Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherer Kanal:

Ähnliche Präsentationen


Präsentation zum Thema: "Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherer Kanal:"—  Präsentation transkript:

1 Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherer Kanal: von Alice zu Bob Protokolle I: Schlüsselaustausch, Bausteine

2 IT-Sicherheit Grundlagen Glückwunsch Zum Studium an einer Uni, die eine Gewinnerin in der Exzellenzinitiative ist. Dr. Wolf Müller 2

3 IT-Sicherheit Grundlagen September 2012: Prüfungen (2. Termin) voraussichtlich Mi/Do, 12/ IT Security Workshop Block-Seminar, Mo-Fr, Dr. Wolf Müller 3

4 IT-Sicherheit Grundlagen Lehrevaluation: Einstieg: https://evaluation.hu-berlin.de/evaluation Passwort: apple12ibm Bitte teilnehmen für VL + UE: VL IT-Sicherheit Grundlagen Dr. rer. nat. MüllerIT-Sicherheit Grundlagen UE IT-Sicherheit Grundlagen Dr. rer. nat. Müller IT-Sicherheit Grundlagen Einstieg: https://evaluation.hu-berlin.de/evaluation Passwort: apple12ibm Bitte teilnehmen für VL + UE: VL IT-Sicherheit Grundlagen Dr. rer. nat. MüllerIT-Sicherheit Grundlagen UE IT-Sicherheit Grundlagen Dr. rer. nat. Müller IT-Sicherheit Grundlagen Dr. Wolf Müller 4

5 IT-Sicherheit Grundlagen Schlüsselerzeugung Symmetrische Kryptografie: Zufallsgeneratoren: –Häufig Pseudozufallsgeneratoren (nicht wirklich zufällig, aber ausreichend) –Angreifer darf keine Kenntnisse über Verhalten des Generators gewinnen. Problem: Initialisierung benötigt Zufallswerte Asymmetrische Kryptografie: Höherer berechnungsaufwand Große Primzahlen (RSA, DSA) –In der Regel Pseudoprimzahlen (Zahlen, die mit hoher Wahrscheinlichkeit Primzahlen sind) –Rabin-Miller-Test Problem: Dublettenfreiheit Signieren erfordert Eindeutigkeit des Schlüssels Nur schwer erfüllbar P. Horster: Dublettenfreie Schlüsselgenerierung durch isolierte Instanzen, in: Chipkarten, Hrsg.: Patrick Horster, Braunschweig: Vieweg & Sohn Verlagsgesellschaft, 1998 Dr. Wolf Müller 5

6 IT-Sicherheit Grundlagen Techniken zur Schlüsselerzeugung Manuelle Verfahren –Würfeln, Münzwurf (geringe Bandbreite) Masterschlüssel, Briefversand Initialisierung für Zufallsgeneratoren Zufallsereignis –Natürliche oder provozierte Zufallsereignisse Atmosphärisches Rauschen Radioaktiver Zerfall Widerstandsrauschen, thermisches Rauschen –Effizient, aber spezielle Hardware nötig Deterministische Berechnungen –Extrahieren von pseudozufälligen Bitfolgen von gängiger Hardware Messung Tastaturverzögerung Analyse von Mausbewegungen Kombination lokale Systemuhr, Systemidentifikation, Datum Dr. Wolf Müller 6

7 IT-Sicherheit Grundlagen Techniken zur Schlüsselerzeugung (2) ANSI-Standard X9.17: –Mithilfe von symmetrischem Algorithmus (z. B. DES) wird zufällige Bitfolge bestimmt –Zeitwert T i und Startwert V i Zufallsschlüssel S i und Startwert V i+1 –Ausgangsbasis: vorab vereinbarter Schlüssel K und geheimer Initialwert V 0 –Generierung des i-ten Schlüssels S i : –Effiziente Generierung, solange K nicht offengelegt. Hohe Anforderungen an Sicherheit von K, Speicherung in zugriffskontrollierten, geschützten Speicherbereichen. Dr. Wolf Müller 7

8 IT-Sicherheit Grundlagen Schlüsselspeicherung Benutzergedächtnis –Passworte –Limitiert –Backup, Verfügbarkeit? Persönliche Sicherheitswerkzeuge –Chipkarten, USB Token –Auslesen nur in speziellen Lesegeräten –Angriffe: hoher Aufwand, schwierig –Freischaltung: PIN Biometrie –Möglichkeit, Schlüssel in Karte zu belassen, nur Berechnungsschritte auf Karte (z.B. Signieren) Dr. Wolf Müller 8

9 IT-Sicherheit Grundlagen Schlüsselspeicherung (2) Schlüsselaufteilung –Aufteilung in mehrere Komponenten –Verteilte Speicherung (z.B. Smartcard, PC) Probleme: –Fehlen von IO-Möglichkeiten bei Chipkarten –Beschränkte CPU / Speicherkapazitäten Rückgriff auf Betriebssystem (Schwachstellen, Trojaner) Hash-Berechnung, Verschlüsselung häufig außerhalb der Chipkarte Schlüssel muss sichere Karte verlassen! –Sicherer Kanal PC, Chipkarte nötig. –Vorsicht beim Zwischenspeichern temporärer Dateien Dr. Wolf Müller 9

10 IT-Sicherheit Grundlagen Darstellungsproblem Wenn Signierschlüssel Karte nicht verlässt, werden Hashwerte von Dokumenten auf Karte zum Signieren übertragen. Vertrauen darauf, dass der Hash zu dem Dokument gehört, welches unterzeichnet werden soll. –Nicht überprüfbar. –Angriffspunkt für Manipulationen / Trojaner –Derzeit keine befriedigende Lösung! Dr. Wolf Müller 10

11 IT-Sicherheit Grundlagen Schlüsselspeicherung (3) Persistente Speicherung –Z.B. privater Schlüssel eines Webservers –Bequemlichkeit, Sicherheit –Zugriffskontrolle Filesystem, Caches/SWAP, Hauptspeicher Backup –Zusätzlicher Schutz durch Passwort / Passphrase Dr. Wolf Müller 11

12 IT-Sicherheit Grundlagen Schlüsselvernichtung Löschen –Findet oft zu wenig Aufmerksamkeit (anders Erzeugung, Speicherung) –Auch Schlüssel, deren Gültigkeit abgelaufen ist, wertvoll für Angreifer: Entschlüsselung vorher aufgefangener Nachrichten. Nachträgliches Signieren (ohne Zeitstempel). Chip –EEPROM: Mehrfaches Überschreiben. –EPROM: Zerstörung des Chips. Archivierung / Kopien –Schlüssel in Dateien auf Festplatten Mehrfaches Überschreiben des Speicherbereiches (Normales löschen reicht nicht!) Entfernen aus Backupmedien. SWAP/Cache säubern. Dr. Wolf Müller 12

13 IT-Sicherheit Grundlagen Schlüsselaustausch (symmetrisch) Jeder mit Jedem: –n ( n -1) Schlüssel müssen ausgetauscht werden (z.B. per Post) –Skaliert nicht. Schlüsselverteilungsdienste: –Vertrauenswürdige Verwaltung von Schlüsseln –Auf Anfrage Austausch von Schlüsseln für Kommunikation –Aber: Zentrale Komponente(single point of failure) vermeiden. Dr. Wolf Müller 13

14 IT-Sicherheit Grundlagen Schlüsselhierarchie Im System verschiedene Schlüssel erzeugt: Sitzungsschlüssel Schlüssel für Schlüsselaustausch (vielleicht asymmetrisch) Signierschlüssel Datenschlüssel (Verschlüsselung persistenter Daten) –Wechsel hier sehr aufwendig. Dr. Wolf Müller 14 Lebenszeit Schutzbedarf

15 IT-Sicherheit Grundlagen Naives Austauschprotokoll Asymmetrisches Verfahren: –Alice (A), Bob (B) 1.Alice erzeugt gemeinsamen (symmetrischen) Schlüssel K A,B. 2.Alice sendet diesen verschlüsselt an Bob 3.Bob entschlüsselt Kryptotext und erhält: Probleme: Modifikation des Kryptotexts C ! C also K ! K Maskierungen: Nicht prüfbar, ob Schlüssel von Alice stammt. Man-in-the Middle Abwehr: MACs oder signierte Hashwerte des Sitzungsschlüssels. ABER: Weiterhin unzureichend, Wiedereinspielung (Replay-Attack) von geknackten früheren Schlüsseln! Timestamp, Freshness! Dr. Wolf Müller 15

16 IT-Sicherheit Grundlagen Needham-Schroeder-Protokolle Entwicklung von Schlüsselaustauschprotokollen schwieriger als gedacht. Basisprotokoll: 1978 von R. Needham und M. Schroeder für Schlüsselaustausch entwickelt. Kerberos –Protokoll basiert darauf. Notation: Senden Nachricht M von A nach B: A ! B M=A,I A :M wird mit Schlüssel K A verschlüsselt, kompakt für: Mit I A Nonce, noch nie verwendeter Identifikator, z.B. Zufallszahl. Dr. Wolf Müller 16

17 IT-Sicherheit Grundlagen Protokoll mit symmetrischen Verfahren Basis: AS vertrauenswürdiger Authentifizierungs- (Schlüsselverteilungs-) server Jeder Teilnehmer A hat geheimen Schlüssel K A (Master Key) mit AS exklusiv vereinbart. Hohe Anforderungen an AS : –Ist-Funktionalität nachweislich = Soll-Funktionalität –Schutz vor Manipulationen –Keine Weitergabe von Master Keys Dr. Wolf Müller 17

18 IT-Sicherheit Grundlagen Protokoll mit symmetrischen Verfahren 1.Alice ! ASAlice, Bob, I A. 2.AS ! Alice 3.Alice ! Bob –Alice weiß, wenn Nachricht mit K A,B verschlüsselt, dann von Bob. –Bob muss Widereinspielung ausschließen, generiert Nonce. 4.Bob ! Alice 5.Alice ! Bob –f allgemein bekannte Funktion. Dr. Wolf Müller 18 Challenge-Response

19 IT-Sicherheit Grundlagen Protokoll mit symmetrischen Verfahren (2) Probleme: Protokolle nur sicher, wenn keiner der ausgetauschten Master Keys K A,B jemals bekannt wird. –X hat K A,B geknackt, und (3) aufgezeichnet, spielt diese wieder ein (3) X ! Bob (4) Bob ! Alice X fängt Nachricht ab, entschlüsselt, löst Challenge. (5) X ! Bob Bob glaubt, mit Alice zu sprechen. Dr. Wolf Müller 19 AS Alic e Bob (1) (2) (3) (4) (5)

20 IT-Sicherheit Grundlagen Protokoll mit symmetrischen Verfahren (3) Dr. Wolf Müller 20 AS Alic e Bob (1) (2) (3) (4) (5) Lösung: Nachrichten mit Uhrzeit (timestamp): (1) Alice ! ASAlice, Bob (2) AS ! Alice (3) Alice ! Bob Aber: Synchrone lokale Uhrzeiten nötig. Angreifbar durch Manipulation der Systemzeit oder des Zeitdienstes.

21 IT-Sicherheit Grundlagen Lösung: Benutzung von Nonces: (0.1) Alice ! BobAlice (0.2) Bob ! Alice (1)Alice ! AS (2)AS ! Alice (3) Alice ! Bob Bob kann mit seiner gesendeten Nonce vergleichen. Protokoll mit symmetrischen Verfahren (4) Dr. Wolf Müller 21 AS Alic e Bob (1) (2) (3) (4) (5) (0.1) (0.2)

22 IT-Sicherheit Grundlagen Protokoll mit asymmetrischen Verfahren Basis: AS vertrauenswürdiger Authentifizierungs- (Schlüsselverteilungs-) server. Jeder Teilnehmer A und AS besitzen Schlüsselpaar Gehen davon aus, dass jeder Teilnehmer seinen öffentlichen Schlüssel authentisch bei AS registriert hat. –Z.B. mit Zertifikaten Dr. Wolf Müller 22

23 IT-Sicherheit Grundlagen Protokoll mit asymmetrischen Verfahren 1.Alice ! ASAlice, Bob. 2.AS ! Alice Alice weiß, dass Nachricht von AS und kennt Bobs öffentlichen Schlüssel. 3.Alice ! Bob 4.Bob ! AS Bob, Alice. 5.AS ! Alice 6.Bob ! Alice 7.Alice ! Bob Dr. Wolf Müller 23 AS AliceBob (2) (3) (4) (5) (1) (6) (7) Doppelter Handshake, gegen Maskierungsangriff

24 IT-Sicherheit Grundlagen Protokoll mit asymmetrischen Verfahren Schlüsselaustausch 8.Alice ! Bob Problem: –Nachricht wirklich frisch und von Alice? 8. Alice ! Bob Dr. Wolf Müller 24 AS AliceBob (2) (3) (4) (5) (1) (6) (7) (8 )

25 IT-Sicherheit Grundlagen Leitlinien Protokollentwicklung Vollständige Information –Nachrichten in Protokollen nicht selbsterklärend. –Falsche Interpretationen durch Angreifer ausnutzbar. Z.B. 8 explizite Angabe des Namens des Kommunikationspartners sollte Bestandteil des Protokolls sein. Alle relevanten Informationen müssen in Protokollnachricht kodiert werden! Verschlüsselungszweck –Vertraulichkeit garantieren? –Authentizität nachweisen? Genau überlegen, für Authentizität besser digitale Signatur oder MAC! Doppelverschlüsselung –Fehlerhafter Einsatz von mehrfachen Verschlüsslungen bietet Gefahr der Redundanz (unnötige Kosten). –Möglich auch Sicherheitsprobleme. Dr. Wolf Müller 25

26 IT-Sicherheit Grundlagen Sicherheitslücke durch Doppelverschlüsselung (1) Asymmetrisches Verfahren, um Nachricht M zwischen A und B auszutauschen. (1)A ! B (2)B ! A Falsch verstandenes Sicherheitsbedürfnis: doppelte Verschlüsselung (1)A ! B (2)B ! A Dr. Wolf Müller 26

27 IT-Sicherheit Grundlagen Sicherheitslücke durch Doppelverschlüsselung (2) (1)A ! B (2)B ! A Angreifer X fängt (2) ab, übernimmt roten Teil mit eigenem Namen als Absender: (1)X ! A (2)A ! X (gemäß Protokoll) Weiter: (1)X ! A (2)A ! X Angreifer hat Nachricht M von A an B im Klartext! Dr. Wolf Müller 27

28 IT-Sicherheit Grundlagen Leitlinien Protokollentwicklung (2) Digitale Signaturen –Falls in Protokollschritt bereits verschlüsselte Nachricht signiert wird ist nicht klar, ob der Signierer wahren Inhalt kennt. –Für Authentizität: Unverschlüsselte Nachricht bzw. deren Hashwert signieren. Danach Nachricht verschlüsselt übermitteln. Frischer Schlüssel –Gerade erhaltener Schlüssel muss deshalb nicht frisch sein. Needham-Schroeder Protokoll (2) Replay Zeitstempel oder Nonces in Protokoll integrieren. Formale Analyse –Einsatz formaler Modellierungs- und Analysetechniken BAN-Logik 1989 von Michael Burrows, Martín Abadi, Roger Needham publizierte Modallogik Dr. Wolf Müller 28

29 IT-Sicherheit Grundlagen Schlüsselvereinbarung Kommen wir ohne Server aus? –Können Partner direkt Schlüssel vereinbaren? Wer wählt den Schlüssel? –Wenn ein Partner Schlüssel vorgibt, kann dieser schwach bzw. kompromittiert sein. –Beide Kommunikationspartner sollten Einfluss auf resultierenden Schlüssel haben. –Keiner soll Schlüssel alleine bestimmen. Dr. Wolf Müller 29

30 IT-Sicherheit Grundlagen Diffie-Hellman: Geschichte Dr. Wolf Müller 30 Martin Hellman Whitfield Diffie Ralph Merkle

31 IT-Sicherheit Grundlagen Diffie-Hellman: Geschichte (2) Algorithmus wurde von Martin Hellman gemeinsam mit Whitfield Diffie und Ralph Merkle an der Universität von Stanford (Kalifornien) entwickelt und 1976 veröffentlicht. Wie erst 1997 bekannt wurde, hatte das britische Government Communications Headquarters (GCHQ) schon in den 1960er Jahren den Auftrag erteilt, aufgrund der hohen Kosten bei der damals üblichen Schlüsselverteilung einen anderen Weg für die Schlüsselverteilung zu finden. James Ellis, Clifford Cocks und Malcolm Williamson ähnliche Ideen. GCHQ hat einerseits wegen der Geheimhaltung, andererseits wegen des für die Briten aus Sicht der frühen 1970er Jahre fraglichen Nutzens nie ein Patent beantragt. Dr. Wolf Müller 31

32 IT-Sicherheit Grundlagen Primitive Einheitswurzel Gegeben Primzahl q und Trägermenge M={0,…,q-1} von Galois-Feld GF (q). a 2 M heißt primitive Einheitswurzel, wenn gilt: so dass Einheitswurzeln sind Generatoren für die Elemente des Galois-Feldes. Dr. Wolf Müller 32

33 IT-Sicherheit Grundlagen Primitive Einheitswurzel GF (11) Primzahl q=11,Trägermenge M={0,…,10} Primitive Einheitswurzeln: –2, 6, 7 und 8 3 keine Einheitswurzel, da kein p 2 {0,…,10} mit 3 p ´ 2 mod 11 Generator =1024 ´ 1 mod =2 ´ 2 mod =256 ´ 3 mod =4 ´ 4 mod =16 ´ 5 mod =512 ´ 6 mod =128 ´ 7 mod =8 ´ 8 mod =64 ´ 9 mod =32 ´ 10 mod 11 Dr. Wolf Müller 33

34 IT-Sicherheit Grundlagen Generatorbestimmung und -verifikation Für zyklische Gruppe der Ordnung n gibt es mindestens d n / (6 ln ln n) e Generatoren. Wenn n=2q für eine Primzahl q, so gibt es q-1 Generatoren. Gute Chance, bei zufälliger Wahl a 2 GF (q) primitive Einheitswurzel zu treffen. Schwieriger: Verifikation Effizientes Verfahren, wenn q-1 faktorisierbar. Einfacher, wenn q-1=2r, mit r Primzahl: Dr. Wolf Müller 34

35 IT-Sicherheit Grundlagen Diffie-Hellman Verfahren Gemeinsame, nicht geheime Basisinformationen: 1.Große Primzahl q wählen, die das Galois-Feld GF (q) bestimmt. 2.Bestimmung einer primitiven Einheitswurzel a, 2 · a · q-2 von GF (q). q und a sind öffentlich bekannte Diffie-Hellmann Parameter. Dr. Wolf Müller 35

36 IT-Sicherheit Grundlagen DH: Berechnung des Sitzungsschlüssels Berechnung erfolgt dezentral. 1.Teilnehmer i wählt zufällig 1 · X i · q-1. X i ist geheimer Schlüssel von Teilnehmer i. 2.Teilnehmer i berechnet: Y i ist öffentlicher Schlüssel von Teilnehmer i. 3.Möchte Teilnehmer i mit j kommunizieren, berechnet er Sitzungsschlüssel aus eigenem privatem Schlüssel X i und öffentlichem des Partners Y j : Dr. Wolf Müller 36

37 IT-Sicherheit Grundlagen Diffie-Hellman Problem Angreifer kennt: –q und a (öffentlich bekannte DH Parameter), –sowie öffentliche Schlüssel Y i, Y j. Für Angreifer schwierig Sitzungsschlüssel K i,j ohne geheime Schlüssel X i, X j zu berechnen. –Angreifer müsste diskreten Logarithmus: X i =log a Y i mod q berechnen, –um den Schlüssel zu bestimmen. Berechnung des Sitzungsschlüssels basiert auf Einwegfunktion mit Falltür. Dr. Wolf Müller 37

38 IT-Sicherheit Grundlagen Man-in-the-Middle-Angriff DH hat keine Überprüfung der Authentizität der Partner. –Alice und Bob können nicht erkennen, dass sie nicht direkt miteinander reden. –Angreifer empfängt Nachricht, entschlüsselt, verschlüsselt neu, schickt weiter. Dr. Wolf Müller 38 Angreifer X Alice Bob Beabsichtigter Informationsfluss KA,BKA,B KX,BKX,B KX,AKX,A

39 IT-Sicherheit Grundlagen Diffie-Hellman Verfahren: Fazit Protokoll zur Schlüsselvereinbarung, kein Verschlüsselungssystem! Basiert auf Einwegfunktion, Sicherheit wegen Härte von: –Diffie-Hellmann Problem und Diskretem Logarithmus Eigenschaften: –Frische der Schlüssel durch zufällige Wahl der Exponenten. –Keine Seite kann Schlüssel bestimmen. –Kommt ohne dritte Partei aus. –KEINE Authentizität. Dr. Wolf Müller 39 Wählt Zufallszahl x, berechnet g x mod p Wählt Zufallszahl y, berechnet g y mod p g x mod p g y mod p Berechnet k = (g y ) x mod pBerechnet k = (g x ) y mod p

40 IT-Sicherheit Grundlagen Schlüsselrückgewinnung Warum? Zugriff auf verschlüsselte Daten auch wenn: –Schlüssel verloren geht, –Mitarbeiter, der Dokument verschlüsselt erstellt hat ausscheidet. –Gesetzliche Auflagen ( Archivierung, Insiderhandel …) Schlüsselrückgewinnung: key recovery Schlüsselhinterlegung: key escrow Ziel: Rückgewinnung der Daten ohne Originalschlüssel –Sicherheitsrisiken kritisch untersuchen! Dr. Wolf Müller 40

41 IT-Sicherheit Grundlagen Schlüsselrückgewinnung Managementdienste bereitgestellt, zur Entschlüsselung verschlüsselter Dokumente ohne Originalschlüssel in Ausnahmefällen. –Schlüsselverluste –Nicht rechtzeitige Verfügbarkeit –Unabsichtliche oder mutmaßliche Zerstörung des Schlüssels Kein Brechen mit kryptoanalytischen Methoden. Deutschland: –Für staatliche Institutionen (Artikel 10, Abs. 2 Grundgesetz) zum Zweck der Bekämpfung des Terrorismus oder des organisierten Verbrechens Dr. Wolf Müller 41

42 IT-Sicherheit Grundlagen key escrow Schlüsselhinterlegung Hinterlegungstechnik geht zurück auf Initiative der amerikanischen Regierung. –1994 Escrowed Encryption Standard (EES). –Ziel: Bürgern Verwendung starker Verschlüsselung erlauben, andererseits Zugriff auf verschlüsselte Daten für Strafverfolgung. Dr. Wolf Müller 42

43 IT-Sicherheit Grundlagen Klartext Kryptomodul Klar- text Recoverysysteme Dr. Wolf Müller 43 E Schlüssel K Sender Klar- text D Schlüssel K Empfänger Rückgewinnungsinformation Kryptotext Berechne K D Rückgewinnungs- schlüssel Schlüsselhinterlegungs- Komponente Rückgewinnungs- Komponente

44 IT-Sicherheit Grundlagen Recoverysysteme (2) Kryptomodul –Durchführung von Ver- und Entschlüsselung. –Unterstützt automatisch Rückgewinnung. Hinzufügen von Rückgewinnungsinformation RI (für Wiederherstellung des Klartexts). Recovery-Schlüssel: Schlüssel zur Verschlüsselung der RI –Private Schlüssel von Sender / Empfänger, Sitzungsschlüssel die einem Kryptomodul zugeordnet sind. –Werden in Hinterlegungskomponente verwaltet. RI muss Recovery-Schlüssel, sowie verwendete Verschlüsselungsalgorithmen eindeutig beschreiben. –Anforderung: Funktionalität kann nicht verändert oder umgangen werden. Dr. Wolf Müller 44

45 IT-Sicherheit Grundlagen Recoverysysteme (3) Rückgewinnungskomponente (RK) –Beinhaltet Algorithmen und Protokolle, um aus Kryptotext + assoziierter RI + Daten von der Hinterlegungskomponente Klartext zu ermitteln. –Wenn Schlüssel wiederhergestellt, können im Folgenden auch ohne Hilfe der Hinterlegungskomponente Kryptotexte entschlüsselt werden. Nutzungseinschränkung: Zeitintervall für Löschung des wiederhergestellten Schlüssels. Problem: Nutzer muss vertrauen, dass RK Beschränkungen einhält. –Anforderung: Aufzeichnung und Entschlüsselung von Kryptotexten nur durch autorisierte Subjekte. Dr. Wolf Müller 45

46 IT-Sicherheit Grundlagen Recoverysysteme (4) Hinterlegungskomponente (HK) –Speicherung, Verwaltung der Schlüssel für Rückgewinnung. –Kann Komponente von Zertifikatsinfrastruktur sein. –Hohe Anforderungen an sicheren und zuverlässigen Betrieb, da sensible Informationen. Administration durch vertrauenswürdige Agenten. Von staatlichen / privaten Organisationen akkreditiert / lizensiert. Möglich: Verteilung auf mehrere Agenten Secret Sharing. –Authentifizierung der Anfrager, dann Lieferung der für Rückgewinnung nötigen Daten. –Löschung der gespeicherten Daten nach festgelegten Zeitintervall. Dr. Wolf Müller 46

47 IT-Sicherheit Grundlagen Recoverysysteme (5) PGP ab Version 5.0 Clipper Chip –1993 als Bestandteil von Escrowed Encryption Standard konzipiert. –Sollte in USA für Telekommunikation eingesetzt werden. –RI= Law Enforcement Access Field (LEAW) Encrypted File System (EFS) Dr. Wolf Müller 47

48 IT-Sicherheit Grundlagen Recoverysystem: EFS EFS in Windows 2000 / XP ist einfaches Beispiel –Problem: Backup, vergessenes Password der Benutzer Kryptomodul –Gewinnung der RI zu für Verschlüsselung der Datei f generierten Schlüssel K f K f wird mit öffentlichem Recovery-Schlüssel K rec verschlüsselt und als zusätzliches Attribut der Datei f im Data Recovery Field (DRF) abgespeichert. RSA als Verschlüsselungsverfahren. Öffentlicher Schlüssel aus X.509 Zertifikat einer speziellen Datei des EFS: Encrypted Data Recovery Agent Policy Eigentlicher Recovery Schlüssel ist der zu K rec gehörige private Schlüssel. Dr. Wolf Müller 48

49 IT-Sicherheit Grundlagen Recoverysystem: EFS (2) Rückgewinnung –Trivial: Algorithmus RSA Privater Recovery Schlüssel und DRF von Hinterlegungskomponente Entschlüsselung K f Hinterlegungskomponente –Sehr einfach gehalten. –Vertrauenswürdige Recovery-Agenten standardmäßig = Systemadministratoren –Privater Recovery-Schlüssel: Manuell exportiert (auf sicheres Speichermedium), oder auf Festplatte HK= Speicherbereich auf externem Medium / Festpatte Kein Mehraugenprinzip (Zusammenarbeit mehrerer Recovery Agenten) Dr. Wolf Müller 49

50 IT-Sicherheit Grundlagen Recovery-Systeme: Risiken & Grenzen Neue Risiken –Zugriff auf verschlüsselte Klartexte ohne Einfluss des autorisierten Schlüsselbesitzers –Ansammlung sicherheitskritischer Informationen an zentralen Stellen lohnendes Angriffsziel Einsatzbereiche –Kommerzieller Bereich Wiederherstellung gespeicherter Daten Dezentrale Verwaltung der RI, nur wenige Recovery Schlüssel –Staatlicher Bereich Zugriff auf Klartext (Tel, ,…) zur Verbrechensbekämpfung –Wiederherstellung von Sitzungsschlüsseln, –braucht der Nutzer normaler Weise nicht, nichtstaatlicher Bereich auch nicht, hier er erneute Übertragung. Globale Systemarchitektur –Äußerst komplexe Infrastruktur Sehr hoher Aufwand für sichere und vertrauenswürdige Funktionalität. Problem: Datenrückgewinnung erfolgt transparent, unbemerkt für beteiligten Bürger. Sinn fraglich –Zu Überwachende können sich einfach entziehen, –Aber zusätzliche Risiken für Allgemeinheit Dr. Wolf Müller 50

51 IT-Sicherheit Grundlagen Recovery-Systeme: Risiken & Grenzen (2) Nutzung vorhandener Infrastrukturen –Trust Center als HK problematisch –Trust Center verwaltet in der Regel keine sensitive Information, sondern gewährleistet Authentizität Anbindung des Recoveries an Zertifizierungsfunktion unsinnig. Wiederherstellung von Signierschlüsseln –Unsinnig und sicherheitsgefährdend –Authentizitätsnachweis nicht mehr gewährleistet –Verlust des Signierschlüssels ist unproblematisch Trennung der Schlüssel Verschlüsselung Signieren Dr. Wolf Müller 51

52 IT-Sicherheit Grundlagen Recovery-Systeme: Risiken & Grenzen (3) Verwaltung der Recoveryinformationen –Sichere Schlüsselspeicherung, Ausgabe nur an authentifizierte Berechtigte Für eigentlich sicher verwahrte Schlüssel (Chipkarte) zusätzliches Risiko R-Schlüssel werden ihrerseits wieder verschlüsselt abgelegt. –Dann müssen Metaschlüssel sicher verwaltet werden. –RI Speicherung Wenn gemeinsam mit Daten gespeichert, kann jeder Nutzer der Recoveryschlüssel besitzt und Zugriff auf diese Daten hat, diese ohne Beschränkungen entschlüsseln. Granularität der Recoveryschlüssel –Message Recovery Nur ein Sitzungsschlüssel –Key Recovery Privater Schlüssel Preisgegeben, damit auch alle verschlüsselt ausgetauschten Sitzungsschlüssel (außer Diffie-Hellmann ) Dr. Wolf Müller 52

53 IT-Sicherheit Grundlagen Fazit: Recoverysysteme Im kommerziellen Umfeld –Sinnvoll für Speicherschlüssel (Datensicherheit, Verfügbarkeit) –Unsinnig für Sitzungsschlüssel –Sicherheitsgefährdend für Signierschlüssel Mit Vielzahl von Sicherheitsrisiken verbunden Flächendeckende, globale Schlüsselhinterlegung Nicht beherrschbare Systeme Risiken À Nutzen Dr. Wolf Müller 53


Herunterladen ppt "Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherer Kanal:"

Ähnliche Präsentationen


Google-Anzeigen