Sicherer Kanal: von Alice zu Bob

Präsentation zum Thema: "Sicherer Kanal: von Alice zu Bob"—  Präsentation transkript:

1 Sicherer Kanal: von Alice zu Bob
Authentifizierung: Wissen, Haben

2 Identifikation Unterscheidung zwischen realer Welt der Menschen und ihres Verhaltens und der abstrakten Welt von Daten in Rechnern und Rechnernetzen. Unterscheidung zwischen Identität und Entität. Menschen führen verschiedene Rollen aus (Identitäten) – und haben Attribute, die mit manchen Rollen assoziiert sind aber nicht mit ändern. Identifikator = Teilmenge der Daten zu einer Identität, die benutzt werden kann um Identität(en) zu unterscheiden. Um zur Entität zu kommen braucht man biometrische Daten (Entifikator). Dr. Wolf Müller

3 Identitäten und Entitäten - Identifikation
Identifikator + Daten IT-System Reale Welt Identität und Attribute Entität und Attribute Dr. Wolf Müller

4 Identitäten und Entitäten - Entifikation
Entifikator + Daten Identifikator + Daten IT-System Reale Welt Identität und Attribute Entität und Attribute Dr. Wolf Müller

5 Identifikatoren Häufig ist es möglich, über Identifikatoren zur Entität zu gelangen. Manchmal nicht oder nur schwer – solche Identifikatoren werden Pseudonyme genannt. Wenn ein Identifikator gar nicht zurückverfolgt werden kann, dann wird er „anonym“ genannt. Pseudonyme und Anonyme werden unter dem Begriff „Nym“ zusammengefasst. Dr. Wolf Müller

6 Identitäten und Entitäten – Pseudonymität und Anonymität
Entifikator + Daten Identifikator + Daten Nym + Daten n n n IT-System 1 1 Reale Welt Identität und Identität und Attribute Attribute n n 1 m Entität und m Attribute Dr. Wolf Müller

7 Identifikatoren Häufige Fehlinterpretationen
Identifikatoren beziehen sich 1-zu-1 auf Entitäten Die Entität hinter jedem Identifikator ist kenntlich. Die Beziehung zwischen Identifikator und Entität kann sein 1-zu-1 1-zu-n n-zu-1 Die Beziehung(en) kann oder kann nicht kenntlich (herausfindbar / herstellbar) sein - Nym Dr. Wolf Müller

8 Zusammenfassung - Identitäten und Entitäten
Entity: Person (oder Unternehmen, Gerät) Entifier/Entifikator: Kennzeichner für eine Entität; Datensatz, der eine Entität von anderen unterscheidet (z.B. biometrische Daten, Geräte-Id) Identity: Präsentation oder Rolle einer Entität. Identifier/Identifikator: Kennzeichner für eine Identität; Datensatz, die Identität von anderen unterscheidet (z.B. Name, ID-Nr., Benutzername, IP-Adresse) Nym: Identifikator, der nicht leicht mit der zugrunde- liegenden Entität in Verbindung gebracht werden kann Anonym: kann gar nicht Pseudonym: kann nicht einfach zugeordnet werden Dr. Wolf Müller

9 Identifizierung und Authentifizierung
Identifizierung/Identifikation = Prozess, in dem die Identität einer Person bestimmt wird (in der Daten oder Aktivitäten mit einer bestimmten Identität verknüpft/assoziiert werden) Identifikation wird durchgeführt durch Erlangung eines Identifikators. Wenn man sicher sein will, dann muss die Behauptung („assertion“) authentifiziert werden. Authentifizierung = Prozess, in dem Sicherheit über eine (Identitäts-)Behauptung gewonnen wird. Gegencheck gegen einen oder mehrere Authentikatoren. Dr. Wolf Müller

10 Identifizierung und Authentifizierung
Häufige Fehlinterpretation: Authentifizierung bedeutet „Identity Authentication“. Authentifizierung bedeutet allgemein die „Bestätigung einer Behauptung (assertion)“ Nur manchmal ist diese Behauptung die, dass eine Aktivität von einer bestimmten Identität ausgeführt wird. Es gibt noch andere wichtige Typen von Behauptungen, die es wert sind authentifiziert zu werden. Dr. Wolf Müller

11 Definierender Sinnspruch des Internet The New Yorker 5 July 1993
Dr. Wolf Müller

12 Diskussion Cartoon zeigt verschiedene Aspekte, die in Zusammenhang mit „Identität“ relevant sind Hund hat eine Reihe von Attributen Schwarzes Fell oder weißes Fell mit schwarzen Punkten, … Hund spielt eine oder mehrere Rollen jede hat vermutlich einen Identifikator assoziiert (wie -Adresse oder Spitzname) und jede hat wieder Attribute. Andere erfahren den Hund und seine Identifikatoren über das Internet. Wissen der Parteien übereinander – in diesem Fall nicht genug Wissen, da die anderen Parteien nicht wissen, dass der Hund kein Hund ist, aber genug für den Hund um zu wissen, dass die anderen es nicht wissen. Fazit: Über das Internet hat man nur eine beschränkte Menge von Information – und muss vorsichtig sein bei Annahmen – hin und wieder möchte man Dinge bestätigen/authentifizieren, bevor man sich darauf verlässt. Dr. Wolf Müller

13 Behauptungen, die es wert sind authentifiziert zu werden
Welcher Hund man ist (Identität). Ob man derselbe Hund ist, mit dem jemand anderes zu einem bestimmten Thema kommuniziert/interagiert hat (Identifier / Nym). Welcher (Hunde)Rasse man angehört (Attribute). Ob man wirklich für den Hund bellt, den man zu repräsentieren angibt (Vertretung). Ob der Knochen, den man anbietet das wert ist, was er vorgibt wert zu sein (Wert). Dr. Wolf Müller

14 Authentikatoren für Personen-Identitäten
Was eine Person weiß Z.B. Geburtsname der Mutter, Passwort, PIN Was eine Person ist Nein, biometrische Attribute sind Entitäts-Authentikatoren Was eine Person tun kann (Ergebnis unterbewusster Aktivitäten) Z.B. Unterschrift Was eine Person hat (Dokumente, Berechtigungsnachweise) Z.B. physikalischer Token wie Ausweis, Eintrittskarte Z.B. digitaler Token, insbes. eine digitale Unterschrift, die mit öffentlichen Schlüssel konsistent ist, der durch ein digitales Zertifikat nachgewiesen wird. Chipkarte Dr. Wolf Müller

15 Authentifizierung und mögliche Angriffe
Authentikator Transport Überprüfung, Speicherung Eingabe Wiederverwendbare Angriffe Authentikator kopieren Authentikator leihen Authentikator stehlen Authentikator fälschen Einmalige Angriffe Buffer-Overflow Session-Hijacking Huckepack (Piggyback) Dr. Wolf Müller

16 Authentifizierung something you know something you have
Passworte OTP PIN, TAN, S-Key something you have (USB) Token, Smartcard, Public Key something you are Biometrie Fingerabdruck, Gesicht, Iris, … Dr. Wolf Müller

17 Multi-Faktor Authentifizierung
2-Faktoren Authentifizierung Bankkarte + PIN Kreditkarte + Unterschrift PIN + Fingerabdruck Benutzername + Passwort Chipkarte + PIN 3-Faktoren Authentifizierung Benutzername + Passwort + Fingerabdruck Benutzername + Passwort + SecureID Token

18 “What You Know” Authentikatoren
Personal Identification Number (PIN) Passworte Passphrases Allgemein: Fragen und Antworten (challenge & response) Müssen vor der Authentifizierung abgesprochen werden. Eine oder mehrere korrekte Antworten authentifizieren eine Identität. Antwort kann auch allgemein aus Anwendung eines Algorithmus auf die Frage bestehen. Dr. Wolf Müller

19 Starke Passworte Default Passworte ändern! Lang (brute force)
mindestens 10 Zeichen Zahlen und Sonderzeichen Groß- und Kleinbuchstaben Ungewöhnlich (dictionary) In keinem Wörterbuch der Welt zu finden Unpersönlich (social engineering) Keine Telefonnummer, … Keinen persönlichen Bezug Unterschiedlich Unterschiedlich für verschiedene Dienste PasswordSitter, PwdHash Merkbar Eselsbrücken, Akronyme, PW-Manager PasswordSitter, PasswdSafe Default Passworte ändern! Dr. Wolf Müller

20 Grafische Passworte Beruhen auf Bildgedächtnis/menschlicher Bilderkennung. Bilder auswählen, zeichnen oder manipulieren. Relativ neue Technologie. Mehrere Runden werden durchlaufen. Dr. Wolf Müller

21 Password Sitter (1) https://www.passwordsitter.com/ Online
Dr. Wolf Müller

22 Password Sitter (2) Passwortdiversifizierung Java (signiertes Applet).
Masterpasswort (stark) Dienstname Password policy Passwortdiversifizierung Java (signiertes Applet). Server / lokal gespeichertes Profil (Dienste). Kennwörter nirgends gespeichert, weder im Klartext noch verschlüsselt, sondern jedesmal erneut generiert. Kompression des Inputs, Einwegfunktion  individuelles Passwort für jeden Dienst Password Policies einstellbar. Online / Offline Betrieb / Scratch. Passwort für Dienst Dr. Wolf Müller

23 Passworte: Geheimhaltung
Nicht weitergegeben. Passworteingaben grundsätzlich ohne Echo. Passworte nie unverschlüsselt über unsichere Datenkanäle (pop,imap,…) Nicht an zugänglichen Stellen hinterlegen. Festplatte Zettel Befragung von Büroangestellten in London (Infosecurity Europe April 2004) 71% Computer-Passwort für einen Schokoriegel. 37% auch ohne „Belohnung“. Dr. Wolf Müller

24 Passworte: Leben Einrichtung Passwortwechsel Zuteilung Passwortwahl
durch System bzw. Administrator Problem: Randomisierung vs. Merkbarkeit Passwortwahl durch Benutzer Kombination durch erstmalige Zuteilung, anschließende Änderung durch Benutzer. Passwortwechsel Passworte regelmäßig ändern. Rechnergesteuert, password ageing System verlangt turnusmäßig geändertes Passwort Benutzergesteuert Benutzer verändert von sich aus regelmäßig das Passwort. Einmalpassworte t0, nach einmaliger Benutzung ungültig. TAN beim Online-Banking Dr. Wolf Müller

25 Starke Passworte: Wie? Grundtechniken:
Schulung der Benutzer (Richtlinien). Computergenerierte Passwörter (völlig randomisiert). Reaktive Passwortprüfung: Passwortcracker periodisch die Passwörter testen lassen  Problem wegen Ressourcen, Privacy Proaktive Passwortprüfung: Schon bei Auswahl des Passwortes wird die Zulässigkeit, z.B. mit Hilfe eines zuvor erstellten Wörterbuches mit "schlechten" Passwörtern geprüft  Mittelweg zwischen Benutzerakzeptanz und Vorgaben finden. Effiziente Grundtechniken: (basieren auf Wörterbüchern) Markov – Modell Bloom – Filter arbeitet mit Hashfunktionen Dr. Wolf Müller

26 Passwort Alterung (Aging)
Passworte werden mit Lebensdauer versehen: Vorteile Kompromittierte Passworte haben nur endliche Lebenserwartung. Leicht zu implementieren. Nachteile Überraschende sofortige Aufforderung sich neues Passwort auszudenken, resultiert oft in schlechte Passwortwahl. Nutzer neigen dazu Teile des Passworts wieder zu verwenden Serialisierung: dfgrtdz1 dfgrtdz2 … Post-it syndrome: Schwer merkbar, also aufschreiben? Dr. Wolf Müller

27 Passwort: Verifikation (1)
Speicherung Passwörter in /etc/shadow gespeichert Nicht im Klartext, sondern verschlüsselt / gehasht Ursprünglich: /etc/passwd Problem: Datei muss für alle lesbar sein. Daten für alle Nutzer öffentlich weiter in passwd Passwort-Feld shadow Login: Eingegebenes Passwort mit selber Methode „verschlüsselt“ und mit gespeicherten Hash des Passworts verglichen. /etc/passwd root:x:0:0:root:/root:/bin/bash /etc/shadow Blowfish root:$2a$10$K73dWlbEILwfvtPIxjZf3.HxPTsoKvOg71Q6gPLxvwt6gayO.nJl6:12758:0:10000:::: Dr. Wolf Müller

28 Passwort: Verifikation (2)
Hash veraltet: crypt()-Einwegfunktion basiert auf DES (56 Bit Schlüssellänge = 8 Zeichen á 7 Bit) 64 Nullbits werden 25 mal „verschlüsselt“ Passwort als Schlüssel Reslultat: 64 Bits als ASCII-Zeichenkette (11 Zeichen) gespeichert. Base64-Kodierung Aktuell: Hashfunktion MD5 erzeugt bis zu 127 Zeichen-Passwort 128-Bit Hash Verwendung angezeigt durch vorangestelltes „$1$“ Abspeicherung in Base64-Kodierung Blowfish vorgestelltes „$2a“ Dr. Wolf Müller

29 Passwort: Verifikation (3)
Kodieren & Salzen Base64-Kodierung: 6 Bit Wert [0, 1, ..., 63] abgebildet auf ASCII-Zeichen A, B, ..., Z, a, b, ..., z, 0, 1, ..., 9, +, / Salt („Salz“) 12 Bit (crypt) bzw. 48 Bit (MD5). Abhängig von Tageszeit, ... Erschwert Vorberechnen von Passwort-Hashtabellen. Berechnung: HASH(Passwort|Salz) Wichtig: Salz anhängen! Gleiche Passworte verschieden repräsentiert. 4096 verschiedene „Verschlüsslungen“ (crypt) (MD5) Wird als Teil des Passworthashes gespeichert (Base64-kodiert) Warum? Dr. Wolf Müller

30 Format /etc/shadow itsec: User $2a$05$2/G55DzhNHnthD0YVW87h…..H4ZJB72qPQziepM26lwMK: 15161: Jul 06, 2011 last change 0: 0 minimum days between change 99999: maximum days between change 7: 7 # of days of warning before password expires : never # of inactive days : never account Expires $ID$Salz$Hash-ID(Passwort|Salz)_gekürzt ID: - 1 MD5 22 Zeichen - 2, 2a Blowfish - 3 NT-Hash 5 SHA Zeichen 6 SHA Zeichen Salz: bis zu 16 Zeichen chage -l itsec Dr. Wolf Müller

31 Passwort: Verifikation (4)
Windows Speicherung im „Security Account Manager“ (SAM) %WINDIR%\system32\config\SAM binäre Datei Registry: HKEY_LOCAL_MACHINE/SAM/ Zugriff im laufenden System nicht direkt möglich auch nicht für Administrator (SYSTEM-Rechte nötig) ABER: Kopie in %WINDIR%\repair\ Speicherung als Hash: Alt: LM-Hash NT-Hash Dr. Wolf Müller

32 Passwort: Verifikation (6)
LM-Hash Auffüllen bzw. Abschneiden des Passworts auf 14 Zeichen Umwandlung in Großbuchstaben Aufteilung in zwei 7-Zeichen-Blöcke (jeweils 56 Bits) Verschlüsselung des String DES Passwort[1…7] Passwort[8…14] DES LM-Hash[1…8] LM-Hash[9…16] Großbuchstaben Dr. Wolf Müller

33 Passwort: Verifikation (5)
NT-Hash Ab Windows 2000 SP2 Umwandlung des Passworts von ASCII nach Unicode Eingabe für den MD4-Hashalgorithmus Passwort[1…14] MD4 NTLM-Hash[1…14] unicode Dr. Wolf Müller

34 Passwort: Verifikation (5)
Vergleich LM-Hash ist unsicher NT-Hash ist sicherer aus Abwärtskompatibilitätsgründen ist LM-Hash oft noch standardmäßig aktiviert muss manuell deaktiviert werden Dr. Wolf Müller

35 Passwort: Angriffe L0phtcrack John-the-Ripper Cain & Abel
Dictionary, Brute Force Passwort-Cracker als Bezahldienst „Die Entwickler von RainbowCrack Online haben ein neues Geschäftsmodell für sich entdeckt: Ab 30 US-Dollar monatlich entschlüsselt der Dienst die verbreiteten Hash-Typen MD5, IBM Lan Manager, SHA1, Cisco Pix, NTLM, MySQL-323 und MD4 und liefert die bis zu acht Zeichen langen Klartextpasswörter, sofern diese nicht mit einer angehängten Zufallskomponente, dem so genannten Salt, versehen sind.“ Elcomsoft: Amazon EC2 Used to Crack Password Encryption on Wireless Networks Dr. Wolf Müller

36 Challenge-Response-Verfahren
Verallgemeinerung für Authentifizierungsverfahren, die auf Wissen beruhen. Verhinderung von Replay Geheimes Wissen nicht mehrfach und komplett übermittelt. Weit verbreitet (GSM, UMTS, WLAN, Smartcards Handy Hersteller  Batterie, Drucker  Tinte) Frage/Antwort Paare (vorher verabredet, zufällige Auswahl) Login: foo Geburtstag des Vaters: Lieblingsautor: Jules Verne Geburtsname der Mutter: Mustermann Lösung: Zufallszahl als Challenge Wahrscheinlichkeit der Wiederholung hängt von Güte des Zufallszahlengenerators ab. Little Security, Despite Obscurity Klartextraum zu klein! Dr. Wolf Müller

37 Challenge-Response: Symmetrisch
Geräte unterstützen gleichen Verschlüsselungsalgorithmus E und gleichen Schlüssel (Chipkarte $ Rechner) KCID =KR KCID Card Identification, auf Karte gespeichert. KR auf Rechner gespeicherter Schlüssel. Identifizierung: Chipkarte auf Leser, suchen von KR in Datenbank (entsprechend CID der Karte) Challange: Rechner erzeugt Zufallszahl RAND, sendet diese an zu authentifizierende Chipkarte. Chipkarte muss RAND mit vereinbartem Verfahren E und ihrem Schlüssel KCID verschlüsseln. C=E(RAND, KCID) Response: Ergebnis C wird als Antwort an den Rechner gesendet. Rechner prüft gegen sein Ergebnis C‘=E(RAND, KR). C=C‘ ? Dr. Wolf Müller

38 Challenge-Response: Symmetrisch (2)
Client (Chipkarte) Schlüssel KCID, CID, E Basis Login: C=E(RAND, KCID) CID RAND C Server (PC) Schlüssel KCID zu CID, E Basis Erzeugen von RAND E(RAND, KCID) = C‘ Test: C‘=C Dr. Wolf Müller

39 Challenge-Response: Symmetrisch (3)
Sicherheit: Passwort wird nicht übermittelt Keine Wiedereinspielung von E(RAND, KCID) möglich Maskierung möglich! Oft in offenen Umgebungen Oft unsichere, sehr einfach abzuhörende Funkschnittstellen Known-Plaintext-Angriffe (RAND, E(RAND, KCID))  Kryptoanalyse  Wörterbuchangriffe Abwehr durch verschlüsselte Übermittelung der Challenge Problem: Server muss gemeinsame Schlüssel sicher verwalten! Dr. Wolf Müller

40 Challenge-Response: Asymmetrisch (1)
Client (Chipkarte) Basis Login: CID RAND Sig Server (PC) Basis Erzeugen von RAND Verifizieren: Test: R=RAND ? Dr. Wolf Müller

41 Challenge-Response: Asymmetrisch (2)
Sicherheit Vorteil: Kein Schlüsselaustausch vorher nötig. Keine Speicherung „geheimer Schlüssel“ auf dem Server Wesentlich: Authentizität der Schlüssel PKI Integrität der öffentlichen Schlüssel bei Speicherung Alternativ: Anforderung eines gültigen Zertifikats vom Klienten bei jeden Login + Prüfung. Wird bei SSL/TLS angewendet. Zufallszahlengenerator: Keine periodische Wiederholung (in kurzen Abständen) Angriff (Map von challenges  responses) WEP Gegenseitige Authentifizierung nötig Gegen Maskierung Known-Plaintext Angriff Dr. Wolf Müller

42 Einmalpassworte Passworte, die nur einmal gültig sind, ungültig werden nach Benutzung. (i)TAN Lamport’s Hash und die S/Key Implementation Dr. Wolf Müller

43 Lamports Hash Lamports Hash-Schema wurde 1981 zur Benutzung von Einmal-Passworten entwickelt. Verbreitete Implementierung: S/Key Einfache Version dieser Technik: Alice hat Passwort. Alices Workstation wählt große Zahl, n >1000 Workstation berechnet: x1 = hash(Passwort) x2 = hash(x1) … xn = hash(xn-1) Workstation sendet Bob sowohl xn als auch n. Diese speichert beide. Dr. Wolf Müller

44 Lamports Hash (2) Zur Authentifizierung von Alice:
Alice gibt Namen und Passwort ein. Alices Workstation sendet Alices Name an Bob. Bobs Computer schickt n zurück. Workstation berechnet: authenticator = hash(n-1)(password) und sendet dies an Bob zurück. Bobs Computer berechnet: validator = hash(authenticator) und vergleicht diesen mit Wert aus Datenbank (xn). Bobs Computer dekrementiert gespeichertes n und ersetzt alten Validator mit gerade erhaltenem Authentifikator hash(n-1)(password). n=1: Alice braucht neues Passwort. Dr. Wolf Müller

45 S/Key http://sarwiki.informatik.hu-berlin.de/S/KEY
häufig verwendet. S/KEY One-Time Password im Original von Bellcore (RFC 1760.) Weiterentwicklungen: RFC 1938 und RFC 2289 unter dem Namen "A One-Time Password System". Benutzung kryptografisch starker Hashfunktionen, um Serie von Einmalpassworten zu erzeugen. Mögliche Hashfunktionen: MD-4, MD-5, SHA-1 (Support nur für MD5) Output nicht gesamtes Ergebnis der Hashfunktion, sondern wird auf 64 Bit reduziert, dann als Hex-String oder transformiert auf „6-Worte Format“ ausgegeben. Wörterbuch mit 2048, meist englischen Worten 11 Bit pro Wort=66 Bit, 2 für einfache Prüfsumme TORN ACID SAD VAN RUM BEN Verwendete Hashfunktion H(pass,seed): = F(H0(seed,pass)), wobei F Faltung / Reduzierung von 128/160 Bit auf 64 Bit (XOR der ersten mit der zweiten Hälfte), H0 Original-Hashfunktion. Dr. Wolf Müller

46 S/Key: Initialisierung
Erzeugung eines Identifier: Zeichen lang (z.B. aus Hostname) Seed sollte für jedes System unterschiedlich sein. Gleiche Passphrase auf allen Systemen ist OK, wenn Seeds sich unterscheiden. Mindestens 10 Zeichen. Geheim zu halten. Initiale Sequenznummer oder Iterationszähler: n=1000 Bei jedem Authenifikationsprozess dekrementiert, wenn 0 erreicht wird, neue Initialisierung. Berechnung: h0 = H(pass,seed) hn+1: = H(hn,seed) Wert wird zusammen mit Sequenznummer gespeichert. Berechnung sollte auf vertrauenswürdigem System erfolgen! hl braucht nicht geheim gehalten werden. Dr. Wolf Müller

47 S/Key: Listing Dr. Wolf Müller

48 S/Key: Listing (2) Dr. Wolf Müller

49 S/Key: Sicherheit Einmalpassworte können unverschlüsselt übertragen werden. Aus Kenntnis eines Passworts kann nicht das nächste berechnet werden. Maskierungsangriff möglich: Kontrolle der Verbindung Nutzer / Server. Abfangen des Passworts. Abbruch des Authentifizierungsvorgangs. Server sollte Zähler auch bei abgebrochenem Versuch dekrementieren. Man-in-the-Middle / Maskierung als Server möglich  beidseitige Authentifizierung in offenen Umgebungen nötig! Dr. Wolf Müller

50 Zero Knowledge Beweise
„Beweis der Kenntnis eines Geheimnisses, ohne Aufdeckung des Geheimnisses. „ Authentifizierung am Bankschalter Bisher: Angeben des PIN.  PIN Code muss ‘laut ausgesprochen’ werden  Banksystem kennt meine PIN. Mit Zero Knowledge Beweisen: Beweise, dass ich die PIN kenne, ohne ihn zu verraten.  PIN Code verlässt meinem ‘sicheren’ Chip nie.  Bank kennt meine PIN nicht. Dr. Wolf Müller

51 Zero Knoledge: Fiat-Shamir
Zero Knowledge Protocol Amos Fiat und Adi Shamir im Jahre 1986 vorgestellt. Erlaubt es, seinem Gegenüber zu beweisen, dass man eine geheime Zahl kennt, ohne diese selbst preiszugeben. Authentizität wird nachgewiesen anhand einer Wahrscheinlichkeit, die mit Runden ansteigt. Sicherheit: diskrete Quadratwurzel. Modul besteht aus zwei Primzahlen p≠q, so dass die Berechnung der Wurzel nur möglich ist, wenn die Primzahlen bekannt sind. Trusted Third Party (Schlüsselbank), ist beteiligt, die Nutzergeheimnisse erzeugt. Adi Shamir Dr. Wolf Müller

52 Rolle der Schlüsselbank
Fiat-Shamir Rolle der Schlüsselbank Wählt Module n=p·q, p≠q, p und q Primzahlen. n ist öffentlich, p und q sind geheim. Für jeden Subscriber, wird Zufallszahl z gewählt und ID-Mark erzeugt mit: v=H(ID,z). v ist öffentliche Information, die zur Authentifizierung des Subscibers benutzt wird. Geheimnis s für den Subscriber wird aus s2·v ≡ 1 (mod n) berechnet. Schlüsselbank ist die einzige Einrichtung, die dies tun kann, da nur sie p und q kennt Jedem Subscriber wird eigenes Geheimnis s übergeben, und zugehörige Information n, ID, z, v werden veröffentlicht. Dr. Wolf Müller

53 Fiat-Shamir Authentifizierungsrunde: A authentisiert sich gegenüber B
(kennt sA) B (kennt vA) Wählt Zufallszahl r, ggT(r,n)=1 und berechnet x = r2 mod n x wählt zufälliges Bit b b berechnet y abhängig von b: b =1: y = r·s mod n b=0: y = r mod n Überprüft für b=1: y2 ≡ x/v mod n b=0: y2 ≡ x mod n y Problem: noch nicht Zero Knowledge 1 Bit über r mod n wird preisgegeben. Wenn vorher Angreifer weiß: r ´ ± c mod n, so weiß er anschließend das Vorzeichen + oder -. Dr. Wolf Müller

54 Feige- Fiat-Shamir Authentifizierungsrunde: A authentifiziert sich gegenüber B A (kennt sA) B (kennt vA) Zufällig gewähltes Vorzeichen Wählt Zufallszahl r, ggT(r,n) = 1 und berechnet x = r2 mod n ±x wählt zufälliges Bit b b Beide Varianten akzeptiert Beide Varianten akzeptiert berechnet y abhängig von b: b =1: y = r·s mod n b=0: y = r mod n Überprüft für b=1: y2 ≡ ± x/v mod n b=0: y2 ≡ ± x mod n y Dr. Wolf Müller

55 Feige-Fiat-Shamir Ein Angreifer (der s nicht kennt) hat 50%-ige Chance eine Runde zu überstehen. Um weiter zu überleben, muss er richtig raten, welches b durch B gewählt wird. Nach n Runden: Erfolgswahrscheinlichkeit für Angriff: pf = 2 -n. Einfache Berechnungen pro Runden, aber viele Runden. Viele Nachrichten, ungeeignet für Smartcard Alternative: Verfahren von Guillou und Quisquater: 1 Iterationsschritt, jedoch aufwändigere Berechnung „Perfect Zero Knowledge“ Dr. Wolf Müller

56 “What You Have” Authentikatoren
Ausweise Magnetkarten One-Time Passwort (OTP) Tokens Symmetrische Schlüssel Digitale Zertifikate Smartcards RFID ePASS, nPA Eigentlich immer Speicherung von Passworten auf einem Medium. Zusätzliche Möglichkeiten erst mit Challenge & Response Digitalen Unterschriften (Verarbeitungsmöglichkeiten auf dem Medium) Dr. Wolf Müller

57 One-Time Passwort Tokens
Generieren bei jeder Benutzung ein neues Passwort. Passwort kann auf einem Challenge-Response-Verfahren basieren. Üblicherweise auf einem geheimen Token und synchronisierter Zeit basierend. In Hardware oder Software implementiert. Dr. Wolf Müller

58 RSA SecurID Authentifizierungs-Token
Zur Authentifizierung bekommt jeder Benutzer einen sogenannten Token. In jedem Token ist ein, nicht auslesbarer, einmaliger, 64Bit-Startwert gespeichert. Durch den eindeutigen Startwert unterscheiden sich alle Token untereinander. Anhand der Uhrzeit und dem Startwert errechnet der Token minütlich einen 6-stelligen Zahlencode (Tokencode). Folgende Token stehen zur Auswahl: Neben den hier abgebildeten Token gibt es noch Software-Token für Mobiltelefone. Dr. Wolf Müller

59 OTP: Schwachstellen Gültigkeitsintervall des aktuellen Passworts.
Playback: Angreifer scannt Netzwerk, um Passwort zu stehlen und es sofort zu verwenden. DoS: Asynchrone Uhren verhindern Login, Token muss zurückgesetzt / synchronisiert werden. Probleme ergeben sich daraus, dass die Systeme nicht wirklich “one-time” sind. Dr. Wolf Müller

60 Token sind nicht genau synchron
Gewisse Unterschiede in der Systemzeit, Laufzeitunterschiede Nicht exakt „one-time passwords“, gewisse Zeitperiode (Kreis) in der die Passworte als gültig angesehen werden. Nutzer kann sich nicht erfolgreich einloggen, wenn Zeitdifferenz zu groß wird! Client Server Dr. Wolf Müller

61 Chipkarten Wichtigste Eigenschaften:
Sichere Verwahrung von geheimen Daten (Schlüsseln). Trusted Hardware + OS  Sicherheitskernel Fähigkeiten zu kryptografischen Operationen MAC, HMAC, Signatur, Verschlüsselung Signaturkarten Algorithmen: Properitär  DES  AES  RSA  Bis 2048 Bit Schlüssel Elliptische Kurven  Java-Card (Winzige JVM, kann spezielle Klassen laden & ausführen, SmartMX) niedrig hoch Preis Sicherheit

62 Übertragungsmethode:
Arten von Chipkarten Funktion: Speicherkarten Speicherchip ohne Schutz der gespeicherten Daten Intelligente Varianten mit Access-Control-Feature Anwendung für: Telefonkarten, Versicherungskarten … Prozessorkarten Enthalten Mikrokontroller (CPU, Speicher, I/O) Auch Smartcards genannt Können Kryptokoprozessor enthalten Smartcard-OS existieren Sehr flexibel. Übertragungsmethode: Chipkarten mit Kontakten Chipkarten ohne Kontakte

63 Chipkarten: Anwendungen
Reale Anwendungen: Telecom: GSM/UMTS SIM Banking: EC-card, Credit cards (EMV) Gesundheit: Versicherungskarten Elektronische Gesundheitskarte Security: Access Control, Digital Signaturen, E-Pass, nPA Service: Pay-TV

64 Chipkartenformat C1 C2 C3 C4 C5 C6 C7 C8 C1: Power Supply (Vcc)
16,4 mm 54 mm C1: Power Supply (Vcc) C2: Reset input (RST) C3: Clock input (CLK) C4: n/c C5: Ground (GND) C6: Programming voltage (not used) C7: Data I/O C8: n/c 6,25 mm 85,6 mm

65 Chipkartenarchitektur
CPU RAM I/O C7 To/From reader C1 Vcc Address-/Databus C2 RST ROM EEPROM C3 CLK CPU 8-Bit, 16-Bit einfache Chips  16-Bit Addressbus 32-Bit High-End Microcontroller ROM Wenige kB bis 320 kB Enthält OS, Verfahren zur PIN-Überprüfung, Verschlüsseln, Signieren, Hashwerte berechnen IO Bitserieller Datentransfer · 9600 Bit/s, asynchron, halbduplex T=0 byteorientiertes Protokoll mit Prüfung von Paritätsbit T=1 blockorientiert gemäß ISO/OSI Schicht 1 C5 GND RAM Byte bis 16 Kbyte Arbeitsspeicher Flüchtig, 1000x schneller als Schreiben in EEPROM EEROM Wenige kB bis 400 kB Nichtflüchtig, langfristige Speicherung PIN, Sitzungsschlüssel, Kontonr. … Bis zu Umprogrammierungen

66 Chipkarten-Layer-Modell
Host and Card Reader Chipcard (Layer 7) Application (Layer 2) Data Link (Layer 1) Physical e.g. ISO/IEC , GSM, … e.g. ISO/IEC T1 ISO/IEC

67 Chipkarte: Filesystem Hierarchie
MF EF MF Master File (root) DF DF EF EF Elementary File (data) DF DF Dedicated File (directory) DF

68 Chipkarten-Filestrukturen
Linear Fixed Cyclic Transparent Linear Variable

69 Chipkarten: Kommandos
File Management Select File Read/Write Record Authentication PIN-Überprüfung Get Challenge Interne/Externe/Mutual Authentifikation Kryptographie Verschlüsseln, Signieren, MAC Counter Operationen Erhöhen, Erniedrigen

70 Chipkarten: Angriffe Ziel: Auslesen geheimer Schlüssel auf der Karte.
Physikalische Einwirkungen um kurzzeitige Hardwareeffekte zur Effekte zur Invertierung eines Registerbits zu erzielen (Boneh, DeMillo, Lipton) Nicht praktisch nachgewiesen. Anlegen unüblicher Spannungen Modifikation des Takts Abhören Entfernen der Hülle, Versuch der Kontaktierung Aufschleifen, Elektronenmikroskopie (nur für starken Angreifer) Übertragungsweg Kartenlesegerät Zielsystem Sniffer, Spoofing Abwehr: Verschlüsselung, MAC, Signieren und Verifizieren Dr. Wolf Müller

71 Chipkarten: Angriffe (2)
Differential Power Analysis Stromverbrauch charakteristisch für ausgeführtes Kommando? Abwehr: Spannungsregler (HW), Benutzung von Maschinenbefehlen mit sehr ähnlichem Stromverbrauch (SW) PIN-Vergleich Stromanalyse bei PIN-Vergleichen Rückschlüsse vor Erhalt des Return-Codes der ausgewertet wird, um Fehlbedinungszähler ggf. zu erhöhen. Angreifer will vorher abschalten um Brute-Force auf PIN zu starten. Abwehr: Erst Zähler erhöhen, wenn PIN korrekt, wieder zurücksetzen. Dr. Wolf Müller

72 Chipkarte: Sicherheitsrelevante Bereiche
Für Menschen lesbar: Verhinderung der Kartenfälschung, nicht zum Schutz der Daten. Unterschrift, Foto, Hologramme, Prägungen, Verfallsdatum Sicherheitseigenschaften des Chips: Chip-Design Möglichst wenig Informationen verfügbar machen. „Security by Obscurity“ maximal begleitende Sicherung. Interne Busse nicht nach außen führen, nicht kontaktierbar. ROM in tieferen Schichten Nicht Modifizierbar durch Laser Cutter. Reverse Engineering erschwert. Nicht zugänglich für Lasermikroskop, weder UV noch IR Schirmung des EEPROM gegen elektrische Abstrahlung Spannungsführende Metallschicht, gleichzeitig als Spannungszuführung für den Chip. … Dr. Wolf Müller

73 Chipkarten: Sicherheit
Hardware Schutz Adress- und Datenbusse sind nicht zugreifbar Buslinien sind mehrfach gemischt Manuelles Layout in mehreren Ebenen Gleiche Leistungsaufnahme für alle Kommandos Spezielle Beschichtungen gegen chemische Angriffe Redundante CPUs, Busse, Berechnungen Sensoren zur Angriffserkennung Datenübertragung Verschlüsselung, MAC, Sequenzzähler Authentifizierung zwischen Karte und Terminal Internal, External, Mutual Challenge-Response Access Control File-Zugriffsrechte für jedes File durch OS überwacht Authentifizierung des Kartenbesitzers PINs Demnächst Biometrie (Match on Card)

74 “What You Are” Authentikatoren
Fingerabdruck Gesicht(sform) Hand(form) Auge (Iris/Retina) Sprache Unterschrift Tippverhalten Biometrics “The automated use of physiological or behavioral characteristics to determine or verify identity.” – International Biometrics Group Dr. Wolf Müller

75 Privatheitsprobleme durch Biometrie
Entifikator anstelle eines Identifikators! Trennung von Rollen/Identitäten und Entitäten nicht mehr möglich (nicht mehr unter Kontrolle des Benutzers). (Ungewollte) Zusammenführung von Daten zu einer Person möglich. Grundsätzlich sind biometrische Merkmale nur unveränderliche Passworte – und haben somit alle Probleme von Passworten …