Inhalt der Vorlesung. Vorlesung Formale Aspekte der Software-Sicherheit und Kryptographie Wintersemester 2011/12 Universität Duisburg-Essen

Transkript

1 Vorlesung Formale Aspekte der Software-Sicherheit und Kryptographie Wintersemester 2011/12 Universität Duisburg-Essen Barbara König Inhalt Kryptographie Kryptographische Protokolle Verifikation von kryptographischen Protokollen Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 1 Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 14 Kryptographie ist... die Wissenschaft von der Verschlüsselung von Informationen. Kryptographie ist inzwischen für sicheren Nachrichtenaustausch (Online-Bezahlungssysteme, Online-Banking, etc.) unverzichtbar geworden. Ein Teil der Informatik ist der Entwurf von sicheren Verschlüsselungssystemen und die Analyse existierender Verschlüsselungssysteme. Dabei möchte man möglichst weitreichende Garantien über deren Sicherheit erhalten. Kryptographische Protokolle... sind Protokolle, die Nachrichten nach bestimmten vorher festgelegten Regeln austauschen und dabei kryptographische Verfahren verwenden (hauptsächlich zum Verschlüsseln, aber auch zum Signieren von Nachrichten). Solche Protokolle sind sehr fehleranfällig. Beispielsweise sind zahlreiche falsche Authentifizierungsprotokolle im Umlauf. Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 15 Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 16

2 Wir beginnen mit einigen motivierenden Beispielen. Als erstes entschlüsseln wir einen Text, von dem wir wissen, dass er durch Permutation von Buchstaben verschlüsselt wurde. Ein solches Verfahren nennt man auch monoalphabetische Verschlüsselung. Monoalphabetische Verschlüsselung Sei A die Menge aller 26 Buchstaben des Alphabets und sei π : A A eine beliebige bijektive Abbildung. Dann wird ein Wort m 0... m n A dadurch verschlüsselt, dass jeder Buchstabe m i durch π(m i ) ersetzt wird. Wir haben nun einen (längeren) Text abgefangen, der auf diese Weise entschlüsselt wurde, die Permutation π (= der Schlüssel) ist jedoch nicht bekannt. Wie kann dieser Text entschlüsselt werden? DPGASUPF UPQ ZQRTGSIQXTAOP ZQRTGSIQXTAOEYAP JPQLXAQPF KPQUPF HFGPQGPOVG OF UOP ZVXEEOEYAPF HFU DSUPQFPF JPQLXAQPF. UOPEP POFGPOVHFI ZSQQPETSFUOPQG OD KPEPFGVOYAPF DOG UPQ HFGPQGPOVHFI OF ERDDPGQOEYAP HFU XERDDPGQOEYAP JPQLXAQPF. DPGASUPF UPQ ZVXEEOEYAPF ZQRTGSIQXTAOP: ESVXFIP LHPQ UOP ZQRTGSIQXTAOP FSYA ZPOFP PVPZGQSFOEYAPF QPYAFPQ POFIPEPGNG KHQUPF, PQEPGNGP DXF CPO UPQ JPQEYAVHPEEPVHFI (NH UOPEPQ NPOG UOP POFNOIP XFKPFUHFI UPQ ZQRTGSIQXTAOP) ODDPQ JSVVEGXPFUOIP CHYAEGXCPF SUPQ CHYAEGXCPFIQHTTPF. ESVYAP JPQLXAQPF EOFU APHGP JPQXVGPG HFU HFEOYAPQ. [...] Vollständiger Text unter Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 17 Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 18 Wieviele mögliche Schlüssel gibt es? Kann man alle diese Schlüssel durchprobieren? Gibt es eine andere Methode, den Text zu entschlüsseln? Ein durch monoalphabetische Verschlüsselung kodierter Text kann im allgemeinen einfach durch Häufigkeitsanalyse von Buchstaben und Suche nach bekannten Wörtern entschlüsselt werden. Dabei wird insbesondere ausgenutzt, dass e der bei weitem häufigste Buchstabe im Deutschen ist, dass dreibuchstabige Wörter mit einem e in der Mitte im allgemeinen Artikel sind (der, den, dem,... ), usw. Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 19 Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 20

3 Häufigkeit der Buchstaben im Deutschen: Eine solche Entschlüsselung ist sehr schön in der Kurzgeschichte The Gold Bug (dt. Der Goldkäfer ) von Edgar Allan Poe beschrieben. In Englisch unter: In Deutsch unter: Platz Buchstabe Häufigkeit Platz Buchstabe Häufigkeit 1. E 17,40 % 15. O 02,51 % 2. N 09,78 % 16. B 01,89 % 3. I 07,55 % 17. W 01,89 % 4. S 07,27 % 18. F 01,66 % 5. R 07,00 % 19. K 01,21 % 6. A 06,51 % 20. Z 01,13 % 7. T 06,15 % 21. P 00,79 % 8. D 05,08 % 22. V 00,67 % 9. H 04,76 % 23. ß 00,31 % 10. U 04,35 % 24. J 00,27 % 11. L 03,44 % 25. Y 00,04 % 12. C 03,06 % 26. X 00,03 % 13. G 03,01 % 27. Q 00,02 % 14. M 02,53 % Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 21 Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 22 Bemerkungen: Ein gutes Verschlüsselungsverfahren muss nicht nur sicherstellen, dass es Fälle gibt, in denen ein Text nicht entschlüsselt werden kann. Es muss darüber hinaus garantieren, dass das Entschlüsseln eines Textes immer schwer ist und das es auch nicht möglich ist, den Ursprungstext mit einer bestimmten Wahrscheinlichkeit zu ermitteln. Dem Entschlüssler stehen randomisierte Verfahren zur Verfügung, die Wahrscheinlichkeitsverteilungen ausnutzen können. Ein Kryptosystem muss solchen Angriffen standhalten! Eine weitere Fallstudie: Schlüsselaustausch Angenommen, wir haben ein hinreichend sicheres Kryptosystem. Zwei Partner können sicher miteinander kommunizieren, wenn sie einen gemeinsamen geheimen Schlüssel vereinbart haben. Wir betrachten nun ein offenes System mit n Teilnehmern: Wieviele Schlüssel müssen ausgetauscht werden, damit jeder mit jedem sicher kommunizieren kann? Um die Sicherheit eines Kryptosystems zu analysieren, benötigt man Wahrscheinlichkeitsrechnung. Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 23 Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 24

4 Antwort: es müssen ( ) n 2 = n(n 1) 2 Schlüssel ausgetauscht werden! Das ist ein großer Verwaltungsaufwand, selbst wenn man eine zentrale Stelle zur Schlüsselverteilung hat. Lösung des Schlüsselaustausch-Problems: Man verwendet sogenannte asymmetrische Verschlüsselungsverfahren. Dabei gibt es Schlüsselpaare bestehend aus einem öffentlichen Schlüssel, der nur zur Verschlüsselung, jedoch nicht zur Entschlüsselung verwendet werden kann und einem privaten Schlüssel, der zum Entschlüsseln dient. Jeder Teilnehmer erzeugt sein eigenes Schlüsselpaar und gibt nur den öffentlichen Schlüssel bekannt. Demnach werden nur n Schlüsselpaare benötigt. Außerdem können die öffentlichen Schlüssel ohne Bedenken über das Netz verschickt werden, ohne dass die Kommunikationspartner sich persönlich treffen müssen. Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 25 Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 26 Analogie: Die Geheimnisse werden in Kisten verschickt, die mit einem Schloss verschlossen werden können. Jeder Partner hat seinen eigenen (privaten) Schlüssel und eine unbegrenzte Anzahl dazu passender Schlösser. Die Schlösser entsprechen den öffentlichen Schlüsseln. Die Schlösser können beliebig an die Kommunikationspartner verteilt werden und dienen dazu, die Kisten vor dem Versenden zu verschließen. Das ist System ist sicher, wenn man durch den Besitz eines Schlosses nicht herausfinden kann, wie der dazugehörige Schlüssel aussieht. Verschlüsselungsverfahren, die auf dem Prinzip von privaten und öffentlichen Schlüsseln beruhen, nennt man asymmetrisch. Bei klassischen symmetrischen Verfahren teilen sich jeweils zwei Partner einen Schlüssel. In der Analogie bedeutet das, dass die beiden Kommunikationspartner jeweils eine Kopie desselben Schlüssels haben. Die Kopien müssen jedoch zunächst ausgetauscht werden! Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 27 Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 28

5 Eine wichtiges (Teil-)Problem bei Protokollen ist es, einen Nachweis zu führen, dass der entsprechende Kommunikationspartner auch derjenige ist, für den er sich ausgibt. Die Führung dieses Nachweises nennt man Authentifizierung. Szenario: es gibt zwei Kommunikationspartner Alice und Bob. Außerdem gibt es den bösartigen Eindringling Eve, die alle Nachrichten abfangen kann und neue Nachrichten produzieren kann. Sie kann jedoch keine Nachrichten entschlüsseln, wenn sie den passenden Schlüssel nicht besitzt. Eve möchte sich Alice gegenüber als Bob ausgeben (und sie dazu überreden, ihr EUR zu überweisen... ) Angenommen, die Parteien benutzen eine Variante des Needham-Schroeder-Protokolls. Dabei wird symmetrische Verschlüsselung eingesetzt und der Schlüsselaustausch findet über einen Server statt. (Es gibt auch eine asymmetrische Variante.) Das Protokoll benutzt sogenannte Nonces: Nonce (number used once) Zufällige Zahlen oder Bit-Kombinationen, die nur einmal verwendet werden und die garantieren sollen, dass eine Nachricht frisch und neu erzeugt ist. Sie sollen verhindern, dass eine alte Nachricht als Replay geschickt wird. Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 29 Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 30 Konventionen: Ein symmetrischer Schlüssel der Form K AB wird für die Verschlüsselung von Nachrichten zwischen A und B verwendet. Mit {M} K bezeichnen wir eine Nachricht M, die mit dem Schlüssel K verschlüsselt ist. Nur derjenige, der K besitzt, kann die Nachricht M lesen. Needham-Schroeder-Protokoll (fehlerhaft) 1 A S: A, B, N A 2 S A: {N A, K AB, {K AB, A} KBS } KAS 3 A B: {K AB, A} KBS 4 B A: {N B } KAB 5 A B: {N B 1} KAB Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 31 Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 32

6 Graphische Darstellung: S 2. {N A, K AB, {K AB, A} KBS } KAS 1. A, B, N A 3. {K AB, A} KBS A 4. {N B } KAB B Erläuterung der einzelnen Schritte: 1. A S: A, B, N A Alice fordert beim (vertrauenswürdigen) Server einen Sitzungsschlüssel für die Kommunikation mit Bob an. Sie schickt einen Nonce N A mit, um sicherzugehen, dass die Antwort sich wirklich auf ihre Anforderung bezieht. Diese Nachricht ist unverschlüsselt. 5. {N B 1} KAB Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 33 Barbara König Form. Asp. der Software-Sicherheit und Kryptographie S A: {N A, K AB, {K AB, A} KBS } KAS Der Server schickt den Sitzungsschlüssel K AB an Alice. Dieser wird mit Hilfe von K AS (dem gemeinsamen Schlüssel von Alice und dem Server) verschlüsselt. Der Server fügt auch den Nonce N A hinzu, um Alice gegenüber zu beweisen, dass die Nachricht die Antwort auf Alice Anfrage war. Des weiteren wird eine für Bob bestimmte Nachricht mitgeschickt: {K AB, A} KBS. Damit wird Bob mitgeteilt, wie der Sitzungsschlüssel lautet und wer (A = Alice) mit ihm kommunizieren will. 3. A B: {K AB, A} KBS Alice entschlüsselt die Nachricht des Servers und schickt die enthaltene Nachricht {K AB, A} KBS an Bob weiter. Sie selbst kann mit diesem Teil der Nachricht nichts anfangen, nur Bob kann sie entschlüsseln. Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 35 Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 36

7 4. B A: {N B } KAB Bob entschlüsselt die erhaltene Nachricht und stellt fest, dass Alice mit ihm kommunizieren möchte. Außerdem erhält er dadurch den Sitzungsschlüssel K AB. Da Bob dem Server vertraut, kann er davon ausgehen, dass der Sitzungsschlüssel K AB ansonsten nur Alice mitgeteilt wurde. Er möchte jetzt jedoch noch testen, ob sein Kommunikationspartner tatsächlich Alice ist. Dazu generiert er eine Testnachricht, die den Nonce N B enthält und mit K AB verschlüsselt ist. 5. A B: {N B 1} KAB Alice weist sich Bob gegenüber aus, indem sie die Nachricht entschlüsselt und den Nonce um eins dekrementiert. Damit kann Bob feststellen, dass sein Gegenüber den entsprechenden Schlüssel besitzt und daher Alice ist. Leider ist das Protokoll so fehlerhaft und kann von Eve angegriffen werden. Warum? Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 37 Szenario: Alice möchte eine Verbindung mit Bob aufbauen. Eve hört mit und fängt geeignete Nachrichten ab bzw. modifiziert sie. Damit gelingt es ihr, sich Alice gegenüber als Bob auszugeben. Angriff 1 A S: A, B, N A E ersetzt diese Nachricht durch: A, E, N A 2 S A: {N A, K AE, {K AE, A} KES } KAS 3 A B: {K AE, A} KES Eve fängt diese Nachricht ab und erhält damit den Sitzungsschlüssel K AE. 4 E A: {N B } KAE 5 A B: {N B 1} KAE Eve fängt auch diese Nachricht ab. Alice ist jetzt überzeugt mit Bob zu kommunizieren, spricht aber mit Eve! Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 39 Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 38 Das Problem kann unter anderem dadurch gelöst werden, indem der Server in die zweite Nachricht den Namen des Kommunikationspartners (B = Bob) einfügt: Needham-Schroeder-Protokoll 1 A S: A, B, N A 2 S A: {N A, B, K AB, {K AB, A} KBS } KAS 3 A B: {K AB, A} KBS 4 B A: {N B } KAB 5 A B: {N B 1} KAB Damit erkennt Alice, wenn sie die Nachricht {N A, E, K AE, {K AE, A} KES } KAS erhält, dass dies die falsche Nachricht sein muss. Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 40

8 Die fehlerhafte Variante des Needham-Schroeder-Protokolls, wie wir sie betrachtet haben, wurde so nie benutzt. Im Netzwerkauthentifizierungsprotokoll Kerberos wurde jedoch das Needham-Schroeder-Protokoll mit asymmetrischer Verschlüsselung verwendet, das einen ähnlichen Fehler enthielt. (Die Variante mit asymmetrischer Verschlüsselung ist etwas komplizierter, daher betrachten wir sie im Moment nicht.) Dieser Fehler wurde erst im Jahr Jahre nach der Entwicklung des Protokolls entdeckt! Ein anderes Problem besteht darin, dass Eve die dritte Nachricht später wieder einspielen kann. Falls Eve bis dahin in den Besitz von K AB gekommen ist, kann sie sich diesmal für Alice ausgeben. Lösung: Zeitstempel in der dritten Nachricht Solche Angriffe nennt man man-in-the-middle attacks. Ähnliche Probleme gibt es auch bei der sogenannten SMB reflection attack und bei vielen anderen bekannten Angriffen auf Sicherheitsprotokolle. (SMB = Server Message Block: Protokoll zum Sharing von Dateien, Druckern, etc. in einem Netwerk; wird vor allem unter Windows benutzt). Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 41 Motivation: Informationssicherheit Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 42 Motivation: Informationssicherheit Bei Informationssicherheit sind unter anderem folgende Aspekte relevant: Mit der zunehmenden Vernetzung von Computern wird die Informationssicherheit immer wichtiger. Daten müssen gegenüber Dritten, d.h., vor möglichen Angreifern geschützt werden. Im Englischen: security (im Gegensatz zum allgemeineren Begriff safety, der sich auf die Abwesenheit von Fehlern oder den Schutz vor Fehlern in der Software bezieht). Vertraulichkeit Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung. Integrität Daten dürfen nicht unbemerkt verändert werden, bzw. es müssen alle Änderungen nachvollziehbar sein. Authentizität/Authentifizierung Echtheit und Glaubwürdigkeit einer Person oder eines Dienstes müssen überprüfbar sein. Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 43 Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 44

9 Motivation: Informationssicherheit Motivation: Informationssicherheit Zurechenbarkeit (engl. accountability) Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden. Verbindlichkeit/Nichtabstreitbarkeit (engl. non-repudiation) Verbindlichkeit erfordert, dass kein unzulässiges Abstreiten durchgeführter Handlungen möglich ist. Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen und kann durch digitale Signaturen erreicht werden. Einige der oben genannte Ziele kann man durch den Einsatz von Verschlüsselungsverfahren erreichen. Wie wir am Beispiel des Needham-Schroeder-Protokolls gesehen haben, ist es aber auch sehr wichtig, dass nicht nur die kryptographischen Verfahren, sondern auch die eingesetzten Protokolle korrekt und nicht angreifbar sind. In beiden Fällen ist es wichtig zu definieren, was es überhaupt bedeutet, ein Verschlüsselungsverfahren oder Protokoll erfolgreich anzugreifen und zu analysieren, dass die eingesetzten Verfahren korrekt sind. Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 45 Kyptographie Grundlagen der Kryptographie Spezielle Verschlüsselungsverfahren (historische Verschlüsselungsverfahren, One-Time-Pad, Blockchiffre DES/AES, RSA) Bedingungen an die Sicherheit von Kryptosystemen (randomisierte Komplexitätsklassen, Einwegfunktionen, Falltür-Funktionen) Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 46 Kyptographische Protokolle Digitale Unterschriften Zero-Knowledge-Proofs: Wie überzeuge ich meinen Partner davon, dass ich ein Geheimnis kenne, ohne das Geheimnis zu verraten? Secure Multi-Party Computations: Gemeinsame Berechnung eines Ergebnisses durch mehrere Teilnehmer, ohne dass die einzelnen Parameter bekanntgegeben werden müssen. Verifikation von kyptographischen Protokollen Eindringlingsmodell nach Dolev-Yao Sicherheitslücken in kryptographischen Protokollen Verifikation kryptographischer Protokolle (mit Prozesskalkülen, Resolution, Model-Checking) Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 47 Barbara König Form. Asp. der Software-Sicherheit und Kryptographie 48