Erinnerung Public Key Infrastruktur

Transkript

1 Erinnerung Public Key Infrastruktur Certification Authority (CA) (pk CA, sk CA ) Nutzer 1 (pk 1, sk 1 ), C 1 Nutzer n (pk n, sk n ), C n Angaben zum Nutzer: Name, Organisation, usw. C i = öff. Schl. pk i Verwendeter Alg. (RSA, DSA) Gültigkeitszeitraum Angaben zur CA: Name, Kontaktdaten usw. Schlüsselnutzung: Signatur, Instanzaut. Verschl. usw Signatur der CA (mit sk CA

2 Public Key Infrastruktur Root-RA Root-CA Teil-RA 1 Teil-RA n Teil-CA 1 Teil-CA n Nutzer 1 Nutzer 2 Nutzer m Nutzer m + 1 RA: Registration Authority prüft Anträge, legt Inhalte der Zertifikate fest, leitet Anträge an CA weiter legt Sperrung von Zertifikaten fest, verwaltet Rückruflisten CA: Certification Authority stellt Zertifikate aus stellt Rückruflisten aus (ebenfalls zertifiziert)

3 Rückruflisten Certification Authority stellt regelmäßig Rückruflisten aus Certificate Revokation List (CRL) Bei Sicherheitsvorfällen, z.b. Schlüsselkompromittierung Algorithmen/Verfahren werden unsicher Eine Instanz hält sich nicht an Sicherheitsvorgaben Zertifikatsprüfung: Verifizieren der Signatur Prüfen der Gültigkeit Prüfen der Inhalte (Name, Schlüsselnutzung,...) Zusätzlich: Wurde Zertifikat zurückgezogen.

4 Sicherheitsmanagement Ziel: Etablierung eines gemeinsamen Sicherheitsniveaus innerhalb einer PKI. Alle Teilnehmer (Root-CA, Teil-CAs, Endnutzer) müssen Sicherheitsvorgaben einhalten Sicherheitsvorgaben werden in zwei Dokumenten festgelegt: Certificate Policy (CP): beschreibt, welche Sicherheitsvorgaben eingehalten werden müssen. Certificate Practise Statement (CPS): beschreibt, wie diese Vorgaben umgesetzt werden. RFC 3647: Internet X.509 PKI Certificate Policy and Certificate Practise Framework beschreibt Aufbau und Inhalt beider Dokumente im Detail. Beispiel: CP: Schlüssel müssen sicher gespeichert werden. CPS: Schlüssel werden auf einer sicherheitsevaluierten Chipkarte gespeichert.

5 CP und CPS Allgemeines Teilnehmer an der PKI Zertifikatsnutzung Genutzte Algorithmen Schlüssellängen Datenfelder in den Zertifikaten Initialisierung Registrierung der Teilnehmer Generierung der Schlüsselpaare Generierung der Zertifikate Schlüssel- und Zertifikatsverteilung Schlüssel-Backup Nutzung Zertifikatsneuausstellung Zertifikatsvalidierung Schlüsselupdate Schlüssel-Recovery Aufhebung Ablauf des Zertifikates Zurückziehen des Zertifikates Archivierung

6 Zertifikate Zertifikate müssen: Inhaber eindeutig identifizieren, Schlüsselnutzung festlegen, Ausstellende CA identifizieren hieraus folgen die Sicherheitsvorgaben/Vertrauenswürdigkeit der Infrastruktur Es existieren zwei Standards für Zertifikate: X509: Zur sicheren Kommunikation im Internet (tls/ssl zur Serverauthentisierung) Card Verifiable Certificates (cvc). Zur sicheren Komm. zwischen Chipkarten

7 X509-Standard X509-Zertifikate nach ASN.1 (Abstract Syntax Notation Nr. 1) kodiert: Certificate::= SEQUENCE { tbscertificate TBSCertificate, TBS: To Be Signed signaturealgorithm AlgorithmIdentifier, Sig.-Alg. signaturevalue BITSTRING } Signatur über TBSCert.

8 Zertifikatsinhalte TBSCertificate::= SEQUENCE { version EXPLICIT Version DEFAULT v1, serialnumber CertificateSerialNumber, signature AlgorithmIdentifier, issuer Name, validity Validity, subject Name, subjectpublickeyinfo SubjectPublicKeyInfo, extensions EXPLICIT Extensions OPTIONAL --If present, version MUST be v3 } Version::= INTEGER { v1(0), v2(1), v3(2) } Aktuell v3, v1 und v2 aber weiterhin nutzbar.

9 Zertifikatsinhalte CertificateSerialNumber::= INTEGER Unterschiedlich für alle Zertifikate, die von einer CA (ein issuer) ausgestellt werden: Meist Zähler oder Hashwert über den Public Key, für den das Zertifikat ausgestellt ist. AlgorithmIdentifier::= SEQUENCE { algorithm OBJECT IDENTIFIER, parameters ANY DEFINED BY algorithm OPTIONAL } Legt Signaturalgorithmus zum Signieren des Zertifikates über eine OID fest: rsawithsha256. Selber Wert wie unter signaturealgorithm.

10 Zertifikatsinhalte issuer, subject beschreiben Aussteller, Inhaber eindeutig über Name Enthält Anzahl von Attributen, z.b. country: DE organization: HDA organizational unit: FBI common name: Marian Margraf serial number: 1,2,...

11 Zertifikatsinhalte Validity::= SEQUENCE { notbefore Time, notafter Time } Zeitraum, in dem der geheime Schlüssel genutzt werden kann. SubjectPublicKeyInfo::= SEQUENCE { algorithm AlgorithmIdentifier, subjectpublickey BIT STRING } Enthält den öffentlichen Schlüssel, für den das Zertifikat ausgestellt wird.

12 Extensions Ab Version v3 sind Extensions erlaubt, z.b. für Informationen über Schlüsselnutzung Informationen über Sicherheitsvorgaben (z.b. wo findet man CP und CPS) Erweiterte Attribute für issuer und subject: mögliche Kontaktdaten für Rückfragen ( adresse, Fax, Telefon) Einschränkungen des Zertifikatspfades, z.b. maximale Pfadkette, d.h. wie viele Zertifikate müssen maximal bis zum Root-Zertifikat geprüft werden

13 Extensions Extensions::= SEQUENCE SIZE (1..MAX) OF Extension Extension::= SEQUENCE { extnid OBJECT IDENTIFIER, critical BOOLEAN DEFAULT FALSE, extnvalue OCTET STRING } critical: gibt an, ob eine bestimmte Angabe geprüft werden muss oder das Zertifikat auch ohne die Überprüfung dieser Angabe als gültig akzeptiert werden kann.

14 Key Usage KeyUsage::= BIT STRING { digitalsignature (0), nonrepudiation (1), keyencipherment (2), dataencipherment (3), keyagreement (4), keycertsign (5), crlsign (6), encipheronly (7), decipheronly (8) } Weitere Möglichkeiten über Extended Key Usage: Code signing, OCSP signing, Timestamping

15 Weitere Extensions Weitere mögliche Erweiterungen sind: Extended Key Usage Certificate Policies CRLDistributionPoints Freshest CRL

16 Zusammenfassung Vorlesung Einleitung: Ziele kryptographischer Verfahren: Vertraulichkeit, Integrität, Authentizität, Nichtabstreitbarkeit Kerckhoff-Prinzip: Sicherheit liegt allein an der Geheimhaltung des Schlüssels Sicherheitsniveau: Größe für die Sicherheit von Kryptoverfahren (Schlüssellänge allein nicht ausreichend) One-time pad: Absolut sicheres Verfahren (Nachteil: Große Schlüssellänge)

17 Zusammenfassung Vorlesung Symmetrische Verschlüsselungsverfahren: Sehr effizient Shannons Konstruktionsprinzipien: Diffusion/Durchmischung, Konfusion/Nichtlinearität Blockchiffren: Substitutions-Permutationsnetzwerk (Vertiefung am Beispiel AES) Betriebsarten: Chiffretext hängt nicht nur vom Klartext und Schlüssel ab, sondern von einem weiteren Parameter

18 Zusammenfassung Vorlesung Asymmetrische Verschlüsselungsverfahren: Sehr ineffizient Werden genutzt, um kleine Nachrichten zu verschlüsseln (z.b. symmetrische Schlüssel) Sicherheit beruht auf schweren mathematischen Problemen RSA: Faktorisierungsproblem Einfache Angriffe gegen RSA gesehen Einsatz probabilistischer Paddings

19 Zusammenfassung Vorlesung Hashfunktionen: Grundfunktion für viele kryptpgraphische Verfahren: Signatur, MAC, deterministische Zufallszahlengeneratoren Dafür insbesondere wichtig: Kollisionsresistenz Sicherheitsdiskussion am Beispiel Geburtstagsparadoxon Konstruktionsprinzip nach Merkle-Damgard: aus Kompressionsfunktion mach Hashfunktion

20 Zusammenfassung Vorlesung Datenauthentisierung: Symmetrische Verfahren: Message Authentication Codes (MAC) Kennengelernt: HMAC (basiert auf Hashfunktion) Asymmtrisches Verfahren: Signaturverfahren Kennengelernt: RSA (benötigt auch Hashfunktion) Unterschiedliche Schutzziele: MACs erfüllen Authentizität (aber nicht Nichtabstreitbarkeit) Signaturverfahren erfüllen Authentizität und Nichtabstreitbarkeit Begriff Secure Messaging: Vertrauliche und authentische Kommunikation Trenne wo Du trennen kannst (verschiedene Schlüssel) Erst verschlüsseln, dann authentisieren

21 Zusammenfassung Vorlesung Instanzauthentisierung: Kennengelerntes Verfahren basiert auf Datenauthentisierung: Challenge Response Gesehen: Nutze nie die selben Schlüssel für verschiedene Verfahren

22 Zusammenfassung Vorlesung Schlüsseleinigung: Nutzbar: symmetrische und asymmetrische Verfahren zum Schlüsselaustausch/-eingung Neues Verfahren: Diffie-Hellman basiert auf Schwere des diskreten Logarithmusproblems Sicherheit lässt sich nicht aus dem Nichts erzeugen: Man-in-the-Middle-Angriff Vorab muss immer ein gemeinsames Geheimnis ausgetauscht werden

23 Zusammenfassung Vorlesung Secret Sharing: Durchsetzung eines Mehr-Augen-Prinzips Einsatz: Schutz besonders sensibler Schlüssel Shamirs Verfahren erlaubt ein k aus n Augen-Prinzip für beliebige k n Basiert auf dem Fundamentalsatz der Algebra: Ein Polynom (t 1) ten Grades wird durch t Punkte eindeutig festgelegt

24 Zusammenfassung Vorlesung Zufallszahlengeneratoren: Physikalische: Müssen häufig nachbearbeitet werden Deterministische: Berechnen aus Zufall fester Länge (Seed) Zufall beliebiger Länge Grundbaustein für deterministische Generatoren: Hashfunktionen Seed: z.b. aus physikalischen Generatoren

25 Zusammenfassung Vorlesung Public Key Infrastrukturen: Paarweiser Schlüsselaustausch zu aufwendig Zentrale Instanz sorgt für die Authentizität der Schlüssel Alle Teilnehmer arbeiten innerhalb vorgegebener Sicherheitsprinzipien Unser erstes Beispiel für IT-Sicherheitsmanagement