Einführung in Verschlüsselungstechniken

Von der Enigma bis zum Internetbanking www.kaishakunin.com Stefan.Schumacher@kaishakunin.com Informationstechnologie und Sicherheitspolitik Wintersemester 2010/11

Über mich IT-Sicherheitsberatung: Schulungen und Beratungen zu Social Engineering, Security Awareness, Counter Intelligence, Sicherheitsmanagement Vorsitzender der MASH Organisator der Ringvorlesung www.sicherheitspolitik.net Magdeburg.Sicherheitspolitik@gmail.com

Übersicht 1 Einführung 2 Prüfsummen 3 symmetrische Verfahren 4 asymmetrische Verfahren 5 kryptographische Signatur 6 Enigma

1 Einführung 2 Prüfsummen 3 symmetrische Verfahren 4 asymmetrische Verfahren 5 kryptographische Signatur 6 Enigma

Motivation Jede Form der elektronischen Kommunikation kann abgehört oder verändert werden: Fax, Telefon, E-Mail, HTTP, BOS-Funk... drahtlose (grenzenlose) Kommunikation breitet sich aus: WLAN, Bluetooth, Richtfunk, Satelliten-Uplink, Drohnen-Steuerung... Elektronifizierung der Kriegsführung schreitet immer weiter voran: Network Centric Warfare, Infanterist der Zukunft, GPS, Drohnen, Data Warehousing Wirtschafts- und Staatssystem werden immer abhängiger vom Internet: ebusiness, Logistik, Home-Office, SCADA... Cyberwar als Schlagwort: Stuxnet...

Motivation Kryptologie hat über-strategische Bedeutung 500 v. Chr.: mit Skytale verschlüsselte Botschaften 1586: Babington-Komplott 1917: Zimmermann-Telegramm 1918: ADFGX während der Frühjahrsoffensive gebrochen 1918 1945: Enigma 2000: Kryptographie gilt als Waffe und unterliegt u.a. Wassenaar, Exportverbot aus den USA 2010: Taliban sniffen Überwachungsdrohnen 01.11.2010 neuer Personalausweis mit elektronischer Identität und qualifizierter elektronischer Signatur 29.09.2010 Chaosradio: Angriff gegen npa-lesegerät vorgestellt

Motivation Kryptologie hat über-strategische Bedeutung 500 v. Chr.: mit Skytale verschlüsselte Botschaften 1586: Babington-Komplott 1917: Zimmermann-Telegramm 1918: ADFGX während der Frühjahrsoffensive gebrochen 1918 1945: Enigma 2000: Kryptographie gilt als Waffe und unterliegt u.a. Wassenaar, Exportverbot aus den USA 2010: Taliban sniffen Überwachungsdrohnen 01.11.2010 neuer Personalausweis mit elektronischer Identität und qualifizierter elektronischer Signatur 29.09.2010 Chaosradio: Angriff gegen npa-lesegerät vorgestellt

Ziele Vertraulichkeit (Geheimhaltung) Integrität (Unveränderlichkeit) Verbindlichkeit (Nicht-Abstreitbarkeit) Authentizität (Urheberschaft)

Strategische Ebene Man-in-the-Middle-Attacke unsicherer Kanal zwischen Alice und Bob Mallory klinkt sich dazwischen und gibt sich als Bob bzw. Alice aus Alice und Bob müssen unsicheren Kanal absichern: sicherer Kanal (schwierig) Verschlüsselung (Vertraulichkeit) Signatur (Integrität) Kryptographie erforderlich

grundlegende Verfahren Definition (Transposition) Vertauschung der Stellen Anzahl der Transpositionen ist n! festes Muster in M grenzt Raum ein

Transposition: Skytale, ca 500 v. Chr. Dicke des Stabes ist Schlüssel

grundlegende Verfahren Definition (Substitution) Ersetzung der Zeichen durch andere Zeichen monoalphabetische: genau ein Geheimtextalphabet mit fester Zuordnung polyalphabetische: mehrere Geheimtextalphabete ohne feste Zuordnung Caesar/Rot13: ist involutorisch A B C D E F G H I J K L M N O P Q R S T U V W X Y Z N O P Q R S T U V W X Y Z A B C D E F G H I J K L M

grundlegende Verfahren Definition (Substitution) Ersetzung der Zeichen durch andere Zeichen monoalphabetische: genau ein Geheimtextalphabet mit fester Zuordnung polyalphabetische: mehrere Geheimtextalphabete ohne feste Zuordnung Caesar/Rot13: ist involutorisch A B C D E F G H I J K L M N O P Q R S T U V W X Y Z N O P Q R S T U V W X Y Z A B C D E F G H I J K L M

grundlegende Verfahren Definition (Substitution) Ersetzung der Zeichen durch andere Zeichen monoalphabetische: genau ein Geheimtextalphabet mit fester Zuordnung polyalphabetische: mehrere Geheimtextalphabete ohne feste Zuordnung Caesar/Rot13: ist involutorisch A B C D E F G H I J K L M N O P Q R S T U V W X Y Z N O P Q R S T U V W X Y Z A B C D E F G H I J K L M

Caesar Xrffva, 31. Qrmrzore. Zrvar yvror Znzn! Qnf jveq aha jbuy rva ynatre Fpuervoroevrs jreqra, qraa vpu unor - qvr Xnegr erpuarg avpug - ynatr avpugf iba zve uöera ynffra. Nyf vpu qnf yrgmgrzny fpuevro, fgrpxgr vpu abpu va qra Jrvuanpugfibeorervghatra, wrgmg yvrtra qvr Jrvuanpugfgntr fpuba mheüpx.

Caesar Xrffva, 31. Qrmrzore. Zrvar yvror Znzn! Qnf jveq aha jbuy rva ynatre Fpuervoroevrs jreqra, qraa vpu unor - qvr Xnegr erpuarg avpug - ynatr avpugf iba zve uöera ynffra. Nyf vpu qnf yrgmgrzny fpuevro, fgrpxgr vpu abpu va qra Jrvuanpugfibeorervghatra, wrgmg yvrtra qvr Jrvuanpugfgntr fpuba mheüpx. Kessin, 31. Dezember. Meine liebe Mama! Das wird nun wohl ein langer Schreibebrief werden, denn ich habe - die Karte rechnet nicht - lange nichts von mir hören lassen. Als ich das letztemal schrieb, steckte ich noch in den Weihnachtsvorbereitungen, jetzt liegen die Weihnachtstage schon zurück.

Caesar Xrffva, 31. Qrmrzore. Zrvar yvror Znzn! Qnf jveq aha jbuy rva ynatre Fpuervoroevrs jreqra, qraa vpu unor - qvr Xnegr erpuarg avpug - ynatr avpugf iba zve uöera ynffra. Nyf vpu qnf yrgmgrzny fpuevro, fgrpxgr vpu abpu va qra Jrvuanpugfibeorervghatra, wrgmg yvrtra qvr Jrvuanpugfgntr fpuba mheüpx. Kessin, 31. Dezember. Meine liebe Mama! Das wird nun wohl ein langer Schreibebrief werden, denn ich habe - die Karte rechnet nicht - lange nichts von mir hören lassen. Als ich das letztemal schrieb, steckte ich noch in den Weihnachtsvorbereitungen, jetzt liegen die Weihnachtstage schon zurück.

Substitution: Vigenere-Tabelle ( 1596)

Substitution: Vigenere-Tabelle ( 1596)

Schwächen Substitution behält Muster im Text bei: Wortgrenzen Groß-/Kleinschreibung Buchstabenhäufigkeiten (ERNSTL) statistische Auswertung möglich Room 40; Bletchley Park; Bomba; Turing-Bombe; Perl-Skripte

Schwächen Substitution behält Muster im Text bei: Wortgrenzen Groß-/Kleinschreibung Buchstabenhäufigkeiten (ERNSTL) statistische Auswertung möglich Room 40; Bletchley Park; Bomba; Turing-Bombe; Perl-Skripte

heutige Algorithmen basieren immer noch auf Substitution und Transposition mit mehreren Runden und komplexer und pseudozufälliger DES: 16 Runden von Substitution und Transposition Feistelnetzwerke

Größenordnungen Bit: Binary Digit: kleinste Speichereinheit, 0 oder 1 1 Byte: 1 Zeichen aus mehreren Bits, i386-welt: 8 Bit=1 Byte 00000000; 00000001; 00000010; 00000011;... ; 11111110; 11111111 2 8 = 256 mögliche Zeichen Blitzschlagwahrscheinlichkeit == 1 : 2 33 Blitzschlag + Lottogewinn == 1 : 2 55 Lebensdauer des Universums == 2 37 a == 2 61 s Atome im Universum == 2 265

Brechbarkeit jedes kryptographische Verfahren kann gebrochen werden es kommt nur auf Zeit und Geld an Brute-Force (erschöpfendes Absuchen des Schlüsselraumes) trifft immer es gibt kein sicheres System 56-Bit Schlüssel in 1 Woche mit 120 000 CPUs für 6,7 Mio$ geknackt 128-Bit Schlüssel in 1 Woche mit 5, 6 10 26 CPUs

Theorie 1 Einführung 2 Prüfsummen 3 symmetrische Verfahren 4 asymmetrische Verfahren 5 kryptographische Signatur 6 Enigma

Theorie Prüfsummen Basiszahl (Information) und Prüfziffer Prüfziffer wird aus Basiszahl berechnet beide Werte werden übertragen Empfänger berechnet Prüfziffer und vergleicht Authentizität (Integrität der Prüfziffer?)

Praxis EAN13 Europäische Artikelnummer, 13 Stellen a + 3b + c + 3d + e + 3f + g + 3h + i + 3j + k + 3l = I 13. Stelle= nächstgrößeres x 10 I 402583939659 4+3 0+2+3 5+8+3 3+9+3 3+9+3 6+5+3 9 = 115 120 115 = m =

Praxis EAN13 Europäische Artikelnummer, 13 Stellen a + 3b + c + 3d + e + 3f + g + 3h + i + 3j + k + 3l = I 13. Stelle= nächstgrößeres x 10 I 402583939659 4+3 0+2+3 5+8+3 3+9+3 3+9+3 6+5+3 9 = 115 120 115 = m =

Praxis EAN13 Europäische Artikelnummer, 13 Stellen a + 3b + c + 3d + e + 3f + g + 3h + i + 3j + k + 3l = I 13. Stelle= nächstgrößeres x 10 I 4025839396595 4+3 0+2+3 5+8+3 3+9+3 3+9+3 6+5+3 9 = 115 120 115 = m = 5

SHA1 Anwendung sha1(1) RFC3174, erzeugt 160-Bit-Prüfsummen Falltürfunktion: Datum SHA1, SHA1 Datum Passworthash, Fingerprint (SSL, Downloads, mtree) SHA1 ("Hallo") = 59d9a6df06b9f610f7db8e036896ed03662d168f SHA1 ("hallo") = fd4cef7a4e607f1fcc920ad6329a6df2df99a4e8

SHA1 Anwendung sha1(1) Kollision: selbe Prüfsumme für 2 unterschiedliche Dokumente Inputgröße: 2 64 1 Bit == 18 446 744 073 709 551 615 3,8 Mrd DVDs 68 Mio Tonnen 1 000 x CVN-65 USS Enterprise 2 264 mögliche größte Dokumente 1 MB = 2 20 Byte = 1 048 576 Byte 2 220 = 2 1 048 576 Zahl mit 315 654 Stellen Kollision bei 2 69 Versuchen, 1 Mrd Ops/s 2 711 Jahre

Prüfsummenverfahren Einsatz als Passworthash Passwort wird eingegeben, Hash berechnet und gespeichert Passwort wird eingegeben, Hash berechnet und verglichen Problem: gleiche Passwörter gleiche Hashes Raum der von Menschen ausgedachten Passwörter sehr klein Rainbowtables (pre-computed Attack)

Prüfsummenverfahren Einsatz als Passworthash Passwort wird eingegeben, Hash berechnet und gespeichert Passwort wird eingegeben, Hash berechnet und verglichen Problem: gleiche Passwörter gleiche Hashes Raum der von Menschen ausgedachten Passwörter sehr klein Rainbowtables (pre-computed Attack) Lösung: Zufallskomponenten anfügen (Salt) Problem: Salt muss vermerkt werden

Prüfsummenverfahren Einsatz als Passworthash Passwort wird eingegeben, Hash berechnet und gespeichert Passwort wird eingegeben, Hash berechnet und verglichen Problem: gleiche Passwörter gleiche Hashes Raum der von Menschen ausgedachten Passwörter sehr klein Rainbowtables (pre-computed Attack) Lösung: Zufallskomponenten anfügen (Salt) Problem: Salt muss vermerkt werden

Theorie 1 Einführung 2 Prüfsummen 3 symmetrische Verfahren 4 asymmetrische Verfahren 5 kryptographische Signatur 6 Enigma

Theorie symmetrische Verfahren verwendet genau einen Schlüssel wandelt Klartext M mit Schlüssel K in Chiffrat C um wandelt Chiffrat C mit Schlüssel K in Klartext M um Anwendung: mcrypt(1) mcrypt -k GEHEIM Brief.tex mcrypt -d -k GEHEIM Brief.tex.nc

Theorie symmetrische Verfahren Prinzipien Alice schickt Brief.tex.nc an Bob Alice schickt Schlüssel K an Bob GEFAHR Schlüssel kann abgefangen werden sicherer Kanal nötig

Theorie symmetrische Verfahren Prinzipien Alice schickt Brief.tex.nc an Bob Alice schickt Schlüssel K an Bob GEFAHR Schlüssel kann abgefangen werden sicherer Kanal nötig Integrität?

Theorie symmetrische Verfahren Prinzipien Alice schickt Brief.tex.nc an Bob Alice schickt Schlüssel K an Bob GEFAHR Schlüssel kann abgefangen werden sicherer Kanal nötig Integrität? Gruppenkommunikation: n (n 1)/2 Schlüssel nötig 10 Personen 45 Schlüssel

Theorie symmetrische Verfahren Prinzipien Alice schickt Brief.tex.nc an Bob Alice schickt Schlüssel K an Bob GEFAHR Schlüssel kann abgefangen werden sicherer Kanal nötig Integrität? Gruppenkommunikation: n (n 1)/2 Schlüssel nötig 10 Personen 45 Schlüssel

Theorie symmetrische Verfahren Vor-/Nachteile schlecht geeignet für Gruppenkommunikation erfordert sicheren Kanal zur Schlüsselübermittlung geeignet für persönliche Verschlüsselung oder kleine Gruppen mit sicherem Kanal z.b. Festplattenverschlüsselung, Datensicherung

Theorie 1 Einführung 2 Prüfsummen 3 symmetrische Verfahren 4 asymmetrische Verfahren 5 kryptographische Signatur 6 Enigma

Theorie Zahlentheorie Primzahlen Primzahl: natürliche Zahl mit genau zwei natürlichen Zahlen als Teiler, nämlich der Zahl 1 und sich selbst. Primzahlen lassen sich nicht als Produkt zweier natürlicher Zahlen, die beide größer als 1 sind, darstellen. Jede natürliche Zahl lässt sich als Produkt von Primzahlen schreiben, welche bis auf die Reihenfolge der Faktoren eindeutig ist. z. Zt. größte Primzahl: 2 43112609 1 mit 12 978 189 Stellen

Theorie Zahlentheorie Primfaktorzerlegung Primfaktorzerlegung: Darstellung einer natürlichen Zahl n als Produkt von Primzahlen. n = p e 1 1... pe M M = M k=1 pe k k 1 024 = 2... 2 = 2 10 6 936 = 2 2 2 3 17 17 = 2 3 3 17 2 (kanonisch) 842 = 2 421 177 242 = 2 13 17 401 160 802 = 2 37 41 53

Theorie Faktorisierungsverfahren bis heute kein effizientes Primfaktorzerlegungsverfahren bekannt Quadratisches Sieb, Zahlkörpersieb, Methode der Elliptischen Kurven,... Multiplikation zweier Primzahlen ist trivial; Primfaktorzerlegung der Summe ist nicht-trivial

Theorie RSA-Challenge 2009: RSA-768 (768 Bit) in 2000 Jahren auf 2.2GHz-Opteron-CPU 1230186684530117755130494958384962720772853569595334792197 3224521517264005072636575187452021997864693899564749427740 6384592519255732630345373154826850791702612214291346167042 9214311602221240479274737794080665351419597459856902143413 = 3347807169895689878604416984821269081770479498371376856891 2431388982883793878002287614711652531743087737814467999489 * 3674604366679959042824463379962795263227915816434308764267 6032283815739666511279233373417143396810270092798736308917

Theorie asymmetrische Verfahren Schlüsselpaar aus öffentlichem und privatem Schlüssel Schlüssel besteht aus Primzahl und Modul privater Schlüssel ist geheim zu halten Alice und Bob haben je öffentlichen (e A, e B ) und privaten (d A, d B ) Schlüssel Alice verschlüsselt für Bob schematisch so: Chiffrierung(M d A e B ) C Bob entschlüsselt so: Dechiffrierung(C d B e A ) M extrem langsam (Faktor 1.000) symmetrische Verschlüsselung + Sitzungsschlüssel

Theorie asymmetrische Verfahren Alice schickt C und e A an Bob Sniffer kann nichts damit anfangen, benötigt d B Bob besitzt d B und kann C dechiffrieren Bob kann Integrität prüfen, da nur Alice d A hat

Theorie 1 Einführung 2 Prüfsummen 3 symmetrische Verfahren 4 asymmetrische Verfahren 5 kryptographische Signatur 6 Enigma

Theorie kryptographische Signatur Sonderfunktion der asymmetrischen Verfahren sichert Integrität und Authentizität (digitale Unterschift) 1 Alice bildet Prüfsumme über Nachricht h(m) 2 verschlüsselt Prüfsumme mit d A so, dass das Chiffrat mit e A entschlüsselt werden kann: S = {h(m)} Da 3 Bob empfängt Nachricht, Signatur und e A 4 Bob bildet selbst Prüfsumme h (M) 5 Bob entschlüsselt S mit e A h(m) 6 gilt h (M) = h(m)?

Theorie Beispielsignatur -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Nichts ist wahr, alles ist erlaubt. Friedrich Nietzsche -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (NetBSD) id8dbqfgdslfeftehrp7rjmraivwaj4vdjcimre7nl1ggqo5tb8z750pfgcfq5bb OoLgojv50eKZMGAMItxpdyw= =FaI+ -----END PGP SIGNATURE-----

Schlüsselsignatur kryptographische Signatur Ist Alice überhaupt Alice? Gehört e A wirklich Alice? (0xDEADBEEF) 1 Jemand signiert e A 2 Prüfe Alice Identität (Ausweis) 3 Prüfe e A (Name, Email...) 4 Schicke Signatur verschlüsselt per Email

Schlüsselsignatur kryptographische Signatur Ist Alice überhaupt Alice? Gehört e A wirklich Alice? (0xDEADBEEF) 1 Jemand signiert e A 2 Prüfe Alice Identität (Ausweis) 3 Prüfe e A (Name, Email...) 4 Schicke Signatur verschlüsselt per Email

Schlüsselsignatur kryptographische Signatur Baumhierarchie zentrale Zertifizierungsinstanz (teuer, aufwendig) anfälliger (Kann ich der CA trauen?)

Schlüsselsignatur kryptographische Signatur Web of Trust gerichteter Graph ohne Wurzel weniger anfällig bei einem Fehler keine CA nötig, aber möglich Angabe der Vertrauenswürdigkeit

Schlüsselsignatur Web of Trust

1 Einführung 2 Prüfsummen 3 symmetrische Verfahren 4 asymmetrische Verfahren 5 kryptographische Signatur 6 Enigma

Enigma 23.02.1918 meldet Dr.-Ing. Arthur Scherbius die Enigma zum Patent an international vermarktet Mitte der 1920er vom Markt genommen, da militärisches Interesse ca. 30 000 200 000 Enigmas im 2. WK produziert eingesetzt bei Reichswehr, Polizei, Geheimdienst, Wehrmacht, SS, SD, Reichspost, Reichsbahn

Enigma

Aufbau Tastatur Eingabe Steckerbrett monoalphabetische Substition des Eingabebuchstabens Walzen elektrisch: polyalphabetische Substitution der Eingabe, mechanisch: Änderung der Walzenlage nach 26 Umdrehungen Änderung des Alphabets Umkehrwalze lenkt den Stromfluss der Eingabe wieder zur Ausgabe zurück Involutorisch Walzen Strom fließt wieder über die Walzen zurück Steckerbrett nochmals monoalphabetische Substition des Eingabebuchstabens Leuchtanzeige Anzeige des Chiffrats Involution: Maschine ver- und entschlüsselt mit selbem Mechanismus

Enigma Steckerbrett

Enigma Walzensatz

Verdrahtungsschema I II III IV V A B C D E F G H I J K L M N O P Q R S T U V W X Y Z E K M F L G D Q V Z N T O W Y H X U S P A I B R C J A J D K S I R U X B L H W T M C Q G Z N P Y F V O E B D F H J L C P R T X V Z N Y E I W G A K M U S Q O E S O V P Z J A Y Q U I R H X L N F T G K D C M W B V Z B R G I T Y U P S D N H L X A W M J Q O F E C K UKW A AE BJ CM DZ FL GY HX IV KW NR OQ PU ST UKW B AY BR CU DH EQ FS GL IP JX KN MO TZ VW UKW C AF BV CP DJ EI GO HY KR LZ MX NW QT SU

Schlüsseltafel Tag UKW Walzenlage Ringstellung ---- Steckerverbindungen 31 B I IV III 16 26 08 AD CN ET FL GI JV KZ PU 30 B II V I 18 24 11 BN DZ EP FX GT HW IY OU 29 B III I IV 01 17 22 AH BL CX DI ER FK GU NP

Schwächen Involution vereinfachte den Aufbau, Ver- und Entschlüsselung möglich Durch diesen Rückgang des Stromes durch den Chiffrierwalzensatz findet eine weitere Verwürfelung statt. Infolge dieser Anordnung ist es möglich, mit verhältnismäßig wenig Chiffrierwalzen auszukommen und trotzdem eine große Chiffriersicherheit aufrechtzuerhalten. aus DRP Nr. 452 194 fixpunktfreie Permutation Eingabe Ausgabe Verringerung der Alphabete

Fixpunkte Alle Permutationen aus A B C D ABCD ABDC ACBD ACDB ADBC ADCB BACD BADC BCAD BCDA BDAC BDCA CABD CADB CBAD CBDA CDAB CDBA DABC DACB DBAC DBCA DCAB DCBA

Fixpunkte Alle Permutationen aus A B C D Alle Fixpunkt-Permutationen fallen weg ABCD ABDC ACBD ACDB ADBC ADCB BACD BADC BCAD BCDA BDAC BDCA CABD CADB CBAD CBDA CDAB CDBA DABC DACB DBAC DBCA DCAB DCBA

Fixpunkte Alle Permutationen aus A B C D Alle Fixpunkt-Permutationen fallen weg Alle fixpunktfreien Permutationen werden benutzt ABCD ABDC ACBD ACDB ADBC ADCB BACD BADC BCAD BCDA BDAC BDCA CABD CADB CBAD CBDA CDAB CDBA DABC DACB DBAC DBCA DCAB DCBA

Fixpunktfreiheit: Nichts ist jemals es selbst Ein A ist nie ein A, ein B nie ein B,...... Cribs BHNCXSEQKOBIIODWFBTZGCYEHQQJEWOYNBDXHQBALHTSSDPWGW 1 OBERKOMMANDODERWEHRMACHT 2 OBERKOMMANDODERWEHRMACHT 3 OBERKOMMANDODERWEHRMACHT 4 OBERKOMMANDODERWEHRMACHT 5 OBERKOMMANDODERWEHRMACHT 6 OBERKOMMANDODERWEHRMACHT 7 OBERKOMMANDODERWEHRMACHT

Enigma Turing-Bombe

Steganographie Inhalt der Kommunikation zwar verschlüsselt, aber Meta-Daten zugänglich (wer mit wem wann, wie oft und wie lange/viel) Verstecken von Information Bspw. Geheimtinte, Wasserzeichen, Kopierschutzverfahren nützlich wenn Kryptographie verboten

Ausblick Fragen? www.