Datenkommunikation Prof. Dr. Marke SS 2001 Seminar-Thema: Kryptographie

Transkript

1 Datenkommunikation Prof. Dr. Marke SS 2001 Seminar-Thema: Kryptographie 22. Mai 2001 Eric Müller Frank Würkner

2 Inhaltsverzeichnis 1 Einführung in die Kryptographie Ziele einer kryptographisch gesicherten Datenkommunikation Klassifikation der Angriffe auf eine verschlüsselte Verbindung Symmetrische Verschlüsselungsverfahren Data Encryption Standard (DES) Entstehung Algorithmus Erweiterung: Triple-DES Advanced Encryption Standard (AES) Betriebsarten bei Blockchiffrierung Electronic Code Book Mode (ECB) Cipher Block Chaining Mode (CBC) Cipher Feedback Mode (CFB) Output Feedback Mode (OFB) Asymmetrische Verschlüsselungsverfahren RSA Entstehung Algorithmus Vergleich mit symmetrischer Verschlüsselung (DES) Anwendungen SSL (Secure Sockets Layer) Secure Shell (SSH) Secure / Multipurpose Internet Mail Extensions (S/MIME) Prüfungsfragen Frage 1: Nennen Sie 6 Ziele einer kryptographisch gesicherten Datenkommunikation? Frage 2: Warum kommen im Internet oft hybride Verschlüsselungsverfahren zum Einsatz? Frage 3: Welche 6 Entwurfskriterien liegen dem Advanced Encryption Standard (AES) zugrunde?

3 1 Einführung in die Kryptographie 1.1 Ziele einer kryptographisch gesicherten Datenkommunikation Authentifizierung der beiden Übertragungspartner, d.h. es ist sichergestellt, dass sich niemand als ein anderer ausgeben kann Sicherstellung von Vertraulichkeit, d.h. Dritte, die Daten der Kommunikation abhören, können keine Rückschlüsse auf den tatsächlichen Inhalt ziehen Gewährleistung von Datenintegrität, d.h. Dritte können nicht unbemerkt Daten der Kommunikation modifizieren (z.b. Teile verwerfen, verändern oder neu einspielen) Verbindlichkeit, d.h. kein Abstreiten durchgeführter Aktionen seitens des Benutzers möglich Anonymität der Kommunikationsbeziehung, d.h. für Außenstehende soll nicht nachvollziehbar sein, wer mit wem wie oft kommuniziert Verfügbarkeit, d.h. Berechtigten soll die Nutzbarkeit jederzeit offen stehen (Stabilität der Protokolle gegenüber Denial-of-service-Attacken) In einem konkreten Fall sind unter Umständen nicht alle Punkte erfüllbar bzw. relevant. So ist z.b. eine gegenseitige Authentifizierung bei einer Datagramm Kommunikation nicht möglich oder die Gewährleistung der Anonymität der Kommunikationsbeziehung ist bei Verwendung von TCP/IP nicht ohne weiteres möglich. 1.2 Klassifikation der Angriffe auf eine verschlüsselte Verbindung Informationen, die dem Angreifer über die Verschlüsselung zur Verfügung stehen: Ciphertext-only-attack Kryptotext und statistische Eigenschaften der Nachricht bzw. der benutzten Sprache (u.a. Häufigkeit des Auftretens von bestimmten Buchstaben, Standardfloskeln bei Briefen (Sehr geehrte Damen und Herren) etc.) Known-plaintext-attack Klartext/Kryptotext-Paare Chosen-plaintext-attack Kenntnis über Verschlüsselungsverfahren, d.h. Erzeugung von Kryptotext zu beliebigem Klartext 3

4 Chosen-text-attack Kenntnis über Entschlüsselungsverfahren, d.h. Erzeugung von Klartext zu beliebigem Kryptotext mit einem Schlüssel (nur wenn das der tatsächliche Kommunikationsschlüssel ist, kann damit beliebig entschlüsselt werden!) Für die eingesetzten kryptographischen Systeme wird im allgemeinen gefordert, dass sie sicher gegenüber Chosen-plaintext-Attacken sind. Für die Sicherheit eines kryptographischen Systems gilt, dass sie nicht von der Kenntnis des Ver- und Entschlüsselungsverfahrens abhängig sein darf, d.h. sie darf allein von der Geheimhaltung der geheimzuhaltenden Schlüssel abhängen! 2 Symmetrische Verschlüsselungsverfahren Bei der klassischen Verschlüsselung kennen und nutzen sowohl Sender als auch Empfänger den selben (oder einen davon leicht abzuleitenden) geheimen Schlüssel. Dies wird als symmetrische Verschlüsselung oder auch als Private-Key- Verfahren (bzw. Secret-Key-Verfahren) bezeichnet. 2.1 Data Encryption Standard (DES) Entstehung DES ist die Bezeichnung für den Federal Information Processing Standard (FIPS) 46-3, der den Data Encryption Algorithm (DEA) beschreibt. DEA wird auch im ANSI Standard X9.32 definiert. Er ist eine Weiterentwicklung des Lucifer- Algorithmus, der in den frühen 70er Jahren von IBM entwickelt und 1977 zum US-Verschlüsselungsstandard erklärt wurde. Obwohl ursprünglich von IBM entwickelt, spielte der US-Geheimdienst NSA (National Security Agency) eine entscheidende Rolle in der letzten Phase der Entwicklung. DEA, oft auch als DES bezeichnet, wurde seit seiner Veröffentlichung sehr ausführlich kryptoanalytisch untersucht und gilt als der verbreitetste symmetrische Algorithmus auf der Welt. Obwohl es Vermutungen gab, die NSA hätte bewußt die Sicherheit von DES aufgeweicht, ist bis heute kein schnellerer Weg zum Brechen der Verschlüsselung bekannt, als ein Brute-Force-Angriff, d.h. das vollständige Testen mit allen möglichen Schlüsseln Algorithmus DES ist ein 64-bit Blockchiffrierungs-Algorithmus, d.h. die Ver- und Entschlüsselung geschieht in Blöcken zu je 64-bit, wie aus Abbildung 1 zu ersehen. Aus diesem Grunde ist eine zusätzliche Übermittlung der Länge der Nachricht, bzw. die Verwendung eines vereinbarten Ende-Symbols nötig. Andernfalls würden die bei der Verschlüsselung aufgefüllten Bytes (bis zu 7) als Information fehlinterpretiert. 4

5 Abbildung 1: Grundsätzlicher Aufbau des DES Verschlüsselung: Eingabe: Klartext (wird in 64-bit Klartext-Blöcke zerlegt) und ein 64-bit Schlüssel, bei dem 56 bit frei wählbar sind (damit 2 56, d.h. ca. 7, unterschiedliche Schlüssel), der Rest sind Paritätsbit. Jeder Block wird mit der initialen Permutation (IP ) bitweise permutiert. Jeder permutierte Block wird in zwei 32-bit Blöcke aufgespalten Durchführung von 16 Iterationen mit 48-bit Schlüsseln, die aus dem eingegebenen 56-bit Schlüssel nach einem festgelegten Verfahren abgeleitet werden. Alle 16 abgeleiteten Schlüssel sollten dabei verschieden sein. Die beiden iterierten 32-bit Blöcke werden wieder zu einem 64-bit Block zusammengefasst. Auf den zusammengefassten Block wird die inverse initiale Permutation (IP 1 ) angewandt. Ausgabe: Kryptotext in 64-bit Blöcken Entschlüsselung: Eingabe: Kryptotextblock und Schlüssel (gleicher Schlüssel wie bei der Verschlüsselung) Anwendung der initialen Permutation (die selbe wie bei der Verschlüsselung: IP ) auf jeden Kryptotextblock. Jeder permutierte Block wird in zwei 32-bit Blöcke aufgespalten Durchführung von 16 Iterationen, mit denselben 48-bit Schlüsseln, wie bei der Verschlüsselung, nur in umgekehrter Reihenfolge. 5

6 Die beiden iterierten 32-bit Blöcke werden wieder zu einem 64-bit Block zusammengefasst. Auf den zusammengefassten Block wird die inverse initiale Permutation (IP 1 ) angewandt. Ausgabe: Klartext in 64-bit Blöcken Erweiterung: Triple-DES Aufgrund der im Verhältnis zur heutigen Rechenleistung geringen Schlüssellänge ist eine einfache DES-Verschlüsselung in mittlerweile recht kurzer Zeit (wenige Stunden) zu brechen. Daher stellte sich die Frage nach einer einfachen und kostensparenden Erweiterung des DES-Algorithmus. Zur einfachen Erhöhung der Sicherheit kann eine mehrfache DES-Verschlüsselung angewandt werden. Bei Triple-DES wird dabei zuerst mit einem Schlüssel verschlüsselt, dann mit einem weiteren entschlüsselt und schließlich mit einem dritten wieder verschlüsselt. Der ANSI X9.52 Standard sieht dafür drei Möglichkeiten vor: Alle drei Schlüssel sind verschieden (effektive Schlüssellänge: 168-bit). Schlüssel 1 und Schlüssel 2 sind unabhängig, aber Schlüssel 1 und Schlüssel 3 sind identisch (effektive Schlüssellänge: 112-bit). Alle drei Schlüssel sind identisch. Dies entspricht der einfachen DES- Verschlüsselung und dient zur Abwärtskompatibilität (effektive Schlüssellänge: 56-bit). Es kann mathematisch bewiesen werden, dass die mehrfache Verschlüsselung tatsächlich den Schlüsselraum vergrößert, d.h. dass kein äquivalenter 56-bit-Schlüssel existiert, der die selbe Verschlüsselung zur Folge hat. Triple-DES hat die heutzutage recht unsichere einfache DES-Verschlüsselung mittlerweile vollständig abgelöst. So sind z.b. US-Regierungseinrichtungen schon seit geraumer Zeit angehalten nur noch dieses Verschlüsselungsverfahren zu verwenden. 2.2 Advanced Encryption Standard (AES) Als in den späten 90er Jahren Maschinen entwickelt wurden, die einen einfachen DES-Schlüssel in wenigen Stunden knacken konnten, stellte sich die Frage nach einem sichereren Verschlüsselungsalgorithmus. Zunächst entwickelte man, wie bereits beschrieben, Triple-DES, was Schlüssel bis zur dreifachen Länge, also 168-bit statt 56-bit, ermöglichte. Da jedoch bereits die Verschlüsselung mit Triple-DES recht zeitaufwendig ist, zog man eine weitere Erhöhung der Schlüssellänge durch 6

7 Hintereinanderschaltung von Einfach-DES nicht in Betracht. Ein modernerer und effizienterer Algorithmus ist aber auch im Hinblick auf die zunehmende Verbreitung von SmartCards unabdingbar, da hier schon auf die Implementierung von Triple-DES wegen zu geringem Speicher bzw. zu langen Verarbeitungszeiten oft verzichtet werden mußte. Aus diesem Grunde veranstaltete das amerikanische National Institute of Standards and Technology (NIST) eine Ausschreibung um einen neuen Block- Verschlüsselungs-Algorithmus für den AES zu entwickeln. Es kam dabei auf folgende Kriterien an: Sicherheit Geschwindigkeit der Ver- und Entschlüsselung Speichereffizienz Einfache Implementierbarkeit Durchschaubarkeit im Sinne der Kryptoanalyse Flexibilität durch verschiedene Schlüssellängen Unter allen Einsendungen, u.a. von IBM und diversen Krypto-Firmen, entschied sich das NIST im Oktober 2000 für den Algorithmus Rijndael der von den beiden belgischen Kryptographen Dr. Vincent Rijmen und Dr. Joan Daemen entwickelt wurde. Mögliche Schlüssellängen sind dabei: 128-bit (Anzahl möglicher Schlüssel 3, ) 192-bit (Anzahl möglicher Schlüssel 6, ) 256-bit (Anzahl möglicher Schlüssel 1, ) Die Sicherheit von AES (bzw. Rijndael) ist durch den größeren Schlüsselraum ungleich höher als die von DES. Angenommen es würde eine Maschine existieren, die einen 56-bit DES-Schlüssel pro Sekunde knacken könnte, so würde die Maschine 149 Billionen Jahre zum knacken eines 128-bit AES-Schlüssels benötigen. Der Algorithmus wird voraussichtlich im Oktober 2001 als offizieller Standard verabschiedet. 7

8 2.3 Betriebsarten bei Blockchiffrierung Electronic Code Book Mode (ECB) Im ECB Modus (siehe Abbildung 2) wird jeder Klartextblock unabhängig von den anderen Blöcken chiffriert. Somit ergibt jeder gleiche Klartextblock auch den jeweils identischen Kryptotextblock, d.h. er lässt mögliche Rückschlüsse auf den eigentlichen Inhalt zu. Ohne zusätzliche Sicherungsmaßnahmen wie CRC-Checks lässt sich zudem einfach der Klartext durch Löschen bzw. Hinzufügen von Blöcken verändern. Jedoch eignet er sich gut zur Parallelisierung. Abbildung 2: Electronic Code Book Mode Cipher Block Chaining Mode (CBC) Im CBC Modus (siehe Abbildung 3) wird jeder Klartextblock m i vor der Verschlüsselung mit dem vorangehenden Kryptotextblock c i 1 ge-xor-d. Der erste Block wird mit einem definierten Startblock c 0 ge-xor-d. Änderungen am Klartext lassen sich nur noch durch Blocklöschung am Ende vornehmen. Wird bei gleichem Schlüssel je ein anderer Startblock (zufällig) gewählt und mitübermittelt, so ist ein Rückschluß auf den eigentlichen Inhalt nicht mehr möglich. Bei dieser Variante ist eine Parallelisierung auf Blockebene nicht möglich. Abbildung 3: Cipher Block Chaining Mode 8

9 2.3.3 Cipher Feedback Mode (CFB) Im CFB Modus (siehe Abbildung 4) ergibt der letzte Kryptotextblock c i 1 verschlüsselt und ge-xor-d mit dem folgenden Klartextblock m i den neuen Kryptotextblock c i. Für den Startblock, die Manipulierbarkeit und die Parallelisierbarkeit gilt das gleiche wie für CBC. Abbildung 4: Cipher Feedback Mode Output Feedback Mode (OFB) Der OFB Modus (siehe Abbildung 5) ist dem CFB Modus sehr ähnlich, mit dem Unterschied, dass der Block für die XOR-Operation weder vom Kryptotextblock noch vom Klartextblock abhängt. Der Startblock s 0 wird also unabhängig vom Klartext immer wieder weiterverschlüsselt. Das Ergebnis, bezeichnet als Datenblock s i, wird, jeweils mit dem Klartextblock XOR-verknüpft, als neuer Kryptotextblock verwendet. Der Vorteil darin liegt in der geringeren Störanfälligkeit: Sollte ein Block gestört sein, können zumindest die folgenden wieder richtig entschlüsselt werden. Ein gravierender Nachteil des OFB ist dagegen die leichte Manipulierbarkeit des Klartextes: Falls einem Angreifer ein Klartextblock m i bekannt ist, so kann er durch den dazugehörigen Kryptotextblock c i per XOR-Verknüpfung auf den entsprechenden Datenblock s i rückschließen und durch erneute XOR-Verknüpfung mit einem neuen falschen Klartextblock den Inhalt austauschen. Dies unterscheidet sich sicherheitstechnisch insofern von den Verfahren CBC und CFB, dass dort nur eine Veränderung von Blöcken mit unbekannten Auswirkungen auf den Klartext möglich ist. Wenngleich auch hier eine Parallelisierung nicht möglich ist, so können zumindest die Datenblöcke s i vor der Eigentlichen Ver- bzw. Entschlüsselung vorausberechnet werden. 9

10 Abbildung 5: Output Feedback Mode 3 Asymmetrische Verschlüsselungsverfahren Bei der asymmetrischen Verschlüsselung wird jeweils ein Schlüsselpaar pro Kommunikationspartner benötigt. Jedes Schlüsselpaar besteht aus einem geheimen (privaten) und einem öffentlichen Schlüssel. Eine Nachricht wird von dem Sender der Nachricht mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und der Empfänger entschlüsselt die Nachricht mit seinem privaten Schlüssel. Dieses Verfahren wird auch als Public-Key-Verfahren bezeichnet. Die Basis der Public-Key Kryptosysteme sind sogenannte Einweg-Funktionen. Darunter versteht man Funktionen, die ohne größeren Aufwand berechenbar sind, deren Inverse man aber, obwohl sie existieren, nicht so ohne weiteres ermitteln kann. Die Problematik liegt dabei nicht im Finden eines Algorithmus, sondern in der großen Anzahl nötiger Operationen und damit im Aufwand zur Berechnung des Algorithmus. Typisches Beispiel für eine Einweg-Funktion ist die Multiplikation zweier großer Primzahlen. 3.1 RSA Entstehung RSA ist ein Public-Key-Verschlüsselungsverfahren, das sowohl Verschlüsselung als auch Digitale Signaturen (Authentifizierung) unterstützt. Die Bezeichnung RSA rührt vom jeweils ersten Buchstaben der Nachnamen der drei Autoren Ronald Rivest, Adi Shamir und Leonard Adleman her, die den Algorithmus 1977 veröffentlichten. RSA ist in diversen Standards weltweit festgehalten, darunter ISO 9796 und ANSI X Algorithmus Schlüsselerzeugung: 10

11 Wähle zwei große Primzahlen p und q (zum Beispiel etwa 1024 Bit lang). Bilde das Produkt n = p q es sei N bit lang. Wähle eine Zahl e > 1, die zu (p 1) (q 1) teilerfremd ist. Berechne ein d mit d e = 1 mod (p 1) (q 1). Der öffentliche Schlüssel besteht aus dem Paar (n, e), der private (geheime) ist die Zahl d. Chiffrierung mittels des öffentlichen Schlüssels: Zerlege den Klartext in Blöcke zu je N 1 bit (eventuell den letzten Block zufällig auffüllen). Hat ein Klartextblock den Wert m, berechne den Rest c = m e mod n. c ist der N bit lange Kryptotextblock. Dechiffrierung mittels des privaten Schlüssels: Zerlege den Kryptotext in N-bit Blöcke. Hat ein Kryptotextblock den Wert c, berechne den Rest m = c d mod n. m ist der ursprüngliche Klartext. Nach dem momentanen Stand der Forschung ist es schwierig den privaten Schlüssel d aus dem öffentlichen Schlüssel (n, e) zu bestimmen. Wenn es jedoch jemand schaffen würde n in p und q zu faktorisieren, dann könnte er daraus den privaten Schlüssel berechnen. Daher basiert die Sicherheit des RSA- Verschlüsselungsverfahrens auf der Annahme, dass das Produkt zweier sehr großer Primzahlen schwierig faktorisierbar ist. Die Entdeckung einer leichten Methode der Fakturierung würde das RSA-Verfahren nutzlos machen Vergleich mit symmetrischer Verschlüsselung (DES) DES ist bis zu 100 mal (Software) bzw. bis zu mal (Hardware) schneller als RSA. Bei RSA ist kein vorheriger Austausch eines geheimen Schlüssels nötig. Mit RSA ist die Realisierung einer digitalen Signatur möglich. In der Praxis wird oft eine Kombination aus symmetrischer (hohe Geschwindigkeit) und asymmetrischer Verschlüsselung (Schlüsselaustausch) gewählt. Der geheime Schlüssel für die symmetrische Verschlüsselung wird dabei über ein Public- Key Verfahren verschlüsselt ausgetauscht (siehe auch 4). Diese Kombination wird auch oft als hybrides Verschlüsselungsverfahren bezeichnet. 11

12 4 Anwendungen 4.1 SSL (Secure Sockets Layer) Das SSL-Protokoll wurde von Netscape Communications entwickelt um abhörsichere Verbindungen über das Internet zu realisieren. Das Protokoll unterstützt Server und Client Authentifizierung. Obwohl auf dem SSL-Protokoll beliebige andere Protokolle aufgesetzt werden können (z.b. HTTP, FTP, Telnet), ist es speziell für HTTP optimiert. Das SSL-Handshake-Protokoll besteht aus zwei Phasen: Server Authentifizierung: Der Server sendet sein Zertifikat und die Verschlüsselungsparameter als Antwort auf eine Client-Anfrage. Darauf generiert der Client einen Master-Key und sendet ihn mit dem Public-Key des Servers verschlüsselt zurück. Der Server entschlüsselt den Master-Key und authentifiziert sich gegenüber dem Client durch Senden einer mit dem Master-Key verschlüsselten Nachricht. Nachfolgende Daten werden mit Schlüsseln, die vom Master-Key abgeleitet sind, verschlüsselt. Client Authentifizierung (optional): Der Server sendet eine Anforderung an den Client. Der Client authentifiziert sich darauf dem Server gegenüber durch Zurücksenden seiner digitalen Signatur sowie seinem Public-Key Zertifikat. Während des Handshake-Prozesses wird das RSA Public-Key-Verfahren verwendet. Danach können verschiedene andere Verschlüsselungsverfahren verwendet werden, u.a. DES und Triple-DES. 4.2 Secure Shell (SSH) SSH ist ein Protokoll, welches einen sicheren Zugang zu einem entfernt stehenden Rechner ermöglicht. SSH stellt eine sichere Verbindung zwischen dem lokalen SSH-Client und dem entfernten SSH-Server her. Dabei kann die Authentifizierung auf verschiedene Arten erfolgen, u.a. auch mittels RSA. SSH ersetzt dabei die unsicheren Protokolle telnet, rlogin und rsh. Auch X11-Forwarding ist über eine SSH-Verbindung möglich. 4.3 Secure / Multipurpose Internet Mail Extensions (S/MIME) MIME ist das offizielle Standardformat für erweiterte . S/MIME ist ein Protokoll, das MIME nach PKCS #7 (Public-Key Cryptography Standards) um digitale Signaturen und Verschlüsselung erweitert. 12

13 5 Prüfungsfragen 5.1 Frage 1: Nennen Sie 6 Ziele einer kryptographisch gesicherten Datenkommunikation? Authentifizierung der beiden Übertragungspartner Sicherstellung von Vertraulichkeit Gewährleistung von Datenintegrität Verbindlichkeit Anonymität der Kommunikationsbeziehung Verfügbarkeit 5.2 Frage 2: Warum kommen im Internet oft hybride Verschlüsselungsverfahren zum Einsatz? Da im Internet oft Verbindungen zwischen lokal sehr weit auseinanderliegenden Kommunikationspartnern, die zudem oft in keiner Beziehung zueinander stehen, realisiert werden müssen, ist der für symmetrische Verschlüsselung notwendige geheime Schlüssel nicht vorhanden. Mit asymmetrischer Verschlüsselung kann dies ohne gemeinsamen Schlüssel realisiert werden. Da eine asymmetrische Verschlüsselung jedoch wesentlich langsamer (d.h. CPU belastender) als eine symmetrische Verschlüsselung ist, wird nur der geheime Schlüssel durch asymmetrische Verschlüsselung ausgetauscht, danach wird mit schneller symmetrischer Verschlüsselung kommuniziert. 5.3 Frage 3: Welche 6 Entwurfskriterien liegen dem Advanced Encryption Standard (AES) zugrunde? Sicherheit Geschwindigkeit der Ver- und Entschlüsselung Speichereffizienz Einfache Implementierbarkeit Durchschaubarkeit im Sinne der Kryptoanalyse Flexibilität durch verschiedene Schlüssellängen 13