Geschichte und Überlick über Authentifizierungsmechanismen unter UNIX



Ähnliche Dokumente
Unix-Encrypt Password System, shadow, Pluggable Authentication Module

Sicherheit von PDF-Dateien

SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY. Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr.

Eine Praxis-orientierte Einführung in die Kryptographie

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Das Kerberos-Protokoll

Informatik für Ökonomen II HS 09

Reaktive Sicherheit. II. Passwörter. Dr. Michael Meier. technische universität dortmund

10. Kryptographie. Was ist Kryptographie?

Anlegen eines DLRG Accounts

Asymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau

Verschlüsselung und Entschlüsselung

11. Das RSA Verfahren und andere Verfahren

Nachrichten- Verschlüsselung Mit S/MIME

Two-factor authentication / one-time passwords

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Pretty Good Privacy (PGP)

1. Integration von Liferay & Alfresco 2. Single Sign On mit CAS

Benutzer- und Rechte-Verwaltung Teil 2

Digitale Signaturen. Sven Tabbert

Einführung in die moderne Kryptographie

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Sicherer Datenaustausch mit Sticky Password 8

Man liest sich: POP3/IMAP

MSSQL Server Fragen GridVis

Fragen zur GridVis MSSQL-Server

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am

Der große VideoClip- Wettbewerb von Media Markt.

Was heißt Kryptographie I? Understanding Cryptography Christof Paar und Jan Pelzl

SECURE DATA DRIVE CLIENTSEITIGE VERSCHLÜSSELUNG Technical Insight, Oktober 2014 Version 1.0

Festplattenverschlüsselung

Betriebssysteme Hinweise zu Aufgabe 3 Knacken von Passwörtern

Verschlüsselung. Kirchstraße 18 Steinfelderstraße Birkweiler Bad Bergzabern Fabian Simon Bfit09

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Kryptographie. = verborgen + schreiben

Zahlen und das Hüten von Geheimnissen (G. Wiese, 23. April 2009)

Leichte-Sprache-Bilder

Datenaustausch mit Ihren Versicherten einfach und sicher über die Cloud

Anleitung Thunderbird Verschlu sselung

-Verschlüsselung

Verschlüsseln Sie Ihre Dateien lückenlos Verwenden Sie TrueCrypt, um Ihre Daten zu schützen.

Webseiten im PHYSnet. PHYSnet-RZ 9. Mai 2011

SSH Authentifizierung über Public Key

ECO-Manager - Funktionsbeschreibung

Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr

Dokumentation zur Verschlüsselung von Dateien und Mails

Sichere Anwendung und Administration von Verschlüsselung in Oracle Datenbanken. Trennung von Schlüssel- und Datenbankadministration

Datenbank-Verschlüsselung mit DbDefence und Webanwendungen.

ANYWHERE Zugriff von externen Arbeitsplätzen

Virtual Private Network. David Greber und Michael Wäger

Sicherheit in Wireless LANs

Nationale Initiative für Internet- und Informations-Sicherheit

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

PHP - Projekt Personalverwaltung. Erstellt von James Schüpbach

Filesystem in Userspace. Jens Spiekermann

17 Ein Beispiel aus der realen Welt: Google Wallet

Einführung eines Remote Desktop Systems am RRZE. Sebastian Welker Abschlussprojekt

Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer

Andy s Hybrides Netzwerk

Algorithmische Kryptographie

Informationssysteme Gleitkommazahlen nach dem IEEE-Standard 754. Berechnung von Gleitkommazahlen aus Dezimalzahlen. HSLU T&A Informatik HS10

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Reale Nutzung kryptographischer Verfahren in TLS/SSL

NetVoip Installationsanleitung für Grandstream GXP2000

Lehrermodul. Unterordner "daten"... 6

Mail encryption Gateway

Die Konfigurationssoftware»WT-1 Configurator«

Fälschungssichere RFID-Chips

Erste Vorlesung Kryptographie

Cryptoparty: Einführung

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Exkurs Kryptographie

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

Verteilte Dateisysteme

Authentikation und digitale Signatur

1. Praktikum zur IT-Sicherheit 1

Benutzerhandbuch - Elterliche Kontrolle

Den Fehler session error bei der Kalenderanmeldung beheben:

Installation kitako. Wir nehmen uns gerne Zeit für Sie! Systemanforderungen. Demoversion. Kontakt

Shopz Zugang Neuanmeldung

BusinessMail X.400 Webinterface Gruppenadministrator V2.6

TimeSafe Installationsanleitung mit InfotechStart

Verschlüsselung und Signatur

TREND SEARCH VISUALISIERUNG. von Ricardo Gantschew btk Berlin Dozent / Till Nagel

Informationsdarstellung im Rechner

PAM/NSS DCE for Linux ins DCE

Leitfaden zur Nutzung des Systems CryptShare /Sicheres Postfach

Infrastruktur: Vertrauen herstellen, Zertifikate finden

OUTLOOK-DATEN SICHERN

Audio/Video - Chat - System User Manual

Beschreibung und Bedienungsanleitung. Inhaltsverzeichnis: Abbildungsverzeichnis: Werkzeug für verschlüsselte bpks. Dipl.-Ing.

Binär Codierte Dezimalzahlen (BCD-Code)

Einführung in LINUX Der Editor vi

Einführung in PGP/GPG Mailverschlüsselung

How to do? Projekte - Zeiterfassung

PayPal API Zugang aktivieren und nutzen Version / Datum V 1.5 / a) Aktivierung auf der PayPal Internetseite. 1 von 7

Digital Signature and Public Key Infrastructure

OPERATIONEN AUF EINER DATENBANK

Kundeninformationen zur Sicheren

Transkript:

Unix-, shadow- und md5- Passwörter, PAM Geschichte und Überlick über Authentifizierungsmechanismen unter UNIX Thomas Glanzmann (sithglan@stud.uni-erlangen.de) Lehrstuhl 4 Informatik - FAU Erlangen-Nürnberg 5. Mai 2002 p.1/17

Fortschritt in der Vortragsreihe Einführung in das Themengebiet, Allgemeines zur Vortragstechnik Grundlagen Symmetrische Verschlüsselung (DES, 3DES, AES)... Asymmetrische Verschlüsselung, digitale Signatur... Authentifizierung Unix-Passwörter, shadow, PAM Kerberos Anwendungen IPsec, inkl. Schlüsselverwaltung (ISAKMP/IKE, Photuris)... Angriffsmöglichkeiten und deren Vermeidung: Denial of Service-Attacken, Firewalltechniken... 5. Mai 2002 p.2/17

Gliederung (1) Authentifizierung via crypt(), einer Shadowpasswort-datei und md5 Passwörtern Geschichte und Grundlagen Der DES Algorithmus als Grundlage für crypt() Modifikation am DES Algorithmus: Der Salt Der crypt() Algorithmus in der Praxis Schwachstellen des crypt() Algorithmus und Angriffe Der nächste Entwicklungsschritt: Die Shadow Passwort Datei /etc/shadow Eine Alternative zum crypt() Algorithmus: der md5 Algorithmus Weitere spezielle Alternativen Wie schnell ist der crypt() bzw. md5 Algorithmus entschlüsselbar? 5. Mai 2002 p.3/17

Gliederung (2) Pluggable Authentication Module Einsatzgebiete: Wofür benötigt man PAM? Exkurs: Kereberos und Single Sign On Wie funktioniert PAM? Ein Anwendungsbeispiel für PAM PAM Konfigurationsdateien 5. Mai 2002 p.4/17

Geschichte und Grundlagen Passwörter werden als Prüfsumme in /etc/passwd aufbewahrt Prüfsumme wird bei Authentifizierung erneut gebildet und mit der bereits gespeicherten verglichen Prüfsummenfunktion crypt() basiert auf DES Algorithmus crypt() Algorithmus wurde in 70er Jahren für PDP 11 entwickelt crypt() ist bis heute die am weitesten verbreitete Prüfsummenfunktion 5. Mai 2002 p.5/17

Der DES Algorithmus als Grundlage für den crypt() Algorithmus DES DES Algorithmus wurde vom National Institute of Technology entwickelt DES Algorithmus benutzt einen 56 bit Schlüssel (entspricht acht 7 bit ASCII Zeichen) DES Algorithmus kodiert 64 bit Blöcke Chiffretext in 64 bit Blöcke Klartext DES Algorithmus als Prüfsummenfunktion Ein Block von Nullen wird mit dem Passwort als Schlüssel kodiert Kodierung wird 25 mal hintereinander angewendet um den Prozess zu verlangsamen 5. Mai 2002 p.6/17

Modifikation am DES Algorithmus: Der Salt 12 bit Zahl ( 0-4095 ) dient zur Variation des Chiffretextes Klartext Passwort Salt Chiffretext Haebo5hi 0K u7pri3xplgw Haebo5hi 4K FeQoWwAzsDg Haebo5hi 8K FP0U2KY48DI Schnelle DES Hardwareimplementierungen waren dadurch lange Zeit inkompatibel Möglichkeit zur Wiederverwendung des Passwortes auf verschiedenen Systemen Mehraufwand beim Angriff auf die Passwortdatei 5. Mai 2002 p.7/17

Der crypt() Algorithmus in der Praxis Beim Setzen wird Passwort als Prüfsumme in /etc/passwd gespeichert Passwort wird bei Authentifizierung erneut kodiert und mit der bereits gespeicherten verglichen Format: 2 ( Salt ) + 11 ( Prüfsumme ) druckbare Zeichen Jedes druckbare Zeichen trägt 6 bit Salt wird beim Setzen nach der Zeit des Tages a gewählt druckbare Zeichen:., /, 0-9, a-z, A-Z Beispiel für eine Passwortdatenbank root:0ku7pri3xplgw:0:0:root:/root:/bin/bash tgam:4kfeqowwazsdg:1:1:tgam:/tgam:/bin/bash mban:8kfp0u2ky48di:2:2:mban:/mban:/bin/bash a gettimeofdate() 5. Mai 2002 p.8/17

Schwachstellen des crypt() Algorithmus und Angriffe Schwachstellen Salt Länge auf 12 bit beschränkt Passwortlänge auf 8 Zeichen beschränkt Mittlerweile sind 109 132 Passwörter pro Sekunde kodierbar Schwache Passwörter innerhalb von Stunden entschlüsselt Bruteforce - Angriffe Wörterbuch - Angriffe Tabellen - Angriffe Angriffe Spezialrechner entschlüsseln gesamten Schlüsselraum in 4 Stunden 5. Mai 2002 p.9/17

Der nächste Entwicklungsschritt: Die Shadow Passwort Datei /etc/shadow Notwendigkeit: Benutzer wählen schwache Passwörter Idee: Zugriff nur für privilegierte Benutzer Umsetzung: Speicherung der Passwörter in /etc/shadow Nachteile oft nicht realisierbar (NIS) verifizierende Programme müssen privilegiert laufen 5. Mai 2002 p.10/17

Eine Alternative zum crypt() Algorithmus: der md5 Algorithmus Länge des Salt steigt auf 48 bit keine Passwortlängenbegrenzung 128 bit Prüfsumme 1966 Passwörter pro Sekunde kodierbar Beispiel für eine Shadow Passwort Datei mit md5 Passwörtern root:$1$50bqchn4$qsvgpkvl04u46tn7jc8by0:11794:0:... tgam:$1$l9xpil/x$c1..gsz9ejap9avl4trar1:11794:0:... mban:$1$ocm/c2qz$j227x3/vcphgexwl5oocz1:11795:0:... 5. Mai 2002 p.11/17

Weitere spezielle Alternativen Blowfish (OpenBSD) [117 Prüfsummen pro Sekunde kodierbar] DES (BSDI) [3932 Prüfsummen pro Sekunde kodierbar] Überblick: Prüfsummen pro Sekunde Algorithmus Prüfsummen pro Sekunde NT LM DES 861171 DES 109132 BSDI DES 3932 FreeBSD MD5 1966 OpenBSD Blowfish 117 5. Mai 2002 p.12/17

Wie schnell ist der crypt() bzw. md5 Algorithmus zu entschüsseln? crypt() Algorithmus Länge 26 36 62 95 128 klein klein + Ziffer alphanum. druckbar ASCII 5 117 s 9 m 2 h 21 h 3 d 6 50 m 6 h 6,5 d 84 d 1,3 y 7 22 h 8 d 1,1 y 21 y 176 y 8 23 d 323 d 68,5 y 2082,8 y 22623,1 y md5 Algorithmus Länge 26 36 62 95 128 klein klein + Ziffer alphanum. druckbar ASCII 5 110 m 8,5 h 5 d 45 d 202 d 6 2 d 123 d 334 d 11 y 71 y 7 47 d 1,2 y 57 y 1126 y 9078 y 8 3,3 y 45 y 3522 y 116354 y y 5. Mai 2002 p.13/17

Einsatzgebiete: Wofür benötigt man PAM? keine Privilegien für authentifizierende Programme problemlose Änderung von Authentifizierungsstrategien bestimmte Funktionen nur von bestimmten Benutzern nutzbar baut auf beliebiger Datenbank auf Authentifizierung über externe Geräte 5. Mai 2002 p.14/17

Wie funktioniert PAM? Abstraktionsschicht durch in Programme gebundene Bibliotheken +----------------+ application: X +----------------+ / +--------+ +================+ authentication-[->--\--] Linux- <- PAM config file + [-<--/--] PAM ================ [conversation()][-+ \ X auth.. a.so +----------------+ / +-n--n---+ X auth.. b.so service user A / +----------------+ V A +------- -- ----------+ ----+-----+ +----------------+ +----u--u------+ auth -[ a ]-[ b ]-[ c ] This space acctount -[ b ]-[ d ] intentionally password -[ b ]-[ c ] left blank. session -[ e ]-[ c ] +----------------+ +--------------+ 5. Mai 2002 p.15/17

Anwendungsbeispiel Beispeil für /etc/pam.d/su auth required pam_wheel.so group=root auth sufficient pam_wheel.so trust auth required pam_wheel.so deny group=nosu auth sufficient pam_rootok.so auth required pam_unix.so account requisite pam_time.so account required pam_unix.so session required pam_unix.so session required pam_limits.so 5. Mai 2002 p.16/17

Abschliessender Kommentar. Noch Fragen? 5. Mai 2002 p.17/17

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback