Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherer Kanal:

Ähnliche Präsentationen


Präsentation zum Thema: "Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherer Kanal:"—  Präsentation transkript:

1 Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherer Kanal: von Alice zu Bob Authentifizierung: Wissen, Haben

2 IT-Sicherheit Grundlagen Dr. Wolf Müller 2 Identifikation Unterscheidung zwischen realer Welt der Menschen und ihres Verhaltens und der abstrakten Welt von Daten in Rechnern und Rechnernetzen. Unterscheidung zwischen Identität und Entität. Menschen führen verschiedene Rollen aus (Identitäten) – und haben Attribute, die mit manchen Rollen assoziiert sind aber nicht mit ändern. Identifikator = Teilmenge der Daten zu einer Identität, die benutzt werden kann um Identität(en) zu unterscheiden. Um zur Entität zu kommen braucht man biometrische Daten (Entifikator).

3 IT-Sicherheit Grundlagen Dr. Wolf Müller 3 Entität und Attribute Reale Welt IT-System Identifikator + Daten Identität und Attribute Identitäten und Entitäten - Identifikation

4 IT-Sicherheit Grundlagen Dr. Wolf Müller 4 Entität und Attribute Reale Welt IT-System Entifikator + Daten Identifikator + Daten Identität und Attribute Identitäten und Entitäten - Entifikation

5 IT-Sicherheit Grundlagen Dr. Wolf Müller 5 Identifikatoren Häufig ist es möglich, über Identifikatoren zur Entität zu gelangen. Manchmal nicht oder nur schwer – solche Identifikatoren werden Pseudonyme genannt. Wenn ein Identifikator gar nicht zurückverfolgt werden kann, dann wird er anonym genannt. Pseudonyme und Anonyme werden unter dem Begriff Nym zusammengefasst.

6 IT-Sicherheit Grundlagen Dr. Wolf Müller 6 Entität und Attribute Reale Welt IT-System Entifikator + Daten Identifikator + Daten Identität und Attribute Nym + Daten Identität und Attribute Identitäten und Entitäten – Pseudonymität und Anonymität n n n 1 11 m m n n

7 IT-Sicherheit Grundlagen Identifikatoren Häufige Fehlinterpretationen –Identifikatoren beziehen sich 1-zu-1 auf Entitäten –Die Entität hinter jedem Identifikator ist kenntlich. Die Beziehung zwischen Identifikator und Entität kann sein –1-zu-1 –1-zu-n –n-zu-1 Die Beziehung(en) kann oder kann nicht kenntlich (herausfindbar / herstellbar) sein - Nym Dr. Wolf Müller 7

8 IT-Sicherheit Grundlagen Dr. Wolf Müller 8 Entity: Person (oder Unternehmen, Gerät) Entifier/Entifikator: Kennzeichner für eine Entität; Datensatz, der eine Entität von anderen unterscheidet (z.B. biometrische Daten, Geräte-Id) Identity: Präsentation oder Rolle einer Entität. Identifier/Identifikator: Kennzeichner für eine Identität; Datensatz, die Identität von anderen unterscheidet (z.B. Name, ID-Nr., Benutzername, IP-Adresse) Nym: Identifikator, der nicht leicht mit der zugrunde- liegenden Entität in Verbindung gebracht werden kann Anonym: kann gar nicht Pseudonym: kann nicht einfach zugeordnet werden Zusammenfassung - Identitäten und Entitäten

9 IT-Sicherheit Grundlagen Dr. Wolf Müller 9 Identifizierung und Authentifizierung Identifizierung/Identifikation = Prozess, in dem die Identität einer Person bestimmt wird (in der Daten oder Aktivitäten mit einer bestimmten Identität verknüpft/assoziiert werden) Identifikation wird durchgeführt durch Erlangung eines Identifikators. Wenn man sicher sein will, dann muss die Behauptung (assertion) authentifiziert werden. Authentifizierung = Prozess, in dem Sicherheit über eine (Identitäts-)Behauptung gewonnen wird. Gegencheck gegen einen oder mehrere Authentikatoren.

10 IT-Sicherheit Grundlagen Dr. Wolf Müller 10 Identifizierung und Authentifizierung Häufige Fehlinterpretation: Authentifizierung bedeutet Identity Authentication. Authentifizierung bedeutet allgemein die Bestätigung einer Behauptung (assertion) Nur manchmal ist diese Behauptung die, dass eine Aktivität von einer bestimmten Identität ausgeführt wird. Es gibt noch andere wichtige Typen von Behauptungen, die es wert sind authentifiziert zu werden.

11 IT-Sicherheit Grundlagen Dr. Wolf Müller 11 Definierender Sinnspruch des Internet The New Yorker 5 July 1993

12 IT-Sicherheit Grundlagen Dr. Wolf Müller 12 Diskussion Cartoon zeigt verschiedene Aspekte, die in Zusammenhang mit Identität relevant sind –Hund hat eine Reihe von Attributen Schwarzes Fell oder weißes Fell mit schwarzen Punkten, … –Hund spielt eine oder mehrere Rollen jede hat vermutlich einen Identifikator assoziiert (wie -Adresse oder Spitzname) und jede hat wieder Attribute. –Andere erfahren den Hund und seine Identifikatoren über das Internet. –Wissen der Parteien übereinander – in diesem Fall nicht genug Wissen, da die anderen Parteien nicht wissen, dass der Hund kein Hund ist, aber genug für den Hund um zu wissen, dass die anderen es nicht wissen. Fazit: Über das Internet hat man nur eine beschränkte Menge von Information – und muss vorsichtig sein bei Annahmen – hin und wieder möchte man Dinge bestätigen/authentifizieren, bevor man sich darauf verlässt.

13 IT-Sicherheit Grundlagen Dr. Wolf Müller 13 Behauptungen, die es wert sind authentifiziert zu werden Welcher Hund man ist (Identität). Ob man derselbe Hund ist, mit dem jemand anderes zu einem bestimmten Thema kommuniziert/interagiert hat (Identifier / Nym). Welcher (Hunde)Rasse man angehört (Attribute). Ob man wirklich für den Hund bellt, den man zu repräsentieren angibt (Vertretung). Ob der Knochen, den man anbietet das wert ist, was er vorgibt wert zu sein (Wert).

14 IT-Sicherheit Grundlagen Dr. Wolf Müller 14 Authentikatoren für Personen-Identitäten Was eine Person weiß –Z.B. Geburtsname der Mutter, Passwort, PIN Was eine Person ist –Nein, biometrische Attribute sind Entitäts-Authentikatoren Was eine Person tun kann (Ergebnis unterbewusster Aktivitäten) –Z.B. Unterschrift Was eine Person hat (Dokumente, Berechtigungsnachweise) –Z.B. physikalischer Token wie Ausweis, Eintrittskarte –Z.B. digitaler Token, insbes. eine digitale Unterschrift, die mit öffentlichen Schlüssel konsistent ist, der durch ein digitales Zertifikat nachgewiesen wird. –Chipkarte

15 IT-Sicherheit Grundlagen Dr. Wolf Müller 15 Authentifizierung und mögliche Angriffe Authentikator Eingabe Transport Überprüfung, Speicherung Wiederverwendbare Angriffe –Authentikator kopieren –Authentikator leihen –Authentikator stehlen –Authentikator fälschen Einmalige Angriffe –Buffer-Overflow –Session-Hijacking –Huckepack (Piggyback)

16 IT-Sicherheit Grundlagen Dr. Wolf Müller 16 Authentifizierung something you know –Passworte –OTP –PIN, TAN, S-Key something you have –(USB) Token, Smartcard, Public Key something you are –Biometrie Fingerabdruck, Gesicht, Iris, …

17 IT-Sicherheit Grundlagen 17 Multi-Faktor Authentifizierung 2-Faktoren Authentifizierung –Bankkarte + PIN –Kreditkarte + Unterschrift –PIN + Fingerabdruck –Benutzername + Passwort –Chipkarte + PIN 3-Faktoren Authentifizierung –Benutzername + Passwort + Fingerabdruck –Benutzername + Passwort + SecureID Token

18 IT-Sicherheit Grundlagen Dr. Wolf Müller 18 What You Know Authentikatoren Personal Identification Number (PIN) Passworte Passphrases Allgemein: Fragen und Antworten (challenge & response) –Müssen vor der Authentifizierung abgesprochen werden. –Eine oder mehrere korrekte Antworten authentifizieren eine Identität. –Antwort kann auch allgemein aus Anwendung eines Algorithmus auf die Frage bestehen.

19 IT-Sicherheit Grundlagen Starke Passworte Lang (brute force) –mindestens 10 Zeichen –Zahlen und Sonderzeichen –Groß- und Kleinbuchstaben Ungewöhnlich (dictionary) –In keinem Wörterbuch der Welt zu finden Unpersönlich (social engineering) –Keine Telefonnummer, … –Keinen persönlichen Bezug Unterschiedlich –Unterschiedlich für verschiedene Dienste –PasswordSitter, PwdHash Merkbar –Eselsbrücken, Akronyme, PW-Manager –PasswordSitter, PasswdSafe Default Passworte ändern! Dr. Wolf Müller 19 https://passwortcheck.datenschutz.ch/

20 IT-Sicherheit Grundlagen Dr. Wolf Müller 20 Grafische Passworte Beruhen auf Bildgedächtnis/menschlicher Bilderkennung. Bilder auswählen, zeichnen oder manipulieren. Relativ neue Technologie. Mehrere Runden werden durchlaufen.

21 IT-Sicherheit Grundlagen Password Sitter (1) Dr. Wolf Müller 21 Online https://www.passwordsitter.com/

22 IT-Sicherheit Grundlagen Password Sitter (2) Passwortdiversifizierung Java (signiertes Applet). Server / lokal gespeichertes Profil (Dienste). Kennwörter nirgends gespeichert, weder im Klartext noch verschlüsselt, sondern jedesmal erneut generiert. Kompression des Inputs, Einwegfunktion individuelles Passwort für jeden Dienst Password Policies einstellbar. Online / Offline Betrieb / Scratch. Dr. Wolf Müller 22 Masterpassw ort (stark) Dienstna me Password policy Passw ort für Dienst

23 IT-Sicherheit Grundlagen Passworte: Geheimhaltung Geheimhaltung Nicht weitergegeben. Passworteingaben grundsätzlich ohne Echo. Passworte nie unverschlüsselt über unsichere Datenkanäle (pop,imap,…) Nicht an zugänglichen Stellen hinterlegen. –Festplatte –Zettel Befragung von Büroangestellten in London (Infosecurity Europe April 2004) –71% Computer-Passwort für einen Schokoriegel. –37% auch ohne Belohnung. Dr. Wolf Müller 23

24 IT-Sicherheit Grundlagen Passworte: Leben Einrichtung Zuteilung –durch System bzw. Administrator –Problem: Randomisierung vs. Merkbarkeit Passwortwahl –durch Benutzer Kombination –durch erstmalige Zuteilung, anschließende Änderung durch Benutzer. Passwortwechsel Passworte regelmäßig ändern. Rechnergesteuert, password ageing –System verlangt turnusmäßig geändertes Passwort Benutzergesteuert –Benutzer verändert von sich aus regelmäßig das Passwort. Einmalpassworte –t 0, nach einmaliger Benutzung ungültig. –TAN beim Online-Banking Dr. Wolf Müller 24

25 IT-Sicherheit Grundlagen Dr. Wolf Müller 25 Grundtechniken: –Schulung der Benutzer (Richtlinien). –Computergenerierte Passwörter (völlig randomisiert). –Reaktive Passwortprüfung: Passwortcracker periodisch die Passwörter testen lassen Problem wegen Ressourcen, Privacy –Proaktive Passwortprüfung: Schon bei Auswahl des Passwortes wird die Zulässigkeit, z.B. mit Hilfe eines zuvor erstellten Wörterbuches mit "schlechten" Passwörtern geprüft Mittelweg zwischen Benutzerakzeptanz und Vorgaben finden. –Effiziente Grundtechniken: (basieren auf Wörterbüchern) Markov – Modell Bloom – Filter arbeitet mit Hashfunktionen Starke Passworte: Wie?

26 IT-Sicherheit Grundlagen Dr. Wolf Müller 26 Passwort Alterung (Aging) Passworte werden mit Lebensdauer versehen: Vorteile –Kompromittierte Passworte haben nur endliche Lebenserwartung. –Leicht zu implementieren. Nachteile –Überraschende sofortige Aufforderung sich neues Passwort auszudenken, resultiert oft in schlechte Passwortwahl. –Nutzer neigen dazu Teile des Passworts wieder zu verwenden Serialisierung: dfgrtdz1 dfgrtdz2 … –Post-it syndrome: Schwer merkbar, also aufschreiben?

27 IT-Sicherheit Grundlagen Passwort: Verifikation (1) Speicherung Passwörter in /etc/shadow gespeichert –Nicht im Klartext, sondern verschlüsselt / gehasht –Ursprünglich: /etc/passwd –Problem: Datei muss für alle lesbar sein. Daten für alle Nutzer öffentlich weiter in passwd Passwort-Feld shadow Login: –Eingegebenes Passwort mit selber Methode verschlüsselt und mit gespeicherten Hash des Passworts verglichen. /etc/passwd root:x:0:0:root:/root:/bin/bash /etc/shadow Blowfish root:$2a$10$K73dWlbEILwfvtPIxjZf3.HxPTsoKvOg71Q6gPLxvwt6gayO.nJl6:12758:0:10000:::: Dr. Wolf Müller 27

28 IT-Sicherheit Grundlagen Passwort: Verifikation (2) Hash veraltet: crypt()-Einwegfunktion –basiert auf DES (56 Bit Schlüssellänge = 8 Zeichen á 7 Bit) –64 Nullbits werden 25 mal verschlüsselt –Passwort als Schlüssel –Reslultat: 64 Bits als ASCII-Zeichenkette (11 Zeichen) gespeichert. –Base64-Kodierung Aktuell: Hashfunktion MD5 –erzeugt bis zu 127 Zeichen-Passwort 128-Bit Hash –Verwendung angezeigt durch vorangestelltes $1$ –Abspeicherung in Base64-Kodierung –Blowfish vorgestelltes $2a Dr. Wolf Müller 28

29 IT-Sicherheit Grundlagen Passwort: Verifikation (3) Kodieren & Salzen Base64-Kodierung: –6 Bit Wert [0, 1,..., 63] abgebildet auf ASCII-Zeichen –A, B,..., Z, a, b,..., z, 0, 1,..., 9, +, / Salt (Salz) –12 Bit (crypt) bzw. 48 Bit (MD5). –Abhängig von Tageszeit,... –Erschwert Vorberechnen von Passwort-Hashtabellen. –Berechnung: HASH(Passwort|Salz) Wichtig: Salz anhängen! –Gleiche Passworte verschieden repräsentiert verschiedene Verschlüsslungen (crypt) (MD5) –Wird als Teil des Passworthashes gespeichert (Base64-kodiert) –Warum? Dr. Wolf Müller 29

30 IT-Sicherheit Grundlagen Format /etc/shadow itsec: User $2a$05$2/G55DzhNHnthD0YVW87h…..H4ZJB72qPQziepM26lwMK: 15161: Jul 06, 2011 last change 0: 0minimum days between change 99999:99999maximum days between change 7:7# of days of warning before password expires :never# of inactive days :never account Expires Dr. Wolf Müller 30 $ID$Salz$Hash-ID(Passwort|Salz)_gekürzt ID: - 1 MD522 Zeichen - 2, 2a Blowfish - 3 NT-Hash - 5 SHA Zeichen -6 SHA Zeichen Salz: bis zu 16 Zeichen $ID$Salz$Hash-ID(Passwort|Salz)_gekürzt ID: - 1 MD522 Zeichen - 2, 2a Blowfish - 3 NT-Hash - 5 SHA Zeichen -6 SHA Zeichen Salz: bis zu 16 Zeichen chage -l itsec

31 IT-Sicherheit Grundlagen Passwort: Verifikation (4) Windows Speicherung im Security Account Manager (SAM) –%WINDIR%\system32\config\SAM –binäre Datei –Registry: HKEY_LOCAL_MACHINE/SAM/ –Zugriff im laufenden System nicht direkt möglich auch nicht für Administrator (SYSTEM-Rechte nötig) ABER: Kopie in %WINDIR%\repair\ –Speicherung als Hash: Alt: LM-Hash NT-Hash Dr. Wolf Müller 31

32 IT-Sicherheit Grundlagen Passwort[1…7]Passwort[8…14]LM-Hash[1…8]LM-Hash[9…16] Passwort: Verifikation (6) LM-Hash Auffüllen bzw. Abschneiden des Passworts auf 14 Zeichen Umwandlung in Großbuchstaben Aufteilung in zwei 7-Zeichen-Blöcke (jeweils 56 Bits) Verschlüsselung des String Dr. Wolf Müller 32 DES DES Großbuchstaben

33 IT-Sicherheit Grundlagen Passwort[1…14]NTLM-Hash[1…14] Passwort: Verifikation (5) NT-Hash Ab Windows 2000 SP2 Umwandlung des Passworts von ASCII nach Unicode Eingabe für den MD4-Hashalgorithmus Dr. Wolf Müller 33 MD4 unicode

34 IT-Sicherheit Grundlagen Passwort: Verifikation (5) Vergleich LM-Hash ist unsicher NT-Hash ist sicherer aus Abwärtskompatibilitätsgründen ist LM-Hash oft noch standardmäßig aktiviert –muss manuell deaktiviert werden Dr. Wolf Müller 34

35 IT-Sicherheit Grundlagen Passwort: Angriffe L0phtcrack John-the-Ripper Cain & Abel Dictionary, Brute Force Passwort-Cracker als Bezahldienst Die Entwickler von RainbowCrack Online haben ein neues Geschäftsmodell für sich entdeckt: Ab 30 US- Dollar monatlich entschlüsselt der Dienst die verbreiteten Hash-Typen MD5, IBM Lan Manager, SHA1, Cisco Pix, NTLM, MySQL-323 und MD4 und liefert die bis zu acht Zeichen langen Klartextpasswörter, sofern diese nicht mit einer angehängten Zufallskomponente, dem so genannten Salt, versehen sind. Elcomsoft: Amazon EC2 Used to Crack Password Encryption on Wireless Networks Dr. Wolf Müller 35

36 IT-Sicherheit Grundlagen Challenge-Response-Verfahren Verallgemeinerung für Authentifizierungsverfahren, die auf Wissen beruhen. –Verhinderung von Replay –Geheimes Wissen nicht mehrfach und komplett übermittelt. –Weit verbreitet (GSM, UMTS, WLAN, Smartcards Handy Hersteller Batterie, Drucker Tinte) –Frage/Antwort Paare (vorher verabredet, zufällige Auswahl) Login: foo Geburtstag des Vaters: Lieblingsautor: Jules Verne Geburtsname der Mutter: Mustermann –Lösung: Zufallszahl als Challenge Wahrscheinlichkeit der Wiederholung hängt von Güte des Zufallszahlengenerators ab. Little Security, Despite Obscurity Dr. Wolf Müller 36 Klartextraum zu klein!

37 IT-Sicherheit Grundlagen Challenge-Response: Symmetrisch Geräte unterstützen gleichen Verschlüsselungsalgorithmus E und gleichen Schlüssel (Chipkarte $ Rechner) K CID =K R –K CID Card Identification, auf Karte gespeichert. –K R auf Rechner gespeicherter Schlüssel. Identifizierung: –Chipkarte auf Leser, suchen von K R in Datenbank (entsprechend CID der Karte) Challange: –Rechner erzeugt Zufallszahl RAND, sendet diese an zu authentifizierende Chipkarte. –Chipkarte muss RAND mit vereinbartem Verfahren E und ihrem Schlüssel K CID verschlüsseln. C=E(RAND, K CID ) Response: –Ergebnis C wird als Antwort an den Rechner gesendet. –Rechner prüft gegen sein Ergebnis C=E(RAND, K R ). –C=C ? Dr. Wolf Müller 37

38 IT-Sicherheit Grundlagen Challenge-Response: Symmetrisch (2) Client (Chipkarte) Schlüssel K CID, CID, E Basis Login: C=E(RAND, K CID ) 1.CID 2.RAND 3.C Dr. Wolf Müller 38 Server (PC) Schlüssel K CID zu CID, E Basis Erzeugen von RAND E(RAND, K CID ) = C Test: C=C

39 IT-Sicherheit Grundlagen Challenge-Response: Symmetrisch (3) Sicherheit: Passwort wird nicht übermittelt Keine Wiedereinspielung von E(RAND, K CID ) möglich Maskierung möglich! –Oft in offenen Umgebungen –Oft unsichere, sehr einfach abzuhörende Funkschnittstellen Known-Plaintext-Angriffe (RAND, E(RAND, K CID )) Kryptoanalyse Wörterbuchangriffe Abwehr durch verschlüsselte Übermittelung der Challenge Problem: –Server muss gemeinsame Schlüssel sicher verwalten! Dr. Wolf Müller 39

40 IT-Sicherheit Grundlagen Challenge-Response: Asymmetrisch (1) Client (Chipkarte) Basis Login: 1.CID 2.RAND 3.Sig Dr. Wolf Müller 40 Server (PC) Basis Erzeugen von RAND Verifizieren: Test: R=RAND ?

41 IT-Sicherheit Grundlagen Challenge-Response: Asymmetrisch (2) Sicherheit Vorteil: –Kein Schlüsselaustausch vorher nötig. –Keine Speicherung geheimer Schlüssel auf dem Server Wesentlich: Authentizität der Schlüssel –PKI –Integrität der öffentlichen Schlüssel bei Speicherung –Alternativ: Anforderung eines gültigen Zertifikats vom Klienten bei jeden Login + Prüfung. Wird bei SSL/TLS angewendet. Zufallszahlengenerator: –Keine periodische Wiederholung (in kurzen Abständen) Angriff (Map von challenges responses) WEP Gegenseitige Authentifizierung nötig –Gegen Maskierung –Known-Plaintext Angriff Dr. Wolf Müller 41

42 IT-Sicherheit Grundlagen Dr. Wolf Müller 42 Einmalpassworte Passworte, die nur einmal gültig sind, ungültig werden nach Benutzung. –(i)TAN –Lamports Hash und die S/Key Implementation

43 IT-Sicherheit Grundlagen Dr. Wolf Müller 43 Lamports Hash Lamports Hash-Schema wurde 1981 zur Benutzung von Einmal- Passworten entwickelt. Verbreitete Implementierung: S/Key Einfache Version dieser Technik: –Alice hat Passwort. –Alices Workstation wählt große Zahl, n >1000 –Workstation berechnet: x 1 = hash(Passwort) x 2 = hash(x 1 ) … x n = hash(x n-1 ) –Workstation sendet Bob sowohl x n als auch n. Diese speichert beide.

44 IT-Sicherheit Grundlagen Dr. Wolf Müller 44 Lamports Hash (2) Zur Authentifizierung von Alice: Alice gibt Namen und Passwort ein. Alices Workstation sendet Alices Name an Bob. Bobs Computer schickt n zurück. Workstation berechnet: authenticator = hash (n-1) (password) und sendet dies an Bob zurück. Bobs Computer berechnet: validator = hash(authenticator) und vergleicht diesen mit Wert aus Datenbank (x n ). Bobs Computer dekrementiert gespeichertes n und ersetzt alten Validator mit gerade erhaltenem Authentifikator hash (n-1) (password). n=1: Alice braucht neues Passwort.

45 IT-Sicherheit Grundlagen Dr. Wolf Müller 45 S/Key häufig verwendet. S/KEY One-Time Password im Original von Bellcore (RFC 1760.) Weiterentwicklungen: RFC 1938 und RFC 2289 unter dem Namen "A One-Time Password System". Benutzung kryptografisch starker Hashfunktionen, um Serie von Einmalpassworten zu erzeugen. Mögliche Hashfunktionen: MD-4, MD-5, SHA-1 (Support nur für MD5) Output nicht gesamtes Ergebnis der Hashfunktion, sondern wird auf 64 Bit reduziert, dann als Hex-String oder transformiert auf 6-Worte Format ausgegeben. –Wörterbuch mit 2048, meist englischen Worten –11 Bit pro Wort=66 Bit, 2 für einfache Prüfsumme –TORN ACID SAD VAN RUM BEN Verwendete Hashfunktion H(pass,seed): = F(H 0 (seed,pass)), wobei F Faltung / Reduzierung von 128/160 Bit auf 64 Bit (XOR der ersten mit der zweiten Hälfte), H 0 Original-Hashfunktion.

46 IT-Sicherheit Grundlagen Dr. Wolf Müller 46 S/Key: Initialisierung Erzeugung eines Identifier: Zeichen lang (z.B. aus Hostname) –Seed sollte für jedes System unterschiedlich sein. –Gleiche Passphrase auf allen Systemen ist OK, wenn Seeds sich unterscheiden. –Mindestens 10 Zeichen. –Geheim zu halten. Initiale Sequenznummer oder Iterationszähler: n=1000 –Bei jedem Authenifikationsprozess dekrementiert, wenn 0 erreicht wird, neue Initialisierung. Berechnung: h 0 = H(pass,seed) h n+1 : = H(h n,seed) Wert wird zusammen mit Sequenznummer gespeichert. –Berechnung sollte auf vertrauenswürdigem System erfolgen! –h l braucht nicht geheim gehalten werden.

47 IT-Sicherheit Grundlagen Dr. Wolf Müller 47 S/Key: Listing

48 IT-Sicherheit Grundlagen Dr. Wolf Müller 48 S/Key: Listing (2)

49 IT-Sicherheit Grundlagen Dr. Wolf Müller 49 S/Key: Sicherheit Einmalpassworte können unverschlüsselt übertragen werden. Aus Kenntnis eines Passworts kann nicht das nächste berechnet werden. Maskierungsangriff möglich: –Kontrolle der Verbindung Nutzer / Server. –Abfangen des Passworts. –Abbruch des Authentifizierungsvorgangs. Server sollte Zähler auch bei abgebrochenem Versuch dekrementieren. Man-in-the-Middle / Maskierung als Server –möglich beidseitige Authentifizierung in offenen Umgebungen nötig!

50 IT-Sicherheit Grundlagen Dr. Wolf Müller 50 Zero Knowledge Beweise Beweis der Kenntnis eines Geheimnisses, ohne Aufdeckung des Geheimnisses. Authentifizierung am Bankschalter –Bisher: Angeben des PIN. PIN Code muss laut ausgesprochen werden Banksystem kennt meine PIN. –Mit Zero Knowledge Beweisen: Beweise, dass ich die PIN kenne, ohne ihn zu verraten. PIN Code verlässt meinem sicheren Chip nie. Bank kennt meine PIN nicht.

51 IT-Sicherheit Grundlagen Dr. Wolf Müller 51 Zero Knoledge: Fiat-Shamir Zero Knowledge Protocol –Amos Fiat und Adi Shamir im Jahre 1986 vorgestellt. –Erlaubt es, seinem Gegenüber zu beweisen, dass man eine geheime Zahl kennt, ohne diese selbst preiszugeben. Authentizität wird nachgewiesen anhand einer Wahrscheinlichkeit, die mit Runden ansteigt. Sicherheit: diskrete Quadratwurzel. –Modul besteht aus zwei Primzahlen pq, so dass die Berechnung der Wurzel nur möglich ist, wenn die Primzahlen bekannt sind. Trusted Third Party (Schlüsselbank), ist beteiligt, die Nutzergeheimnisse erzeugt. Adi Shamir

52 IT-Sicherheit Grundlagen Dr. Wolf Müller 52 Fiat-Shamir Rolle der Schlüsselbank –Wählt Module n=p·q, pq, p und q Primzahlen. n ist öffentlich, p und q sind geheim. –Für jeden Subscriber, wird Zufallszahl z gewählt und ID- Mark erzeugt mit: v=H(ID,z). v ist öffentliche Information, die zur Authentifizierung des Subscibers benutzt wird. –Geheimnis s für den Subscriber wird aus s 2 ·v 1 (mod n) berechnet. Schlüsselbank ist die einzige Einrichtung, die dies tun kann, da nur sie p und q kennt –Jedem Subscriber wird eigenes Geheimnis s übergeben, und zugehörige Information n, ID, z, v werden veröffentlicht.

53 IT-Sicherheit Grundlagen Dr. Wolf Müller 53 Problem: noch nicht Zero Knowledge 1 Bit über r mod n wird preisgegeben. Wenn vorher Angreifer weiß: r ´ ± c mod n, so weiß er anschließend das Vorzeichen + oder -. Problem: noch nicht Zero Knowledge 1 Bit über r mod n wird preisgegeben. Wenn vorher Angreifer weiß: r ´ ± c mod n, so weiß er anschließend das Vorzeichen + oder -. Fiat-Shamir Authentifizierungsrunde: A authentisiert sich gegenüber B A (kennt s A ) B (kennt v A ) Wählt Zufallszahl r, ggT(r,n)=1 und berechnet x = r 2 mod n x wählt zufälliges Bit b b berechnet y abhängig von b: b =1:y = r·s mod n b=0: y = r mod n y Überprüft für b=1: y 2 x/vmod n b=0: y 2 x mod n

54 IT-Sicherheit Grundlagen Beide Varianten akzeptiert Dr. Wolf Müller 54 Feige- Fiat-Shamir Authentifizierungsrunde: A authentifiziert sich gegenüber B A (kennt s A ) B (kennt v A ) Wählt Zufallszahl r, ggT(r,n) = 1 und berechnet x = r 2 mod n ±x±x wählt zufälliges Bit b b y Überprüft für b=1: y 2 ± x/v mod n b=0: y 2 ± xmod n Zufällig gewähltes Vorzeichen Beide Varianten akzeptiert berechnet y abhängig von b: b =1:y = r·s mod n b=0: y = r mod n

55 IT-Sicherheit Grundlagen Dr. Wolf Müller 55 Feige-Fiat-Shamir Ein Angreifer (der s nicht kennt) hat 50%-ige Chance eine Runde zu überstehen. Um weiter zu überleben, muss er richtig raten, welches b durch B gewählt wird. Nach n Runden: Erfolgswahrscheinlichkeit für Angriff: p f = 2 -n. Einfache Berechnungen pro Runden, aber viele Runden. –Viele Nachrichten, ungeeignet für Smartcard –Alternative: Verfahren von Guillou und Quisquater: 1 Iterationsschritt, jedoch aufwändigere Berechnung Perfect Zero Knowledge

56 IT-Sicherheit Grundlagen Dr. Wolf Müller 56 What You Have Authentikatoren Ausweise Magnetkarten One-Time Passwort (OTP) Tokens Symmetrische Schlüssel Digitale Zertifikate Smartcards RFID ePASS, nPA Eigentlich immer Speicherung von Passworten auf einem Medium. Zusätzliche Möglichkeiten erst mit –Challenge & Response –Digitalen Unterschriften (Verarbeitungsmöglichkeiten auf dem Medium)

57 IT-Sicherheit Grundlagen Dr. Wolf Müller 57 One-Time Passwort Tokens Generieren bei jeder Benutzung ein neues Passwort. Passwort kann auf einem Challenge-Response-Verfahren basieren. Üblicherweise auf einem geheimen Token und synchronisierter Zeit basierend. In Hardware oder Software implementiert.

58 IT-Sicherheit Grundlagen Dr. Wolf Müller 58 RSA SecurID Authentifizierungs-Token Zur Authentifizierung bekommt jeder Benutzer einen sogenannten Token. In jedem Token ist ein, nicht auslesbarer, einmaliger, 64Bit- Startwert gespeichert. Durch den eindeutigen Startwert unterscheiden sich alle Token untereinander. Anhand der Uhrzeit und dem Startwert errechnet der Token minütlich einen 6-stelligen Zahlencode (Tokencode). Folgende Token stehen zur Auswahl: Neben den hier abgebildeten Token gibt es noch Software-Token für Mobiltelefone.

59 IT-Sicherheit Grundlagen Dr. Wolf Müller 59 OTP: Schwachstellen Gültigkeitsintervall des aktuellen Passworts. –Playback: Angreifer scannt Netzwerk, um Passwort zu stehlen und es sofort zu verwenden. –DoS: Asynchrone Uhren verhindern Login, Token muss zurückgesetzt / synchronisiert werden. Probleme ergeben sich daraus, dass die Systeme nicht wirklich one-time sind.

60 IT-Sicherheit Grundlagen Dr. Wolf Müller 60 Token sind nicht genau synchron Gewisse Unterschiede in der Systemzeit, Laufzeitunterschiede Nicht exakt one-time passwords, gewisse Zeitperiode (Kreis) in der die Passworte als gültig angesehen werden. Nutzer kann sich nicht erfolgreich einloggen, wenn Zeitdifferenz zu groß wird! Client Server

61 IT-Sicherheit Grundlagen Chipkarten Wichtigste Eigenschaften: –Sichere Verwahrung von geheimen Daten (Schlüsseln). –Trusted Hardware + OS Sicherheitskernel –Fähigkeiten zu kryptografischen Operationen MAC, HMAC, Signatur, Verschlüsselung –Signaturkarten –Algorithmen: Properitär DES AES RSA –Bis 2048 Bit Schlüssel Elliptische Kurven –Java-Card (Winzige JVM, kann spezielle Klassen laden & ausführen, SmartMX) Preis niedrig hoch Sicherheit

62 IT-Sicherheit Grundlagen Arten von Chipkarten Funktion: –Speicherkarten Speicherchip ohne Schutz der gespeicherten Daten Intelligente Varianten mit Access-Control-Feature Anwendung für: Telefonkarten, Versicherungskarten … –Prozessorkarten Enthalten Mikrokontroller (CPU, Speicher, I/O) Auch Smartcards genannt Können Kryptokoprozessor enthalten Smartcard-OS existieren Sehr flexibel. Übertragungsmethode: –Chipkarten mit Kontakten –Chipkarten ohne Kontakte

63 IT-Sicherheit Grundlagen Chipkarten: Anwendungen Reale Anwendungen: –Telecom: GSM/UMTS SIM –Banking: EC-card, Credit cards (EMV) –Gesundheit: Versicherungskarten Elektronische Gesundheitskarte –Security: Access Control, Digital Signaturen, E-Pass, nPA –Service: Pay-TV

64 IT-Sicherheit Grundlagen Chipkartenformat 6,25 mm 85,6 mm 54 mm 16,4 mm C1 C2 C3 C4 C5 C6 C7 C8 C1: Power Supply (Vcc) C2: Reset input (RST) C3: Clock input (CLK) C4: n/c C5: Ground (GND) C6: Programming voltage (not used) C7: Data I/O C8: n/c

65 IT-Sicherheit Grundlagen Chipkartenarchitektur CPU RAM I/O ROM EEPROM Address-/Databus C7 C1 C2 C3 C5 Vcc RST CLK GND To/From reader CPU 8-Bit, 16-Bit einfache Chips 16-Bit Addressbus 32-Bit High-End Microcontroller ROM Wenige kB bis 320 kB Enthält OS, Verfahren zur PIN-Überprüfung, Verschlüsseln, Signieren, Hashwerte berechnen IO Bitserieller Datentransfer · 9600 Bit/s, asynchron, halbduplex T=0 byteorientiertes Protokoll mit Prüfung von Paritätsbit T=1 blockorientiert gemäß ISO/OSI Schicht 1 RAM Byte bis 16 Kbyte Arbeitsspeicher Flüchtig, 1000x schneller als Schreiben in EEPROM EEROM Wenige kB bis 400 kB Nichtflüchtig, langfristige Speicherung PIN, Sitzungsschlüssel, Kontonr. … Bis zu Umprogrammierungen

66 IT-Sicherheit Grundlagen Chipkarten-Layer-Modell (Layer 7) Application (Layer 2) Data Link (Layer 1) Physical (Layer 7) Application (Layer 2) Data Link (Layer 1) Physical e.g. ISO/IEC , GSM, … e.g. ISO/IEC T1 ISO/IEC e.g. ISO/IEC , GSM, … e.g. ISO/IEC T1 ISO/IEC Host and Card ReaderChipcard

67 IT-Sicherheit Grundlagen Chipkarte: Filesystem Hierarchie MF EF DF EF DF MF EF DF Master File (root) Elementary File (data) Dedicated File (directory)

68 IT-Sicherheit Grundlagen Chipkarten-Filestrukturen Linear Fixed Cyclic Linear Variable Transparent

69 IT-Sicherheit Grundlagen Chipkarten: Kommandos File Management –Select File –Read/Write Record Authentication –PIN-Überprüfung –Get Challenge –Interne/Externe/Mutual Authentifikation Kryptographie –Verschlüsseln, Signieren, MAC Counter Operationen –Erhöhen, Erniedrigen

70 IT-Sicherheit Grundlagen Chipkarten: Angriffe Ziel: Auslesen geheimer Schlüssel auf der Karte. Physikalische Einwirkungen um kurzzeitige Hardwareeffekte zur Effekte zur Invertierung eines Registerbits zu erzielen (Boneh, DeMillo, Lipton) –Nicht praktisch nachgewiesen. Anlegen unüblicher Spannungen Modifikation des Takts Abhören –Entfernen der Hülle, Versuch der Kontaktierung –Aufschleifen, Elektronenmikroskopie (nur für starken Angreifer) Übertragungsweg Kartenlesegerät Zielsystem –Sniffer, Spoofing –Abwehr: Verschlüsselung, MAC, Signieren und Verifizieren Dr. Wolf Müller 70

71 IT-Sicherheit Grundlagen Chipkarten: Angriffe (2) Differential Power Analysis –Stromverbrauch charakteristisch für ausgeführtes Kommando? –Abwehr: Spannungsregler (HW), Benutzung von Maschinenbefehlen mit sehr ähnlichem Stromverbrauch (SW) PIN-Vergleich –Stromanalyse bei PIN-Vergleichen –Rückschlüsse vor Erhalt des Return-Codes der ausgewertet wird, um Fehlbedinungszähler ggf. zu erhöhen. –Angreifer will vorher abschalten um Brute-Force auf PIN zu starten. –Abwehr: Erst Zähler erhöhen, wenn PIN korrekt, wieder zurücksetzen. Dr. Wolf Müller 71

72 IT-Sicherheit Grundlagen Chipkarte: Sicherheitsrelevante Bereiche Für Menschen lesbar: –Verhinderung der Kartenfälschung, nicht zum Schutz der Daten. Unterschrift, Foto, Hologramme, Prägungen, Verfallsdatum Sicherheitseigenschaften des Chips: –Chip-Design Möglichst wenig Informationen verfügbar machen. –Security by Obscurity maximal begleitende Sicherung. Interne Busse nicht nach außen führen, nicht kontaktierbar. ROM in tieferen Schichten –Nicht Modifizierbar durch Laser Cutter. –Reverse Engineering erschwert. –Nicht zugänglich für Lasermikroskop, weder UV noch IR Schirmung des EEPROM gegen elektrische Abstrahlung –Spannungsführende Metallschicht, gleichzeitig als Spannungszuführung für den Chip. … Dr. Wolf Müller 72

73 IT-Sicherheit Grundlagen Chipkarten: Sicherheit Hardware Schutz –Adress- und Datenbusse sind nicht zugreifbar –Buslinien sind mehrfach gemischt Manuelles Layout in mehreren Ebenen –Gleiche Leistungsaufnahme für alle Kommandos –Spezielle Beschichtungen gegen chemische Angriffe –Redundante CPUs, Busse, Berechnungen –Sensoren zur Angriffserkennung Datenübertragung –Verschlüsselung, MAC, Sequenzzähler Authentifizierung zwischen Karte und Terminal –Internal, External, Mutual Challenge-Response Access Control –File-Zugriffsrechte für jedes File durch OS überwacht Authentifizierung des Kartenbesitzers –PINs –Demnächst Biometrie (Match on Card)

74 IT-Sicherheit Grundlagen Dr. Wolf Müller 74 What You Are Authentikatoren Fingerabdruck Gesicht(sform) Hand(form) Auge (Iris/Retina) Sprache Unterschrift Tippverhalten Biometrics The automated use of physiological or behavioral characteristics to determine or verify identity. – International Biometrics Group

75 IT-Sicherheit Grundlagen Privatheitsprobleme durch Biometrie Entifikator anstelle eines Identifikators! Trennung von Rollen/Identitäten und Entitäten nicht mehr möglich (nicht mehr unter Kontrolle des Benutzers). (Ungewollte) Zusammenführung von Daten zu einer Person möglich. Grundsätzlich sind biometrische Merkmale nur unveränderliche Passworte – und haben somit alle Probleme von Passworten … 75


Herunterladen ppt "Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherer Kanal:"

Ähnliche Präsentationen


Google-Anzeigen