8. Von den Grundbausteinen zu sicheren Systemen

Transkript

1 Stefan Lucks 8. Grundb. sich. Syst. 211 orlesung Kryptographie (SS06) 8. Von den Grundbausteinen zu sicheren Systemen Vorlesung bisher: Bausteine für Kryptosysteme. Dieses Kapitel: Naiver Einsatz der Bausteine kann gefährlich sein! Beschreibung von Angriffszenarien, denen gute Kryptosysteme widerstehen können. Rest der Vorlesung: Wie setzt man die Bausteine, die wir haben, sinnvoll ein?

2 Stefan Lucks 8. Grundb. sich. Syst. 212 orlesung Kryptographie (SS06) 8.1 Naive PK-Krypto 8.1 Naiver Einstatz der PK-Kryptographie Öffentlicher Schlüssel (z.b. RSA: n, e) Klartext X Öffentliche Verschlüsselungsfunktion f (x) (RSA: f (x) = x e mod n) Chiffretext Y = f (X) Rate-Verifikationsangriff: Gegeben: Chiffretext Y, gesucht Klartext X. Für alle plausiblen ( ) Klartexte X : Wenn f (X ) = Y, dann gib X aus und STOP. Der Angriff ist effizient, wenn Entropie des Klartextes klein ist.

3 Stefan Lucks 8. Grundb. sich. Syst. 213 orlesung Kryptographie (SS06) 8.1 Naive PK-Krypto Diskussion Der Rate-Verifikationsangriff ist ein sehr ernstes Problem Nachrichten mit geringer Entropie kommen in der Praxis häufig vor. Ein Angreifer kann leicht eine begrenzte Anzahl (z.b. einige Milliarden) plausibler Klartexte generieren und überprüfen, ob einer davon der gesuchte Klartext ist. Gute Public-Key Verschlüsselung muss die Nachrichten deshalb randomisieren.

4 Stefan Lucks 8. Grundb. sich. Syst. 214 orlesung Kryptographie (SS06) 8.1 Naive PK-Krypto Beispiel Sei Y eine verschlüsselte Nachricht an einen Aktienhändler. Absender ist ein hochrangiger Mitarbeiter von Merck. Handelt es sich um die Anweisung, die Schering-Aktien im Besitz der Firma Merck zu verkaufen? Man stelle sich ein Programm vor, das einige Millionen oder Milliarden Variationen der Anweisung Schering verkaufen erzeugt und verschlüsselt. Zu den generierten Klartexten würden z.b. gehören kaufe die Schering-Aktien kaufe alle Schering-Aktien kaufe Schering-Aktien kaufe die Scherig-Aktien (Tippfehler!) kaufe alle Scherig-Aktien kaufe Scherig-Aktien

5 Stefan Lucks 8. Grundb. sich. Syst. 215 orlesung Kryptographie (SS06) 8.2 Naive RSA-Unterschriften 8.2 Naiver Einsatz von RSA-Unterschriften Verifikationsschlüssel: n, e Finde zwei Nachrichten X 1 und X 2, und einen Faktor b mit X 2 = X 1 b e mod n. Es sei X 1 ein harmloser Text, X 2 enthalte dagegen eine für den Angreifer vorteilhafte Aussage. Veranlasse den Unterzeichner (= Inh. des geh. Schl.) dazu, X 1 zu unterschreiben. Für die Unterschrift S 1 unter X 1 gilt: X 1 d mod n = S 1. Nun ist es leicht, eine Unterschrift S 2 unter X 2 zu berechnen. (Wie?)

6 Stefan Lucks 8. Grundb. sich. Syst. 216 orlesung Kryptographie (SS06) 8.2 Naive RSA-Unterschriften Diskussion Der Angriff mag nicht sonderlich plausibel erscheinen immerhin muss man zwei sinnvolle Nachrichten X 1 und X 2 finden, die in einer sehr speziellen algebraischen Beziehung zueinander stehen. Wie schwierig das ist, hängt aber von Faktoren ab, die außerhalb der Kryptographie liegen, und die der Kryptograph nicht beeinflussen kann. (Welche Nachrichten sind sinnvoll?) Die Sicherheit guter Kryptosysteme für Digitale Unterschriften darf nicht davon abhängen, welche Nachrichten in einem gegebenen Kontext als sinnvoll akzeptiert werden!

7 Stefan Lucks 8. Grundb. sich. Syst. 217 orlesung Kryptographie (SS06) 8.2 Naive RSA-Unterschriften Beispiel für einen Denial-of-Service Angriff Nachrichten: Messwerte von einem Sensorknoten. Angriff: Wähle Unterschrift S zufällig, schicke Messwert X = S e mod n drahtlos an Empfänger. Empfänger: Gültig unterschriebene aber (wahrscheinlich) total unplausible Nachricht X. Mögliche Reaktion: Sensorknoten defekt Empfänger ignoriert alle weiteren Nachrichten dieses Sensorknotens. Sichere Kryptosysteme für Digitale Unterschriften erlauben es dem Angreifer nicht einmal, Unterschriften unter zufällige Nachrichten zu fälschen. Naiv eingesetztes RSA ist in diesem Sinne kein sicheres Kryptosystem für Digitale Unterschriften.

8 Stefan Lucks 8. Grundb. sich. Syst. 218 orlesung Kryptographie (SS06) 8.3 Blockchiffren 8.3: Naiv eingesetzte Blockchiffren Von Haus aus kann man eine Blockchiffre benutzen, um Nachrichten der gegebenen Blocklänge b (z.b. b = 64 bit, b = 128 bit,... ) zu verschlüsseln. Was tue ich mit längeren Nachrichten? Wir teilen M in b-bit Blöcke M i {0, 1} b, ggf. mit Padding des letzten Blocks, und benutzen die Blockchiffre wie ein Elektronisches Codebuch ( Electronic Codebook ECB): C i := E K (M i ).

9 Stefan Lucks 8. Grundb. sich. Syst. 219 orlesung Kryptographie (SS06) 8.3 Blockchiffren Blockchiffren im ECB Modus M M2 M3 M 1 n Klartexte... C1 C2 C3 Cn Chiffretexte C i := E K (M i ). Der ECB Modus ist unsicher! (Warum?)

10 Stefan Lucks 8. Grundb. sich. Syst. 220 orlesung Kryptographie (SS06) 8.3 Blockchiffren ECB in der Praxis Der ECB Modus ist einer von vier im Zusammenhang mit dem DES offiziell standardisierten Modes of Operation ( Betriebsarten ). In vielen (schlechten!) DES- oder AES-basierten Krypto-Produkten wird der ECB-Modus verwendet (da formal standardkonform).

11 Stefan Lucks 8. Grundb. sich. Syst. 221 orlesung Kryptographie (SS06) 8.3 Blockchiffren Wie schwach ist der ECB Modus? Bei ECB-verschlüsselten Nachrichten kann der Angreifer ggf. sich wiederholende Textfragmente entdecken. Da sich bei normalen Nachrichten Textteile kaum wiederholen, dürfte dies eher eine theoretische Schwäche sein... oder?

12 Stefan Lucks 8. Grundb. sich. Syst. 222 orlesung Kryptographie (SS06) 8.3 Blockchiffren Ein ECB-verschlüsselter Chiffretext wie sieht wohl der Klartext aus?

13 Stefan Lucks 8. Grundb. sich. Syst. 223 orlesung Kryptographie (SS06) 8.3 Blockchiffren Der zugehörige Klartext (als Bitmap gespeichert):

14 Stefan Lucks 8. Grundb. sich. Syst. 224 orlesung Kryptographie (SS06) 8.3 Blockchiffren Das gleiche Bild, auf sichere Weise verschlüsselt:

15 Stefan Lucks 8. Grundb. sich. Syst. 225 orlesung Kryptographie (SS06) 8.4 Keine Authentizität 8.4 Keine Authentizität Beispiel: Verschlüsseltes Datenpaket mit einer dem Angreifer bekannten IP-Adresse im (verschlüsselten) Header... Das Datenpaket wird an einem Gateway entschlüsselt und innerhalb eines lokalen und sicheren Netzes an den vorgesehenen Empfänger weitergeleitet. Ein aktiver Angreifer kann die Empfängeradresse manipulieren und die entschlüsselte Nachricht an die eigene Adresse weiterleiten. Verschlüsselte Nachrichten nicht auch vor Manipulationen zu schützen kann gefährlich sein!

16 Stefan Lucks 8. Grundb. sich. Syst. 226 orlesung Kryptographie (SS06) 8.5 Sichere Betriebsarten Sichere Betriebsarten für Blockchiffren Die grundsätzliche Arbeitsweise einer Betriebsart ist unabhängig davon, welche Blockchiffre man verwendet. DES CFB AES CBC Counter.....

17 Stefan Lucks 8. Grundb. sich. Syst. 227 orlesung Kryptographie (SS06) 8.5 Sichere Betriebsarten Sicherheitsbeweise für Betriebsarten Eine Betriebsart kann unsicher sein, selbst wenn die verwendete Blockchiffre an sich sicher ist ( ECB). Umgekehrt kann es möglich sein, die Sicherheit einer Betriebsart formal zu beweisen. Dazu braucht man: 1. Eine Definition der (Sicherheits-)Anforderungen, die die Blockchiffre erfüllen muss. 2. Eine Definition der Sicherheit für die Betriebsart. Den Rest dieses Kapitels widmen wir einzelnen Sicherheitsdefinitionen für Betriebsarten.

18 Stefan Lucks 8. Grundb. sich. Syst. 228 orlesung Kryptographie (SS06) 8.5 Sichere Betriebsarten Sicherheitsbeweise für Betriebsarten (2) Sicherheitsresultate sind wie ein Vertrag zwischen dem Nutzer einer Betriebsart und ihrem Designer: Verpflichtung des Nutzers: Wähle Blockchiffre, die die gestellten Anforderungen erfüllt. Verpflichtung des Designers: Sicherheit des Gesamtsystems. Der Vertrag ist nichtig, wenn der Nutzer seine Verpflichtung nicht erfüllt. Sicherheitsbeweise haben typischerweise die folgende Gestalt: Nimm an, dass es einen Angriff M auf die Betriebsart gibt. Zeige, dass es dann einen Angriff auf die Blockchiffre gibt dabei kann der hypothetische Angriff M als Unterprogramm ( Orakel ) genutzt werden.

19 Stefan Lucks 8. Grundb. sich. Syst. 229 orlesung Kryptographie (SS06) 8.5 Sichere Betriebsarten Real or Random Der Angreifer soll unterscheiden, ob ein gegebener Chiffretext der Verschlüsselung eines von ihm gewählten Klartexts entspricht ( real ) oder zufällig ist ( random ). Für Angriffsmodell I stellt er eine Testanfrage.

20 Stefan Lucks 8. Grundb. sich. Syst. 230 orlesung Kryptographie (SS06) 8.5 Sichere Betriebsarten Angriffsmodell I Real or Random, 1 Phase X Y oder Z Y Z X: Klartext (vom Angreifer gewählt) Y : Chiffretext Z : Zufälliger Bit-String; gleichlang wie Y. Der Angreifer soll entscheiden, ob er Y oder Z erhalten hat.

21 Stefan Lucks 8. Grundb. sich. Syst. 231 orlesung Kryptographie (SS06) 8.5 Sichere Betriebsarten Angriffsmodel II: Real or Random (zwei Phasen) 1. Das Orakel wählt zufällig einen geheimen Schlüssel. 2. Fragephase: Der Angreifer wählt einen Klartext X 1, das Orakel antwortet mit dem (durch ehrliche Verschlüsselung gewonnenen) Chiffretext Y 1, der Angreifer wählt X 2, das Orakel antwortet mit Y 2, Der Angreifer stellt wie bisher eine Testanfrage. D.h., er wählt einen Klartext X {X 1,..., X q }, das Orakel antwortet entweder mit dem entsprechenden Chiffretext Y oder mit einem gleichlangen Zufallsstring Z.

22 Stefan Lucks 8. Grundb. sich. Syst. 232 orlesung Kryptographie (SS06) 8.5 Sichere Betriebsarten Angriffsmodell II (graphische Darstellung) X Y 1 1 X Y q q. X Y oder Z Y Z

23 Stefan Lucks 8. Grundb. sich. Syst. 233 orlesung Kryptographie (SS06) 8.5 Sichere Betriebsarten Bemerkungen Angriffsmodell I entspricht unserer Sicherheitsdefinition, die wir an Flusschiffren gestellt haben. Eine binäre additive Flusschiffre kann auch im Sinne von Angriffsmodell II sicher sein. Nur muss sie zwischen den einzelnen Orakelfragen ihren internen Zustand beibehalten... Der ECB-Modus ist weder im Sinne von Angriffsmodell I, noch im Sinne von Angriffsmodell II sicher. (Warum?)