Public-Key-Infrastrukturen

Transkript

1 1 Technische Universität Darmstadt Fachgebiet Theoretische Informatik Prof. J. Buchmann Vangelis Karatsiolis zur 6. Übung zur Vorlesung Public-Key-Infrastrukturen SS 2008 Aufgabe 1: Probabilistische Schlüssel Validierung in PGP Lesen Sie die Arbeit A Probabilistic Trust Model for GnuPG. Sie ist verfügbar unter: ~jonczy/papers/jwh06.pdf. Ein Client akzeptiert einen Schlüssel als gültig, wenn sein Key Legitimacy mehr als 0.55 ist (d.h. K L (0.55, 1], im Paper auch als validity threshold genannt). Gibt es ein Web of Trust, in dem der Schlüssel einer Person F gültig ist, alle Schlüssel von Personen die F signiert haben, allerdings ungültig sind? (Tipp: Experimentieren sie mit Web of Trusts mit genau 6 Personen) Das Web of Trust ist in der folgende Abbildung zu finden. Die Key Legitimacy den Schlüsseln den Personen C, E und F ist K L(C) = 0.4, K L(E) = 0.4 und K L(F) = Obwohl die Personen C und E einen ungültigen Schlüssel haben, der Schlüssel der Person F ist gültig. 0,4 0,9 B C A F D 0,4 E 0,9 Aufgabe 2: Trust Models Stellen Sie sich folgendes setup vor.

2 2 a) Skizzieren Sie die vier verschiedene Lösungen der Vorlesung damit jeder end-einheit (dargestellt als Baumblatt, in diesem Beispiel, D, F, G, L, J, N, R, S) die Zertifikate einer anderen end-einheit verifizieren kann. Die vier Lösungen sind (i) Trusted Lists (ii) Bridge (iii) Cross (iv) Common Root Nehmen Sie an dass eine Einheit kann nur den obersten Knot einer PKI Insel (hier fünf) als trust anchor haben (d.h. intermediate-cas können nicht als trust anchors gewählt werden). b) Wie viele neue Zertifikate werden in jeder der vier Lösungen hinzugefügt? c) Wie viele trust anchors hat eine end-einheit in jedem Modell? Welche sind die trust anchors für die Einheit G in jedem Modell? d) Wie viele Zertifikate hat das längste Certification Path? Wie viele Zertifikate hat das kürzeste Certification Path? Zeigen Sie Beispiele für diese zwei Fälle. e) Zeichnen Sie die minimum Werte von pathlength der Basic Constraints Erweiterung auf alle Zertifikate der Zeichnung. a) Trusted Lists Architecture

3 3 Bridge Architecture Bridge CA Cross Architecture Common Root Architecture

4 4 Common Root b) Die Tabelle lautet: Modell # Zertifikate Formel Trusted Lists 0 0 Bridge 10 2n Cross 20 n(n 1) Common Root 5 n Tabelle 1: Anzahl von Zertifikaten.

5 5 c) Modell # Trust Anchors Trust Anchors Trusted Lists 5 A, E, H, M, O Bridge 1 E Cross 1 E Common Root 1 Common Root Tabelle 2: Anzahl von trust anchors. d) Längste Certification Path: 5 Beispiel: R verifiziert L (Bridge): C P : [ Cer t O,Brid ge, Cer t Brid ge,h, Cer t H,I, Cer t I,K und Cer t K,L ] Kürzeste Certification Path: 1 Beispiel: F verifiziert G: C P : [ Cer t E,G ] e) Der Baum sieht so aus: Aufgabe 3: Hierarchical Trust a) In einer PKI existieren die in Tabelle 3 gezeigten Zertifikate. Wie sieht der Vertrauensbaum aus? b) Welches ist das Zertifizierungspfad für die folgende Zertifikate?

6 6 Subject Issuer Subject Issuer Subject Issuer A A B A C A D A E B F B G D H E I E J F K C L G M D Tabelle 3: Zertifikate in einer PKI. Zertifikat 1 Serial No.: 2 Issuer: E NotBefore: Feb 1 00:00: GMT NotAfter: Dec 31 23:59: GMT Subject: I Public Key: key-0x456789ef X509v3Extensions: Signature: verifiable with 0x8923ABCD (SHA1withRSA) Zertifikat 3 Serial No.: 2 Issuer: G NotBefore: Feb 1 00:00: GMT NotAfter: Dec 31 23:59: GMT Subject: L Public Key: key-0x123098ab X509v3Extensions: Signature: verifiable with 0x555678CE (SHA1withRSA) Zertifikat 2 Serial No.: 2 Issuer: B NotBefore: Feb 1 00:00: GMT NotAfter: Dec 31 23:59: GMT Subject: F Public Key: key-0x123098ab X509v3Extensions: Basic Constraints: critical CA: TRUE pathlen=0 Key Usage: critical certsign Signature: verifiable with 0x300678DD (SHA1withRSA) c) Alle Zertifikate haben die selbe Seriennummer (Serial Number). Ist so was erlaubt? d) Welche von den 3 Zertifikate sind CA Zertifikate? e) Wie lautet der Schlüssel den Einheiten G, B und E? b) Zertifikat 1: C P : [ Cer t A,B, Cer t B,E und Cer t E,I ] Zertifikat 2: C P : [ Cer t A,B und Cer t B,F ] Zertifikat 3: C P : [ Cer t A,D, Cer t D,G und Cer t G,L ] c) Das ist erlaubt weil die von verschiedene CAs ausgestellt worden sind.

7 7 A B C D E F K G M a) H I J L d) Nur das Zertifikat #2 weil die Basic Constraints Erweiterung auf TRUE gesetzt ist. e) Schlüssel von G = 0x555678CE Schlüssel von B = 0x300678DD Schlüssel von E = 0x8923ABCD Aufgabe 4: Private Schlüssel a) Warum ist der Schutz privater Schlüssel innerhalb eines Trust Centers besonders wichtig? b) Nennen Sie die Stationen im Lebenszyklus eines privaten Schlüssels! c) Wie stehen diese miteinander in Beziehung? d) Wo liegen die Gefahren der einzelnen Stationen? a) Die Benutzung privater Schlüssel ist notwendige und hinreichende Bedingung zur: Entschlüsselung chiffrierter Daten Signatur von Dokumenten Identifikation von Personen, Geräten oder Diensten Einen privaten Schlüssel benutzen zu können reicht aus, um oben genannte Aktionen durchzuführen. Kommt ein privater Schlüssel in falsche Hände, kann der Angreifer diese Aktionen ausführen. Man kann dann nicht mehr zwischen dem Angreifer und dem eigentlichen Besitzer des privaten Schlüssels (bzgl. Signaturen, Identifikation und wer Dokumente lesen kann) unterscheiden. Das bedingt unter Umständen auch legal ausgefer-

8 8 tigten Signaturen. Kommt der private Schlüssel der CA in falsche Hände, ist die gesamte PKI zerstört. Es kann dann nicht mehr einfach zwischen rechtmäßigen und gefälschten Zertifikaten unterschieden werden. Um das zu verhindern, ist der Schutz privater Schlüssel sehr wichtig. b),c) Siehe Abb. 1 Lebenszyklus privater Schlüssel Erzeugung Hinterlegung Speicherung Wiederherstellung Transport Benutzung Startzustand Zustand Endzustand Zerstörung Public Key Infrastrukturen - SS Abbildung 1: Lebenszyklus privater Schlüssel d) Erzeugung Beim Generieren der Schlüssel muss darauf geachtet werden geeignete Parameter (Algorithmus, Schlüssellänge,...) zu wählen. Es ist weiterhin wichtig einen sicheren Zufallszahlengenerator zu verwenden. Können Zufallszahlen voraus- oder zurückberechnet werden ist es möglich auch fremde Schlüssel zu berechnen. Es muss sichergestellt werden, dass die Schlüssel nicht ausgespäht (Abstrahlung, Memory Leak,...) werden können. Speicherung Die Speicherung der Schlüssel muss in jedem Fall persistent sein. Nach der Speicherung auf ein geeignetes Medium (PKCS#12, Chipkarte,...) muss der Schlüssel aus dem Generator sicher entfernt werden. Der gespeicherte Schlüssel muss vor fremdem Zugriff geschützt werden (Passwort, PIN,...). Transport Es muss sichergestellt werden, dass das Token beim richtigen Empfänger ankommt. Die Zustellung muss garantiert erfolgen. Während des Transports muss der private Schlüssel durch eine geeignete Transportsicherung gegen unbefugten Zugriff geschützt sein. Eine Verletzung der Transportsicherung muss für den legitimen Empfänger erkennbar sein. Benutzung Die Benutzung des privaten Schlüssels muss für Befugte sehr leicht sein. Unbefugten hingegen soll es unmöglich sein den Schlüssel zu benutzen. Es ist sehr wichtig, dass der private Schlüssel auch während der Benutzung geschützt bleibt (z.b. er verlässt die Chipkarte niemals). Zerstörung Wird ein privater Schlüssel zerstört, so muss er unwiederbringlich gelöscht sein. Die Zerstörung soll leicht für Befugte und unmöglich für Unbefugte sein. Hinterlegung Die Hinterlegung eines privaten Schlüssels muss persistent sein. Es ist darauf zu achten, dass nur bestimmte Schlüssel hinterlegt werden dürfen (z.b. ist die Hinterlegung eines Signaturschlüssels äußerst fragwürdig). Hinterlegte Schlüssel müssen durch geeignete Maßnahmen vor unbefugtem Zugriff geschützt werden.

9 9 Wiederherstellung Die Wiederherstellung eines Schlüssels muss korrekt erfolgen, d.h. es muss in jedem Fall exakt der ursprüngliche Schlüssel wiederhergestellt werden. Die Wiederherstellung muss leicht für Befugte und unmöglich für Unbefugte sein. Aufgabe 5: PKCS#12 PKCS#12 ist ein Standard für den sicheren Austausch von persönlichen (=geheimen) Daten über eine unsichere Verbindung. Der Standard wurde von der Firma RSA entwickelt und ist auf folgender Seite zu finden: a) Welche Sicherheitsziele werden erfüllt? b) PKCS#12 unterstützt sogenannte Exchange Modes. Wie viele gibt es und wie kann man sie kombinieren? c) Welche Voraussetzungen (wem muss welcher Schlüssel bekannt sein, etc.) müssen für die einzelnen Modi bestehen, damit sie sinnvoll verwendet werden können? a) Die Sicherheitsziele sind: Authentizität, Integrität und Vertraulichkeit. Authentizität ist für den Endnutzer wichtig, um sicher zu sein woher die Schlüssel kommen, Integrität steht für die Unverfälschtheit der Inhalte und Vertraulichkeit bedeutet, dass niemand mitlesen kann (da private Schlüssel verwendet werden). b) Es werden zwei Arten kryptographischer Verfahren unterstützt: Symmetrisch mit einem Passwort oder asymmetrisch. Diese kann man jeweils zum Schutz der Integrität/Authentizität und der Vertraulichkeit einsetzen. Das ergibt vier Kombinationen: Password Integrität - Password Verschlüsselung Password Integrität - Verschlüsselung mit öffentlichem Schlüssel Integrität durch öffentlichem Schlüssel - Password Verschlüsselung Integrität durch öffentlichem Schlüssel - Verschlüsselung mit öffentlichem Schlüssel c) Für die Modi, die ein Passwort zum Schutz einsetzen, muss dieses sowohl der Quell- als auch der Zielplattform bekannt sein, da symmetrische Kryptographie benutzt wird. Für den Modus öffentlicher Schlüssel der Zielplattform muss dieser nur der Quellplattform (zum Verschlüsseln) bekannt sein. Natürlich darf der zugehörige private Schlüssel nur der Zielplattform bekannt sein. Für die Integrität mittels öffentlichem Schlüssel muss der zu der Quellplattform gehörende Schlüssel der Zielplattform bekannt sein. Damit kann diese die Signatur verifizieren, die mit dem zugehörigen privaten Schlüssel erzeugt wurde, der wiederum nur der Quellplattform bekannt ist.