Inhalt Grundlegendes zu Bankkarten Moduliertes Merkmal PIN-Sicherheit Seitenkanalangriffe Harald Baier Ausgewählte Themen der IT-Sicherheit h_da SS 10 24
PIN-Erzeugung bei Debitkarten 1. Variante: Kartendaten werden mit Bankschlüssel verschlüsselt Aus Chiffrat wird PIN abgeleitet 2. Variante: PIN wird zufällig erzeugt und zugewiesen Überprüfung durch Abgleich mit Datenbank 3. Variante: PIN wird zufällig erzeugt und zugewiesen Überprüfung durch Abgleich von Chiffrat, das sich aus Verschlüsselung mit PIN und Kartendaten ergibt Harald Baier Ausgewählte Themen der IT-Sicherheit h_da SS 10 25
Binary Coded Decimal (BCD) Wird benötigt, wenn Dezimalziffern binär / hexadezimal dargestellt werden Wegen 10 = 2 3. 3 2 benötigen wir 4 Bits pro Dezimalziffer Offensichtliche Kodierung (niederwertigstes Bit rechts) Dezimal Binär Dezimal Binär 0 0000 5 0101 1 0001 6 0110 2 0010 7 0111 3 0011 8 1000 4 0100 9 1001 Harald Baier Ausgewählte Themen der IT-Sicherheit h_da SS 10 26
Alte PIN-Erzeugung bei Debitkarten (1990er) PIN leitet sich aus DES-Chiffrat ab Eingabe für DES besteht aus: 10-stelliger Kontonummer Letzte 5 Ziffern der Bankleitzahl 1-stellige Kartensequenznummer (= Kartenfolgenummer KFN) 16 Dezimalstellen per BCD als 64 Bit DES-Verschlüsselung mit Bankschlüssel 64-Bit-Ausgabeblock: 16 Hexadezimalzeichen Drittes bis Sechstes Zeichen mod 10 ergibt PIN Harald Baier Ausgewählte Themen der IT-Sicherheit h_da SS 10 27
Alte PIN-Erzeugung bei Debitkarten: Übersicht 16 Ziffern: 64 Bit K INST 64 Bit: 16 Hexadezimalziffern DES...... Konto-Nr. BLZ (Teil) KFN ziffernweise mod 10 PIN falls 1. PIN-Ziffer = 0, dann 1. PIN-Ziffer := 1 Quelle: W. Schindler Harald Baier Ausgewählte Themen der IT-Sicherheit h_da SS 10 28
Bewertung Kryptographische Angriffe: Known-Plaintext-Angriff zur Berechnung des Bankschlüssels Ist daraus berechneter Bankschlüssel eindeutig? Sicherheit des DES? Verteilung der PINs? Wahrscheinlichkeitsverteilung: Tatsächlich vs. wünschenswert Welche PINs würden Sie wählen? Sehr schwaches Verfahren, das seit 1998 durch neues Verfahren ersetzt wird Wie würden Sie ein PIN-Verfahren realisieren? Harald Baier Ausgewählte Themen der IT-Sicherheit h_da SS 10 29
Zur PIN-Übermittlung Nur relevant bei Online-Prüfung der PIN Z.B. Nutzung des Magnetstreifens Zentrale Frage: Wie übermittelt GAA PIN an Institut? Wie übermittelt POS (z.b. an Tankstelle) PIN an Institut? Interessantes Szenario aus dem Alltag: Warum kann ich mit meiner deutschen Debitkarte in Peking an einem GAA Geld abheben? Wie sicher fühlen Sie sich dabei? Harald Baier Ausgewählte Themen der IT-Sicherheit h_da SS 10 30
Datenakquise durch Angreifer und Cash-out Wie kommt Angreifer an PIN? Ausspähen am Point of Sale, Bankautomaten,... Aufsatz auf PIN-Tastatur des Bankautomaten Filmen am Bankautomaten, in Tankstelle,... Wie kommt Angreifer an Daten auf Magnetstreifen? Skimming: Aufsatz auf Einzugschlitz des GAA Aufsatz auf Zugangskontrollgerät Manipuliertes Gerät bei Händler Abheben an Automaten ohne MM-Prüfung (z.b. Ausland) Gegenmaßnahme: Auslandslimit auf 0 EUR setzen Harald Baier Ausgewählte Themen der IT-Sicherheit h_da SS 10 31
Inhalt Grundlegendes zu Bankkarten Moduliertes Merkmal PIN-Sicherheit Seitenkanalangriffe Harald Baier Ausgewählte Themen der IT-Sicherheit h_da SS 10 32
Seitenkanalangriffe: Grundlagen (1/2) Seitenkanal = Side channel Informationskanal, der bei DV 'nebenher' anfällt Teilgebiet der Kryptoanalyse Beispiele: Zeit für die Ausführung eines Algorithmus Elektromagnetische Abstrahlung Stromstärkeprofil Generelle Idee: Angreifer beobachtet Seitenkanal (passiv oder aktiv) Beobachtungen liefern Rückschlüsse über geheime Informationen (z.b. private kryptographische Schlüssel) Harald Baier Ausgewählte Themen der IT-Sicherheit h_da SS 10 33
Seitenkanalangriffe: Grundlagen (2/2) Seitenkanalangriffe zielen immer auf konkrete physikalische Implementierung: Hardware (z.b. Chipkarte) oder Software (z.b. OpenSSL) Typischerweise erweisen sich nur bestimmte Implementierungen als schwach Ziele sind... symmetrische Verfahren (DES, AES) asymmetrische Verfahren (RSA, Diffie-Hellman, ECC) Details: h_da LV 'Grundlagen und Implementierung moderner Public-Key-Verfahren' oder an TUD Harald Baier Ausgewählte Themen der IT-Sicherheit h_da SS 10 34
Seitenkanalangriffe: Bedeutung Moderne Kryptoverfahren werden nicht auf theoretischer Ebene gebrochen: Triple-DES, AES aktuell theoretisch sicher RSA, Diffie-Hellman, ECC bei richtiger Parameterwahl theoretisch sicher Schwächen hängen typischerweise mit Implementierungen zusammen: Padding-Verfahren von RSA Hashwertlänge bei DSA Seitenkanalangriffe Side channel attacks sind wichtige praktische Bedrohung Harald Baier Ausgewählte Themen der IT-Sicherheit h_da SS 10 35
Seitenkanalangriffe: Timing Attack (1/2) Erster Seitenkanalangriff Paul Kocher stellt Timing Attack auf Crypto '96 vor: Timing Attacks on Implementations of Diffie-Hellman, RSA, DSS, and Other Systems Erfordert Zugriff auf Implementierungen oder Details für einen Simulator Verschiedene Granularität:... Grob: Messung der Gesamtlaufzeit Feiner: Messung von Einzelschritten (z.b. wie lange dauert das Laden des Schlüssels in den RAM) Harald Baier Ausgewählte Themen der IT-Sicherheit h_da SS 10 36
Seitenkanalangriffe: Timing Attack (2/2) Szenario 1: Dauer einer Signaturerzeugung Angreifer wählt Bitstrings und lässt diese signieren Szenario 2: Dauer einer Entschlüsselung Angreifer wählt Klar- oder Chiffretexte und lässt diese entschlüsseln Szenario 3: Schlüsselaustausch Konkrete Erweiterung: Serge Vaudeney 2003 für OpenSSL Manipulierte Pakete werden an SSL-Server geschickt Harald Baier Ausgewählte Themen der IT-Sicherheit h_da SS 10 37
Seitenkanalangriffe: Power Analysis Power Analysis = Analyse der Stromstärke Simple Power Analysis (SPA): Angreifer zeichnet I(t) auf (Stromstärke in Abhängigkeit der Zeit) Ggfls. Rückschlüsse auf Bits in geheimem Schlüssel Erfordert Zugriff auf Speichermedium (z.b. Karte wird kurzzeitig entwendet) Differential Power Analysis (DPA): Erweiterung von SPA Harald Baier Ausgewählte Themen der IT-Sicherheit h_da SS 10 38
Seitenkanalangriffe: Weitere Abstrahlung: Angreifer zeichnet emittierte elektromagnetische Strahlen auf Damit sollen sich z.b. Bildschirminhalte bis zu mehreren hundert Metern aufzeichnen lassen... Differential Fault Analysis (DFA): Manipulation an Gerät / Implementierung soll Fehler provozieren Bug attack (Biham, Carmeli, Shamir) auf Crypto 2008: Basiert auf Hardware-Fehlern (z.b. Intels FDIV-Bug) Bugs führen zur (teilweisen) Veröffentlichung des Private Key Harald Baier Ausgewählte Themen der IT-Sicherheit h_da SS 10 39
Seitenkanalangriffe: Verhinderung Eingabeunabhängige Codeausführung: Unabhängig von einem Private Key werden immer die gleichen Operationen aufgerufen Keine bedingten Sprünge Zum Beispiel: Schnelle Exponentiation führt pro Schritt immer eine Quadrierung und eine Multiplikation durch Einheitliche Reaktion auf ungültige Eingaben Einfügen von Rauschen (verunreinigt Abstrahlung) Relativ junges Gebiet, das die Community weiter beschäftigen wird Harald Baier Ausgewählte Themen der IT-Sicherheit h_da SS 10 40