in eine sinnvolle Buchstaben-Sonderzeichen-Zahlenkombination pw und gibt (H(pw, pw aus 24 / 38

25 Überblick 1 Ergebnisse der Vorlesungsberagung 2 Benutzerauthentiikation Motivation Szenario Wörterbuchangrie Komprimieren des Wörterbuchs Rainbow Tables Angrie abwehren Parallelisierte Brute-Force-Angrie Die Realität Interaktive Nutzerauthentiikation 25 / 38

26 Rainbow Tables Problem komprimierter Listen: Überlappung von Ketten (H(pw i,1, pw i,1 (H(pw j,1, pw j,1 (H(pw i,2, pw i,2 (H(pw j,2, pw j, (H(pw i,m, pw i,m (H(pw j,m, pw j,m Sobald pw i,u = pw j,v (bel. u, v ist, sind Restzeilen gleich Viele Überlappungen schlechte Abdeckung der Liste Andererseits sollte nicht zu zuällig sein (Mögliche Lösung: benutze verschiedene u (u = Spalte 26 / 38

27 Rainbow Tables (Mögliche Lösung: benutze verschiedene u (u = Spalte (H(pw 1,1, pw 1,1 (H(pw 2,1, pw 2,1 (H(pw n,1, pw n,1 1 (H(pw 1,2, pw 1,2 1 (H(pw 2,2, pw 2, (H(pw n,2, pw n, m 1 (H(pw 1,m, pw 1,m m 1 (H(pw 2,m, pw 2,m m 1 (H(pw n,m, pw n,m Eekt: pw i,u = pw j,v zieht nur bei u = v Kollision der Restzeilen nach sich größere Abdeckung der Liste Namensgebung: j und j-te Spalte der Liste haben Farbe j Nachteil: Angri muss alle Farben von H(pw durchprobieren 27 / 38

28 Überblick 1 Ergebnisse der Vorlesungsberagung 2 Benutzerauthentiikation Motivation Szenario Wörterbuchangrie Komprimieren des Wörterbuchs Rainbow Tables Angrie abwehren Parallelisierte Brute-Force-Angrie Die Realität Interaktive Nutzerauthentiikation 28 / 38

29 Gesalzene Hashwerte Einache (und seit langem bekannte Gegenmaßnahme: U pw pw S (salt,h(salt,pw mit Zuallszahl salt gesalzener Hashwert Individualisiert pw, verhindert Wörterbuchangrie (einschließlich Angrien mittels Rainbow Tables 29 / 38

30 Key Strengthening Weitere einache Gegenmaßnahme: Key Strengthening Idee: erschwere H-Auswertung (ür Angreier und Server Beispiel: H (pw = H(H(... H(pw... }{{} 1000 Mal Oder: H (pw = H(pw, i ür kleinstes i N, so dass H(pw, i mit 20 Nullen beginnt (benötigt Durchprobieren 2 20 vieler i Verlangsamt Angri, verlangsamt aber auch Authentiikation Benutzt zum Beispiel von Truecrypt 30 / 38

31 Bessere Passwortwahl (? (xkcd.com 31 / 38

32 Überblick 1 Ergebnisse der Vorlesungsberagung 2 Benutzerauthentiikation Motivation Szenario Wörterbuchangrie Komprimieren des Wörterbuchs Rainbow Tables Angrie abwehren Parallelisierte Brute-Force-Angrie Die Realität Interaktive Nutzerauthentiikation 32 / 38

33 Parallelisierte Brute-Force-Angrie Idee: suche systematisch plausible Passwörter ab Lange Zeit praktisch auwändiger als z.b. Rainbow Tables Aber: bei geschickter Auteilung des Passwortraums parallelisierbar Insbesondere interessant ür Graphics Processing Units (GPUs Viele kleine programmierbare Einheiten au GPU, die einache Augaben (z.b. H-Auswertung übernehmen können Mittlerweile (2013 eizienter als Rainbow Tables Frage: welche Gegenmaßnahmen (Salt, Key Strengthening, bessere Passwörter helen hier? 33 / 38

34 Überblick 1 Ergebnisse der Vorlesungsberagung 2 Benutzerauthentiikation Motivation Szenario Wörterbuchangrie Komprimieren des Wörterbuchs Rainbow Tables Angrie abwehren Parallelisierte Brute-Force-Angrie Die Realität Interaktive Nutzerauthentiikation 34 / 38

35 Implementierungen Windows (seit 1980er, ME verwendet LM-Hashes H(pw U pw pw S H(pw mit DES-basierter Hashunktion H: pw muss 14 Zeichen lang sein (gg. augeüllt/abgeschnitten Kleinbuchstaben in pw durch Großbuchstaben ersetzt pw wird in 7-Zeichen-Blöcke pw 1, pw 2 augeteilt, dann: H(pw := ( Enc(pw 1, KGS!@#$%, Enc(pw 2, KGS!@#$% Erster Teil hängt nur von pw 1 ab, zweiter nur von pw 2 Frage: Was könnte Angreier tun, der nur H(pw kennt? 35 / 38

36 Implementierungen Windows ( XP unterstützt und speichert noch LM-Hashes Ab Windows Vista LM-Hashes standardmäßig deaktiviert Neuere Windows-Versionen verwenden NTLM oder Kerberos NTLM auch problematisch (nutzt schwache Verschlüsselung Unix-artige Systeme (OS X, Linux, *BSD verwenden seit etwa 1980 gesalzene Hashes: U pw pw S (salt,h(salt,pw Hashunktion H variiert (SHA-512, MD5, DES-basiert,... Probleme: rühe Versionen beschränkt au 8 Zeichen, Probleme mit Nicht-ASCII-pw 36 / 38

37 Überblick 1 Ergebnisse der Vorlesungsberagung 2 Benutzerauthentiikation Motivation Szenario Wörterbuchangrie Komprimieren des Wörterbuchs Rainbow Tables Angrie abwehren Parallelisierte Brute-Force-Angrie Die Realität Interaktive Nutzerauthentiikation 37 / 38

38 Motivation Für manche Anwendungen (E-Banking Passwörter nicht sicher genug Kommunikation zwischen U und S unsicher (Internetcae Wichtigstes Ziel: Replay-Angrie vermeiden Möglich: interaktive Authentiikation zwischen U und S Problem: U allein nicht sehr berechnungsmächtig Möglich: U nutzt sichere Hardware (Chipkarte/Lesegerät 1 U pw/pin HW K,pw R 2 U HW K,pw σ:=sig(k,r Manchmal ohne pw/pin (Nutzer setzt nur Chipkarte ein S K S K 38 / 38