Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Verschlüsselungsverfahren Integrität: Garantie der Korrektheit (unverändert, vollständig) von Information und Verfahren bei Speicherung, Verarbeitung und Übertragung digitale Signaturen, kryptographische Hashfunktionen Verfügbarkeit: Information jederzeit für autorisierten Zugriff verfügbar, Verfahren, Software korrekt anwendbar Authentifizierung (Identitätsnachweis und -kontrolle) 141

Wiederholung: Methoden Verschüsselung Symmetrische Verfahren Asymmetrische Verfahren Schlüsselaustausch Digitale Signaturen Mathematische Grundlagen: Kongruenz modulo Restklassen-Operationen Pseudozufallsfolgen (erweiterter) Euklidischer Algorithmus Einwegfunktionen kryptographische Hash-Funktionen Kollisionen, (starke) Kollisionsresistenz 142

Weitere Anwendung kryptographischer Hashfunktionen Prüfsummen zum Nachweis, dass Daten unverändert sind (Datenintegrität, Fehlererkennung) MAC (message authentication code) für Dateien Nachweis der Fälschungssicherheit mit einem zusätzlichen geheimen Schlüssel, übliche Verfahren: HMAC (Hash-based Message Authentication Code) Hashfunktionen mit einem geheimen Schlüssel (Initialisierungsvektor) als zusätzlichen Parameter (keyed hash function) Beispiele: HMAC-MD5, HMAC-SHA1 usw. Blockchiffre-Verschlüsselung der Datei mit einem symmetrischen Verfahren im (evtl. modifizierten) CBC-Modus, letzer Block ist Hashwert Beispiele: CBC-MAC, AES-CMAC usw. 143

Authentifizierung Nachweis der Identität von Personen Hardware (Mobiltelefon, Chipkarte) Software (Client-Betriebssystem) einseitig, z.b. Identifikation von Nutzer PC, Mobiltelefon, Bankautomat WWW-Server Client Notebook Access Point Mobiltelefon Provider beidseitig, z.b. Identifikation zur Kommunikation in Netzwerken mögliche Fehler: falsche Akzeptanz: Akzeptanz eines anderen Nutzers falsche Zurückweisung: Nicht-Akzeptanz des korrekten Nutzers 144

Einseitige Authentifizierung Methoden Identifizierung von Personen durch Wissen eines Geheimnisses, z.b. Schlüsselwort, PIN + kein materieller Aufwand - Vergessen, Kopieren einfach, z.b. durch Diebstahl, Weitergabe (bewusst oder unbewusst) Besitz, z.b. Ausweis, Chipkarte, Kassenschlüssel + Fälschung, Kopie aufwendig, erlaubt Speicherung zusätzlicher Informationen - materieller Aufwand, Verlust, Diebstahl, Weitergabe Sein, biometrische Merkmale, z.b. Passbild + stabil, sehr schwer manipulierbar, Kopien und Fälschung fast unmöglich - sehr aufwendig, unscharf, sichere Verwaltung notwendig, Datenschutz Verstärkung der Sicherheit durch Kombinationen, z.b. EC-Karte, Mobiltelefon (Besitz) mit Pin (Wissen) Ausweis (Besitz) mit Passbild (Biometrie) 145

Authentifizierung Ziel: Identifikation eines Benutzers gegenüber einem Anbieter Benutzer P (Prover) muss seine Identität nachweisen. Anbieter V (Verifier) überprüft die Identität von P. 146

Authentifizierung durch Paar (ID, Passwort) einfacher Passwort-Dialog: 1. P sendet seine Identität i 2. V fragt P nach seinem Passwort 3. P sendet ein Passwort p 4. V kennt das i zugeordnete Passwort p 5. V akzeptiert den Identitätsnachweis von P, falls p = p Probleme: V muss die Zuordnung (i, p) für alle Benutzer kennen V muss diese Zuordnung meist speichern Angriffsmöglichkeiten auf unsichere Speicherung der Zuordnung ID Passwort auf unsichere Übertragung (bei Eingabe des Passwortes) V kann sich selbst als P ausgeben 147

Sicherung von Passwörtern beim Speichern Idee: Passwortverwaltung durch Speichern von Hashwerten der Passwörter mit bekannter Hashfunktion 1. Speicherung der Zuordnung (i, q) mit q = h(p) (Hashwert) 2. bei jeder Eingabe des Passwortes p wird der Hashwert h(p ) berechnet, 3. V akzeptiert den Identitätsnachweis von P, falls h(p ) = q. mögliche Angriffe: Geburtstagsangriff (bei Kollisionen) (lässt sich durch hinreichende Hashlänge weitgehend vermeiden) Wörterbuchangriffe auf gespeicherte Hashwerte Rainbow-Tables 148

Wörterbuchangriffe Idee: Wörterbuch enthält häufig gewählte Passwörter p und ihre Hashwerte h(p) (im Wörterbuch lässt sich die die Umkehrung h 1 der Hashfunktion h für eine Teilmenge aller möglichen Klartexte ablesen) Vergleich des gespeicherten Passwort-Hashwertes mit den Hashwerten aller im Wörterbuch enthaltenen Passwörter bei Gleichheit lässt sich aus dem Wörterbuch zu h(p) auch den Klartext p ablesen. Wörterbuchangriff: Brute-Force-Methode auf eingeschränktem Suchraum effizienter als vollständige Suche (Brute-Force auf vollständigem Suchraum) nur für im Wörterbuch enthaltene Passwörter erfolgreich 149

Rainbow-Table-Angriffe RT für feste Hashfunktion h : M H: Menge von Ketten (Folgen von Paaren (m, h(m))) Erzeugung der Ketten: 1. Wahl eines beliebigen Klartextes m 1 M 2. Bestimmung des Hashwertes h(m 1 ) H 3. Bestimmung eines neuen Klartextes r(h(m 1 )) = m 2 M aus h(m 1 ) durch eine Reduktionsfunktion r : H M z.b. erste n Stellen von h(m 1 ) (oft in jedem Schritt verschieden) mehrfache Wiederholung der Schritte 2.+ 3. Erzeugung der RT: 1. Erzeugung mehrerer (Klartext, Hash)-Folgen gleicher Länge l 2. Speichern nur des ersten Klartextes m 1 und letzten Hashwertes h(m l ) jeder Folge 150

Rainbow-Table-Angriffe Verwendung der RT zum Finden eines Klartextes mit gegebenem Hashwert x H: 1. Nachschlagen von x im Hashwert (Kettenenden) aller Ketten 2. falls nicht gefunden, Anwendung der Reduktionsfunktion auf x: r(x) M 3. Nachschlagen von h(r(x)) H im Hashwert (Kettenenden) aller Ketten mehrfache Wiederholung der Schritte 2.+ 3. Wird ein so berechneter Hashwert am Ende einer Kette gefunden, enthält die Kette einen Klartext m M mit h(m) = x. m wird gefunden durch (Wieder-)Berechnung dieser Kette aus dem ersten (gespeicherten) Klartext. 151

Erschweren von Angriffen durch Salt mögliche Gegenmaßnahme beim Speichern der Passwörter: Verknüpfung des Passwortes m bei dessen Erzeugen mit Zufallsfolge s (Salt) Verschlüsselung dieser Verknüpfung m s Speichern des Salt s (unverschlüsselt) mit dem Hashwert y = h(m s) Passworttest: Eingabe des Passwortes m Verknüpfung mit (gespeichertem) Salt m s Vergleich des Hashwertes dieser Verknüpfung mit gespeichertem Hashwert h(m s)? = y Wörterbuch- und Rainbow-Table-Angriffe auf Kombinationen (Passwort, Zufallsfolge) möglich, aber sehr aufwendig 152

Sicherung von Passwörtern bei Übertragung Idee: Übertragung des verschlüsselten Passwortes etwas besserer Passwort-Dialog: 1. P sendet seine Identität i 2. V fragt P nach seinem Passwort 3. P sendet den Hashwert q = h(p ) seines Passwortes p 4. V kennt den Hashwert q = h(p) des i zugeordneten Passwortes p 5. V akzeptiert den Identitätsnachweis von P, falls q = q möglicher Angriff: Replay-Angriff M hört i und q mit und meldet sich damit bei V als P an 153

Challenge-Response-Verfahren Idee: V stellt P eine Aufgabe (Challenge) P muss (mit Hilfe seines Geheimwissens) die richtige Antwort (Response) finden Challenge-Response-Verfahren 1: 1. P sendet seine Identität i 2. V erzeugt Zufallszahl z (Challenge), sendet z zu P V fragt P nach seinem Passwort 3. P verschlüsselt z mit seinem Passwort p zu q = e(p, z) und sendet q (Response) zu V 4. V kennt das i zugeordnete Passwort p und die von ihm erzeugte Zufallszahl z und berechnet damit q = e(p, z) 5. V akzeptiert den Identitätnachweis von P, falls q = q Vorteile: keine direkte Passwort-Übertragung, kein Replay-Angriff möglich Problem: V muss Passwörter im Klartext speichern 154

Zero-Knowledge-Verfahren Idee: P beweist V seine Kenntnis von p, ohne p an V zu übertragen V testet (beliebig oft), dass P keinen Fehler macht Klassische Beispiele: Geheimgang mit versteckter Tür: P weist Besitz des Schlüssels (durch wiederholte Benutzung) nach, ohne ihn V zu zeigen. Lösung kubischer Gleichungen (Tartaglia, 1535) Tartaglia weist Kenntnis eines Lösungsverfahrens (durch wiederholte Anwendung) nach, ohne es seinen Kollegen zu verraten. 155

Challenge-Response-Verfahren 2 Challenge-Response-Verfahren mit symmetrischer Verschlüsselung: 1. P sendet seine Identität i 2. V erzeugt Zufallszahl z (Challenge), sendet z zu P V fragt P nach seinem Passwort 3. P berechnet den Hashwert q = h(p ) seines Passwortes p (automatisch bei Eingabe), verschlüsselt z mit Hashwert q (Schlüssel) zu c = e(q, z) und und sendet c (Response) zu V 4. V kennt den Hashwert q = h(p) des i zugeordneten Passwortes p und entschlüsselt damit z = d(q, c) = d(q, e(q, z)) 5. V akzeptiert den Identitätnachweis von P, falls z = z Vorteile: keine Übertragung der Passwörter im Klartext authentifizierendes System (V) kennt nur die Hashwerte der Passwörter (Zero-Knowledge-Verfahren) 156

Challenge-Response-Verfahren 3 geändertes Challenge-Response-Verfahren: 1. P sendet seine Identität i 2. V erzeugt Zufallszahl z (Challenge), sendet z zu P V fragt P nach seinem Passwort 3. P berechnet den Hashwert q = h(p ) seines Passwortes p (automatisch bei Eingabe), verschlüsselt z mit Schlüssel q zu c = e(q, z) und und sendet c (Response) zu V 4. V kennt den Hashwert q = h(p) des i zugeordneten Passwortes p und die von ihm gewählte Zufallszahl z und verschlüsselt damit c = e(q, z) 5. V akzeptiert den Identitätnachweis von P, falls c = c Vorteile: authentifizierendes System (V) kennt nur die Hashwerte der Passwörter (Zero-Knowledge-Verfahren) V verarbeitet q nie direkt 157

Authentifizierung nach Fiat-Shamir-Protokoll Idee: Zero-Knowledge-Beweise mit Public-Key-Verfahren Verwendung z.b. in Chipkarten Vorbereitung: 1. Vereinbarung q, q zufälliger großer Primzahlen, n = qq 2. Ps Schlüssel (Passwort): geheim s beliebig öffentlich p = s 2 mod n (wird an V gesendet) Dialog (evtl. mehrere Runden): 1. P wählt z zufällig, sendet x = z 2 mod n an V 2. V wählt b {0, 1} zufällig, sendet b an P 3. P berechnet y = zs b mod n, sendet y an V 4. V akzeptiert (diese Runde), falls y 2 = xp b mod n korrekt, weil y 2 n z 2 s 2b n z 2 (s 2 ) b n x(s 2 ) b n xp b Sicherheit durch Einwegfunktion f (x) = x 2 mod n Berechnung von Quadratwurzeln mod n ist aufwendig. Beispiele: x 2 7 4, x 2 7 3, x 2 77 71 158

Authentifizierung durch digitale Signatur einseitige Authentifizierung von P bei V Idee: P weist sich durch den Besitz des geheimen Schlüssels s aus Ps Schlüsselpaar: s (geheim), p (öffentlich) Authentifizierung von P bei V: 1. V wählt Zufallszahl z, sendet z (Challenge) an P 2. P sendet za = d(s, z) (z signiert, Response) an V 3. V prüft die Signatur, d.h. verschlüsselt z := e(p, a) = e(p, d(s, z)) und testet z = z. 159

Einmal-Passwörter Vorbereitung (Erzeugung des Passwörter): P und V vereinbaren: Zufallszahl z, Hash-Funktion h P und V berechnen (jeder für sich) Folge p i von Einmal-Passwörtern durch p 0 = h(z) und p i+1 = h(p i ) P speichert (p 0,..., p n 1 ) V speichert (n, p n ) Authentifizierungs-Dialog: V sendet (n 1) an P (Challenge) P sendet p n 1 an V (Response) V berechnet h(p n 1 ), akzeptiert, falls h(p n 1 ) = p n Nachbereitung (nach jedem Zugang): P löscht p n 1, V ersetzt (n, p n ) durch (n 1, p n 1 ) Nachteil: Verwaltung (Listen) und regelmäßiges Erzeugen neuer Passwortlisten notwendig 160

Biometrische Verfahren zur Authentifizierung klassisch, z.b.: Stimme Gesicht Fingerabdruck technisch, z.b.: Augen (Iris, Retina) technische Grundlagen: Bilderkennung und -verarbeitung Mustererkennung, Klassifikation (z.b. durch Neuronale Netze) Probleme: fehleranfällig Anwendbarkeit abhängig vom Stand (und Preis) der Technik Datenschutzprobleme bei Erfassung und Speicherung persönlicher Merkmale 161