Aufgabenbereich der Kryptographie

Transkript

1 IT Sicherheit 2. Kryptographie 1 Versenden vertraulicher Nachrichten Öffnungsinformation Aufgabenbereich des Key-Managements Trudy vertrauliche Nachricht Bob M ALGO ALGO rithmus < Aufgabenbereich der Kryptographie ALGO rithmus M Fakultät Informatik 2

2 Kryptographie und Key Management Kryptographie Sicherung der übertragenen Informationen vor Abhören und unbefugter Veränderung Erzeugung digitaler Unterschriften Mechanismen der Kryptographie: Transformation der Nachrichten mit Hilfe von Verschlüsselungsalgorithmen Key Management Sichere Bereitstellung der benötigten Öffnungs/Verschließungsinformation zur richtigen Zeit am richtigen Ort Mechanismen des Key Management: Sicherheitsprotokolle, Algorithmen zur Schlüsselerzeugung, gegebenenfalls Bereitstellung von "trusted third parties" Fakultät Informatik 3 Beispiel Cäsar-Code ABCDEFGHIJKLMNOPQRSTUVWXYZ XYZABCDEFGHIJKLMNOPQRSTUVW ALGO rithmus ALGO rithmus BLABLA YIXYIX BLABLA Verschlüsseln: Verschiebe 3 Buchstaben nach links Entschlüsseln: Verschiebe 3 Buchstaben nach rechts Fakultät Informatik 4

3 Algorithmus Algorithmus und Schlüssel: Trennung Verschiebe nach links/rechts Schlüssel 3 Buchstaben Merke: Die Sicherheit eines Kryptosystems beruht allein auf der Geheimhaltung der Schlüssel, nie auf der Geheimhaltung des Algorithmus. Kerckhoffs` Prinzip Algorithmen sind mindestens allen Entwicklern bekannt, können daher nicht geheim gehalten werden. Algorithmen können durch Reverse Engineering rekonstruiert werden. Algorithmen müssen gründlich (öffentlich) analysiert werden. In geheimen Algorithmen können Hintertüren versteckt sein. Schlüssel sind nur den beteiligten Anwendern bekannt. Fakultät Informatik 5 Algorithmus und Schlüssel: Bezeichnungen M K S Nachricht: ist eine Zahl (Bitfolge) Schlüssel + Algorithmus: mathematische Transformation Schlüsseltext: das Ergebnis, wieder eine Zahl Verschlüsseln: S = K(M) Entschlüsseln: M = K (S) Die Transformation ist umkehrbar. Ganz exakt: (Trennung zwischen Schlüssel und Algorithmus) S = f(k v,m) M = f (K e,s) f = Algorithmus, K v = Verschlüsselungsschlüssel f = Umkehralgorithmus, K e = Entschlüsselungsschlüssel Fakultät Informatik 6

4 Verschlüsselung mit geheimen Schlüsseln Trudy Bob Je zwei Kommunikationspartner teilen ein Geheimnis: den geheimen Schlüssel K Verschlüsseln heißt: Anwendung einer von K abhängigen mathematischen Funktion (Algorithmus) Die Umkehrfunktion K ist aus K herleitbar. Fakultät Informatik 7 Verschlüsselung mit öffentlichen Schlüsseln gesucht ist ein Schloss, das jeder zusperren kann, das aber nur der Besitzer des richtigen Schlüssels aufsperren kann. Bob Trudy vertrauliche Nachricht Fakultät Informatik 8

5 Verschlüsselung mit öffentlichen Schlüsseln Jeder Kommunikationspartner besitzt ein Schlüsselpaar: Bob besitzt K B und K B. Diese sind zueinander inverse Funktionen, K ist nicht aus K herleitbar. wird öffentlich gemacht, K B wird geheim gehalten. K B Bob K B wird von zum Verschlüsseln verwendet, K B wird von Bob zum Entschlüsseln verwendet. Fakultät Informatik 9 Verschlüsselung mit öffentlichen Schlüsseln öffent. Schlüssel K B K z K x K K B B K B ( ) = Trudy Bob K B K B ( ) verschlüsselt die Nachricht an Bob mit dessen öffentlichem Schlüssel K B Nur Bob ist in der Lage diese Nachricht mit seinem privaten Schlüssel K B wieder zu entschlüsseln. Fakultät Informatik 10

6 Das Problem mit Trudy: öffent. Schlüssel K B K z K x Trudy Bob K B Trudy besitzt selbst ein Schlüsselpaar. Trudy fängt Bob's öffentlichen Schlüssel ab und ersetzt ihn durch ihren eigenen. glaubt, sie verschlüsselt für Bob, aber Trudy kann die Nachricht lesen. Fakultät Informatik 11 Der Schutz der öffentlichen Schlüssel Öffentliche Schlüssel müssen fälschungssicher sein. Der Eigentümer eines öffentlichen Schlüssels muss sicher identifizierbar sein Certification Authorities (Zertifizierungsstellen) können öffentlichen Schlüssel und ihre Eigentümer beglaubigen Das Hilfsmittel Die digitale Unterschrift Fakultät Informatik 12

7 Elektronische Unterschrift - Anforderungen Der Absender: signiert ein Dokument. Sie weiß: jeder kann das Dokument lesen keiner kann das Dokument unbemerkt verändern jeder kann den Ersteller identifizieren Der Empfänger: Bob verifiziert die Signatur. Er weiß: Die Signatur wurde von erzeugt Niemand kann das Dokument nach der Signatur verändert haben Der Verschlüsselungsmechanismus mit öffentlichen/privaten Schlüsseln kann eine elektronische Unterschrift erzeugen: Fakultät Informatik 13 Elektronische Unterschrift 1 (am Beispiel RSA) öffent. Schlüssel K B K z K x Bob K A K A ( ) Trudy K A K A K A ( ) = verschlüsselt die Nachricht mit ihrem privaten Schlüssel K A. Bob besorgt sich den zugehörigen öffentlichen Schlüssel K A und verifiziert, dass die Nachricht nur von kommen kann. Fakultät Informatik 14

8 Hashfunktionen Die Verschlüsselung der ganzen Nachricht ist nicht nötig, da Vertraulichkeit nicht gefordert ist. Vor der Verschlüsselung wird daher die Nachricht komprimiert mit Hilfe von Hashfunktionen Hashfunktionen sind praktisch unumkehrbare Komprimierungsfunktionen Quersumme Beispiel: Quersumme einer Zahl: H( ) = 40 für "gute" Hashfunktionen gilt: es ist praktisch unmöglich verschiedene X und Y zu finden mit H(X) = H(Y) HASH 40 Elektronische Unterschrift 2 (am Beispiel RSA) HASH bildet den Hashwert des Dokuments, verschlüsselt diesen HASHING K A HASH K A HASH HASH K A und überträgt das Dokument zusammen mit dem (privat) verschlüsselten Hashwert. Dieser ist die Unterschrift Fakultät Informatik 16

9 Elektronische Unterschrift 2 (am Beispiel RSA) HASH K A HASH K A K A Bob berechnet den Hashwert neu, und überprüft, ob er mit der entschlüsselten Unterschrift übereinstimmt. HASH? = HASH Fakultät Informatik 17 MAC - Message Authentication Code Ein MAC ist eine Prüfsumme, die nur vom Besitzer eines Schlüssels generiert und verifiziert werden kann. Implementierung zum Beispiel mit Hilfe des HMAC = Keyed Hash MAC Der Hashwert wird über die Verbindung des Dokuments mit einem Schlüssel gebildet. Der Empfänger von Dokument+Hashwert kann das Dokument verifizieren, wenn er den Schlüssel kennt. Key xyz H-MAC MAC gewährleistet Authentizität der Nachricht für jeden der den geheimen Schlüssel kennt. H-MAC Achtung: MAC ist ähnlich zu einer digitale Signatur, ist aber keine! Unterschied: Die Urheberschaft kann nicht gegenüber Dritten nachgewiesen werden.

10 Anwendung HMAC: Challenge Response Authentifizierung im Mobilfunk Die SIM-Karte enthält Schlüssel Ich will mich anmelden Location Register K A = asdf Berechnet Hash(asdf,Z) Z = Zufallszahl Hash(asdf,Z) : asdf Bob: jklo Berechnet Hash(asdf,Z) Der Server: stimmt die berechnete und die empfangene Nachricht überein? Dann ist Authentifizierung ok, nur kann die Nachricht produziert haben. Trudy: Die Nachricht ist verschlüsselt und sieht jedes Mal anders aus. Wiedereinspielen ist zwecklos. Fakultät Informatik 19 One Way Functions Key Derivation Functions Einwegfunktionen (OWF) dienen dazu Daten unentschlüsselbar abzuspeichern. Jeder kann den Algorithmus ohne Kenntnis eines Geheimnisses ausführen. Keiner kann den Wert entschlüsseln. OWF werden häufig verwendet um Passwörter unentschlüsselbar abzuspeichern Schlüsselerzeugungsfunktionen (KDF) dienen dazu aus einem gegebenem Datum, zum Beispiel einem Passwort oder einer Zahl einen kryptographischen Schlüssel abzuleiten. KDF werden zum Beispiel verwendet bei Festplattenverschlüsselung oder in Protokollen wie SSL oder DH (siehe später) Meist werden für OWF und KDF Hashfunktionen verwendet. Password Enc-password

11 Anwendung einer KDF Mobilfunk: Schutz der Leitung nach der Authentifizierung Location Register K A = asdf Z K S (M) Z : asdf Bob: jklo Berechnet K S = KDF(Z,asdf) Berechnet K S = KDF(Z,asdf) Aus der Zufallszahl Z (von der Authentifizierung) und Key leiten und der Server einen Schlüssel ab. Die weitere Kommunikation zwischen und dem Mobilfunknetz wird mit K S geschützt. Der Server weiß: Nachrichten die mit K S verschlüsselt sind, können nur von kommen. Fakultät Informatik 21 OWF / KDF: Passwortattacken erschweren Werden OWF/KDF auf Passwörter angewendet, so erhalten sie als Input oft zusätzlich eine zufällige Bitfolge, das Salz Das Salz (salt) wird für alle lesbar gespeichert und steht bei Ausführung der Funktion zur Verfügung. Gleiche Input Passwörter haben verschiedene Ergebnisse. Der Einsatz von vorberechneten Hash-Tabellen (Rainbow-Tables) für Wörterbuchattacken wird erschwert. Häufig werden OWF/KDF absichtlich verlangsamt um Wörterbuchangriffe zu erschweren (viele Hashrunden). Zum Beispiel bei VeraCrypt standardmäßig Hashrunden Fakultät Informatik

12 Zufallszahlen Numbers used once (nonce) Zufallszahlen spielen eine wichtige Rolle in der Kryptographie Echte Zufallszahlengeneratoren liefern eine nicht vorhersehbare Zufallszahl. Pseudozufallszahlengeneratoren (PRNG - Pseudo Random Number Generator) liefern eine deterministische Folge von nicht vorhersehbaren, zufällig aussehenden Zahlen. Zufallszahlen bilden die Basis jeder Schlüsselerzeugung Nur so kann gewährleistet werden, dass ein Angreifer den Erzeugungsprozess nicht nachbilden kann. Eine Nonce ist eine nur ein einziges Mal verwendete Zahl Sie ist meist eine Zufallszahl, manchmal kombiniert mit einem Zeitstempel Sie kann verwendet werden um Daten vor Replay zu schützen. Sie wird zum Beispiel als Challenge im Challenge Response Protokoll eingesetzt. Klassen kryptographischer Funktionen Symmetrische Algorithmen Symmetrische Verfahren sind schnell und sicher und Bob müssen vor der Kommunikation ein Geheimnis austauschen Public Key Verfahren Öffentliche Schlüssel müssen nicht geheim gehalten werden Integrität und Eigentum am öffentlichen Schlüssel müssen geschützt werden Verfahren sind langsam, nur für kleine Datenmengen zu verwenden, sie sind aber auch sicher!. Hashfunktionen Sind nicht injektive Komprimierungsfunktionen. Kollisionen dürfen nicht berechenbar sein. Keyed Hash Algorithmen können die Integrität von Daten schützen Jeder Besitzer eines (geheimen) Schlüssels kann die Intergrität nachweisen One Way Functions / Key Derivation Functions Dienen zur Sicherung von Authentisierungsinformation bzw. zur Ableitung von Schlüsseln Fakultät Informatik 24

13 Public Key Verfahren zur Schlüsselvereinbarung (am Beispiel DH) Kö A Kö B Bob Kp A, Kö A Kp B, Kö B K = f (Kp A, Kö B ) K = f (Kp B, Kö A ) K und Bob erzeugen jeweils ein Schlüsselpaar, mit privatem und öffentlichem Teil. Der öffentliche Teil wird jeweils an den Partner geschickt. und Bob können aus dem eigenen privaten und dem öffentlichen Schlüssel des Anderen ein gemeinsames Geheimnis erzeugen, aus diesem wird der Session Key K abgeleitet. Damit können und Bob verschlüsselte Nachrichten austauschen. Schlüsselvereinbarung und der Man-in-the-Middle Kp A, Kö A Kö A K 1 = f (Kp T, Kö A ) Kö T K 2 = f (Kp T, Kö B ) Kö T Kö B Bob Kp B, Kö B K 1 = f (Kp A, Kö T ) Trudy K 2 = f (Kp B, Kö T ) 1 2 Trudy fängt den Schlüsselaustausch zwischen und Bob ab. Sie ersetzt und Bobs öffentliche Schlüsselteile durch ihren eigenen Schlüssel Jetzt kann Sie jeweils mit und mit Bob einen Schlüssel vereinbaren glaubt sie spricht mit Bob, aber sie spricht mit Trudy. Bob glaubt er spricht mit, aber er spricht mit Trudy.

14 Beispiel für Diffie Hellman Anwendung WhatsApp Verschlüsselung Peter Bob Du, Bob Bob Du, Peter Bob, Bob, und Bob vereinbaren mit Hilfe von Diffie Hellman einen Session Key. Gut versteckt gibt es die Möglichkeit den ausgetauschten Schlüssel vergleichen. Dies erfordert eine einmalige persönliche Begegnung. Dann ist der Man in the Middle verhindert. 27 Verschlüsselung mit geheimen Schlüsseln and Bob müssen ein Geheimnis austauschen bevor sie kommunizieren können. Algorithmen sind schnell und sicher. Verschlüsselung mit öffentlichen/privaten Schlüsseln Öffentliche Schlüssel müssen nicht geheim gehalten werden. Öffentliche Schlüssel müssen unfälschbar an den Eigentümer gebunden sein. Algorithmen sind langsam und können nur für kleine Datenmengen verwendet werden. Integritätsschutz Digitale Signaturen gewährleisten die Integrität und Authentizität von Nachrichten. Sie werden mit dem privaten Schlüssel des Unterschreibers erzeugt und mit dem öffentlichen Schlüssel des Unterschreibers verifiziert, jeder kann den Urheber identifizieren Message Authentication Codes gewährleisten Integrität von Daten für alle Besitzer eines geheimen Schlüssels. Werden meist mit Hilfe einer Hashfunktion erzeugt. Der Urheber der Daten kann jeder sein, der den geheimen Schlüssel besitzt. Schlüsselvereinbarung mit öffentlichen/privaten Schlüsseln Arten der Verschlüsselung - zusammengefasst: Durch den Austausch der öffentlichen Schlüssel können und Bob einen geheimen Session Key vereinbaren, der zum Transport von Nutzdaten dient. Der Austausch der öffentlichen Schlüssel muss gegen Man-in-the-Middle Angriffe geschützt werden.

15 Beispiele von Chiffriersystemen Ein Chiffriersystem besteht aus: Einer Menge von Klartexten Menge von Schlüsseltexten Menge von Transformationen (bestehend aus Algorithmus und Schlüssel) Bei der Chiffrierung wird aus dem Klartext mit Hilfe einer Transformation der Schlüsseltext erzeugt. Beispiele für Klartexte: das Alphabet, Texte deutscher Sprache, Alle Wörter im Duden mit drei Buchstaben, ein Byte, eine Bitfolge der Länge N. Fakultät Informatik 29 Der Cäsarcode Transformationen ABCDEFGHIJKLMNOPQRSTUVWXYZ XYZABCDEFGHIJKLMNOPQRSTUVW Die 26 Schlüssel sind leicht durchzuprobieren Der Substitutionschiffre ABCDEFGHIJKLMNOPQRSTUVWXYZ QEWRTUZIPOADSFGJHKLYCXVMNB 26! Schlüssel ( ), durchprobieren ist nicht möglich. Häufigkeitsanalyse von Buchstaben oder Buchstabengruppen ist einfach. Fakultät Informatik 30

16 Häufigkeitsverteilung von Buchstaben Buchstabe Häufigkeit Nr. Buchstabe Häufigkeit A 6,51 1. E 17,4 B 1,89 2. N 9,78 C 3,06 3. I 7,55 D 5,08 4. S 7,27 E 17,4 5. R 7 F 1,66 6. A 6,51 G 3,01 7. T 6,15 H 4,76 8. D 5,08 I 7,55 9. H 4,76 J 0, U 4,35 K 1, L 3,44 L 3, C 3,06 M 2, G 3,01 N 9, M 2,53 O 2, O 2,51 P 0, B 1,89 Q 0, W 1,89 R F 1,66 S 7, K 1,21 T 6, Z 1,13 U 4, P 0,79 V 0, V 0,67 W 1, J 0,27 X 0, Y 0,04 Y 0, X 0,03 Z 1, Q 0,02 Fakultät Informatik 31 Fakultät Informatik 32

17 Transformationen: die Vigenère Chiffre Benötigt ein Schlüsselwort Verschlüsselt wird mit Hilfe des Vigenère Quadrats Schlüsselwort: Landshut Klartext: DasistderText LANDSHUTLANDSHUTLAN DASISTDERTEXT OAFLKAXXCTRAL Die Verschlüsselung wird mit dem Cäsarcode durchgeführt, aber immer mit einem anderen Schlüssel: Für D : der Code der mit L beginnt. Für A : der Code der mit A beginnt. Für S : der Code der mit N beginnt. A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Y Z A B C D E F G H I J K L M N O P Q R S T U V W X X Y Z A B C D E F G H I J K L M N O P Q R S T U V W W X Y Z A B C D E F G H I J K L M N O P Q R S T U V V W X Y Z A B C D E F G H I J K L M N O P Q R S T U U V W X Y Z A B C D E F G H I J K L M N O P Q R S T T U V W X Y Z A B C D E F G H I J K L M N O P Q R S S T U V W X Y Z A B C D E F G H I J K L M N O P Q R R S T U V W X Y Z A B C D E F G H I J K L M N O P Q Q R S T U V W X Y Z A B C D E F G H I J K L M N O P P Q R S T U V W X Y Z A B C D E F G H I J K L M N O O P Q R S T U V W X Y Z A B C D E F G H I J K L M N N O P Q R S T U V W X Y Z A B C D E F G H I J K L M M N O P Q R S T U V W X Y Z A B C D E F G H I J K L L M N O P Q R S T U V W X Y Z A B C D E F G H I J K K L M N O P Q R S T U V W X Y Z A B C D E F G H I J J K L M N O P Q R S T U V W X Y Z A B C D E F G H I I J K L M N O P Q R S T U V W X Y Z A B C D E F G H H I J K L M N O P Q R S T U V W X Y Z A B C D E F G G H I J K L M N O P Q R S T U V W X Y Z A B C D E F F G H I J K L M N O P Q R S T U V W X Y Z A B C D E E F G H I J K L M N O P Q R S T U V W X Y Z A B C D D E F G H I J K L M N O P Q R S T U V W X Y Z A B C C D E F G H I J K L M N O P Q R S T U V W X Y Z A B B C D E F G H I J K L M N O P Q R S T U V W X Y Z A Fakultät Informatik 33 Kryptologie Kryptoanalyse Die Kryptographie versucht sichere Algorithmen zu finden, Die Kryptoanalyse versucht die Algorithmen zu brechen. Ansätze der Kryptoanalyse known ciphertext attack: der Analytiker kennt ein (meist großes) Stück des Schlüsseltextes known plaintext attack: der Analytiker kennt zusammengehörige Stücke Klartext/Schlüsseltext (meist kleine Texte) chosen plaintext attack: der Angreifer kann zu verschlüsselnde Texte dem Angegriffenen unterschieben. Moderne Algorithmen müssen allen diesen Attacken widerstehen können! Brute force attack: der Angreifer probiert alle möglichen Schlüssel aus. Kein Algorithmus kann diesen Angriff verhindern! Fakultät Informatik 34

18 Kryptoanalyse unserer Beispiele Known ciphertext attack Cäsar Code: 26 Schlüssel müssen durchprobiert werden Substitution: Häufigkeitsanalyse ist möglich Vigenère Sehr aufwendig, aber (mit Computerhilfe leicht) knackbar Known plaintext attack Cäsar Code: 1 Buchstabe genügt Substitution: Jeder Buchstabe muss einmal vorkommen Vigenère Ein Text in der Länge des Schlüsselwortes genügt. Fakultät Informatik 35 Gibt es sichere Chiffriersysteme Ein Chiffriersystem heißt sicher, wenn ein abgefangener Schlüsseltext mit gleicher Wahrscheinlichkeit von jedem Klartext stammen kann. Beispiel Cäsar Code, Klartexte: Wörter mit drei Buchstaben BBM stammt mit hoher Wahrscheinlichkeit von AAL CDA stammt mit Wahrscheinlichkeit 0 von BLA unsicher Beispiel One Time Pad: Klartext: Bitfolge der Länge N, Schlüssel: Bitfolge der Länge N, Verschlüsselung: Bitweise Addition von Klartext und Schlüssel Klartext Schlüssel Schlüsseltext Es gibt 2 N Schlüssel, zu jedem Klartext gibt es genau einen Schlüssel der den vorgegebenen Schlüsseltext erzeugt. Entschlüsselung: Addiere Schlüssel binär zu dem Schlüsseltext. sicher Achtung: die Sicherheit gilt nur, wenn der Schlüssel nur einmal verwendet wird Fakultät Informatik 36

19 One Time Pad und Vigenère Chiffre Das One Time Pad ist äquivalent zu einem Vigenère Chiffre: Dabei besteht das Alphabet nur aus den Zeichen 0,1 Der Schlüssel ist genauso lang wie der Klartext Das Vigenère Quadrat zum One Time Pad Der Vigenère Chiffre mit beliebigem Alphabet und unendlich langem Schlüsselwort ist sicher. Es gibt keine anderen sicheren Chiffriersysteme. In Reinform wird dieser Chiffre nur selten eingesetzt. Das Prinzip wird angewendet in Stromchiffren Fakultät Informatik 37 Typen von Chiffren: Stromchiffren Aufweichung des Prinzips des One Time Pads Der beliebig lange Schlüssel wird mit einem Pseudozufallszahlengenerator erzeugt. Der Initialisierungswert des Zufallszahlengenerators ist der Schlüssel. Der Nutzdatenstrom wird kontinuierlich Bit für Bit verschlüsselt. Schlüssel deterministischer Zufallszahlengenerator 0 Zufallszahlenstrom Klartextstrom XOR Schlüsseltextstrom Fakultät Informatik 38

20 Typen von Chiffren: Blockchiffren In einem Verschlüsselungsschritt wird ein Datenblock fester Länge verschlüsselt (Beispiel: AES, DES) Alle gängigen Blockchiffren sind mehrstufig aufgebaut aus Substitutionen und Transpositionen: Substitutionen Klartext wird nach einem schlüsselabhängigen Schema durch einen anderen Text ersetzt: blabla cmbcmb Transpositionen: Klartext wird nach einem schlüsselabhängigen Schema durcheinandergewürfelt Sicherh eitdurc hkrypto graphie SehgiiKrctrahdypeuphrrtihcoe Fakultät Informatik 39 Analyse symmetrischer Verfahren Substitution 1 (Verschiebung des Alphabets) ABCDEFGHIJKLMNOPQRSTUVWXYZ WXYZABCDEFGHIJKLMNOPQRSTUV Klartextalphabet: 26 Zeichen Anzahl möglicher Schlüssel: 25 Der Schlüssel kann sofort gebrochen werden, falls der Klartext ein Text in einer bekannten Sprache ist (nur 25 Schlüssel müssen ausprobiert werden) Sicherheitskriterium: Schlüssellänge

21 Analyse symmetrischer Verfahren Substitution 2 (beliebige Vertauschung der Buchstaben) ABCDEFGHIJKLMNOPQRSTUVWXYZ FXCGMHNEOTUVIJYZASQWKLBPDR Klartextalphabet: 26 Zeichen Anzahl möglicher Schlüssel: 26! Durchprobieren aller Schlüssel ist nicht möglich Angriff durch Häufigkeitsanalyse der Buchstaben Angriff auf Substitution 2 Die relative Häufigkeit des Vorkommens der Buchstaben in einem Text ist bekannt Erstes Ersetzen gemäß der Häufigkeit führt meist zu lesbarem Text Verbesserung des Verfahrens verschlüssele nicht Buchstaben sondern Buchstabengruppen bei 2 Zeichen pro Substitution erhält man ein Klartextalphabet von = 676 Zeichen die Häufigkeiten der einzelnen Zeichen sind viel gleichmäßiger verteilt Sicherheitskriterium: Blockgröße

22 Transposition Analyse symmetrischer Verfahren Zeichen eines Klartextes werden nicht ersetzt sondern in ihrer Reihenfolge vertauscht: Sicherh eitdurc hkrypto graphie SehgiiKrctrahdypeuphrrtihcoe mehrmaliges Ausführen solcher Transpositionen verbessert die Sicherheit Viele gängige symmetrischen Algorithmen sind mehrstufig aus Substitutionen und Transpositionen aufgebaut. Sicherheitskriterium: Diffusion Entwurfsregeln für Blockchiffren Regel 1 (Schlüsselgröße) Die Schlüssellänge muß groß genug sein um Durchprobieren aller Schlüssel zu verhindern (z.b. 128 Bit) Regel 2 (Blocklänge) Regel 3 (Diffusion) Das Klartextalphabet muß groß genug sein um statistische Analyse zu verhindern (z.b. 64 Bit) Jedes Klartextbit beeinflusst jedes Schlüsseltextbit Jedes Schlüsselbit beeinflusst jedes Schlüsseltextbit Fakultät Informatik 44

23 Sommer 1998: Der DES Cracker Fakultät Informatik 45 Zeitdauern zum Schlüsselbrechen DES-Cracker: 1999 Schnellster Computer 2012 (16,3 Petaflops) Schlüsselgröße Schlüsselzahl 1 Million Verschlüsselungen / Sekunde 245 Milliarden / Sekunde 16,5 x / Sekunde 56 Bit (DES) 128 Bit (AES28) 256 Bit (AES-256) (Permutationen von 26) 7,2 x Jahre 40 Stunden 0,6 Stunden 3,4 x ,4 x Jahre 2,2 x Jahre 3,3 x Jahre 1,2 x ,9 x Jahre 7,7 x Jahre 1,1 x Jahre 26! 6,4 x Jahre 26 Millionen Jahre Jahre Fakultät Informatik 46

24 Anforderungen an Algorithmen Es gibt praktisch keine absolut sicheren Algorithmen. Die Auswahl muss anwendungsspezifisch erfolgen nach dem Kriterium: Die Kosten zum Brechen des Algorithmus müssen höher sein als der Wert der gewonnenen Information. Algorithmen werden so entworfen, dass keine Attacke bekannt ist, die besser ist als "Brute Force" Aber Merke: Jede Kette ist so stark wie ihr schwächstes Glied. Sicherheitsprobleme liegen oft nicht in Algorithmen. Fakultät Informatik 47 Angriffe auf Algorithmen: Seitenkanalattacke Programm zur Überprüfung einer PIN int main() { int count = 0; cout << "Pin eingeben"; while (count++ < 30){ string pin; cin >> pin; if (pincheck(pin)) } int start = clock(); break; int end = clock(); cout << "Falscheingabe! Bitte Pin erneut eingeben" << endl; cerr << "Laufzeit:" << end - start; } cout << "PIN ist OKAY" << endl; bool pincheck(string pin) { string referenz = PIN; for(unsigned int i = 0; i < referenz.size();i++) { wait(); if(pin[i]!= referenz[i]) return false; } return true; } Fakultät Informatik 48

25 Padding Problem: Blockchiffren können nur ganze Blöcke verarbeiten Lösung Padding : Auffüllen des zu verschlüsselnden Textes auf ganze Blöcke, in erkennbarer und umkehrbarer Weise Padding-Methoden zum Beispiel: Bit-Padding: Erst Byte anhängen, dann mit Null-Bytes auffüllen Klartextblock Ende des Klartextes Padding Es wird immer mindestens 1 Byte angehängt eventuell sogar ein ganzer Block! Damit ist die letzte Folge von immer als Padding zu erkennen ISO10127 Padding: Mit zufälligen Bytes auffüllen, letztes Byte gibt Anzahl der gepaddeten Bytes an Klartextblock Ende des Klartextes Padding Auch hier wird mindestens 1 Byte angehängt, so ist das Padding immer zu identifizieren Alternative: den Chiffre in einem Modus einsetzen, der auch Verschlüsselung von unvollständigen Blöcken erlaubt, z.b. CTR. Verwendung von Blockchiffren: ECB Modus, CBC Modus, CTR Modus ECB = Electronic Code Book Jeder Block wird unabhängig vom anderen Blöcken verschlüsselt. Tritt ein Block mehrfach auf, so wird er jedes Mal gleich verschlüsselt. Angriffsmöglichkeiten: Wiedererkennen und Einfügen von Blöcken. Nur in Ausnahmefällen sinnvoll einzusetzen. CBC = Cipher Block Chaining Die Verschlüsselung eines Blockes ist abhängig von den schon vorher verschlüsselten Blöcken. Mehrfach auftretende Blöcke werden immer unterschiedlich verschlüsselt. Padding von Daten auf Blockgröße ist notwendig. Wohl der am weitesten verbreitete Verschlüsselungsmodus. CTR = Counter Mode Die Verschlüsselung eines Blockes ist abhängig von einem Counter der blockweise hochgezählt wird. Mehrfach auftretende Blöcke werden immer unterschiedlich verschlüsselt. Kein Padding notwendig. Für viele Algorithmen (z.b. AES) standardisiert.

26 Verschlüsselungsmodi Vorsicht bei Verschlüsselung im Electronic Code Book (ECB) Modus: Gleiche Klartextblöcke gleiche Verschlüsselung! Quelle Bild: Besser: anderen Modus wie Cipher Block Chaining (CBC) oder Counter (CTR) Modus verwenden! Der CBC (Cipher Block Chaining) - Modus Klartextblock Bitweises XOR Ergebnis der Ergebnis der letzten Verschlüsselung 1 letzten Verschlüsselung XOR Klartextblock ALGO rithmus Verschlüsselter Block Übertragung ALGO rithmus ) Zu Beginn: zufälliger Initialisierungswert, der im Klartext übertragen werden kann.

27 Der CTR (Counter) - Modus Anfangswert Counter counter counter+1 counter+n counter counter+1 counter+n ALGO rithmus ALGO rithmus ALGO rithmus ALGO rithmus ALGO rithmus ALGO rithmus Verschlüsselte Counter enc-ctr enc-ctr+1 enc-ctr+n Verschlüsselte Counter enc-ctr enc-ctr+1 enc-ctr+n Klartext (letzter Block unvollständig) Das ist der streng gehei me Text Bitweises XOR asdwertuoqi asfdsgztklpö rtuolpuix asdwertuoqi asfdsgztklpö Schlüsseltext (Länge wie Klartext) rtuolpuix Das ist der streng gehei me Text Beispiel: Der GCM (Galois Counter Mode) Der GCM wurde als Counter Modus für den AES spezifiziert Er wendet den Counter Modus auf den Klartext an. Zusätzlich wird ein MAC für den Schlüsseltext und optional für unverschlüsselte Klartextteile erstellt. Funktionsweise K sei der geheime AES Schlüssel, den und Bob besitzen M s = Klartext der verschlüsselt werden soll (Blöcke M s1, M s2 M sn ) M o = Klartext, der offen übertragen werden soll C i = K(ctr i ) Å M si, die Verschlüsselung im Countermode T = MAC(K,C 1,C 2, C n,m o ) ein spezieller Message Authentication Code Übertragen wird M o,c 1,C 2,,C n,t und der Initialisierungswert ctr 0 Der Empfänger kann entschlüsseln und verifizieren, dass M o und C i bei der Übertragung nicht manipuliert worden sind. AES-GCM Der AES-GCM ist derzeit bei TLS der meist geschätzte Algorithmus (nicht der meist verwendete ) Er wurde 2008 für TLS 1.2 spezifiziert.

28 Mehrfachverschlüsselung Um Algorithmen mit kurzen Schlüssellängen weiter nutzen zu können, kann Mehrfachverschlüsselung eingesetzt werden. Erster Ansatz: S = K 2 (K 1 (M)) Der Schlüsselraum vergrößert sich von n Bit auf 2n Bit Angriffsmöglichkeit: Meet in the Middle Attack (ein known plaintext Angriff) Der Angreifer kennt S, M. Er berechnet für alle möglichen Schlüssel S i = K i (M), M j = K j (S) Die Erbegnisse werden gespeichert und verglichen. Wenn i, j gefunden wird mit S i = M j, dann gilt K 1 = K i und K 2 = K j, denn: Der Angriff braucht nur 2n+1 Verschlüsselungen, er ist aber praktisch nicht durchführbar. Speicherplatzbedarf im Beispiel DES (56Bit Schlüssel): ca Terabyte. Dennoch: K j (S) = K i (M), also S = K j (K i (M)) Zum Einsatz kommt dreifach Verschlüsselung mit 2 Schlüsseln, meist Encrypt- Decrypt-Encrypt (EDE-Mode) S = K 1 K 2 K 1 (M) Fakultät Informatik 55 symmetrische Algorithmen: DES DES = Data Encryption Standard US Standard seit 1977 (FIPS PUB 46) Viele Jahre der meist verwendete symmetrische Algorithmus, sehr effiziente Implementierungen in Hardware und Software Schlüssellänge: 56 Bit Blocklänge: 64 Bit Hauptkritikpunkte; Schlüssellänge, geheime Designkriterien der NSA Seit 1999 gebrochen (in 22 h) nicht mehr einsetzen! sichere Erweiterung: Triple DES. Aber inzwischen wird auch die Blocklänge von 64 Bit als kritisch angesehen. Klartext 64 Bit Eingangspermutation Verschlüs.-Schritt 1 Verschlüs.-Schritt 2 Verschlüs.-Schritt 3 Schlüsseltext 56 Bit Schlüssel Key -Permutation.. Verschlüs.-Schritt Bit Swap Ausgangspermutatio n Teilschlüssel1 48 Bit Teilschlüssel2 48 Bit Teilschlüssel3 48 Bit Teilschlüssel16 48 Bit

29 symmetrische Algorithmen: AES AES = Advanced Encryption Standard Klartext 128 Bit NIST Ausschreibung 1997, als langfristiger Ersatz für DES. Ausschreibung und Evaluierung waren vollständig öffentlich 2001: "Rijndael" aus Belgien als AES Standard verabschiedet. AES Variabler Schlüssel 128,192 oder 256 Bit Algorithmus mit Perspektive für 20 bis 30 Jahre Schlüssellänge: 128, 192 und 256 Bit Schlüsseltext 128 Bit Blocklänge: 128 Bit symmetrische Algorithmen: RC4 RC = "Rivest Cipher" entwickelt von Ron Rivest für RSA Inc. speziell entwickelt für variable Schlüssellängen (historische Exportrestriktionen) Viel verwendet in SSL RC4 ist ein Stromchiffre, daher keine Modi wie CBC oder CTR nötig Klartext variablerschlüssel? RC4 wurde zeitweise geheim gehalten Inzwischen gilt RC4 als von der NSA gebrochen. Schlüsseltext

30 Hashfunktionen: MD5 MD5 = Message Digest 5 Entwicklung 1990/91 von Rivest/Dusse Input: beliebig lange Nachricht Output: Hashwert von 128 Bit Länge schon lange bekannt: anfällig für Kollisionen 2004 erste Kollision in der vollständigen MD5-Funktion gefunden nicht mehr anwenden! M MD HASH Hashfunktionen: SHA SHA (Secure Hash Algorithm 1) 1994 veröffentlicht, NIST-Standard Input: beliebig lange Nachricht Output: Hashwert von 160 Bit 2007: Kollisionen mit 25% frei gewählter Nachricht können erzeugt werden Übergangsweise empfehlenswert die SHA-2-Familie (SHA-224, SHA-256, SHA-384, SHA-512) SHA-3 Ausschreibung Oktober 12 beendet. SHA-3 wird Keccak (Belgien/Italien). Der Standard SHA-3 wurde 2015 verabschiedet. Keccak ist ein grundlegend neu konzipierter Algorithmus. Problem: Viele langlebige Signaturen verwenden SHA M SHA HASH

31 asymmetrische Verfahren Problem: suche umkehrbare Funktionen, die leicht und schnell zu berechnen sind, deren Umkehrung aber nicht aus der Funktion herleitbar ist. Bis ein kluger Kopf die Lösung findet! Grundlage: mathematisch schwere Probleme Faktorisierungsproblem: Es ist leicht zwei sehr große Primzahlen zu multiplizieren, es ist (fast) unmöglich dieses Produkt in seine Faktoren zu zerlegen Problem des diskreten Logarithmus: Es ist leicht in endlichen Körpern zu potenzieren, es ist (fast) unmöglich den Logarithmus einer Zahl zu finden. Fakultät Informatik 61 asymmetrische Algorithmen: RSA RSA = Rivest, Shamir, Adleman entwickelt 1977/78 mit Abstand am weitesten verbreiteter asymmetrischer Algorithmus verwendbar sowohl für Verschlüsselung als auch für digitale Unterschrift Modullänge 512 Bit (Dezimalzahl von 154 Ziffern) lässt sich 2012 in der Cloud in 3 Tagen für 75$ brechen, empfohlene Modullänge 2012: 2048 Bit Performanz: ca mal langsamer als DES Klartext M Zahl zwischen 0 und n C=M e mod n Schlüsseltext C Zahl zwischen 0 und n M=C d mod n Klartext M p,q seien sehr große Primzahlen, n = p. q e,d seien so, daß ed 1 mod(p)(q) öffentlicher Schlüssel: n,e privater Schlüssel: n,d

32 Der RSA verwendet sehr große Zahlen: Für den Modul n = pq werden Zahlen in der Größenordnung von verwendet. Dies ist eine Dezimalzahl von ca. 600 Stellen. Hier Beispiele für solche Zahlen: Kein Rechner der Welt ist in der Lage, eine solche Zahl in ihre Primfaktoren zu zerlegen. asymmetrische Algorithmen: DSA DSA = Digital Signature Algorithm verabschiedet 1994 als Teil des DSS (Digital Signature Standard) vom NIST entwickelt von NSA, unterliegt keinen Patenten spezifiziert nur für elektronische Unterschrift; nicht zur Verschlüsselung verwendbar Sicherheit beruht auf dem Problem des Logarithmus in endlichen Körpern empfohlene Modullänge: 1024 Bit Performanz: Signieren wie RSA, Verifizieren 1/10 von RSA Klartext M Hash(M) Signatur abhängig von: p,q,g,x,k. Verifikation p Primzahl, q Primfaktor von p g abgeleitet von p,q privater Schlüssel: x < q Zufallszahl: k < q öffentl. Schlüssel: y = g x mod p

33 asymmetrische Algorithmen: DH DH = Diffie Hellman ist der erste publizierte public Key Algorithmus (1976) DH ist sehr schnell und kann zur häufigen Erzeugung von Session Keys verwendet werden. Einsatz zum Beispiel in IPSEC, immer mehr in TLS ZA1 ZB2 ZA2 ZB2 ZB1 ZA2 Bob Wegen der Anfälligkeit gegen Man in the Middle muss zusätzlich eine Sicherung durchgeführt werden, z.b. mit Zertifikaten oder durch Abgleich des Fingerprints, Sicherheit beruht auf dem Problem des Logarithmus in endlichen Körpern Keygen AB AB Keygen Der Diffie-Hellman-Algorithmus zur Schlüsselvereinbarung Bob 43g Public Key Private Key 43g Session Key Public Key Trudy Bob Public Key 54g Session Key Bob Private Key 54g Bob Public Key Weiße Farbe: für alle verfügbar ( Systemparameter ) Abtönfarbe: privater Schlüssel Abtönfarbe mischen: öffentlichen Schlüssel erzeugen (leicht) und Bob können die gleiche Farbe erzeugen (den Session Key) sonst niemand Entmischen: wäre nötig um die gemeinsame Farbe herauszufinden (schwer)

34 Der Diffie-Hellman-Algorithmus noch einmal p sei eine große Primzahl, a in /p * fest gewählt (a,p sind öffentlich bekannt) Private Key q a (zufällig) a =3 q Public Key a a a q b q b a q Beispiel mit kleinen Zahlen: p = 7, a = 3, a a q a q b 6 4 Bob Private Key Bob q b (zufällig) =4 q a a Public Key Bob a q b a q a b q K K q q b a 3 qa a 4 1 /p * = /p \{0} q b a Nebenrechnung: a 1 = 3, a 2 = 2, a 3 = 6, a 4 = 4, a 5 = 5, a 6 = 1 asymmetrische Algorithmen: ElGamal ElGamal wurde 1984 von Taher Elgamal entwickelt. KA KB KB Bob public DH Key (statisch), Baut auf dem DH-Verfahren auf, beruht also auf dem Problem des diskreten Algorithmus. kennt Bob s langlebigen public DH-Key und erzeugt für jede Nachricht einen neues eigenes kurzlebiges DH- Schlüsselpaar und damit DH-Key. Verschlüsseln = Multiplikation der Nachricht mit K (mod p). Nachteil: Der Schlüsseltext ist doppelt so lang wie der Klartext, da der neue DH Key mit gesendet werden muss. DH Gen K Gesendet wird: KA public DH Key (kurzlebig) KA private DH Key (kurzlebig) K DH Key Klartext M Schlüsseltext S = K M S, KA (Ohne Schlüsselwechsel: Verfahren wäre anfällig gegen known plaintext attack)

35 Elliptische Kurven ECDH, ECDSA EC = Elliptic Curve Elliptische Kurven können (über reellen Zahlen) mit einer Gruppenstruktur versehen werden. Dies geht auch bei elliptischen Kurven über endlichen Körpern (z.b. /p ) als Grundlage. Sind P, Q Punkte auf der Kurve, n eine natürliche Zahl, so ist die Berechnung von np = Q leicht (entspricht dem Potenzieren in /p ). Die Berechnung des x mit xp = Q ist sehr schwer (entspricht dem Logarithmieren in /p *). Die Algorithmen über /p * können auf die elliptischen Kurven übertragen werden: DH wird zu ECDH, DSA wird zu ECDSA. Hierbei können bei vergleichbarer Sicherheit Schlüssellängen kleiner gewählt werden als in der Gruppe /p *. Bessere Performanz, weniger Speicherbedarf, kleinere Signaturen Geeignet z.b. für eingebettete Systeme und bei kleiner Bandbreite zur Signaturübertragung y 2 = x 3 9x + 15 P + Q = R Parameter einer kryptographischen elliptischen Kurve Allgemeine Form: y 2 = x 3 + ax +b, a, b Î /p p große Primzahl a, b /p = {0,1,2,,p} G Generatorpunkt auf der Kurve n Ordnung von G (ng = 0, kg 0 für k < n. n muss groß sein, oft: n = Anzahl der Punkte der Kurve K. h Cofaktor = K /n (h klein, z.b. 1, 2, 4) x xg Beispiel: privater Schlüssel x Î {1,2,3,,n} zufällig gewählt. öffentlicher Schlüssel, ein Punkt auf der Kurve: xg G G... G y 2 = x x p = (160 Bit) G = ( , ) n = h = 1 x mal Erzeugung geeigneter elliptischer Kurven ist Expertensache. Viele Kurven sind standardisiert.

36 Typische Schlüssellängen und Signaturlängen Public Key hohes Sicherheitsniveau RSA Modullänge n = 3072 Bit öffentlicher Schlüssel ca Bit Länge einer digitalen Signatur: 3072 Bit ECDSA Kurvengröße 256 Bit öffentlicher Schlüssel ca. 512 Bit (davon 255 Bit redundant) Länge einer digitalen Signatur 512 Bit ECDH öffentlicher Schlüssel 512 Bit (davon 256 Bit redundant) Public Key mittleres Sicherheitsniveau RSA Modullänge n = 1024 Bit öffentlicher Schlüssel ca Bit Länge einer digitalen Signatur: 1024 Bit ECDSA Kurvengröße 160 Bit öffentlicher Schlüssel ca. 320 Bit (davon 159 Bit redundant) Länge einer digitalen Signatur 320 Bit ECDH öffentlicher Schlüssel 320 Bit (davon 160 Bit redundant) Symmetrische Verschlüsselung - hohes Sicherheitsniveau AES28: Advanced Encryption Standard Schlüssellänge 128 Bit Kryptographisch starke Prüfsumme (Hashfunktion) - hohes Sicherheitsniveau SHA-256: Secure Hash Algorithm Hashwert-Länge 256 Bit Fakultät Informatik 71 Performance Vergleich kryptographischer Algorithmen Here are the complete results for the benchmarks on an AMD Opteron GHz processor under Linux. Algorithm AES/CTR (128-bit key) AES/CTR (192-bit key) AES/CTR (256-bit key) AES/CBC (128-bit key) AES/ECB (128-bit key) RC6/CTR DES/CTR DES-EDE3/CTR RC5 (r=16) Mbytes / second Quelle: Algorithm HMAC(SHA) MD5 SHA SHA Algorithm RSA 1024 Signature RSA 1024 Verification RSA 2048 Signature RSA 2048 Verification DSA 1024 Signature DSA 1024 Verification Mbytes / second Milliseconds Fakultät Informatik 72