Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 4: SSL/TLS Dr. Erwin Hoffmann

Transkript

1 Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009 IT-Security Teil 4: SSL/TLS Dr. Erwin Hoffmann

2 Secure Socket Layer (SSL) Tranport Layser Security (TLS) 1994 kombinierte Eric Young von Netscape die symmetrische Verschlüsselung von DES mit den Public-Key Algorithmen DH und RSA sowie mit einem Message Digest Verfahren und schuf das TCP-basierte SSLeay Protokoll, das zentrale Zertifikate nutzen kann. [ Veröffentlichung von SSL 1.0 August 1994 von Netscape. Anfang 1995 Herausgabe von SSL 2.0 (+ NetScape Browser). Integration der Microsoft "Private Communication Technology" PCT 1.0 => SSL 3.0. Standardisierung von SSL 3.0 als TLS 1.0 in RFC 2246 Januar Ergänzung des Handshake Protokolls (TLS Extensions) in RFC 3456 im Juni 2003 Verbesserung von TLS 1.0 als TLS 1.1 in RFC 4356 im April 2006.

3 TLS im Schichtenmodell Applikation Presentation Session Session Transport Network Data Link Handshake Change Cipher Spec TLS Record Anwendung Alert Appl.Data - Fragmentierung, Komprimierung - Authentisierung (MAC),Verschlüsselung TCP IPv4, IPv6 Physical

4 TLS Protokoll [RFC 2246] Das TLSv1 Protokoll ist selbst in Funktionsschichten unterteilt, die Bestandteile des TLS Record Protokoll sind: Das Handshake bzw. Sitzungs-Protokoll, das Alert- bzw. Alarm-Protokoll das Change-Cipherspezifikations-Protokokoll sowie das Anwendungsdaten-Protokoll Das TLS Record Protokoll ist im besonderen verantwortlich für die Kodierung/Verschlüsselung der Daten die Fragmentierung und Komprimierung der Information Hinzufügen eine Message Authentication Codes (MAC) Ergänzung des TLS Records um einen Header

5 TLS Handshake Protokoll Das Helo Protokoll dient zum Auf- und Abbau der TLS-Sitzung und zum Schlüsselaustausch SSL-Client Internet SSL-Server TCP- Segment TCP-Verbindungsaufbau 1 ClientHello ServerHello Certificate* ServerKeyExchange* CertificateRequest* ServerHelloDone TCP- Segment Segment Certificate* ClientKeyExchange CertificateVerify* [ChangeCipherSpec] Finished [ChangeCipherSpec] Finished SSL-Verbindung Application Data TCP- TCP- Segment

6 Key Exchange Methoden Symmetrische Schlüsselmethoden DES, 3DES Asymmetrische Schlüsselmethoden RSA (public key) ohne Beschränkung Schlüssellänge RSA_EXPORT; Schüssellänge max 512 Byte DH_DSS (Diffie-Hellman) signiert mit Digital Signature Standard DH_RSA; Signatur via RSA DHE_DSS; Ephemeral DH mit DSS Signatur DHE_RSA; DHE mit RSA Signatur DH_anon; DH ohne Signatur... die DH/DHE Methoden habe keine Schlüssellängenbeschränkung ausser mit Suffix _EXPORT

7 Aufgaben des TLS Record Protokoll Das TLS Record Protokoll stellt Dienstfunktionen (Primitive) für die folgenden Aufgaben zur Verfügung: Encryption der Nutzdaten einschliesslich Hinzufügung notwendiger Padding-Bits (Block-Verschlüsselung) Sicherstellung der Integrität (Hashes) Optionale Komprimierung der Daten Fragmentierung der Daten aus der höheren Schicht Multiplexing von bis zu 256 höheren Protokolle über die Verbindung Ergänzung des TLS Records um einen Header

8 Implementierung der SSL-Bibliotheken OpenSSL: Überragende Bedeutung openssl 0.9.8g besitzt OpenSSL. GnuTLS: Wichtiger Baustein ist die GnuTLS v2.0.2 libcrypto Bibliothek Mozilla/Netscape: PureTLS (Java) Yet another SSL PERL IO::SOCKET::SSL, NET::SERVER::PROTO:SSL.

9 Arbeitsweise des Record Protokolls

10 OpenSSL Unterstütze Verfahren: SYMMETRIC CIPHERS blowfish(3), cast(3), des(3), idea(3), rc2(3), rc4(3), rc5(3) PUBLIC KEY CRYPTOGRAPHY AND KEY AGREEMENT dsa(3), dh(3), rsa(3) CERTIFICATES x509(3), x509v3(3) AUTHENTICATION CODES, HASH FUNCTIONS hmac(3), md2(3), md4(3), md5(3), mdc2(3), ripemd(3), sha(3) INPUT/OUTPUT, DATA ENCODING asn1(3), bio(3), evp(3), pem(3), pkcs7(3), pkcs12(3) bio = I/O Schnittstelle (API) pem = PEM Format Parser

11 Adressierung im Record Protokoll Beim TLS Record Protokoll werden die obern Schichten durch eine 8-Bit Nummer identifiziert (256 mögliche Protokolle): Change Chipher Specification: 20 Alert Protocol: 21 Handshake Protocol: 22 Application Data Protocol: 23

12 Die CipherSuite umfasst die kryptographischen Elemente der TLS- Sitzung: Das asymmetrische Schlüssel- Austausch-Verfahren (Key Exchange) und die Schlüssellänge. Das symmetrische Verschlüsselungsverfahren (Encryption) mit dem gemeinsamen Chiffre-Code (Cipher) und die Schlüssellänge Die Message Digest Methode (MAC). Im ClientHello kann der Client der Server bis zu fünf unterschiedliche CipherSuites anbieten; wobei sich beide Parteien auf eine gemeinsame CipherSuite einigen müssen. TLS Cipher Suite

13 Chiffrecodes (Cipher) Stream Ciphern Null: Keine Verschlüsselung RC4_128: RC4 Algorithmus; Schüssellänge 128 Bit RC4_40: RC4 Algorithmus; Schüssellänge 40 Bit Block Ciphern (Auswahl) DES_CBC: Digital Encryption Standard im Cipher Block Chaining; Schlüssellänge 56 Bit DES40_CBC: wie oben; Schüssellänge 40 Bit 3DES_EDE_CBC IDEA_CBC R2_CBC RC2_CBC_40 AES (Advanced Encryption Standard)

14 Message Digest Die Integrität der Nachricht wird durch einen Message Digest sichergestellt Hierbei wird für den Nachrichtenblock ein HMAC in Anlehnung an RFC 2104 gebildet unter zusätzlicher Heranziehung des geheimen Schlüssels in der Berechnung.

15 TLS Alert Protokoll Das Alert Protokoll dient zum Weiterreichen von Fehlermeldungen an den TLS-Partner Fatale Fehlermeldungen (Sitzung wird abgebrochen, interner Zustand gelöscht): Unerwartete Nachricht Korrumpierter Nachrichteninhalt bzw. MAC Dekomprimierung nicht erfolgreich Handshake nicht erfolgreich Illegale Parameter Warnungen (Sitzung kann fortgesetzt werden): Zertifikat "schlecht", abgelaufen, nicht unterstützt, nicht vorhanden oder auf Certification Revocation List (CRL)

16 TLS: 1. Direkte TLS Verbindung Mandatorischer Aufbau einer TSL Verbindung Client hat SSL-Bibliotheken gebunden Server horcht auf dediziertem Secure-Port RFC 2246: The TLS Protocol Version 1.0 RFC 3546: Transport Layer Security (TLS) Extension RFC 4346: The Transport Layer Security (TLS) Protocol Version s-applikation Apache:443 s-port Server TLS-Impl. TLS-Impl. Netzwerk

17 TLS: 2. Starttls/Stls Optionaler Aufbau einer TSL Verbindung mittels des STLS/STARTTLS Kommandos Server bietet STLS/STARTTLS auf seinem Standard-Port an. Client honoriert STLS/STARTTLS und geht auf TLS-Verbindung (auf gleichem Port) über. STARTTLS bzw. STLS ist Bestandteil des Applikationsprotokolls (SMTP: RFC 2487, POP3/IMAP4: RFC 2595, LDAP: RFC 2830 Applikation Server-Port TCP TCP STARTTLS! TLS-Impl. TLS-Impl. STARTTLS Netzwerk

18 TLS: 3. stunnel Client und Server bauen Verbindung auf Server- und Client-Kommunikation wird transparent gekapselt über stunnel stunnel wickelt mittels Zertifikate TLS Verbindung ab [ stunnel gibt es sowohl für Unix als auch für Windows und kann zum Aufbau von VPNs genutzt werden Applikation Server-Port Zertifikat stunnel stunnel Zertifikat TCP TCP Netzwerk

19 STARTTLS bei SMTP STARTTLS ist eine Option von ESMTP (RFC 2821), die in RFC 2487 beschrieben ist. Während ein SMTPS Server auf Port 465 lauscht, nimmt eine SMTP- Server mit der STARTTLS Option auf dem Standard-Port 25 Nachrichten entgegen und kann anschliessend mit dem Client - per STARTTLS - auf eine per TLS gesicherte Verbindung umschalten. Nach Übergang in den STARTTLS Mode muss der Status der vorherigen Verbindung zurückgesetzt werden. Wird STARTTLS mit SMTP Authentication gemeinsam benutzt, wird zunächst STARTTLS und dann SMTP Auth verhandelt.

20 Ablauf der STARTTLS Verhandlung