Einführung in Verschlüsselungstechniken

9. Oktober 2013

Übersicht 1 Einführung 2 Prüfsummen 3 symmetrische Verfahren 4 asymmetrische Verfahren 5 kryptographische Signatur

1 Einführung 2 Prüfsummen 3 symmetrische Verfahren 4 asymmetrische Verfahren 5 kryptographische Signatur

Motivation Jede Form der elektronischen Kommunikation kann abgehört oder verändert werden: Fax, Telefon, E-Mail, HTTP, BOS-Funk... drahtlose (grenzenlose) Kommunikation breitet sich aus: WLAN, Bluetooth, Richtfunk, Satelliten-Uplink, Drohnen-Steuerung...

Ziele Schutz durch Kryptographie Vertraulichkeit (Geheimhaltung) Integrität (Unveränderlichkeit) Verbindlichkeit (Nicht-Abstreitbarkeit) Authentizität (Urheberschaft)

Man-in-the-Middle unverschlüsselte Kommunikation kann abgefangen und ausgewertet werden

Man-in-the-Middle Lösung: Verschlüsselung zwischen den Endpunkten (Skype, VPN, GnuPG, SSL) ermöglicht Authentifikation und Vertraulichkeit

Man-in-the-Middle Ausweich: Man-in-the-Middle-Attacke im System A oder B

Man-in-the-Middle abschöpfen der Daten auf dem Zielsystem selbst, bevor diese verschlüsselt werden

grundlegende Verfahren Definition (Transposition) Vertauschung der Stellen Anzahl der Transpositionen ist n! festes Muster in M grenzt Raum ein

Transposition: Skytale, ca 500 v. Chr. Dicke des Stabes ist Schlüssel

grundlegende Verfahren Definition (Substitution) Ersetzung der Zeichen durch andere Zeichen monoalphabetische: genau ein Geheimtextalphabet mit fester Zuordnung polyalphabetische: mehrere Geheimtextalphabete ohne feste Zuordnung Caesar/Rot13: ist involutorisch A B C D E F G H I J K L M N O P Q R S T U V W X Y Z N O P Q R S T U V W X Y Z A B C D E F G H I J K L M

grundlegende Verfahren Definition (Substitution) Ersetzung der Zeichen durch andere Zeichen monoalphabetische: genau ein Geheimtextalphabet mit fester Zuordnung polyalphabetische: mehrere Geheimtextalphabete ohne feste Zuordnung Caesar/Rot13: ist involutorisch A B C D E F G H I J K L M N O P Q R S T U V W X Y Z N O P Q R S T U V W X Y Z A B C D E F G H I J K L M

grundlegende Verfahren Definition (Substitution) Ersetzung der Zeichen durch andere Zeichen monoalphabetische: genau ein Geheimtextalphabet mit fester Zuordnung polyalphabetische: mehrere Geheimtextalphabete ohne feste Zuordnung Caesar/Rot13: ist involutorisch A B C D E F G H I J K L M N O P Q R S T U V W X Y Z N O P Q R S T U V W X Y Z A B C D E F G H I J K L M

Caesar Xrffva, 31. Qrmrzore. Zrvar yvror Znzn! Qnf jveq aha jbuy rva ynatre Fpuervoroevrs jreqra, qraa vpu unor - qvr Xnegr erpuarg avpug - ynatr avpugf iba zve uöera ynffra. Nyf vpu qnf yrgmgrzny fpuevro, fgrpxgr vpu abpu va qra Jrvuanpugfibeorervghatra, wrgmg yvrtra qvr Jrvuanpugfgntr fpuba mheüpx.

Caesar Xrffva, 31. Qrmrzore. Zrvar yvror Znzn! Qnf jveq aha jbuy rva ynatre Fpuervoroevrs jreqra, qraa vpu unor - qvr Xnegr erpuarg avpug - ynatr avpugf iba zve uöera ynffra. Nyf vpu qnf yrgmgrzny fpuevro, fgrpxgr vpu abpu va qra Jrvuanpugfibeorervghatra, wrgmg yvrtra qvr Jrvuanpugfgntr fpuba mheüpx. Kessin, 31. Dezember. Meine liebe Mama! Das wird nun wohl ein langer Schreibebrief werden, denn ich habe - die Karte rechnet nicht - lange nichts von mir hören lassen. Als ich das letztemal schrieb, steckte ich noch in den Weihnachtsvorbereitungen, jetzt liegen die Weihnachtstage schon zurück.

Caesar Xrffva, 31. Qrmrzore. Zrvar yvror Znzn! Qnf jveq aha jbuy rva ynatre Fpuervoroevrs jreqra, qraa vpu unor - qvr Xnegr erpuarg avpug - ynatr avpugf iba zve uöera ynffra. Nyf vpu qnf yrgmgrzny fpuevro, fgrpxgr vpu abpu va qra Jrvuanpugfibeorervghatra, wrgmg yvrtra qvr Jrvuanpugfgntr fpuba mheüpx. Kessin, 31. Dezember. Meine liebe Mama! Das wird nun wohl ein langer Schreibebrief werden, denn ich habe - die Karte rechnet nicht - lange nichts von mir hören lassen. Als ich das letztemal schrieb, steckte ich noch in den Weihnachtsvorbereitungen, jetzt liegen die Weihnachtstage schon zurück.

Substitution: Vigenere-Tabelle ( 1596)

Substitution: Vigenere-Tabelle ( 1596)

Schwächen Substitution behält Muster im Text bei: Wortgrenzen Groß-/Kleinschreibung Buchstabenhäufigkeiten (ERNSTL) statistische Auswertung möglich Room 40; Bletchley Park; Bomba; Turing-Bombe; Perl-Skripte

Schwächen Substitution behält Muster im Text bei: Wortgrenzen Groß-/Kleinschreibung Buchstabenhäufigkeiten (ERNSTL) statistische Auswertung möglich Room 40; Bletchley Park; Bomba; Turing-Bombe; Perl-Skripte

heutige Algorithmen basieren immer noch auf Substitution und Transposition mit mehreren Runden und komplexer und pseudozufälliger DES: 16 Runden von Substitution und Transposition Feistelnetzwerke

Größenordnungen Bit: Binary Digit: kleinste Speichereinheit, 0 oder 1 1 Byte: 1 Zeichen aus mehreren Bits, i386-welt: 8 Bit=1 Byte 00000000; 00000001; 00000010; 00000011;... ; 11111110; 11111111 2 8 = 256 mögliche Zeichen Blitzschlagwahrscheinlichkeit == 1 : 2 33 Blitzschlag + Lottogewinn == 1 : 2 55 Lebensdauer des Universums == 2 37 a == 2 61 s Atome im Universum == 2 265

Brechbarkeit jedes kryptographische Verfahren kann gebrochen werden es kommt nur auf Zeit und Geld an Brute-Force (erschöpfendes Absuchen des Schlüsselraumes) trifft immer es gibt kein sicheres System 56-Bit Schlüssel in 1 Woche mit 120 000 CPUs für 6,7 Mio$ geknackt 128-Bit Schlüssel in 1 Woche mit 5, 6 10 26 CPUs

Theorie 1 Einführung 2 Prüfsummen 3 symmetrische Verfahren 4 asymmetrische Verfahren 5 kryptographische Signatur

Theorie Prüfsummen Basiszahl (Information) und Prüfziffer Prüfziffer wird aus Basiszahl berechnet beide Werte werden übertragen Empfänger berechnet Prüfziffer und vergleicht Authentizität (Integrität der Prüfziffer?)

Praxis EAN13 Europäische Artikelnummer, 13 Stellen a + 3b + c + 3d + e + 3f + g + 3h + i + 3j + k + 3l = I 13. Stelle= nächstgrößeres x 10 I 402583939659 4+3 0+2+3 5+8+3 3+9+3 3+9+3 6+5+3 9 = 115 120 115 = m =

Praxis EAN13 Europäische Artikelnummer, 13 Stellen a + 3b + c + 3d + e + 3f + g + 3h + i + 3j + k + 3l = I 13. Stelle= nächstgrößeres x 10 I 402583939659 4+3 0+2+3 5+8+3 3+9+3 3+9+3 6+5+3 9 = 115 120 115 = m =

Praxis EAN13 Europäische Artikelnummer, 13 Stellen a + 3b + c + 3d + e + 3f + g + 3h + i + 3j + k + 3l = I 13. Stelle= nächstgrößeres x 10 I 4025839396595 4+3 0+2+3 5+8+3 3+9+3 3+9+3 6+5+3 9 = 115 120 115 = m = 5

SHA1 Anwendung sha1(1) RFC3174, erzeugt 160-Bit-Prüfsummen Falltürfunktion: Datum SHA1, SHA1 Datum Passworthash, Fingerprint (SSL, Downloads, mtree) SHA1 ("Hallo") = 59d9a6df06b9f610f7db8e036896ed03662d168f SHA1 ("hallo") = fd4cef7a4e607f1fcc920ad6329a6df2df99a4e8

SHA1 Anwendung sha1(1) Kollision: selbe Prüfsumme für 2 unterschiedliche Dokumente Inputgröße: 2 64 1 Bit == 18 446 744 073 709 551 615 3,8 Mrd DVDs 68 Mio Tonnen 1 000 x CVN-65 USS Enterprise 2 264 mögliche größte Dokumente 1 MB = 2 20 Byte = 1 048 576 Byte 2 220 = 2 1 048 576 Zahl mit 315 654 Stellen Kollision bei 2 69 Versuchen, 1 Mrd Ops/s 2 711 Jahre

Prüfsummenverfahren Einsatz als Passworthash Passwort wird eingegeben, Hash berechnet und gespeichert Passwort wird eingegeben, Hash berechnet und verglichen Problem: gleiche Passwörter gleiche Hashes Raum der von Menschen ausgedachten Passwörter sehr klein Rainbowtables (pre-computed Attack)

Prüfsummenverfahren Einsatz als Passworthash Passwort wird eingegeben, Hash berechnet und gespeichert Passwort wird eingegeben, Hash berechnet und verglichen Problem: gleiche Passwörter gleiche Hashes Raum der von Menschen ausgedachten Passwörter sehr klein Rainbowtables (pre-computed Attack) Lösung: Zufallskomponenten anfügen (Salt) Problem: Salt muss vermerkt werden

Prüfsummenverfahren Einsatz als Passworthash Passwort wird eingegeben, Hash berechnet und gespeichert Passwort wird eingegeben, Hash berechnet und verglichen Problem: gleiche Passwörter gleiche Hashes Raum der von Menschen ausgedachten Passwörter sehr klein Rainbowtables (pre-computed Attack) Lösung: Zufallskomponenten anfügen (Salt) Problem: Salt muss vermerkt werden

Theorie 1 Einführung 2 Prüfsummen 3 symmetrische Verfahren 4 asymmetrische Verfahren 5 kryptographische Signatur

Theorie symmetrische Verfahren verwendet genau einen Schlüssel wandelt Klartext M mit Schlüssel K in Chiffrat C um wandelt Chiffrat C mit Schlüssel K in Klartext M um Anwendung: mcrypt(1) mcrypt -k GEHEIM Brief.tex mcrypt -d -k GEHEIM Brief.tex.nc

Theorie symmetrische Verfahren Prinzipien Alice schickt Brief.tex.nc an Bob Alice schickt Schlüssel K an Bob GEFAHR Schlüssel kann abgefangen werden sicherer Kanal nötig

Theorie symmetrische Verfahren Prinzipien Alice schickt Brief.tex.nc an Bob Alice schickt Schlüssel K an Bob GEFAHR Schlüssel kann abgefangen werden sicherer Kanal nötig Integrität?

Theorie symmetrische Verfahren Prinzipien Alice schickt Brief.tex.nc an Bob Alice schickt Schlüssel K an Bob GEFAHR Schlüssel kann abgefangen werden sicherer Kanal nötig Integrität? Gruppenkommunikation: n (n 1)/2 Schlüssel nötig 10 Personen 45 Schlüssel

Theorie symmetrische Verfahren Prinzipien Alice schickt Brief.tex.nc an Bob Alice schickt Schlüssel K an Bob GEFAHR Schlüssel kann abgefangen werden sicherer Kanal nötig Integrität? Gruppenkommunikation: n (n 1)/2 Schlüssel nötig 10 Personen 45 Schlüssel

Theorie symmetrische Verfahren Vor-/Nachteile schlecht geeignet für Gruppenkommunikation erfordert sicheren Kanal zur Schlüsselübermittlung geeignet für persönliche Verschlüsselung oder kleine Gruppen mit sicherem Kanal z.b. Festplattenverschlüsselung, Datensicherung

Theorie 1 Einführung 2 Prüfsummen 3 symmetrische Verfahren 4 asymmetrische Verfahren 5 kryptographische Signatur

Theorie Zahlentheorie Primzahlen Primzahl: natürliche Zahl mit genau zwei natürlichen Zahlen als Teiler, nämlich der Zahl 1 und sich selbst. Primzahlen lassen sich nicht als Produkt zweier natürlicher Zahlen, die beide größer als 1 sind, darstellen. Jede natürliche Zahl lässt sich als Produkt von Primzahlen schreiben, welche bis auf die Reihenfolge der Faktoren eindeutig ist. z. Zt. größte Primzahl: 2 43112609 1 mit 12 978 189 Stellen

Theorie Zahlentheorie Primfaktorzerlegung Primfaktorzerlegung: Darstellung einer natürlichen Zahl n als Produkt von Primzahlen. n = p e 1 1... pe M M = M k=1 pe k k 1 024 = 2... 2 = 2 10 6 936 = 2 2 2 3 17 17 = 2 3 3 17 2 (kanonisch) 842 = 2 421 177 242 = 2 13 17 401 160 802 = 2 37 41 53

Theorie Faktorisierungsverfahren bis heute kein effizientes Primfaktorzerlegungsverfahren bekannt Quadratisches Sieb, Zahlkörpersieb, Methode der Elliptischen Kurven,... Multiplikation zweier Primzahlen ist trivial; Primfaktorzerlegung der Summe ist nicht-trivial

Theorie RSA-Challenge 2009: RSA-768 (768 Bit) in 2000 Jahren auf 2.2GHz-Opteron-CPU 1230186684530117755130494958384962720772853569595334792197 3224521517264005072636575187452021997864693899564749427740 6384592519255732630345373154826850791702612214291346167042 9214311602221240479274737794080665351419597459856902143413 = 3347807169895689878604416984821269081770479498371376856891 2431388982883793878002287614711652531743087737814467999489 * 3674604366679959042824463379962795263227915816434308764267 6032283815739666511279233373417143396810270092798736308917

Theorie asymmetrische Verfahren Schlüsselpaar aus öffentlichem und privatem Schlüssel Schlüssel besteht aus Primzahl und Modul privater Schlüssel ist geheim zu halten Alice und Bob haben je öffentlichen (e A, e B ) und privaten (d A, d B ) Schlüssel Alice verschlüsselt für Bob schematisch so: Chiffrierung(M d A e B ) C Bob entschlüsselt so: Dechiffrierung(C d B e A ) M extrem langsam (Faktor 1.000) symmetrische Verschlüsselung + Sitzungsschlüssel

Theorie asymmetrische Verfahren Alice schickt C und e A an Bob Sniffer kann nichts damit anfangen, benötigt d B Bob besitzt d B und kann C dechiffrieren Bob kann Integrität prüfen, da nur Alice d A hat

Theorie 1 Einführung 2 Prüfsummen 3 symmetrische Verfahren 4 asymmetrische Verfahren 5 kryptographische Signatur

Theorie kryptographische Signatur Sonderfunktion der asymmetrischen Verfahren sichert Integrität und Authentizität (digitale Unterschift) 1 Alice bildet Prüfsumme über Nachricht h(m) 2 verschlüsselt Prüfsumme mit d A so, dass das Chiffrat mit e A entschlüsselt werden kann: S = {h(m)} Da 3 Bob empfängt Nachricht, Signatur und e A 4 Bob bildet selbst Prüfsumme h (M) 5 Bob entschlüsselt S mit e A h(m) 6 gilt h (M) = h(m)?

Theorie Beispielsignatur -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Nichts ist wahr, alles ist erlaubt. Friedrich Nietzsche -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (NetBSD) id8dbqfgdslfeftehrp7rjmraivwaj4vdjcimre7nl1ggqo5tb8z750pfgcfq5bb OoLgojv50eKZMGAMItxpdyw= =FaI+ -----END PGP SIGNATURE-----

Schlüsselsignatur kryptographische Signatur Ist Alice überhaupt Alice? Gehört e A wirklich Alice? (0xDEADBEEF) 1 Jemand signiert e A 2 Prüfe Alice Identität (Ausweis) 3 Prüfe e A (Name, Email...) 4 Schicke Signatur verschlüsselt per Email

Schlüsselsignatur kryptographische Signatur Ist Alice überhaupt Alice? Gehört e A wirklich Alice? (0xDEADBEEF) 1 Jemand signiert e A 2 Prüfe Alice Identität (Ausweis) 3 Prüfe e A (Name, Email...) 4 Schicke Signatur verschlüsselt per Email

Schlüsselsignatur kryptographische Signatur Baumhierarchie zentrale Zertifizierungsinstanz (teuer, aufwendig) anfälliger (Kann ich der CA trauen?)

Schlüsselsignatur kryptographische Signatur Web of Trust gerichteter Graph ohne Wurzel weniger anfällig bei einem Fehler keine CA nötig, aber möglich Angabe der Vertrauenswürdigkeit

Schlüsselsignatur Web of Trust

Schlüsselsignatur Steganographie Inhalt der Kommunikation zwar verschlüsselt, aber Meta-Daten zugänglich (wer mit wem wann, wie oft und wie lange/viel) Verstecken von Information Bspw. Geheimtinte, Wasserzeichen, Kopierschutzverfahren nützlich wenn Kryptographie verboten

Schlüsselsignatur Weiterführendes http://www.sicherheitsforschungmagdeburg.de/publikationen/journal.html Daten sicher löschen Einführung in die Forschungsthematik der verdeckten Kanäle Anonymität im Internet Timeo Danaos et dona ferentes: Zur Funktionsweise von Schadsoftware Sichere Benutzer-Authentifikation an sensiblen IT-Systemen Angriffe und Verteidigungsstrategien für vertrauliche Kommunikation über Funkdienste Youtube: Sichere Passwörter, Verschlüsselte Dateisysteme, How Terrorists encrypt

Schlüsselsignatur Veranstaltungen Internet Privacy and Surveillance - Anfang November; siehe IKUS Vortragsreihe zur Informationssicherheit und Unternehmenssicherheit im WS, siehe sicherheitsforschung-magdeburg.de

Schlüsselsignatur sicherheitsforschung-magdeburg.de stefan.schumacher@sicherheitsforschung-magdeburg.de youtube.de/sicherheitsforschung http://www.sicherheitsforschungmagdeburg.de/publikationen/journal.html