Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherer Kanal:

Ähnliche Präsentationen


Präsentation zum Thema: "Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherer Kanal:"—  Präsentation transkript:

1 Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherer Kanal: von Alice zu Bob Integritätsschutz (Hash&MAC)

2 IT-Sicherheit Grundlagen Testfragen: Unterschied zwischen: Kodierung und Verschlüsselung? Symmetrischer und asymmetrischer Verschlüsselung? Stromchiffre und Blockchiffre? ECB, CBC, und CTR-Modus? Stromchiffre und one time pad? RNG und PRNG? Dr. Wolf Müller 2

3 IT-Sicherheit Grundlagen Lab2 Dr. Wolf Müller 3

4 IT-Sicherheit Grundlagen Dr. Wolf Müller 4 Hashfunktionen: Verwendung Wichtige Bestandteile heutiger Verschlüsselungsverfahren Eindeutige Hashwerte von Datenobjekten können berechnet, versandt, gespeichert werden. Ermöglichen Integritätsprüfung von Objekten. Modifikationen können erkannt werden. Authentizität des Datenursprungs: Message Authentication Codes (MAC)

5 IT-Sicherheit Grundlagen Dr. Wolf Müller 5 Hashfunktion: Arbeitsweise Hashfunktionen in Informatik oft eingesetzt: –Effizienter Zugriff auf Objekte –Schnelle Suche / Zugriff z.B. Datenbanken –Adressierungsfunktionen in Betriebssystemen –Oft einfache Funktionen z.B. Modulo Primzahl Hashfunktion definiert endlichen Bildbereich (Adressbereich) wesentlich kleiner als Urbildbereich (Universum) Hashfunktion ist nicht injektive Abbildung eines Objekts des Universums auf eine Hashadresse.

6 IT-Sicherheit Grundlagen Dr. Wolf Müller 6 Hashfunktionen: Kollisionen Kollisionen: Unterschiedliche Objekte u 1u 2 des Universums werden auf gleichen Hashwert h(u 1 )=h(u 2 ) abgebildet. –Bei o.g. Anwendungen kein Problem, Techniken zur Kollisionsauflösung (Kollisionslisten, mehrfaches Hashing). Problem: Eindeutigkeit (Überprüfung der Integrität von Daten) –Ziel muss Vermeidung von Kollisionen sein –Genauer: Verringerung der Wahrscheinlichkeit von Auftreten von Kollisionen oder deren Vorhersagbarkeit

7 IT-Sicherheit Grundlagen Dr. Wolf Müller 7 Hashfunktionen: Kollisionen Was ist eine Kollision? Nachricht PrüfsummeNachricht Prüfsumme verschiedene Nachrichten, aber identische Prüfsummen!

8 IT-Sicherheit Grundlagen Dr. Wolf Müller 8 Hash: Angriffe Substitutionsattacke Gegeben: Angreifer A hat eine signierte Bestellung von Opfer B abgefangen. Ziel: Eine Nachricht mit gleichem Hashwert erstellen.

9 IT-Sicherheit Grundlagen Dr. Wolf Müller 9 Hash: Angriffe Brute-Force-Angriff Durchprobieren aller denkbaren Nachrichten und Algorithmen PasswortHashwert 14d5a36oall0 1209nz65q5q5j 1230jl9056j o094t2456u2 Beispiel: Dictionary-Attack Gefundener Hashwert:o094t2456u2

10 IT-Sicherheit Grundlagen Dr. Wolf Müller 10 Einwegfunktion (one way function) Injektive Funktion f: X ! Y mit: 1. 8 x 2 X der Funktionswert f(x) effizient berechenbar ist und 2.es gibt kein effizientes Verfahren um aus dem Bild y = f(x) das Urbild x zu berechnen. Einwegeigenschaft beruht im Wesentlichen auf Aussagen zur Effizienz bekannter Algorithmen zur Berechnung der Funktionswerte der Umkehrabbildung. Letztlich unbewiesen, es sind lediglich keine effektiven (in polynomieller Zeit durchführbaren) Verfahren zur Umkehr bekannt. Faktorisierungsproblem (großer Zahlen) Diskreter Logarithmus

11 IT-Sicherheit Grundlagen Dr. Wolf Müller 11 Schwache Hashfunktion Gegeben seien zwei endliche Alphabete A 1, A 2. Schwache Hashfunktion ist eine nicht injektive Funktion H: A 1 * A 2 k mit: 1.H besitzt Eigenschaften einer Einweg-Funktion. 2.Der Hashwert H(M)=h, mit |h|=k ist bei gegebener Eingabe M leicht zu berechnen. 3.Bei gegebenem Hashwert h =H(M) für ein M A 1 * ist es praktisch unmöglich, eine dazu passende Nachricht M M, M A 1 * zu bestimmen, die den selben Hashwert liefert, also H(M) =h=H(M).

12 IT-Sicherheit Grundlagen Dr. Wolf Müller 12 Schwache Hashfunktion: Bemerkungen Für digitale Daten kann von binären Zeichenvorräten A 1 =A 2 ={0,1} ausgegangen werden. Eigenschaft 3 schließt Kollisionen nicht völlig aus, es können Paare gefunden werden, deren Hashwerte kollidieren. Wichtig: Wie hoch ist Wahrscheinlichkeit dafür? –Einsatz für digitale Signaturen –Urheberschaft von Dokumenten soll bewiesen werden. –Kann Angreifer kollidierendes Nachrichtenpaar konstruieren. Zwei Versionen eines Kaufvertrags mit identischem Hash? –Beispiel: Geburtstags-Paradoxon

13 IT-Sicherheit Grundlagen Dr. Wolf Müller 13 Geburtstags-Paradoxon a.Wie viele Personen n müssen in einem Raum sein, damit mit mehr als 50% Wahrscheinlichkeit mindestens 2 am gleichen Tag (1. Januar) Geburtstag haben? b.Wie viele für beliebigen Tag? –Alle Geburtstagskombinationen: –Davon nur unterschiedliche Geburtstage: –Wahrscheinlichkeit, dass alle an unter- schiedlichen Tagen Geburtstag haben:

14 IT-Sicherheit Grundlagen Dr. Wolf Müller 14 Geburtstags-Paradoxon (2)

15 IT-Sicherheit Grundlagen Dr. Wolf Müller 15 Geburtstags-Paradoxon: Hashfunktionen n : Anzahl der Eingaben (Personen), also Worte w {0,1}* k : mögliche Ausgaben der Hashfunktion (Geburtstage) Falls: so ist Wahrscheinlichkeit, dass zwei Eingaben gleichen Hashwert besitzen größer als 0.5. Berechnet man mehr als Hashwerte, so wird mit Wahrscheinlichkeit größer als 0.5 Kollision gefunden. Reduzierung der Komplexität des Angriffs: Für 64 Bit-Hashwert nur Aufwand in der Größenordnung von 2 32 statt 2 64 nötig für Finden einer Kollision.

16 IT-Sicherheit Grundlagen Dr. Wolf Müller 16 Starke Hashfunktion Gegeben sei eine Hashfunktion H: A 1 * A 2 k. H heißt starke Hashfunktion, wenn H schwache Hashfunktion ist und es praktisch nicht möglich ist, ein Paar verschiedener Eingabewerte M und M, M,M A 1 * zu finden, deren Hashwerte übereinstimmen, also H(M) =h=H(M). –Werden kollisionsresistent (manchmal kollisionsfrei) genannt. –Aktuell werden k=128 bis k=160 Bit als hinreichend stark angesehen. –Für schwache Hashfunktionen: 64-Bit Hashwerte ausreichend

17 IT-Sicherheit Grundlagen Dr. Wolf Müller 17 Hashfunktionen: Einsatz Kontrolle der Integrität von über unsicheres Medium übertragener Daten Ablauf: 1.Urheber der Nachricht M berechnet Hashwert h=H(M), hinterlegt diesen zusammen mit M. (Bei Übertragung werden sowohl die Nachricht M, als auch der Hashwert h übertragen). 2.Kontrolle der Integrität eines Dokuments M: Berechnung des Hashwerts h=H(M) und Vergleich mit dem assoziierten Hashwert h. 3.Falls: h=h, wird wegen der Kollisionseigenschaften kryptografisch sicherer Hashfunktionen davon ausgegangen, dass M=M gilt, M das unmodifizierte Originaldokument ist.

18 IT-Sicherheit Grundlagen Dr. Wolf Müller 18 Signierter Hash In Praxis werden Hashfunktionen häufig mit Signaturverfahren kombiniert. (Prüfung der Integrität + Urheberschaft) 1.Berechnung des Hashwerte des Dokuments. 2.Anschließende Signierung des Hashwerts. Vorteil: –Nur relativ kleiner Hashwert zu signieren, während Dokument beliebig* groß sein kann: –Geringerer Berechnungsaufwand gerade bei asymmetrischen Verfahren. –Für Signaturverfahren werden starke Hashfunktionen verwendet. –Schwache Hashfunktionen nur, wenn zu signierendes Dokument vor Signaturvorgang noch verändert wird. (Voranstellen eines Präfixes)

19 IT-Sicherheit Grundlagen Dr. Wolf Müller 19 Signierter Hash (2)

20 IT-Sicherheit Grundlagen Dr. Wolf Müller 20 Konstruktion sicherer Hashfunktionen H Bestehen in der Regel aus Folge gleichartiger Kompressionsfunktionen G, die M blockweise zu Hashwert verarbeitet. Eingaben variabler Länge durch Iteration behandelt. Start mit festgelegtem Initialisierungswert IV (Bestandteil der Spezifikation des Hash-Algorithmus) M1M1 M1M1 M2M2 M2M2 M n + Padding G G G G G G … Initial- wert Hashwert

21 IT-Sicherheit Grundlagen Dr. Wolf Müller 21 Konstruktion sicherer Hashfunktionen (2) Hashfunktionen auf Basis symmetrischer Blockchiffren –Verwendung einfach, da Verschlüsselungsverfahren in vielen Anwendungsumgebungen bereits präsent sind. Hashfunktionen auf Basis symmetrischer Blockchiffren –Verwendung einfach, da Verschlüsselungsverfahren in vielen Anwendungsumgebungen bereits präsent sind. Dezidierte Hashfunktionen –Effizient berechenbar –Keine Exportbeschränkungen, Kryptoregulierungen Dezidierte Hashfunktionen –Effizient berechenbar –Keine Exportbeschränkungen, Kryptoregulierungen Kompressionsfunktion G

22 IT-Sicherheit Grundlagen Dr. Wolf Müller 22 Blockchiffren-basierte Hashfunktionen DES Aufteilung der Nachricht M in 56-Bit Blöcke Benutzung dieser als DES-Schlüssel im jeweiligen Berechnungsschritt 64-Bit Hashwert wird aus vorgegebenen IV und den n Eingabeblöcken errechnet, Ausgabe der i-ten DES-Verschlüsselung XOR-verknüpft in die (i+1)-te Verschlüsselung einfließt. –Hier: schwache Hashfunktion –Starke Hashfunktion auch realisierbar, Hashwert sollte mindestens doppelte Blockgröße haben, oft aufwendig –Padding: Unterschiedliche Nachrichten müssen sich auch nach Padding noch unterscheiden.

23 IT-Sicherheit Grundlagen Dr. Wolf Müller 23 Dezidierte Hashfunktionen: Überblick Veraltet: –Message Digest Algorithm von Ronald L. Rivest –MD4 Message-Digest von Ronald L. Rivest besonders schnell auf 32 Bit-Rechnern, einfach in der Implementierung einfach Hashwert 128 Bit. Prominent: –MD5 Weiterentwicklung von MD4 Hashwert 128 Bit, 512-Bit Eingabeblöcke –SHA-1 (SHA-0) (Secure Hash Algorithmus) NIST (National Institute of Standards and Technology), NSA (National Security Agency) 160 Bit-Hashwert, Für Nachrichten bis zu 2 64 Bit. Empfohlen: –SHA-256, SHA-384, SHA-512

24 IT-Sicherheit Grundlagen Dr. Wolf Müller 24 Hashfunktion: MD5 md5("Franz jagt im komplett verwahrlosten Taxi quer durch Bayern") = a3cca2b2aa1e3b5b3b5aad99a md5("franz jagt im komplett verwahrlosten Taxi quer durch Bayern") = 4679e94e07f9a61f42b3d7f50cae0aef md5("") = D41d8cd98f00b204e ecf8427e Breiter Einsatz: –PGP –Zertifikate –Software –rpm –Kommandos: md5sum (Unix, Windows)

25 IT-Sicherheit Grundlagen Dr. Wolf Müller 25 Padding: –Einzelnes Bit, 1, an das Ende der Nachricht angehängt. –So viele Nullen wie nötig, um die Nachricht auf eine Länge von 64 Bits weniger als dem nächsten Vielfachen von 512 zu bringen. –Übrigen Bits werden mit einer 64-Bit- Integerzahl = Länge der ursprünglichen Nachricht –Wenn Platz kleiner als 64 Bits, ein zusätzlicher Block Hauptalgorithmus von MD5 mit 128-Bit-Puffer, = 32-Bit-Wörter A, B, C, D A, B, C, D mit Konstanten initialisiert. Komprimierungsfunktion mit dem ersten 512-Bit- Block als Schlüsselparameter aufgerufen. 4 Runden Jede Runde ist aus 16 auf einer nichtlinearen Funktion "F mit modularer Addition und Linksrotation 4 mögliche "F"-Funktionen, in jeder Runde eine andere: Hashfunktion: MD5, Algorithmus Eine MD5-Operation –MD5 besteht aus 64 dieser Operationen (4 Runden mit jeweils 16 Operationen), –F nichtlineare Funktion, die in der jeweiligen Runde benutzt wird –M i 32-Bit Block Message –K i 32-bit Konstante, verschieden für jede Operation

26 IT-Sicherheit Grundlagen Dr. Wolf Müller 26 MD5: Sicherheitsproblem MD5 weit verbreitet, ursprünglich als kryptografisch sicher angesehen. IV zur Verarbeitung des ersten Eingabeblocks ist bekannt. Angreifer: erschöpfende Suche (exhaustive search) Kollision ermitteln –Suche kann parallel durchgeführt werden –1996 Dobbertin: Kollision in der Kompressionsfunktion von MD5. Zwar kein Angriff auf die vollständige MD5-Funktion, dennoch Empfehlung für Umstieg auf Algorithmen wie SHA-1 oder RIPEMD-160 –August 2004: chinesische Forscher Kollisionen für die vollständige MD5-Funktion. MD5 stellt keine starke Hashfunktion mehr da, man sollte SHA-1, besser SHA-256 verwenden, bzw. MD5 als HMAC

27 IT-Sicherheit Grundlagen Dr. Wolf Müller 27 IBM P690-Cluster benötigte ihr erster Angriff eine Stunde Weitere Kollisionen innerhalb von maximal fünf Minuten Angriff der chinesischen Forscher basiert auf Analysen. Kollisionen: M (Text) und ein M' (Kollision) frei wählbar, so dass hash(M) = hash(M'). (Noch) keine akute Gefahr für Passwörter, die als MD5-Hash gespeichert wurden, eher eine Gefahr für digitale Signaturen.

28 IT-Sicherheit Grundlagen Angriffe auf MD5 Magnus Daum, Stefan Lucks zwei PostScript-Dateien mit identischem MD5-HASH Eduardo Diaz zwei Programme in zwei Archiven mit selbem MD5- HASH (good / evil) Didier Stevens verwendete evilize program zur Erzeugung von two different programs with the same Authenticode digital signature. Authenticode ist Microsoft's code signing mechanism, default ist SHA1 aber unterstützt noch MD5. (Jan 17, 2009).two different programs with the same Authenticode digital signature –http://blog.didierstevens.com/2009/01/17/playing-with-authenticode-and-md5- collisions/http://blog.didierstevens.com/2009/01/17/playing-with-authenticode-and-md5- collisions/ –http://www.mathstat.dal.ca/~selinger/md5collision/evilize-0.1.tar.gzhttp://www.mathstat.dal.ca/~selinger/md5collision/evilize-0.1.tar.gz –http://www.win.tue.nl/hashclash/SoftIntCodeSign/http://www.win.tue.nl/hashclash/SoftIntCodeSign/ MD5 nicht mehr verwenden! Dr. Wolf Müller 28

29 IT-Sicherheit Grundlagen Dr. Wolf Müller 29 Secure Hash Algorithm (SHA-0,1) Gruppe standardisierter kryptografischer Hashfunktionen. Das NIST, NSA Zum Signieren gedachte sichere Hashfunktion für den Digital Signature Standard (DSS). Zunächst in zwei Varianten, SHA-0 und SHA-1 (Unterschiede der durchlaufenen Runden bei der Generierung des Hashwertes) Längeren Hashwert von 160 Bit, widerstandsfähiger gegen Brute- Force-Angriffe und Kollisionen. Design-Fehler im 1993 veröffentlichten Algorithmus wurde im heute gebräuchlichen, 1995 veröffentlichten SHA-1 Algorithmus korrigiert. Für SHA-1 waren bis Anfang 2005 keine wirkungsvollen kryptografischen Angriffe bekannt. Durch den Einsatz einer fünften Variablen ist SHA-1 auch im Vergleich zu MD5 resistenter gegen Kollisionen.

30 IT-Sicherheit Grundlagen Dr. Wolf Müller 30 Schwächen: SHA Februar 2005: Bruce Schneier meldet in seinem Blog: –Gruppe von chinesischen Wissenschaftlern an der Shandong University hat erfolgreich SHA-1 und SHA-0 gebrochen. –Aufwand zur Kollisionsberechnung von 2 80 auf –Noch ein erheblicher Rechenaufwand, deshalb (derzeit) ohne praktischen Auswirkungen –Außerdem wurde diese Berechnung der Kollision mit einem leicht modifizierten Algorithmus (ohne Padding) durchgeführt. Erweiterungen: –NIST hat im August 2002 drei weitere Varianten vorgestellt SHA-256, SHA-384 und SHA-512 SHA-384 und SHA-512: Dateien bis zu einer Größe von Bit –Februar 2004 eine weitere Version, SHA-224

31 IT-Sicherheit Grundlagen Dr. Wolf Müller 31 Empfehlung: BSI -Technische Richtlinie https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Technis cheRichtlinien/TR02102/BSI-TR-02102_V1_0_pdf.pdfhttps://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Technis cheRichtlinien/TR02102/BSI-TR-02102_V1_0_pdf.pdf SHA-224, SHA-256, SHA-384, SHA-512

32 IT-Sicherheit Grundlagen HASH in Zukunft SHA-3 Algorithm NameContributors BLAKEJean-Philippe Aumasson*, Luca Henzen, Willi Meier, Raphael C.-W. Phan GrøstlLars Ramkilde Knudsen*, Praveen Gauravaram, Krystian Matusiewicz, Florian Mendel, Christian Rechberger, Martin Schläffer, Søren S. Thomsen JHHongjun Wu* Keccak Joan Daemen*, Guido Bertoni, Michaël Peeters, Gilles Van Assche SkeinBruce Schneier*, Niels Ferguson, Stefan Lucks, Doug Whiting, Mihir Bellare, Tadayoshi Kohno, Jesse Walker, Jon Callas Dr. Wolf Müller 32 NIST: cryptographic hash Algorithm Competition 3. Runde

33 IT-Sicherheit Grundlagen Dr. Wolf Müller 33 Message Authentification Code (MAC) Gegeben Familie {H K | K K } von Hashfunktionen, wobei K ein Schlüsselraum, H K eine starke bzw. schwache Hashfunktion ist. Die durch diese Familie definierte, parametrisierte Hashfunktion heißt Message Authentification Code (MAC) –Leistet Integrität und Authentizität. –Ist Hashfunktion mit Einwegeigenschaften, die zusätzlich noch geheimen Schlüssel K verwendet. –MAC = keyed one-way function –K … MAC-Geheimnis –MAC keine Aussage über Authentizität der Daten an sich, oder Funktionalität von Code, sondern über Authentizität des Urhebers der Daten.

34 IT-Sicherheit Grundlagen Dr. Wolf Müller 34 MAC: Einsatz Kommunikation zwischen Alice und Bob 1.Alice berechnet MAC mac eines Dokuments M, mit vorab vereinbartem geheimen Schlüssel K A,B. MAC(M, K A,B )=mac 2.Alice sendet Dokument M und mac an Bob. 3.Bob überprüft MAC der empfangenen Nachricht M unter Verwendung des ihm bekannten Schlüssels K A,B. Dokument ist authentisch, wenn MAC(M, K A,B )=mac ?= mac =MAC(M, K A,B ) –Realisierung mit Blockchiffren oder dezidierten Hashfunktionen möglich.

35 IT-Sicherheit Grundlagen Dr. Wolf Müller 35 MD5-MAC Häufig eingesetzt (SSL, IP-Sec) Ergänzung um Schlüssel, Schlüssel als Bestandteil der zu hashenden Daten: M=M| K A,B MD5-MAC=MD5(M) K A,B sollte stets ans Ende des Dokuments M angefügt, nicht vorangestellt werden! –Sonst kann Angreifer Nachrichten konstruieren, die korrekten MAC ergeben, ohne den geheimen Schlüssel zu kennen. Sicherheitsprobleme von MD5 bleiben, Einsatz von MD5 nur als HMAC.

36 IT-Sicherheit Grundlagen Dr. Wolf Müller 36 HMAC Idee: –Schlüssel wird benutzt, um Initialwert für Kompressionsfunktion festzulegen. –Hashfunktion wird als Black Box angesehen. Gegeben: –Kryptografische Hashfunktion H, die Eingabeblöcke der Länge r Bytes verarbeitet –Schlüssel K, ebenfalls Länge r Bytes, wird erreicht durch: 1.|K|r : Berechnung von H(K)=h, falls dann |h|

37 IT-Sicherheit Grundlagen Dr. Wolf Müller 37 HMAC (2) Durchführung von Geburtstagsangriff auf HMAC, z.B. HMAC-MD5 erfordert, dass Angreifer mindestens 2 64 Blöcke unter der HMAC-Funktion komprimiert, um Kollisionswahrscheinlichkeit signifikant zu steigern. Etwa Jahre Rechenzeit.

38 IT-Sicherheit Grundlagen Dr. Wolf Müller 38 Elektronische Signaturen Elektronische Signaturen sind durch Personen elektronisch erstellte Willenserklärungen oder Bestätigungen. Diese können im eigenen Namen oder im Auftrag erfolgen und sind immer personengebunden. Zweifelfrei Zuordnung zu natürlichen oder juristischen Personen. Digitales Gegenstück zu handschriftlichen Unterschrift.

39 IT-Sicherheit Grundlagen Dr. Wolf Müller 39 Beispiele Willenserklärungen –Bestellungen –Verträge –Anträge –Aufträge Bestätigungen –Empfangsbescheinigungen –Quittungen –Dokumentationen –Protokolle –Bescheide –Status

40 IT-Sicherheit Grundlagen Dr. Wolf Müller 40 Ziele: elektronische Signatur Geschäftsverkehr zwischen Unternehmen, zwischen Privatpersonen und Unternehmen, zwischen Privatpersonen / Unternehmen und Behörden verlangen Sicherheit: –Unterzeichner muss identifizierbar sein. –Inhalt des Dokuments und das Identifizierungsmerkmal des Unterzeichners gehören zusammen. –Nachträgliche Veränderungen am Dokument müssen erkennbar sein.

41 IT-Sicherheit Grundlagen Dr. Wolf Müller 41 Signatur: Anforderungen Identifikation Unterschrift gibt Auskunft über Person des Unterzeichners Echtheit Unterschrift bezeugt, dass Dokument dem Aussteller vorlag und von ihm anerkannt wurde. Abschluss Unterschrift erklärt Text für inhaltlich richtig. Warnung Verfasser wird rechtliche Bedeutung des Dokuments aufgezeigt.

42 IT-Sicherheit Grundlagen Dr. Wolf Müller 42 Elektronische Signatur: Anforderungen Soll äquivalent zu handschriftlicher Unterschrift sein: Zweifelsfreie Identität Signatur belegt zweifelsfrei Identität des Unterzeichners. Keine Wiederverwendbarkeit Signatur ist nur mit Originaldokument gültig. Unveränderbarkeit Signiertes Dokument darf nicht mehr veränderbar sein. Verbindlichkeit Unterzeichner darf das Unterzeichnen des Dokuments nicht im Nachhinein erfolgreich abstreiten können.

43 IT-Sicherheit Grundlagen Dr. Wolf Müller 43 Digitale Signaturen: Vorteile / Probleme Probleme: –Digitales Herausfiltern von Unterschriften, Verbindung mit anderem Dokument einfacher als bei Papier. Vorteile: –Verschlüsselung ist möglich, Dokument kann geheim gehalten werden. –Festlegung der Gültigkeitsdauer, Zeitstempel. –Hinterlegung von Schlüsseln bei vertrauenswürdiger Instanz gestattet effektive Überprüfung.

44 IT-Sicherheit Grundlagen Dr. Wolf Müller 44 Erstellung: Symmetrische Verfahren Symmetrische Verfahren –Alice möchte signiertes Dokument an Bob schicken. –Vertrauenswürdiger Vermittler wird gebraucht (Trent) –K A, K B Schlüssel von Alice, bzw. Bob Protokoll: 1.Alice verschlüsselt Dokument M mit K A, E(M, K A ) = C 1, sendet es an Trent. 2.Trent entschlüsselt C 1 mit K A, D(C 1, K A )=M und fügt dem entschlüsselten Dokument einen Vermerk P hinzu, mit dem er bestätigt, dass das Dokument von Alice stammt. Er protokolliert M und P für spätere Prüfzwecke in seiner privaten Datenbank. 3.Trent verschlüsselt M plus Bestätigung mit K B und sendet dies an Bob E(M|P, K B ) = C 2. 4.Bob entschlüsselt C 2. mit K B, erhält Dokument und Bestätigung, dass es von Alice ist, D(C 2, K B ) =M|P. Alice K A Alice K A Bob K B Bob K B Vertrauenswürdiger Vermittler Trent Vertrauenswürdiger Vermittler Trent DB vorab vereinbarter Schlüssel K A : Alice K B : Bob … DB für ausgestellte Bestätigungen … M,P von Alice …

45 IT-Sicherheit Grundlagen Dr. Wolf Müller 45 Symmetrische Verfahren: Erfüllung der Anforderungen Zweifelsfreie Identität –OK. Trent weiß, dass die Nachricht von Alice kam (Nur Alice kennt außer ihm selbst den Schlüssel). Bestätigung P beweist dies Bob. Keine Wiederverwendbarkeit –OK. Kein Angreifer kann Signatur wiederverwenden. Sollte Bob versuchen, die Bestätigung für anderes Dokument zu verwenden, so kann Alice widersprechen. Bob müsste M und das von Alice verschlüsselte Dokument C 1 vorlegen. Tent entschlüsselt und stellt fest: MM, alternativ kann Tent DB nutzen. Unveränderbarkeit –OK. Verbindlichkeit –OK. Trent DB. Voraussetzungen für symmetrische Verfahren nur schwer zu gewährleisten: –Sicherer authentifizierter Schlüsselaustausch. –Jeder Kommunikationspartner für sichere Verwahrung selbst zuständig. –Vertrauenswürdigkeit des Vermittlers. –Manipulationen an der DB verhindern. Probleme: –Zeitaufwändig –Zentrale Komponente stark belastet. –Signaturgesetze sehen asymmetrische Verfahren vor!

46 IT-Sicherheit Grundlagen Dr. Wolf Müller 46 Erstellung: Asymmetrische Verfahren RSA: Verschlüsseln und Signieren möglich dezidierte Verfahren: DSA (Digital Signature Algorithm) nur signieren Protokoll: 1.(S A,V A ) Schlüsselpaar von Alice (privater Signaturschlüssel, öffentlicher Verifikationsschlüssel) 2.Alice hinterlegt V A in öffentlicher Datenbank. 3.Alice signiert Dokument M durch Verschlüsseln mit ihrem privaten Schlüssel D(M,S A )=sig, und sendet das signierte Dokument sig an Bob. 4.Bob ruft den benötigten Verifikationsschlüssel V A aus der öffentlichen Datenbank ab 5.und verifiziert die Signatur sig, M=E(sig,V A ).

47 IT-Sicherheit Grundlagen Dr. Wolf Müller 47 Asymmetrische Verfahren: Erfüllung der Anforderungen Zweifelsfreie Identität –OK. Unter Voraussetzung, dass öffentlicher Verifikationsschlüssel eindeutig juristischer Person zuzuordnen ist. Keine Wiederverwendbarkeit –OK. Ergebnis der Verschlüsselungsoperation ist vom verschlüsselten Dokument abhängig. Unveränderbarkeit –OK. Änderung ist erkennbar. Verbindlichkeit –OK. Allice kann solange der Schlüssel nicht kompromittiert ist, Signatur nicht zurückweisen. Voraussetzungen für asymmetrische Verfahren : –Für Prüfung der zweifelsfreien Identität sind zusätzliche Maßnahmen erforderlich, die Authentizität des öffentlichen Verifikationsschlüssels bestätigen. –Vertrauen, Trust nötig. –Web of Trust PGP. –PKI im geschäftlichen Umfeld. Probleme: –Schutz des privaten Schlüssels Rückruf Zeitstempel, Gültigkeitsbereich

48 IT-Sicherheit Grundlagen Grundlagen der elektronischen Signatur Recht Technik Anwendung ….. Dr. Wolf Müller 48

49 IT-Sicherheit Grundlagen Dr. Wolf Müller 49 Ergänzung (elektr.) Zeitstempel Zeitstempel werden für Nachweise genutzt, dass der Inhalt eines elektronischen Dokuments zu einem bestimmten Zeitpunkt genau mit dem Inhalt bereits vorlag. –Erstellungsdatum und Uhrzeit des Zeitstempels –Hashwert (Prüfsumme des gestempelten Dokumenteninhalts) Zeitstempel werden im allgemeinen durch entsprechende (Online- / Server-)Dienste angeboten, die die aktuelle (beglaubigte) Uhrzeit liefern. Zeitstempel werden vorrangig automatisiert erstellt und sind nicht personengebunden.

50 IT-Sicherheit Grundlagen Dr. Wolf Müller 50 Gesetzliche Rahmenbedingungen Im Signaturgesetz (SigG) und in der Verordnung zum Signaturgesetz (SigV) werden die elektronischen Signaturen selbst und insbesondere die Anforderungen an elektronische Signaturen und Zertifizierungsdienst-Anbieter definiert. Rahmenbedingungen jedoch, wann welche elektronische Signatur verwendet werden kann oder muss, werden nicht im Signaturgesetz definiert, sondern beruhen im wesentlichen auf dem Bürgerlichen Gesetzbuch (BGB) und anderen Gesetzen sowie Rechts- und Verwaltungsverordnungen.

51 IT-Sicherheit Grundlagen Dr. Wolf Müller 51 Signaturgesetz Einfache elektronische Signaturen –Daten zur Authentifizierung beigefügt. –Signaturanbieter muss nicht für Richtigkeit und Vollständigkeit der Zertifikatangaben haften. Fortgeschrittene elektronische Signaturen –sind ausschließlich dem Signaturschlüsselinhaber zugeordnet, –ermöglichen dessen Identifizierung, –sind mit Mitteln erzeugt, die Signaturschlüsselinhaber unter seiner alleinigen Kontrolle halten kann, und –mit den Daten, auf die sie sich beziehen, so verknüpft, dass eine nachträgliche Veränderung der Daten erkannt werden kann. Qualifizierte elektronisch Signatur –fortgeschritten el. Signatur, die zum Zeitpunkt ihrer Erstellung auf gültigem Zertifikat beruht und mit sicherer Signaturerstellungseinrichtung erzeugt wurde. –Zertifikat: mit qualifizierter elektronischer Unterschrift versehene, digitale Bescheinigung über Zuordnung eines öffentlichen Signaturschlüssels zu einer natürlichen Person.

52 IT-Sicherheit Grundlagen Elektronische Signatur Aus: Dr. Wolf Müller 52

53 IT-Sicherheit Grundlagen Dr. Wolf Müller 53 Qualifizierte elektronische Signatur Bei einer qualifizierten elektronischen Signatur muss der Unterzeichner Inhaber eines qualifiziert zugewiesenen Zertifikats sein und ihm somit ein asymmetrisches Schlüsselpaar zugewiesen worden sein. Unabhängig von der rechtlichen Einordnung (einfache / fortgeschrittene / qualifizierte Signatur) ist eine auf Zertifikaten aufsetzende elektronische Signatur eine Datenstruktur, die folgende wesentlichen Informationen enthält: –Hashwert (z.B. des Dokumenteninhalts) –Angaben über das genutzte Hash-Verfahren –Public Key (des Zertifikats-Inhabers)

54 IT-Sicherheit Grundlagen Dr. Wolf Müller 54 Das Zertifikat Elektronische Bescheinigung, dass einer Person ein bestimmtes asymmetrisches Schlüsselpaar zugeordnet wurde und diese Person nach bestimmten Regeln vorab (z.B. bei der Antragsstellung) identifiziert wurde. Darf zur Zeit nur an Personen und nicht an Unternehmen oder Institutionen ausgegeben werden. Zertifikatvergabe (und damit auch die Zuordnung eines Schlüsselpaares zu einer Person) darf nur von Zertifizierungsanbieter (ZDA, Trust Center) vorgenommen werden. Der internationale Begriff dafür ist CA (Certificate Authority). Es gibt solche Zertifikate in verschiedenen Abstufungen. Dies richtet sich nach dem Status des jeweiligen Zertifizierungsdienstanbieters, welche Arten von Zertifikate dieser anbieten darf.

55 IT-Sicherheit Grundlagen Dr. Wolf Müller 55 Technische Anforderungen an qualifizierte elektronische Signaturen Ausschließlich zertifikatsbasierte Signaturverfahren. Ersteller einer Signatur ist bei einem Trust Center (ZDA / Zertifizierungsdienstanbieter) registriert. Trust Center liefern Signaturersteller ein asymmetrisches Schlüsselpaar (Private und Public Key). Zusätzlich wird ein Zertifikat ausgestellt, das die Zusammengehörigkeit des öffentlichen Schlüssels (Public Key) und der Identität des Zertifikatsinhabers dokumentiert (Ausweisung beim Trust Center).

56 IT-Sicherheit Grundlagen Dr. Wolf Müller 56 Ausführungspraxis Chipkarten Chipkarten enthalten Private Key, der während des Signiervorgangs durch Eingabe einer – ebenfalls auf der Chipkarte hinterlegten - PIN (Nutzer-Identifizierung) zur Erstellung einer Signatur verfügbar wird. Erstellung einer qualifizierten elektronischen Signatur muss eine sichere Signaturerstellungseinheit (die Chipkarte + Lesegerät) eingesetzt werden. Derzeit erfüllen lediglich bestimmte Chipkartenleseeinheiten diese hohen Sicherheitsanforderungen. Problem: Manipulationen am Kommunikationskanal zwischen Karte und Codierungssoftware. Was unterschreibe ich eigentlich?

57 IT-Sicherheit Grundlagen Dr. Wolf Müller 57 Rechtliches Restproblem Zwar wird angenommen, dass der Signierende auch der rechtmäßige Karteninhaber ist, doch beweisen kann man dies nicht. Aus diesem Grund wurde für qualifizierte Signaturen der so genannte Anscheinsbeweis (ZPO § 292a) eingeführt. Die Beweisführung bei qualifizierten Signaturen, dass der Karteninhaber NICHT signiert hat, obliegt damit dem Karteninhaber.

58 IT-Sicherheit Grundlagen Dr. Wolf Müller 58 Anpassung von Vertragsbestimmungen In den meisten vertraglichen Vereinbarungen existiert der Passus, dass Änderungen der Vereinbarung in Schriftform zu erfolgen haben. Zur Ausräumung von Zweifeln bei Vereinbarungen, die nicht der Schriftform unterliegen, sollte für elektronische Dokumente die entsprechende Anpassung vorgenommen werden.

59 IT-Sicherheit Grundlagen Dr. Wolf Müller 59 Zuordnung der elektronischen Signatur zum Unterzeichner Bei Kartenanwendung mit Zertifikat wird der Private Key des registrierten Zertifikatsinhabers zur Signaturerstellung genutzt. Der dazugehörige Public Key (mit dem Dokument mitgegeben) des Zertifikats ermöglicht die Identifizierung des Unterzeichners über das (Online) Trust Center. Über die Annahme, dass der Zertifikatsinhaber selbst unterzeichnet hat, gilt der Ersteller von qualifizierten Signaturen als identifiziert. Da der Hash mit dem Private Key des Zertifikatsinhabers verschlüsselt wird, gilt damit die Signierung genau der vorliegenden der Daten (Informationen) als nachgewiesen.

60 IT-Sicherheit Grundlagen Dr. Wolf Müller 60 Vorhaltung signierter Dokumente als Beweismittel Elektronische Signaturen sind ab Zeitpunkt ihrer Erstellung im Grunde immer gültig. Ungültig werden nur das zur Signaturerstellung verwendete Verschlüsselungsverfahren sowie bei zertifikatsbasierten Signaturverfahren die ausgegebenen Zertifikate. Zertifikate sind durchschnittlich 2 – 3 Jahre gültig, max. 5 Jahre Nach der Sperre müssen Zertifikate für qualifizierte Signaturen noch weitere 5 Jahre vom ZDA (Zertifizierungsdienst-Anbieter) zur Identifizierung vorgehalten werden, Zertifikate für qualifizierte Signaturen mit Anbieterakkreditierung sogar 30 Jahre.

61 IT-Sicherheit Grundlagen Dr. Wolf Müller 61 Zeitfrage Man geht davon aus, dass nach einigen Jahren die Algorithmen der Verschlüsselungsverfahren geknackt werden können und damit der zur Signaturerstellung verwendete private Schlüssel berechnet werden kann. Dann könnte auf Basis eines veränderten Dokumenten-Inhalts der neue Hashwert mit dem ermittelten Private Key verschlüsselt werden und somit Dokumenteninhalt und elektronische Signatur gefälscht werden. Als Zeitraum für die derzeitige Verwendbarkeit heutiger Verschlüsselungs- algorithmen werden im allgemeinen 6 Jahre genannt. Der tatsächliche Zeitraum dürfte deutlich höher sein. Aus Sicherheitsgründen wird aber für die geprüften Verfahren eine maximale Gültigkeit von 5 Jahren angenommen. Trifft man für den Zeitraum nach Ablauf der Verwendbarkeit von Verschlüsselungsalgorithmen keine Vorkehrungen, dann besteht die Gefahr, dass die Beweiskraft heute signierter jedoch nicht sicher verwahrter Dokumente zumindest in Frage gestellt werden kann.

62 IT-Sicherheit Grundlagen Dr. Wolf Müller 62 Ablage oder Archivierung von signierten Dokumenten? Die Frage, ob ein signiertes Dokument in einer Ablage gehalten werden soll oder in ein elektronisches Archiv gestellt werden soll, ergibt sich aus der Frage, wann ein signiertes Dokument als Beweismittel benötigt wird. Wenn dies innerhalb von Jahren nach Signierung notwendig wird, ist - unabhängig von sonstigen zu empfehlenden Sicherungsmaßnahmen - eine Vorhaltung auf einer Festplatte theoretisch ausreichend, da bei einer Signaturprüfung die Verschlüsselungsverfahren noch gültig sind.

63 IT-Sicherheit Grundlagen Dr. Wolf Müller 63 Nachsignierung Ist u.U. nach Ablauf der Gültigkeit der Verschlüsselungsverfahren notwendig. Zur Erhaltung der Beweiskraft eines elektronisch signierten Dokuments ist die so genannte Nachsignierung vor Ablauf der Gültigkeit von Verschlüsselungsalgorithmen möglich, indem der Unterzeichner das bereits schon einmal signierte Dokument erneut signiert.

64 IT-Sicherheit Grundlagen Dr. Wolf Müller 64 Revisionssicheres Archiv Weitere Möglichkeit: Übernahme des Dokuments samt seiner elektronischen Signatur in ein elektronisches Archiv. Signierte Dokumente sowie auch separat gehaltene elektronische Signaturen erhalten einen Zeitstempel. Ab Zeitpunkt der Archivierung übernimmt das elektronische Archiv die Verantwortung für die Nichtveränderbarkeit des Dokuments bzw. der elektronischen Signaturen. Für elektronische Archive, die solche Anforderungen erfüllen, hat sich der Begriff revisionssicheres Archiv etabliert.


Herunterladen ppt "Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherer Kanal:"

Ähnliche Präsentationen


Google-Anzeigen