Vertrauenswürdige Kommunikation in verteilten Systemen

Transkript

1 Vertrauenswürdige Kommunikation in verteilten Systemen Teil I Kryptographische Grundlagen Vertrauensmodelle Kerberos Teil II IPSec AH/ESP IKE

2 Szenario Alice möchte Bob vertraulich eine Nachricht (typischerweise eine Anweisung) zukommen lassen Mallory möchte die Nachricht lesen bzw. Bob eine Anweisung anstelle von Alice erteilen manchmal gibt es Trent; er ist Alice und Bob (und manchmal auch Mallory) bekannt und kann vermitteln Bob Alice Trent Netz Mallory

3 Szenario Alice und Bob (und alle anderen) müssen nicht Menschen sein evtl. Programme, die im Auftrag von Menschen mehr oder weniger autonom kommunizieren Alice: Texteditor; möchte Datei speichern Bob: Fileserver; weiß dass Alice Datei schreiben darf Mallory: Darf Inhalt der Datei nicht kennen und nicht verändern können

4 Szenario Annahmen: Computer von Alice, Bob und Trent sind vertrauenswürdig Mallory hat keine Kontrolle über einen dieser Rechner bekommt Mallory ist (was Kommunikation betrifft) allmächtig kann beliebig viele Nachrichten in beliebiger Geschwindigkeit mit beliebigem Inhalt empfangen und versenden, von und zu jedem beliebigen Rechner

5 Welche der folgenden Komponenten sind unentbehrlich damit Alice zu Bob eine sichere Kommunikation aufbauen kann? Raterunde!! ein geswitchtes Netzwerk (im ggs. zu Hubs) ein Verschlüsselungsalgorithmus (z.b. AES) ein Prüfsummenalgorithmus (z.b. MD5) eine Firewall (intern oder extern) ein Zufallszahlengenerator vorherige, bereits gesicherte Kommunikation

6 Welche der folgenden Komponenten sind unentbehrlich... Die richtige Lösung: überrascht? ein geswitchtes Netzwerk (im ggs. zu Hubs) ein Verschlüsselungsalgorithmus (z.b. AES) ein Prüfsummenalgorithmus (z.b. MD5) eine Firewall (intern oder extern) ein Zufallszahlengenerator vorherige, bereits gesicherte Kommunikation

7 Welche der folgenden Komponenten sind unentbehrlich... Die richtige Lösung: überrascht? ein geswitchtes Netzwerk (im ggs. zu Hubs) ein Verschlüsselungsalgorithmus (z.b. AES) ein Prüfsummenalgorithmus (z.b. MD5) eine Firewall (intern oder extern) ein Zufallszahlengenerator vorherige, bereits gesicherte Kommunikation * * direkt miteinander, oder indirekt mit vertrauenswürdigem Drittem

8 Zentraler Merksatz Verschlüsselung ist nebensächlich Authentisierung ist von entscheidender Bedeutung.

9 1 Kryptographische Grundlagen Verschlüsselungsalgorithmen (Chiffren) Blockchiffren symmetrische, asymmetrische Chiffren Prüfsummenalgorithmen Hashes Authentikationscodes (MACs) hash basierte MACs (HMAC) Signaturen Schlüsselaustausch

10 1 Kryptographische Grundlagen Verschlüsselungsalgorithmen Ziel: Nachricht für Lauscher "unverständlich" machen Alice master Bob encrypt decrypt cipher text cipher text symmetrisch: encrypt =decrypt asymmetrisch:encrypt decrypt restricted

11 1 Kryptographische Grundlagen Verschlüsselungsalgorithmen encrypt cipher text erwünschte Eigenschaften 1. "" aus "cipher text" ohne Kenntnis von "" nicht rekontruierbar cipher text 2. "" aus Kenntnis eines Paars von "" und "cipher text" nicht rekontruierbar ("known plaintext attack") cipher text

12 1 Kryptographische Grundlagen Blockchiffren encrypt cipher text "", "cipher text", "" fest vorgegebene Länge typisch z.b. 256/256/256 Bit (AES) oder 128/128/64 Bit (DES) längere Nachrichten müssen in einzelne Blöcke aufgeteilt werden, Nachricht wird "blockweise" codiert

13 1 Kryptographische Grundlagen naiv: Blockchiffren block #0 block #1 block #2 encrypt encrypt encrypt cipher text block #0 cipher text block #1 cipher text block #2 wenn " block #0"=" block #2", dann "cipher text block #0"="cipher text block #2"

14 1 Kryptographische Grundlagen Blockchiffren besser: CBC mode ("chained block cipher"): block #0 block #1 block #2 initilization vector XOR XOR XOR Zufallszahl encrypt encrypt encrypt cipher text block #0 cipher text block #1 cipher text block #2 initialization vector auch zum Entschlüsseln wieder erforderlich, d.h. muss ebenfalls an Empfänger übertragen werden

15 1 Kryptographische Grundlagen Blockchiffren der Vollständigkeit halber: Entschlüsselung im CBC mode cipher text block #0 cipher text block #1 cipher text block #2 decrypt decrypt decrypt initilization vector XOR XOR XOR block #0 block #1 block #2

16 1 Kryptographische Grundlagen (a)symmetrische Chiffren symmetrische Chiffre: Schlüssel zum Ver und Entschlüsseln identisch (z.b. AES, DES) asymmetrische Chiffre: Schlüssel zum Ver und Entschlüsseln verschieden (z.b. RSA, ECC) oftmals einer der beiden Schlüssel aus anderem berechenbar asymmetrische Verfahren enorm Rechenintensiv für praktische Zwecke: symmetrische Verfahren bevorzugt verwenden wann immer möglich

17 1 Kryptographische Grundlagen Prüfsummenalgorithmen Ziel: überprüfen, ob Nachricht verändert wurde Alice Bob hash checksum checksum =? hash checksum kann beliebig lang sein; checksum hat typischerweise feste Länge (erheblich kürzer als ) Schutz der Prüfsumme selbst vor Manipulation?

18 1 Kryptographische Grundlagen Prüfsummenalgorithmen hash checksum erwünschte Eigenschaften 1. kein manipulierter "*" aus Kenntnis von "checksum" und ""kontruierbar checksum * hash checksum 2. wenn nur Teil von "" bekannt, dann aus Kenntnis von "checksum" nicht Rest von ""kontruierbar checksum

19 1 Kryptographische Grundlagen Authentikationscodes (MACs) Ziel: Nachweis dass Nachricht unverändert von Absender stammt Alice Bob MAC checksum checksum =? MAC checksum ähnliches Verhalten wie hash, aber korrekte Prüfsumme nicht ohne Kenntnis von berechenbar; Schutz der Prüfsumme daher nicht notwendig, da nur Alice korrekte Prüfsumme erzeugen kann

20 1 Kryptographische Grundlagen Authentikationscodes (MACs) MAC erwünschte Eigenschaften 1. alle Eigenschaften einer hash Funktion checksum 2. "" aus Kenntnis eines Paars von "" und "checksum" nicht rekontruierbar checksum

21 1 Kryptographische Grundlagen Konstruktion von MACs jede Chiffre kann als MAC verwendet werden! MAC checksum encrypt checksum Blockchiffre: alle Blöcke der Reihe nach als Schlüssel anwenden; der erste Block auf, der zweite auf das Ergebnis der ersten Operation etc.

22 1 Kryptographische Grundlagen Konstruktion von MACs jede Hash Funktion kann als MAC verwenden werden (sog. H MAC)! MAC checksum + hash checksum hash Funktionen i.a. leichter berechenbar als Chiffren H MAC gegenüber Chiffren MACs bevorzugt

23 1 Kryptographische Grundlagen Signaturen analog zu Chiffren asymmetrische Varianten; werden als "Signaturen" bezeichnet Alice Bob master restricted sign verify signature signature Bob kann verifizieren, dass, #2 und signature zusammenpassen, aber er kann keine Signatur erzeugen

24 1 Kryptographische Grundlagen Schlüsselaustausch Wie erhalten Alice und Bob einen gemeinsamen Schlüssel? über anderen sicheren Kommunikationskanal ausgetauscht (z.b. "fest verdrahtet") Diffie Hellman Schlüsselaustausch Protokoll Alice Alice' public Bobs public Bob Alice' secret Bobs public Alice' public Bobs secret

25 1.5 Kryptographische Grundlagen Vertraulichkeit ohne Verschlüsselung Alice und Bob haben gemeinsamen geheimen Schlüssel (durch vorhergehende sichere Kommunikation ausgetauscht) Alice zerlegt Nachricht in Blöcke, generiert Prüfsumme, sendet beides an Bob (Prüfsummen Algorithmus) Alice Bob block #1 MAC checksum block #1 block #2 MAC checksum block #2

26 1.5 Kryptographische Grundlagen Vertraulichkeit ohne Verschlüsselung Alice erzeugt und sendet falsche plaintext Blöcke ( Chaff ), erzeugt ungültige Prüfsumme für jeden dieser Blöcke (Zufallsgenerator) Bob sortiert plaintext Blöcke anhand Prüfsumme aus ( winnow ) Lauscher kann Prüfsumme nicht berechnen, da Schlüssel unbekannt Alice Bob fake plain text block fake plain text block block #1 fake plain text block invalid checksum invalid checksum checksum block #1 invalid checksum

27 2 Vertrauensmodelle Warum können Alice und Bob nicht sicher kommunizieren, ohne vorher einmal kommuniziert zu haben? Hallo, ich bin Alice! Hallo, ich bin Alice! Alice Hallo, ich bin Bob! Hallo, ich bin Bob! Mallory Bob Alice muss "etwas" über Bob wissen, das Mallory nicht weiß. Andernfalls ist Mallory von Bob ununterscheidbar. Alice und Bob müssen vorher bereits vertraulich kommuniziert haben, ggf. mit einem vertrauenswürdigen Dritten.

28 2 Vertrauensmodelle "Wissen" zur sicheren Identifikation des Kommunkationspartners kann durch kryptographische Schlüssel ausgedrückt werden. Beweise, dass Du Bob bist! Alice challenge Bob data+ data/ challenge Hallo, ich bin Bob! data/ challenge MAC checksum checksum MAC geheimer Schlüssel, nur Alice und Bob bekannt

29 2 Vertrauensmodelle z.b. authentisierter DH Schlüsselaustausch Alice Bob MAC checksum Alice checksum Bob MAC Alice' public Bobs public Alice' secret Bobs secret

30 2 Vertrauensmodelle Alice&Bob Bob&Carol Bob Bob&Dave Bob&Carol Alice&Bob Alice&Carol n 2 Problem, Administrationskatastrophe Alice Alice&Carol Carol Carol&Dave Alice&Dave Alice&Dave Dave Carol&Dave Bob&Dave

31 2 Vertrauensmodelle Alice Alice&Bob Bob Alice&Bob Vertrauensbeziehung Vertrauensbeziehung Alice restricted Bob Bob master Bob

32 2 Vertrauensmodelle Trent kann vermitteln man nennt dies transitives Vertrauen Alice&Trent Alice Bob Bob&Trent Alice&Bob Alice&Bob Alice&Trent Trent Bob&Trent

33 2 Vertrauensmodelle peer to peer, vollvermascht

34 2 Vertrauensmodelle web of trust

35 2 Vertrauensmodelle zentralisiert

36 2 Vertrauensmodelle hierarchisch

37 2 Vertrauensmodelle typischerweise "hybride Modelle" Vertrauensbeziehungen nicht unbedingt gleichwertig Regeln definieren Transitivität z.b. begrenzte Länge des Pfades z.b. nur bestimmte Arten von Vertrauensbeziehungen innerhalb eines Pfades Vertrauensmanagement ungelöstes Problem

38 3 Kerberos Grundbegriffe Key Distribution Center sshd Principals

39 3 Kerberos Realms sshd Realm EXAMPLE.COM sshd Realm FOO.EXAMPLE.COM sshd Realm BAR.EXAMPLE.COM

40 3 Kerberos Principals

41 3 Kerberos Auth. Service (Schroeder Needham) alice krbtgt/example.com bob AS_REQ alice bob 42 AS TGS AS_REP 42 alice Alice alice Ticket Bob

42 3 Kerberos Auth. Service (Schroeder Needham) alice krbtgt/example.com bob AP_REQ alice AS TGS 56 AP_REP Alice alice 57 Bob

43 3 Kerberos vorgehensweise wie zuvor beschrieben ist möglich, aber eigentlich unüblich Alice muss eigenen Schlüssel zur Verfügung haben, wenn Kontakt zu einem neuen Kommunikationspartner aufzunehmen Schlüssel kann aus Passwort abgeleitet sein: entweder ständig erneut eingeben (schlecht) oder abspeichern (auch schlecht)

44 3 Kerberos Ticket Granting Ticket alice krbtgt/example.com bob AS_REQ alice krbtgt/example.com 42 AS TGS AS_REP 42 alice Alice alice Bob

45 3 Kerberos Ticket Granting Service alice krbtgt/example.com bob TGT_REQ alice AS TGS 111 bob TGT_REP 111 alice alice Alice alice Bob

46 3 Kerberos Ticket Granting Service alice krbtgt/example.com bob AS TGS alice AP_REQ alice 56 AP_REP Alice alice 57 Bob

47 3 Kerberos the good... weitere Aspekte alle Tickets besitzen Verfallsdatum, replay cache preauthentication cross realm Authentisierung Implementierungen, die Kerberos unterstützen (Auswahl): OpenLDAP, OpenSSH, Linux NFS, PostgreSQL, Samba, Microsoft Active Directory, Microsoft CIFS... nicht immer ist Datenaustausch verschlüsselt!

48 3 Kerberos... the bad... Unterstützung "dem Wortlaut nach"... Verbindung zu TCP Port 548 OS X Client Hi, ich bin afpserver/host@realm.com TGS_REQ für afpserver/host@realm.com AFP Server

49 3 Kerberos... getting ugly Einladung zu "Man in the Middle" Verbindung zu TCP Port 548 OS X Client Hi, ich bin irgendwer@realm.com TGS_REQ für irgendwer@realm.com AFP Server

50 Vielen Dank für die Aufmerksamkeit!