Electronic Commerce. E-Commerce =... commercial transactions occuring over open networks, such as the Internet (OECD)

Electronic Commerce E-Commerce =... commercial transactions occuring over open networks, such as the Internet (OECD) E-Commerce besteht aus (Schmid): - Informationsphase (Kataloge...) - Verhandlungsphase (Bestellung...) - Vertragserfüllung (Zahlung, Lieferung/Diensterbringung...) Verschiedene Partner: Business-to-Business vs. Business-to-Customer Sicherheitsrelevante Aspekte: - Informationsphase: Authentizität, ev. Anonymität - Verhandlungsphase: Authentizität, non-repudiation (mittels digitaler Unterschrift) - Vertragserfüllung: Zahlungssysteme Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 1

Elektronischer Zahlungsverkehr E-Commerce: Integration von Bestellung, Zahlung und Lieferung Bisher: EDI (70er Jahre) Neu: online-bestellungen (WEB und e-mail), Lieferung gewisser Güter über das Netz, Zahlung mit electronic Cash oder netifiziertem Kreditkartensystem Regeln die Kommunikation zwischen: realer Geldfluss Bank, Kreditkarteninstitution Zahlungsanweisung oder e-cash Kartenservice Gateway Bankennetz Internet Kunde Händler Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 2

Zwischenstand E-Commerce Noch kein allgemein anerkanntes Zahlungssystem für das Internet Die gängigste Methode auf dem WEB (Business-to-Customer): klassische Kreditkarte zusammen mit SSL Viele Elemente/Parteien sind zu berücksichtigen: Einfluss von Softwarehäusern (NetScape, Microsoft), Kreditkartenunternehmen (Visa, Mastercard), Banken und dazwischengelagerten Institutionen (Telekurs), Protokollentwurf inklusive Kryptographie, Standardisierungsverfahren, Währungsfrage/Umrechnung, Verfügbarkeit von Chipkarten, Verfügbarkeit von Chipkartenlesern in PCs, Kundenutzen, Vertrauen Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 3

Auf der Grundlage des Checks Elektronischer Geldtransfer Intermediär Intermediär Check Check Anweisung Anzeige Käufer Check Verkäufer Käufer Verkäufer Sehr unterschiedliche (elektronische) Formen: - Interbanken Geldtransfer - ECdirect (vom Kartenbesitzerkonto auf das Verkäuferkonto) Vorteile des elektronischen Geldtransfers (im Vergleich zum Papiercheck): - schnellerer Umlauf - keine ungedeckten Checks bei Online-Abwicklung Nachteile: - keine Anonymität (Intermediär als Big Brother ) Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 4

Elektronisches Geld Eigenschaften soll wie Papiergeld Anonymität garantieren darf nicht Spielgeld sein sondern muss als offizielles (Internet-) Zahlungsmittel akzeptiert sein. Gefahren: - Verlust - Mehrfachausgeben (double spending) - Missbrauch für Geldwäscherei Elektronisches Geld mit Bankengeld kaufen bzw. vom Konto abheben: so stört es den Gelderzeugungsprozess (Geldmenge etc) nicht. Unterschied zum Papiergeld: keine Staatsgarantie. Verschiedene Formen: - als manipulationssichere Karte (aufladbar) - vollständig digitales Geld (Bitstring auf dem Harddisk) Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 5

Klassifikation von elektronischen Zahlungssystemen Belastungszeitpunkt: pay before / pay now / pay after Typ: e-cash, Check/Zahlungsanweisung, Kreditkarte Verifikation: online / offline Anonymität, Nachvollziehbarkeit, Beweisbarkeit Verwendungszweck: Micro Payment ( < 1 USD) z.b. 0.1 cents für das Beziehen einer WEB-Seite Macro Payment (> 10 USD) Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 6

nicht anonym anonym Vorschläge für digitale Zahlungssysteme online Zahlungen Kreditkarte via Internet: - ungesichert (WEB) - Rückfrage: First Virtual - gesicherter Austausch CyberCash, IBM ikp, CommerceNet, versch. Marketplaces (login) Zahlungsserver: - NetBill - NetCash - NetCheque - SNPP Vertrauenswürdige Wechsler - NetCash Teil 2 - Anonymous Credit Card Blind geleistete Signaturen - DigiCash e-cash offline Zahlungen Sichere Zähler in Smartcard (electronic purse): - Danmont, Proton - Mondex, Express - CEN IEP (Standardisierung) Blind geleistete Signaturen - CAFE (nach M. Waidner, IBM Rüschlikon) Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 7

Vorschläge für digitale Zahlungssysteme (II) Micropayment Macropayment Kredit FirstVirtual SET (secure electronic transaction) SSL (shttp) CyberCash Check NetBill NetCheque e-money Millicent Mondex e-cash net-cash (modif. nach M. Crameri, Credit Suisse) Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 8

Auswahl von Micropayment-Systeme Millicent (http://www.millicent.com) - DEC 1995 - händlerspezifische Scrip als Ersatz für Geldmünzen - Scrip = {Seriennummer, ID, Wert, Händler, Datum, Info}Sig Broker NetBill (http://www.netbill.com) - Carnegie Mellon University - unterstützt Credit- und Debitmodell - beruht auf einem modifizierten Kerberos-Protokoll Mondex (http://www.mondex.com) - Smartcard basiert - anonymes Zahlungsinstrument - proprietäres System e-cash (http://www.digicash.com, siehe weiter unten) Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 9

Millicent Broker Geld Scrip Geld Scrip Wallet 3. Scrip 2. Rechnung Händler SW Kunde 1. Bestellung 4. Gut Händler Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 10

NetBill 6. Session key NetBill Server 1. Kaufantrag 5. OK 4. Autorisation? Checkbuch Kunde 2. verschlüsseltes Gut 3. Bestellung 6. Session key 0a. Preisanfrage 0b. Angebot Händler SW Händler Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 11

Mondex Händler- Terminal Bank- Terminal Bank Karte laden Geld Geld Karte entladen Kunde 1. Karte 2. Abbuchen Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 12

e-cash beruht auf blind geleisteter Signatur (von D. Chaum 1985 vorgeschlagen) garantiert Anonymität keine der drei Parteien (Käufer, Verkäufer und Bank) kann betrügen der Käufer kann (im Notfall) beweisen, wem er e-cash bezahlt hat Schema: Bankkonto Münzvorrat e-cash kaufen Computer/Harddisk Zahlungen werden online überprüft (der Empfänger kontaktiert die Bank) verloren gegangene e-cash Münzen können wieder erzeugt werden. Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 13

Blind geleistete Signatur Blind geleistete Signatur (blind signatures) die Bank unterschreibt einen Check ohne ihn zu sehen später kann sie nur erkennen, dass es ein von ihr signierter Check ist (aber nicht, wer ihn ausstellte und unterschreiben liess) und kann dem Vorweisenden den Betrag gutschreiben. Implementierung mit RSA: ([e,n] öffentlicher Schlüssel der Bank, [d,n] geheimer Schlüssel der Bank) der Kunde K erzeugt x die Bank B signiert [s,n] ist der Check m= Geldbetrag z= Zufallszahl x:= mz e mod n t d := (mz e ) d mod n s:= t d /z mod n identisch mit s= m d mod n Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 14

Weitere Themen Exotische und neue Ergebnisse der Kryptographie Probabilistische Kryptosysteme Digital Watermarking Berechnen verschlüsselter Funktionen Vertraulichkeit ohne Verschlüsselung Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 15

Probabilistische Kryptosysteme Problem deterministischer Kryptosysteme: Die selbe Nachricht führt immer zum selben Chiffrat. Mögliche Gegenmassnahme: immer ein zufällig gewählter nonce -Wert mitverschlüsseln, der vom Empfänger dann weggeworfen wird. Bei asymmetrischen Verfahren: ein Angreifer könnte durch Untersuchung des öffentlichen Schlüssels (z.b. wiederholtes Verschlüsseln) Informationen über den geheimen Schlüssel erhalten. Ziel eines probabilistischen asymmetrischen Kryptosystems: Beweisbarkeit, dass der öffentliche Schlüssel nicht zu einem Informationsleck führt. Verfahren: für jeden Klartext stehen mehrere Chiffrate zur Verfügung m ein E(m) aus mehreren E -1... verschlüsseln...... entschlüsseln... Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 16 m

Eigenschaften: Probabilistische Kryptosysteme II Angreifer kann Chiffrate nicht vergleichen, d.h. bestimmen, ob sie den gleichen Klartext darstellen. Asymmetrisches Kryptosystem (E(m) ist öffentlich): zu einem vorgegebenen Chiffrat kann der Klartext nicht mehr erraten werden! Problem: Chiffrat ist (sehr viel) grösser als Klartext Zwei bekannte Systeme: erstes System 1982 von Goldwasser und Micali. Vergrösserungsfaktor lg(m). (1000 Bits 10 000 Bits) Blum-Goldwasser 1984 hat einen konstanten Vergrösserungsfaktor, damit vergleichbare Effizienz wie RSA. Hybrides Verfahren: - XOR mit pseudozufälliger Zahlenreihe, - Startwert des Zufallsgenerator wird (probabilistisch) verschlüsselt übertragen. Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 17

Probabilistische Kryptosysteme III Arbeitsweise von Goldwasser-Micali ein Bit 1 wird als quadratischer Nichtrest (QNR) kodiert, ein Bit 0 als quadratischen Rest nur spezielle Information (der geheime Schlüssel) erlaubt dem Empfänger, Pseudoquadrate von anderen Zahlen zu unterscheiden. Das Goldwasser-Micali probabilistische Kryptosystem: Alice wählt zufällig zwei grosse Primzahlen p, q. Daraus n = pq. Zudem wählt Alice ein y Z n, so dass y ein QNR ist (modulo n, und mit Jacobi Symbol 1) Ihr geheimer Schlüssel ist (p, q), der öffentliche Schlüssel ist (n, y) Verschlüsselung: für jedes Bit wähle zufälliges x Z * n falls Bit 1: sende c = yx 2 mod n, falls Bit 0: sende c = x 2 mod n Entschlüsselung: berechne das Legendre-Symbol e= c p falls e=1: Bit 0, falls e=0: Bit 1 Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 18

Digital Watermarking Rechtlicher Schutz von Urheberrechten mittels Steganographie Digitale Dokumente/Güter leicht kopierbar, Kopieren ist nicht verhinderbar Ziel: Wasserzeichen hinzufügen, um Ursprung/Lizenznummer etc. einzuflechten Beispiel Textdokumente (z.b. PostScript) Mögliche Orte mit Redundanz: - Verteilung der Leerschläge - Positionierung von Buchstaben (im sub-millimeter-bereich) - künstliche Defekte am Buchstabenbild Robustheitsproblem: - Dokumentenreengineering durch Einscannen und OCR Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 19

Digital Watermarking für Bilder Gleicher Anspruch an Watermarking wie bei der Kryptographie: Zuverlässigkeit des Systems darf nicht von dessen Geheimhaltung abhängen. Es existieren Systeme mit guter Robustheit - übersteht mehrwaches Markieren - Wasserzeichen kann nicht durch Hinzufügen von Rauschen entfernt werden - übersteht JPEG-Kodierung - übersteht Ausdrucken-Photokopieren-neu Einscannen- und-skalieren - auch nach Zusammensetzen aus Teilen verschiedener Versionen des Bildes bestimmbar Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 20

Angriffe auf einen mobile Programme (Agenten) Vermehrter Einsatz von mobilem Code (Java applets, mobile Softwareagenten) Szenario: Benutzer schickt Softwareagent, um einen Flug für ein bestimmtes Datum ausfindig zu machen Der mobile Softwareagent besucht die Server mehrerer Fluglinien, bestimmt Verfügbarkeit, findet den besten Preis und bucht. Mögliche Angriffe: Server spioniert den Agenten aus: - erhöht Preis bis unter das beste Angebot einer anderen Fluglinie - erhöht Preis bis unter den im Agenten festgelegten Reservationspreis - sucht geheimen Schlüssel des Agenten (Agent soll digital unterzeichnen können) Server manipuliert den Agenten: - löscht die bisher gesammelten Preisinformationen Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 21

Schutz der Software vor der Hardware? Κann mobiler Code vor dem Rechner geschützt werden, der ihn ausführt? Bisheriger allgmeiner Glaube: ein Schutz ist nicht möglich, weil: Programminstruktionen können gelesen werden (Algorithmusdiebstahl) Programminstruktionen können verändert werden (Umprogrammierung) Daten können gelesen werden (keine Vertraulichkeit) Daten können verändert werden (Gehirnwäsche) Zugrundeliegende Annahmen: Programm liegt in Klartext vor Daten liegen in Klartext vor Kryptographische Forschung in zwei Richtungen: Rechnen mit verschlüsselten Daten Ausführen verschlüsselter Funktionen Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 22

Rechnen mit verschlüsselten Daten Verschiedene (auch nicht kryptographische) Ansätze: Wie kann man sein Gewicht beim Arzt wägen lassen, ohne dass der Arzt den Wert erfährt? - Stein bekannten Gewichtes mit sich tragen - Waage in der Arztpraxis ablesen - davon das Gewicht des Steines abziehen. Wie kann man den Durchschnitt der Löhne in einem Team bestimmen, ohne die einzelnen Saläre offenzulegen? - Zufällig gewählter geheimer Verschleierungswert v. Setze S 0 := v - jedes Teammitglied i berechnet reihum: S i := S i-1 + salär i - nach der letzten Addition wird der Verschleierungswert v abgezogen - und durch die Grösse des Teams dividiert. Matrizenauswertung: - statt M wird M S zur Auswertung verschickt (S invertierbare Matrix) - das wirkliche Resultat kann durch Anwendung von S T erhalten werden. Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 23

Protokoll: Berechnen verschlüsselter Funktionen (Alice will geheime Funktion f für Bobs Wert x durch Bob ausführen lassen) f (x) E -1 E(f) (x) ausführen Prog(f) (x) Prog(E(f)) (x) x Alice Bob Unterscheide zwischen der Funktion f und dem Programm Prog(f) Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 24

Wunsch: Homomorphe Verschlüsselungs-Schemata Gesucht ist eine Verschlüsselungsfunktion H, so dass aus H(a) und H(b) kann H(a+b) berechnet werden, ohne entschlüsseln zu müssen (additiv homomorph) aus H(a) und H(b) kann H(a*b) berechnet werden, ohne entschlüsseln zu müssen (multiplikativ homomorph) Damit könnte Integerarithmetik auf verschlüsselten Daten gemacht werden. Bisher sind keine solchen Verschlüsselungssysteme bekannt. Jedoch: Es gibt Verschlüsselungssysteme, die folgende Eigenschaft haben: aus H(a) und H(b) kann H(a+b) berechnet werden aus H(a) und b kann H(a*b) berechnet werden Dies genügt für das Verschlüsseln und Auswerten von Polynomen! Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 25

Auswerten verschlüsselter Polynome Polynom f(x) = a i x i, Koeffizienten a i Gegeben sind Subroutinen i - Plus(r,s) für die Addition zweier verschlüsselter Werte - MixedMult(r,x) für die Multiplikation von Klartext x mit dem Chiffrat r Herstellen des Programmes für das Verschlüsselte Polynom: Für Klartextinput x ersetze jeden Ausdruck a i x i durch einen Aufruf von MixedMult(H(a i ),x i ), wobei H(a i ) als Konstante eingesetzt wird. Summiere alle erhaltenen Werte mit Plus Ergebnis ist das verschlüsselte Resultat von f(x) Grenzen für die Verschlüsselung von Funktionen: Skelett des Polynoms kann nicht sicher versteckt werden Funktion f darf nicht zu einfach (etwa interpolierbar) sein Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 26

Vertraulichkeit ohne Verschlüsselung März 1998: Rivest schlägt Chaffing and Winnowing vor [chaff = Spreu, to winnow = (vom Weizen) trennen] Senderseite: - Meldungen werden mit einem Message Authentication Code versehen (MAC: geheimer Schlüssel erlaubt die Authentisierung einer Meldung) - Falschmeldungen (künstlich erzeugter Spreu) werden dazugetan Beispiel: (1, Lieber Bob, 464123) (2, Wir treffen uns um, 66729) (3, 18 Uhr, 82112) (4, Gruss Alice, 209319) (1, Lieber Bob, 464123) (1, Hallo Christian, 33567) (2, Wir treffen uns um, 66729) (2, Ruf mich an um, 91823) (3, 18 Uhr, 82112) (3, 3 Uhr, 12789) (4, Gruss Alice, 209319) (4, Deine Gaby, 67859) Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 27

Vertraulichkeit ohne Verschlüsselung II Empfangsseitig (Spreu vom Weizen trennen): - MAC jeder Meldung wird überprüft - Meldungen mit falschem MAC werden ignoriert Beispiel eines MAC zur Meldung m: - Sender und Empfänger vereinbaren einen Schlüssel k (z.b. mit Diffie-Hellman) - Sender berechnet Hash h(m) und sendet (m, E k (h(m))) - Empfänger kann die selbe Berechnung auch durchführen und dann vergleichen. Unterschied MIC: nur für Integrität, MIC kann ohne Schlüssel berechnet werden. Eigenschaften von Chaffing and Winnowing : Meldungsinhalt ist nicht verschlüsselt Entschlüsseln wird durch Herausfiltern der Meldungen realisiert Spreu kann durch Dritte hinzugefügt werden (z.b. Rechenzentrum) Spreu kann auch einfach der Weizen eines anderen Benutzers sein. Christian Tschudin, Universität Basel Computernetze und Sicherheit, 2005-07-01 28