IT-Sicherheit Kapitel 7 Schlüsseletablierung

Transkript

1 IT-Sicherheit Kapitel 7 Schlüsseletablierung Dr. Christian Rathgeb Sommersemester

2 Einführung Protokoll: Wenn mehrere Instanzen miteinander kommunizieren, um ein gemeinsames Ziel zu erreichen, dann müssen sie dies nach gewissen Regeln tun. Die Gesamtheit dieser Regeln heißt Protokoll. Schlüsseletablierung: Ein Schlüsseletablierungsprotokoll bezeichnet ein Protokoll, an dessen Ende zwei oder mehrere Teilnehmer eines Systems einen gemeinsamen geheimen Schlüssel besitzen. 2

3 Einführung Angriffe auf Protokolle: Impersonation: Der Angreifer kann sich als ein anderer Kommunikationsteilnehmer ausgeben. Replay-Angriff: Der Angreifer schleust eine bereits gesendete Nachricht in das Protokoll ein. Reflexionsangriff: Der Angreifer sendet einem Kommunikationsteilnehmer eine Nachricht zu, die der Kommunikationsteilnehmer selbst gesendet hat. Man-in-the-Middle-Angriff: Gleichzeitiges Ausführen des Protokolls mit beiden Kommunikationsteilnehmern. 3

4 Einführung Impersonation: 1.Schritt: 2. Schritt: Problem: Angreifer kann statisches Passwort abfangen. Lösung: Dynamisches Authentifizierungsprotokoll. 4

5 Einführung Replay-Angriff: 1.Schritt: 2. Schritt: Problem: Bob kann nicht erkennen, ob die Nachrichtaktuell ist. Lösung: Zeitstempel oder Einmalzufallswert mit Verschlüsselung oder mit Signatur. 5

6 Einführung Reflektionsangriff: Betrachte gegenseitiges Authentifikationsprotokoll: 6

7 Einführung Reflektionsangriff: Eve sendet den Wert ra unmittelbar zurück. A glaubt nun, dass B (also Eve) ein gegenseitiges Authentifizierungsprotokoll beginnen möchte und antwortet mit kab { ra, r A }. Eve nimmt das erste Authentifizierungsprotokoll wieder auf und antwortet mit kab { ra, r A }. A antwortet gemäß dem Protokoll mit r A, womit das erste gegenseitige Authentifizierungsprotokoll erfolgreich verlaufen ist, und A glaubt, dass sie mit B kommuniziert. Reflexionsangriffe lassen sich leicht vermeiden, indem die Teilnehmer A und B zwei Schlüssel verwenden: A verwendet den Schlüssel k1 für die Verschlüsselung der Nachrichten für B. B verwendet den Schlüssel k2 für die Verschlüsselung der Nachrichten für A. 7

8 Einführung Man-in-the-Middle-Angriff: Eve klingt sich in die Kommunikation zwischen Alice und Bob ein. Der Angriff wird auch Schachgroßmeisterangriff genannt. 8

9 Schlüsseletablierung Sitzungsschlüssel: Schlüsseletablierungsprotokolle erzeugen Sitzungsschlüssel (= Session Key), die nur für eine Sitzung zwischen zwei oder mehreren Teilnehmern verwendet werden. Vorteile von Sitzungsschlüsseln gegenüber Langzeitschlüsseln: Es wird nur eine begrenzte Anzahl von Geheimtexten erzeugt. Damit hat ein Angreifer weniger Daten zur Analyse zur Verfügung. Bei Kompromittierung eines Sitzungsschlüssels ist nur eine geringe Anzahl von Nachrichten betroffen. Sitzungsschlüssel können nach Gebrauch gelöscht werden. 9

10 Schlüsseletablierung Arten von Schlüsseletablierungen: Es gibt zwei Typen von Schlüsseletablierungsprotokollen: 1. Schlüsseltransport: Ein Teilnehmer wählt einen Schlüssel aus und übermittelt diesen an die anderen Teilnehmer. 2. Schlüsselvereinbarung: Alle beteiligten Teilnehmer wirken an der Erzeugung eines gemeinsamen Schlüssels mit. 10

11 Schlüsseltransport Der große Nachteil bei Schlüsseltransportprotokollen ist der, dass eine Kommunikationspartei vollständig den Sitzungsschlüssel auswählt. Dieser Kommunikationspartner muss in der Lage sein, ausreichend gute Zufallszahlen erzeugen zu können. Symmetrisches Management: Jeder Teilnehmer teilt sich mit einer vertrauenswürdigen Instanz, der Trusted Third Party (= TTP) einen Schlüssel. 11

12 Schlüsseltransport Breitmaulfroschprotokoll: ka: Symmetrischer Schlüssel zwischen Alice und TTP kb: Symmetrischer Schlüssel zwischen Bob und TTP kab: Sitzungsschlüssel von Alice gewählt ta, ts: Zeitstempel zum Schutz gegen Replay-Angriffe ida, idb: Identifikationsmerkmal der beiden Teilnehmer 12

13 Schlüsseltransport Ziel des Protokolls ist der Transport eines Sitzungsschlüssels von A nach B. Die Kompromittierung von bisher bekannten Sitzungsschlüsseln beeinflusst die Sicherheit zukünftiger Sitzungsschlüssel nicht ( Forward Security ). Schwächen des Protokolls: Eine authentische synchrone Uhrzeit wird benötigt. Nachrichten können innerhalb der Gültigkeitsdauer eines Zeitstempels mehrmals eingespielt werden. A kann sich nicht sicher sein, dass B existiert. 13

14 Schlüsseltransport Das Protokoll wurde bekannt unter dem Namen The Wide- Mouthed-Frog Protocol und in A Logic of Authentication im Jahr 1990 von Burrows, Abadi und Needham veröffentlicht. Es ist unklar, woher der ungewöhnliche Name stammt. Neben der bisherigen Darstellung von Protokollen kann auch die Security Engineering Protocol Notation verwendet werden: A S: ida, ka { idb, ta, kab } S B: kb { ida, ts, kab } 14

15 Schlüsseltransport Needham-Schroeder: kab: Der Sitzungsschlüssel wird von der TTP gewählt. ra: Zufallswert von A gewählt zur Authentifizierung der TTP gegenüber A. rb: Zufallswert von B gewählt zur Authentifizierung von A gegenüber B. kab { rb }: B authentifiziert sich gegenüber A, indem B zeigt, dass er mit dem gemeinsamen Schlüssel etwas verschlüsseln kann. 15

16 Schlüsseltransport Ziel des Needham-Schroeder Protokoll ist der Schlüsselaustausch und die gegenseitige Authentifizierung. Fehlende Aktualität des Sitzungsschlüssels: A kann sich zwar davon überzeugen, aber B erhält keine Information darüber (Replay-Angriff möglich). Dieses Problem wird dadurch behoben, dass die TTP eine Zeitangabe an die Nachricht anhängt und mitverschlüsselt. Das Protokoll wurde in Using Encryption for Authentication in Large Network of Computers von Needham und Schroeder im Jahr 1979 publiziert. Denning und Sacco konnten 1981 einen Replay-Angriff konstruieren, den man dann aber mit Zeitstempel verhindern kann. 16

17 Schlüsseltransport Otway-Rees: r: Zufallswert der als Identifikator der Sitzung verwendet wird. ra: Zufallswert von A gewählt zur Authentifizierung der TTP gegenüber A. rb: Zufallswert von B gewählt zur Authentifizierung der TTP gegenüber B. 17

18 Schlüsseltransport Ein besonderes Merkmal ist, dass A zwar mit dem Protokoll beginnt, B aber den größeren Kommunikationsaufwand hat. Dieses Merkmal kann von einem Angreifer ausgenutzt werden, indem er so viele Anfragen an B stellt, dass er überfordert ist und die Kommunikation einstellen muss (Denial-of-Service-Angriff). 18

19 Schlüsseltransport TMN: pubttp: öffentlicher RSA-Schlüssel (3, n), d.h. es gilt pubttp { m } := m 3 mod n. ra: Zufallszahl von A gewählt, mit der die TTP den Sitzungsschlüssel One-Time-Pad verschlüsselt. kab: Sitzungsschlüssel zwischen A und B von B gewählt. 19

20 Schlüsseltransport Das TMN-Protokoll ist nach Tatebayashi, Matsuzaki und Newman (1989) bekannt und wurde als Schlüsselprotokoll für Mobilfunksysteme entworfen. Obwohl das Protokoll zwei sichere Algorithmen (RSA, One-Time- Pad) verwendet, läßt es sich angreifen (Simmons, 1994). 20

21 Schlüsselvereinbarung Diffie-Hellman: Ziel eines Angreifer ist, den geheimen Schlüssel k zu berechnen. 21

22 Schlüsselvereinbarung Der Angreifer kennt folgende Informationen: Systemparameter: (g, p) Protokolldaten von A: ha = g a mod p Protokolldaten von B: hb = g b mod p Diffie-Hellman Problem (= DHP): berechne aus g, g a mod p, g b mod p den Wert g ab mod p. Ist das Diskrete Logarithmus Problem lösbar, dann ist auch das Diffie-Hellman Problem lösbar. Es gibt bisher keinen Beweis dafür, dass die Umkehrung gilt, es wird aber vermutet. 22

23 Schlüsselvereinbarung Man-in-the-Middle-Attacke auf Diffie-Hellman: 23

24 Schlüsselvereinbarung Zertifikat basierter Diffie-Hellman: 24

25 Schlüsselvereinbarung Zertifikat basierter Diffie-Hellman: Durch die Signaturen sind die Werte ha und hb zwar authentisch, allerdings gibt es keinen Hinweis darauf, dass die Signaturen speziell für diesen Protokolldurchlauf generiert worden sind. Ein Angreifer der Alice oder Bob belauscht hat, kann Nachrichten und ihre Signaturen aus diesen alten Protokollabläufen verwenden (Replay-Angriff). Bei diesem Angriff kann der Angreifer zwar nicht den geheimen Schlüssel bestimmen, er hat aber den Teilnehmern erfolgreich einen falschen Sitzungsschlüssel k vermittelt. 25

26 Schlüsselvereinbarung Authentischer Diffie-Hellman: 26

27 Schlüsselvereinbarung Authentischer Diffie-Hellman: Das Protokoll lässt sich dahin gehend angreifen, dass Bob am Ende denkt, er hätte einen gemeinsamen Schlüssel k mit Eve vereinbart und nicht mit Alice: Eve fängt (siga, certa) ab. Eve berechnet selbst sige := gensig(prive, ha hb). Eve sendet (sige, certe) an Bob. Bob wird annehmen, dass die von Alice mit k verschlüsselten Nachrichten von Eve stammen. Der Fehler des Protokolls besteht darin, dass Bob nicht weiß, ob die Nachrichten ha und (siga, certb), wirklich von A gesendet wurden. 27

28 Schlüsselvereinbarung Sicherer authentischer Diffie-Hellman: 28

29 Schlüsselvereinbarung Sicherer authentischer Diffie-Hellman: Am Ende der Schlüsselvereinbarung führen die beiden Teilnehmer einen Handshake durch, d.h. beide weisen nach, dass sie den gemeinsamen Schlüssel k besitzen, indem sie ihre Signaturen mit k verschlüsseln. Das Protokoll hat bisher alle Sicherheitstests bestanden. Insbesondere liefern alle formalen Methoden zur Protokollsicherheit ein positives Ergebnis. Das Protokoll wird in beispielsweise in IPSec v6 eingesetzt. 29