Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherer Kanal:

Ähnliche Präsentationen


Präsentation zum Thema: "Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherer Kanal:"—  Präsentation transkript:

1 Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherer Kanal: von Alice zu Bob Symmetrische versus asymmetrische Verfahren

2 IT-Sicherheit Grundlagen Mittwoch: Gruppenaufgabe Ziel: Bearbeitung einer größeren Aufgabe in Gruppe Anforderungen an Thema: Theoretischer und praktischer Teil Vortrag Minuten zum Semesterende in VL-Termin –Vorstellung Konzept / Technik –Bewertung der praktischen Umsetzung –(gerne) Demo –Take-home-message Dr. Wolf Müller 2

3 IT-Sicherheit Grundlagen Mittwoch: Gruppenaufgabe Gruppen: 3-5 Mitglieder Enge Kommunikation, Zusammenarbeit (ideal) in einem Übungstermin {Mo,Mi} Ablauf: Themenvorstellung/-vergabe Mittwoch in VL Termin. Eigene Themenvorschläge sind willkommen. Vorbereitung in den Übungen: –Vorstellung Konzept –Diskussion, Beratung in Übungen –3 Min Appetizer (ähnlich Gong-Show) Dr. Wolf Müller 3

4 IT-Sicherheit Grundlagen Mittwoch: Was bis dann überlegen? Mit wem möchte ich Gruppe bilden? Welches (gerne eigene) Thema finden wir spannend? Welches Thema nehmen wir? Welche Fragen sind noch offen? Themen/Ideenliste als Draft: (noch in Arbeit, bitte erst nach VL ansehen) https://www2.informatik.hu- berlin.de/sar/Itsec/uebung_ssl/themen_grp_draft.pdf Dr. Wolf Müller 4

5 IT-Sicherheit Grundlagen Dr. Wolf Müller 5 Symmetrische (secret key) Verfahren Ver- und Entschlüsselungsschlüssel sind gleich oder leicht voneinander ableitbar. Bijektion f in unser Definition ist die Identität oder ein einfacher Zusammenhang zwischen K E und K D Kommunikationspartner müssen geheimen Schlüssel symmetrisch verwenden. Sicherheit symmetrischer Verfahren hängt folglich von der Stärke des kryptografischen Verfahrens und von der sicheren Aufbewahrung und Verwaltung der geheimen Schlüssel ab.

6 IT-Sicherheit Grundlagen Dr. Wolf Müller 6 Symmetrische Verfahren: Kommunikationsprotokoll 1.Kommunikationspartner Alice und Bob vereinbaren gemeinsamen, geheimen Schlüssel K E = K D = K A,B 2.Um Klartext M von Alice zu Bob zu schicken, verschlüsselt Alice den Text M mittels K A,B also C=E(M, K A,B ) und sendet C an Bob. 3.Bob entschlüsselt C mittels K A,B, also M=D(C, K A,B )=D(C=E(M, K A,B ), K A,B ) Problem: Verständigung über Schlüssel vor Beginn nötig!

7 IT-Sicherheit Grundlagen Jeder Kommunikationspartner bekommt Schlüsselpaar aus geheimen (private key) und öffentlich bekannten (public key) Schlüssel. Private Schlüssel müssen ebenfalls sicher verwaltet, jedoch nicht ausgetauscht werden. Dr. Wolf Müller 7 Asymmetrische Verfahren

8 IT-Sicherheit Grundlagen Dr. Wolf Müller 8 Asymmetrische Verfahren: Kommunikationsprotokoll 1.Kommunikationspartner Alice und Bob erzeugen ihre eigenen Schlüsselpaare (K E,A, K D,A ) und (K E,B, K D,B ), wobei die Schlüssel K D,A und K D,B die jeweiligen privaten Schlüssel sind. 2.Die Schlüssel K E,A und K E,B werden öffentlich bekannt gegeben. (Z.B. in öffentlicher Datenbank, oder öffentlich zugänglichem Schlüsselserver, PGP). 3.Will Alice einen Klartext M, der für Bob bestimmt ist, verschlüsseln, so verwendet sie Bobs öffentlichen Schlüssel, also: C=E(M, K E,B ) und sendet C an Bob. 4.Bob entschlüsselt C mit seinem privaten Schlüssel, also E(C, K D,B )=M.

9 IT-Sicherheit Grundlagen Dr. Wolf Müller 9 Asymmetrische Verfahren: RSA RSA: Ronald Rivest, Adi Shamir, Leonard Adleman Ronald Rivest Adi Shamir Leonard Adleman

10 IT-Sicherheit Grundlagen Dr. Wolf Müller 10 Anforderungen Auguste Kerckhoff: Sicherheit eines kryptographischen Algorithmus soll nur auf der Geheimhaltung des Schlüssels beruhen und nicht auf der Geheimhaltung des Algorithmus selbst. –Schlüssel darf auch mit Kenntnis der Ver- / Entschlüsselungsalgorithmen nicht (oder nur schwer) berechenbar sein. Schlüsselraum EK sollte sehr groß sein, damit er nicht mit vertretbarem Aufwand durchsucht werden kann –Caesar-Chiffre: Schlüsselraumgröße=26 zu klein –DES 56-Bit EK mit 2 56 = *10 16 Schlüsseln 1995 geknackt –Heute mindestens Schlüssellängen von 128 Bit nötig, besser länger.

11 IT-Sicherheit Grundlagen Dr. Wolf Müller 11 Anforderungen: Schlüsselraum Caesar-Chiffre: Schlüsselraumgröße=26 zu klein DES 56-Bit EK mit 2 56 = *10 16 Wettbewerbe DES mit Brute-Force: –DES-I 1997 Ende nach 96 Tagen –DES-IIa 1998 Ende nach 41 Tagen –DES-IIb 1998 Ende nach 56 Stunden –DES-III 1999 nach 22 Stunden –Seither gelten 56 Bits nicht mehr als sicher. Heute mindestens Schlüssellängen von 128 Bit nötig, besser länger.

12 IT-Sicherheit Grundlagen Schlüsselraum Dr. Wolf Müller 12 Bin Key Length# of keystime 10 6 /s per keytime /s per key 16 bits2 16 = ms33 μs 32 bits2 32 = 4.3* min2 ms 56 bits2 56 = 7.2* years10 hours 64 bits2 64 = 1.8* years107 days 128 bits2 128 = 3.4* *10 24 years5.4*10 18 years 256 bits2 256 = 1.2* *10 63 years3.5*10 57 years 512 bits2 512 = 1.3* * years2.1* years 1024 bits = 1.7* * years2.7* years Textual keys 5 chars36 5 = 6.1* s30 μs 10 chars36 10 = 3.7* years30 min 15 chars36 15 = 2.2* *10 9 years3500 years 20 chars36 20 = 1.3* *10 17 years2.1*10 11 years

13 IT-Sicherheit Grundlagen Dr. Wolf Müller 13 Kryptoregulierung Staatliche Regulierung des Einsatzes von kryptografischer Technologie –Umstrittenes Thema –Treibende Kraft USA Wunsch Exportkontrollen und Inlandsmarkt (DES 40 Bit) Schlüsselhinterlegung (key escrow) –Hauptargument: Verbrechensbekämpfung Andererseits Steganografie möglich –Verschlüsselung ist Voraussetzung von E-Commerce, E-Business –Basis für digitale Signaturen Anforderung: Besitzer ist der einzige der Zugriff auf privaten Schlüssel hat –Problem bei Hinterlegung –Keystore ist lohnendes Angriffsziel –Deutschland: verfassungsrechtliche Bedenken gegen Kryptoregulierung Entfaltungsfreiheit, Vertraulichkeit der Kommunikation, informelle Selbstbestimmung

14 IT-Sicherheit Grundlagen Informationstheorie Stochastischer Kanal: Kanal mit zufälligen, nicht systematischen Störungen, die nicht prinzipiell beschrieben werden und nicht durch empfängerseitige Maßnahmen behoben werden können. Wahrscheinlichkeitsrechnung kann Aussagen über Charakteristik des Kanals machen. A priori Verteilung der Quelle: Mit welcher Wahrscheinlichkeit hat Quelle ein Signal geschickt. Z.B. Deutsch, häufige Buchstaben / Buchstabenkombinationen Dr. Wolf Müller 14

15 IT-Sicherheit Grundlagen Maximum-Likelihood Methode Nachrichtenquelle Q, Nachrichten M 1, …, M n werden mit Wahrscheinlichkeit p i gesendet: C 1, …, C n Nachrichten, die empfangen werden. Bedingte Wahrscheinlichkeit p ij = P(C j |M i ), dass wenn gesendet M i wurde empfangen C j wird. Maximum-Likelihood Methode: Schätzung der Originalnachricht mit Hilfe von p i und p ij. Maximum-Likelihood Funktion: P(M i |C j )=P(C j |M i ) P(M i ) gesucht, Nachricht i=m, die mit größter Wahrscheinlichkeit : i: P(M m |C j ) P(M i |C j ), gesendet wurde. Dr. Wolf Müller 15

16 IT-Sicherheit Grundlagen Kryptografischer Kanal = Kanal zur Übertragung von Kryptotexten Ähnlichkeit mit stochastischem Kanal: –Angreifer Empfänger eines stochastischen Kanals –Angreifer versucht aus übermittelten Daten und Kenntnissen über Nachrichtenquelle ursprüngliche Nachricht zu ermitteln Kryptoanalyse Störungen des krytografischen Kanals nicht zufällig sondern absichtlich (Sender verschlüsselt) Angreifer braucht möglichst viele Informationen, um Analyseaufwand zu reduzieren –Entropie / Redundanz einer Quelle. Dr. Wolf Müller 16

17 IT-Sicherheit Grundlagen Entropie Informationsgehalt von Nachrichten: I(M)=log 2 (1/p i ) = -log 2 (p i ) (gemessen in Bits/Zeichen) –Informationsgehalt geringer, wenn Nachricht häufig auftritt. Entropie H einer Nachrichtenquelle:= mittlerer Informationsgehalt dieser Quelle Maß für Unbestimmtheit der Quelle Entropie misst Informationsgehalt, der im Durchschnitt bei Beobachtung der Quelle erhalten wird. Dr. Wolf Müller 17

18 IT-Sicherheit Grundlagen Entropie (2) Wünschenswert: Angreifer bekommt möglichst wenig Informationen über die Quelle! Maximale Entropie wenn alle Nachrichten gleichverteilt gesendet werden: p i =1/n H max =log(n) Bedingte Entropie: Mittelwert über M i M alle Klartextnachrichten unter der Bedingung, dass ein C i C aus der Menge aller Chiffretexte empfangen wurde. Wie unbestimmt ist eine Quelle nach Beobachtung einer Nachricht noch? Dr. Wolf Müller 18

19 IT-Sicherheit Grundlagen Entropie / Redundanz Je weiter Entropie einer Quelle unter der max. Entropie liegt, desto leichter (für Angreifer) wahrscheinlichsten Klartext auszuwählen. Redundanz: Differenz zwischen maximaler und tatsächlicher Entropie D=H max -H Beispiel: Quelle mit lat. Buchstaben + Leerzeichen H max =log(27) ~ 4.75 Sinnvolle deutsche Texte Entropie ~ 1.6 Redundanz von Deutsch etwa 3, also etwa 66% Dr. Wolf Müller 19

20 IT-Sicherheit Grundlagen Sicherheit von Kryptosystemen (KS) Absolute Sicherheit 1948: C. E. Shannon. A mathematical theory of communication. Annahme: Angreifer kennt a priori Verteilung der Quelle (z.B. Deutsch) Angreifer versucht mit a postori Verteilung (Wahrscheinlichkeit, dass C i empfangen, wenn M i gesendet) relevante Information herzuleiten. Absolute Sicherheit (Shannon): Ein Kryptosystem ist absolut sicher, wenn die a priori Verteilung für jede Nachricht gleich ihrer a postori Verteilung ist, d.h. wenn: P(M) = P (M | C) Dr. Wolf Müller 20

21 IT-Sicherheit Grundlagen Sicherheit KS: Absolute Sicherheit Definition Angreifer kann keine Information aus Abhören des Kanals gewinnen. Maximum Likelihood Funktion maximieren Nachricht mit größter a priori Wahrscheinlichkeit (da a priori & a postori Verteilung gleich sind) Ersetzt man P(M|C) P(M) so ist bedingte Entropie gleich der maximalen Entropie Angreifer kann allein durch Beobachten der Quelle eines absolut sicheren KS keine Information über verwendeten Schlüssel gewinnen. Dr. Wolf Müller 21

22 IT-Sicherheit Grundlagen Eigenschaften absolut sicherer KS P(M) = P (M | C) für ein M und alle C: P (C | M) = P (C) > 0 Zu jedem beobachteten C muss es einen Schlüssel geben: M=D(C, K). Zuordnung M C eindeutig für gegeben Schlüssel K Mindestens so viele Schlüssel K wie Chiffretexte C Mindestens so viele Chiffretexte C wie Klartexte M (Injektivität) Mindestens so viele Schlüssel K wie Klartexte M In Praxis nur One-time-pad und Quantenkryptographie absolut sicheres KS! (Vorausgesetzt guter Zufallszahlengenerator) Dr. Wolf Müller 22

23 IT-Sicherheit Grundlagen Praktische Sicherheit Sicherheit gegeben durch Aufwand den der Angreifer für Kryptoanalyse hat. Analyse einer einfachen Verschiebung im lat. Alphabet mit 26! Permutationen: –Durchschnittlich 26!/2 > 2* Entschlüsselungsoperationen nötig, bei vollständiger Suche. –Aber: Zusatzinformationen, Sprache mit typischer Wahrscheinlichkeitsverteilung, somit kann Schlüsselraum um Menge von Möglichkeiten reduziert werden. –Bei Halbierung des Schlüsselraums pro Analyseschritt : Suchaufwand n log n Schlüsselraum darf in als praktisch sicher geltenden KS nicht leicht partionierbar sein Dr. Wolf Müller 23

24 IT-Sicherheit Grundlagen Praktische Sicherheit Partionierung: Schlüsselraum darf in als praktisch sicher geltenden KS nicht leicht partionierbar sein. Diffusion: Chiffretext sollte von möglichst vielen Klartextzeichen, sowie vom gesamten Schlüssel abhängen. Konfusion: Zusammenhang zwischen Klartext, Schlüssel und Chiffretext so komplex wie möglich. Konfusion und Diffusion sind essenziell für praktische Sicherheit von KS! Dr. Wolf Müller 24

25 IT-Sicherheit Grundlagen Praktische Sicherheit Ein kryptografisches Verfahren wird praktisch sicher genannt, wenn der Aufwand zur Durchführung der Kryptoanalyse die Möglichkeit jedes denkbaren Analysten übersteigt und die erforderlichen Kosten den erwarteten Gewinn bei weitem übertreffen. Damit ist praktische Sicherheit gebunden an: -Angreifermodell -Zeitpunkt Dr. Wolf Müller 25

26 IT-Sicherheit Grundlagen Dr. Wolf Müller 26 Crypttool

27 IT-Sicherheit Grundlagen Komplexitätstheorie Effiziente und nichteffiziente Algorithmen –Rechenaufwand von Algorithmen als Funktion der Länge der Eingabedaten –In Kryptographie häufig Worst-Case Abschätzungen –Edmund Landau ( ) Symbol O-Notation Dr. Wolf Müller 27

28 IT-Sicherheit Grundlagen Landau Symbol O Gegeben zwei Funktionen f und g. f(n) = O ( (g(n) ) für n 1, n2 N. wenn es eine Konstante c > 0 und ein n 0 2 N gibt, so dass: 8 n > n 0 : | f(n) |· c | g(n) |. f wächst bis auf konstanten Faktor c nicht schneller als g. Die Konstante hat bei sehr großen n nur geringen Einfluss. Dr. Wolf Müller 28 n=10n=20n=30n=50n=100 n n2n n3n n2n

29 IT-Sicherheit Grundlagen Effiziente Algorithmen Effizienter Algorithmus: Laufzeit durch Polynom in der Eingabegröße beschränkt. Klasse P der mit polynomiellem Aufwand lösbaren Probleme. Funktion f wächst polynomiell: 9 k: f= O (n k ). Zu P gehören Algorithmen mit: –Konstanter (Einfügen / Löschen von Hashtabelleneinträgen) –Logarithmischer –Linearer –Quadratischer (Doppelt verschachtelte Schleifen, Dijkstra) Laufzeit. Dr. Wolf Müller 29

30 IT-Sicherheit Grundlagen Algorithmen (Klasse NP) Klasse NP: Klasse der nicht effizient lösbaren Probleme. Algorithmus f ist 2 NP, wenn korrekt geratene Lösung durch nicht- deterministische Turingmaschine in polynomieller Zeit als korrekt erkannt wird und die Maschine bei falschen Lösungen unter Umständen exponentiellen Rechenaufwand hat. NP-hart: Algorithmus f heißt NP-hart, wenn sich jedes Verfahren der Klasse NP in polynomieller Zeit auf f reduzieren lässt. NP-vollständig: f heißt NP-vollständig, wenn f NP-hart und f 2 NP. (travelling salesman) Bis heute unklar, ob P NP. Für Kryptographie NP notwendig, aber nicht hinreichend, da nur worst case betrachtet wird. Dr. Wolf Müller 30

31 IT-Sicherheit Grundlagen Symmetrische Verfahren Symmetrische Verfahren: gemeinsame, geheime Schlüssel große praktische Bedeutung Ver- und Entschlüsselungsverfahren (Permutation, Substitution) basieren auf sehr einfachen Operationen –Shifts –XOR Effizient in Hard- und Software implementierbar. Dr. Wolf Müller 31

32 IT-Sicherheit Grundlagen Permutation Permutation von A (endliche Menge) ist bijektive Abbildung: f : A A. Bitpermutation: A={0,1} n sei Menge aller Binärworte der Länge n. Sei ¼ Permutation der Menge {1, …,n}: f : {0,1} n {0,1} n, mit b 1, …,b n b ¼ (1), …, b ¼ (n). –Bei einer Permutation=Transposition wird Anordnung der Klartextzeichen vertauscht. –Permutationen häufig durch Tabellen realisiert. –Z.B. in DES Dr. Wolf Müller 32

33 IT-Sicherheit Grundlagen Substitution Gegeben 2 Alphabete A 1, A 2. Substitution: Abbildung: Substitutionschiffre ersetzt systematisch Klartextzeichen durch Chiffretextzeichen. Durch Kombination von Permutation und Substitution erhält man Produktchiffre. (Z.B. DES-Algorithmus) Dr. Wolf Müller 33

34 IT-Sicherheit Grundlagen Dr. Wolf Müller 34 Block und Stromchiffren –Zu verschlüsselnde Klartexte besitzen unterschiedliche Längen. –Verschlüsselungsverfahren erwarten in der Regel feste Länge. –Klartext wird in Einheiten (Blöcke oder Zeichen) fester Länge. aufgeteilt. Blockchiffre: –Verwendung, wenn Klartext vor Beginn der Verschlüsselung vollständig vorliegt. ( , File, Filesystem) Stromchiffre: –Verwendung bei Anwendungen, wo es nicht praktikabel ist, zu warten, bis genug Zeichen für einen Block vorhanden sind (stromorientiert). (Verschlüsselung von Tastatureingaben, Sprachübertragung, wenn Latenz wichtig ist, ssh)

35 IT-Sicherheit Grundlagen Dr. Wolf Müller 35 Stromchiffre Sequentielle (lineare) Chiffren, die Folge von kleinen Klartexteinheiten mit einer variierenden Funktion verschlüsseln. –Kleine Einheiten werden meist Zeichen genannt. –Gängige Zeichengröße sind 1 Bit oder 1 Byte. Größte Sicherheit (absolut sicher), wenn Schlüsselzeichen zufällig gewählt sind und der Schlüssel die gleiche Länge wie der Klartext besitzt. –One-time-Pad (Praxis ungeeignet) –Quantenkryptografie –Nahe liegend: Mechanismen, die One-time-pad approximieren. Verwendung von Pseudozufallsgeneratoren: –Pseudozufallsfolge wird durch deterministischen Prozess unter Verwendung eines Initialisierungswerts generiert. –Muss Eigenschaften einer echt zufälligen Folge aufweisen. –Zufallsgeneratoren sollen Folgen so generieren, dass es keinen polynomiellen Algorithmus gibt, der ohne Kenntnis des Initialwertes aus einem Abschnitt der Folge das nächste Zeichen mit einer Trefferwahrscheinlichkeit größer als 0.5 vorhersagen kann.

36 IT-Sicherheit Grundlagen Dr. Wolf Müller 36 Stromchiffre (2) Kommunikationspartner müssen gleichen Pseudozufallsgenerator und gleichen Initialwert haben. Über Eigenschaften des Zufallsgenerators ist gesichert, dass Angreifer aus Beobachtung der Chiffretexte nicht darauf schließen kann, welches Zeichen als nächstes generiert wird. Aufwand zum Schlüsseltausch gering (nur den relativ kurzen Initialwert). Im Gegensatz zu Blockchiffren Verwendung sehr einfacher Verknüpfungen zum Ver- und Entschlüsseln, bei Binärfolgen Ver- und Entschlüsselung mit XOR, also Addition modulo 2. Für kryptografische Sicherheit ist der Generator ausschlaggebend. RC4 (WEP), A5-Algorithmus (GSM) Initialwert Schlüssel- zeichen Klartext Chiffretext Schlüssel- zeichen Klartext Chiffretext Pseudozufalls- zahlengenerator Pseudozufalls- zahlengenerator Sender Initialwert Schlüssel- zeichen Chiffretext Klartext Schlüssel- zeichen Chiffretext Klartext Pseudozufalls- zahlengenerator Pseudozufalls- zahlengenerator Empfänger Sicherer Austausch unsicherer Kanal

37 IT-Sicherheit Grundlagen Dr. Wolf Müller 37 Stromchiffre: Probleme Verwendung von Stromchiffren nicht einfach in der Praxis oft Probleme! Da bei Stromchiffren Klartexte mit XOR mit dem Schlüsselstrom verknüpft werden (C=M XOR Key), muss sichergestellt werden, dass für jede Nachricht ein neuer Schlüsselstrom Key generiert und verwendet wird. Sonst kann Angreifer auch ohne Kenntnis des Schlüssels Key Klartexte erhalten! –C 1 = M 1 XOR Key und C 2 = M 2 XOR Key –Es gilt aber auch: C 1 XOR C 2 =M 1 XOR Key XOR M 2 XOR Key = M 1 XOR M 2 –Angreifer kann aus Abhören der Chiffretexte C 1 und C 2 das XOR der zugehörigen Klartexte gewinnen. –Falls er Teile der Klartexte (oder eigene Texte verschlüsseln lässt) kennt, kann er andere erschließen. –Known-Plaintext-Angriffe

38 IT-Sicherheit Grundlagen Dr. Wolf Müller 38 Stromchiffre: Vigenère Chiffre Vigenère Chiffre über lateinischem Alphabet Schlüssel ist Zeichenfolge, Schlüsselwort oder Schlüsselphrase Verschlüsselung: Addition modulo 26 Schlüsselfolge kürzer als Klartext, periodische Wiederholung Kurze Periode ist leicht angreibar.

39 IT-Sicherheit Grundlagen Dr. Wolf Müller 39 Blockchiffren Verarbeitung von Eingabeblöcken fester Länge, wobei jeder Block mit der gleichen Funktion verschlüsselt wird. Typische Blockgröße 64-Bit Klartext M der Länge m wird in r Blöcke der Länge n zerlegt. Letzter Block hat Länge 1kn, wird mit Füllmuster aufgefüllt (Padding) Damit bei Entschlüsselung das Ende des originalen Klartextes im aufgefüllten Block erkennbar, muss Länge des Füllbereichs oder Länge des Klartextbereichs mit in diesen Block codiert werden. Ver- / Entschlüsselung separat für jeden Block mit gleichem Schlüssel K bzw. K, mit f(K)= K. Klartext M M1 M2 M3 Mr … M1 M2 Mr … … Schlüssel K Verschlüsselung K K … … Schlüssel K Verschlüsselung C1 C2 Cr … Schlüssel K Verschlüsselung K K Schlüssel K Verschlüsselung … …

40 IT-Sicherheit Grundlagen Dr. Wolf Müller 40 Block Operation Modes: ECB Electronic Codebook (ECB) C i =E(M i,K), M i =D(C i,K) E K M1M1 C1C1 E K M2M2 C2C2 D K C1C1 M1M1 D K C2C2 M2M2 Time Sender: Encryption Empfänger: Decryption … … … …

41 IT-Sicherheit Grundlagen Demo #!/bin/bash CHIPHER=$1 BMP="xxx.bmp" ENC="enc-"$CHIPHER".bmp" rm -f $ENC tmp.enc #Längen LL=`ls -l $BMP | awk '{print $5}'` #Length HH=54 #Header BB=$(($LL-$HH)) #Body #Encryption openssl enc -$CHIPHER -e -in $BMP -out tmp.enc -k 0815 #BMP (Header + Encrypted Body without Padding) head -c $HH $BMP > $ENC tail -c $BB tmp.enc >> $ENC echo "$ENC written!" Dr. Wolf Müller 41

42 IT-Sicherheit Grundlagen Ergebnisse: Dr. Wolf Müller 42 xxx.bmp des-ecb aes-128-ecbaes-256-ecb des-cbc

43 IT-Sicherheit Grundlagen Dr. Wolf Müller 43 Block Operation Modes: ECB Eigenschaften ECB Jeder Block ist unabhängig von anderen Blöcken. Verschlüsselung von gleichem Plaintext wird zu gleichem Ciffretext verschlüsselt. Fehlerfortpflanzung: Wenn ein Fehler in einem Chiffreblock vorkommt, ist nur der entsprechende Plaintextblock betroffen. Synchronisation: Wenn der Empfänger die Blockgrenzen nicht synchronisieren kann, ist eine Entschlüsselung unmöglich. Blöcke können unbemerkt dupliziert, hinzugefügt, vertauscht oder entfernt werden!

44 IT-Sicherheit Grundlagen Dr. Wolf Müller 44 Block Operation Modes: CBC Cipher Block Chaining (CBC) C i =E(M i C i-1,K), M i =D(C i,K) C i-1, C 0 =IV Initialisierungsvektor E E k k M1M1 M1M1 C1C1 C1C1 IV=C 0 E E k k M2M2 M2M2 C2C2 C2C2 Sender: Encryption C1C1 C1C1 D D k k M1M1 M1M1 IV C2C2 C2C2 D D k k M2M2 M2M2 Empfänger: Decryption … … … … … … … …

45 IT-Sicherheit Grundlagen Dr. Wolf Müller 45 Block Operation Modes: CBC Eigenschaften von CBC Initialisierungsvektor IV muss angegeben werden. IV muss nicht geheim sein. Chiffreblock hängt ab von IV und allen Plaintextblöcken vor ihm. Identische Plaintextblöcke werden in verschiedene Chiffetextblöcke verschlüsselt. Reihenfolge der Blöcke ist signifikant. Wird sie verändert, ändert sich die Chiffrierung. Identische Plaintext-Sequenzen werden zu identischen Chiffre- Sequenzen verschlüsselt, es sollten also unterschiedliche Initialisierungsvektoren verwendet werden. Fehlerfortpflanzung: Wenn ein Fehler in einem Chiffreblock auftritt, kann dieser und der nächste Plaintextblock nicht entschlüsselt werden. Synchronisation: Wenn Synchronisation bei diesem Chiffreblock wiedergewonnen wird, können dieser und der nächste Plaintextblock entschlüsselt werden.

46 IT-Sicherheit Grundlagen Dr. Wolf Müller 46 Block Operation Modes: CFB Cipher Feedback (CFB) C i =E(C i-1,K) M i, M i =D(C i-1,K) C i, C 0 =IV C i-1 E E k k CiCi CiCi MiMi MiMi D D k k MiMi MiMi CiCi CiCi Sender: Encryption Empfänger: Decryption Gleiche Eigenschaften, wie CBC. Nachrichten kürzerer als Blockgröße sind möglich.

47 IT-Sicherheit Grundlagen Dr. Wolf Müller 47 Block operation modes: OFB Output Feedback (OFB) z i =E(z i-1,K), C i =z i M i, M i =z i C i, z 0 =IV z i-1 E E k k CiCi CiCi MiMi MiMi E E k k MiMi MiMi CiCi CiCi Sender: Encryption Empfänger: Decryption Nachrichten kürzerer als Blockgröße sind möglich.

48 IT-Sicherheit Grundlagen Dr. Wolf Müller 48 Block operation modes: OFB OFB Eigenschaften Zustandssequenz z i ist unabhängig vom Plaintext. Entspricht Verschlüsselung mit Pseudozufallszahlengenerator mit nichtlinearem Feedback. Fehlerfortpflanzung: keine. Synchronisation: Wenn Grenzsynchronisation verloren ist, muss das ganze System neu synchronisiert werden.

49 IT-Sicherheit Grundlagen Blockchiffre Algorithmen: DES 3DES AES Dr. Wolf Müller 49

50 IT-Sicherheit Grundlagen Dr. Wolf Müller 50 DES: Historie Data Encryption Standard (kurz: DES) DES Geschichte: Entwickelt durch IBM 1974 publiziert 1977 Anerkennung von DES als Standard durch National Bureau of Standards, heute NIST 1981 Anerkennung von DES als Standard durch American National Standards Institute (ANSI X3.92)

51 IT-Sicherheit Grundlagen Dr. Wolf Müller 51 DES Symmetrischer Algorithmus Blockchiffre: Message blocks von 64 Bits. Verschlüsselung in Chiffreblocks von 64 Bits. Schlüssel von 64 Bits. Signifikante Schlüssellänge 56 Bits, mit 8 Paritätsbits |K|=2 56 DES Key K 64(56) bits 64 bits M i 64 bits C i DES bits M i 64 bits C i Encryption Decryption

52 IT-Sicherheit Grundlagen Dr. Wolf Müller 52 DES: Blockchiffre Seine Entstehungsgeschichte gab wegen der Beteiligung der NSA am Design des Algorithmus immer wieder Anlass zu Spekulationen über seine Sicherheit. Verschlüsselungstechniken: –Bitpermutationen (Transpositionen) –Substitutionen –bitweise Addition modulo 2 Schlüssellänge für heutigen Stand der Technik unzureichend, durch AES abgelöst. Jedoch noch in viele kommerzielle Produkte integriert.

53 IT-Sicherheit Grundlagen Dr. Wolf Müller 53 Blockchiffre: Triple DES (3DES) DES Algorithmus ist kryptografisch stark, Wunsch, Schlüssellänge zu erhöhen. Lösung: Mehrfachverschlüsselung des Klartexts mit verschiedenen Schlüsseln DES-Verschlüsselungen bilden keine Gruppe, Verwendung verschiedener Schlüssel kann auf Vergrößerung des Schlüsselraumes führen. Aber: Zweifach Verschlüsselung liefert nicht Schlüsselraum von Mit Meet-in-the-middle Angriff werden nur 2 57 Ciffrier- und Dechiffriervorgänge gebraucht, um Schlüssel zu Brechen. Fortschritte durch Triple-DES (3 Schlüssel K 1, K 2, K 3 ): –Verschlüsselung: DES (DES -1 (DES (X,K 1 ), K 2 ), K 3 ) –Entschlüsselung: DES -1 (DES (DES -1 (X,K 3 ), K 2 ), K 1 ) Effektive Schlüssellänge anstelle von 168 Bit nur 108 Bit, Schlüsselraum 2 108, länger, aber auf lange Sicht nicht ausreichend! 3fache Verschlüsselung recht ineffizient

54 IT-Sicherheit Grundlagen AES-Wettbewerb Januar 1997: Wettbewerb für neue Verschlüsselungstechnik durch Nationales Institut für Standards und Technologie der USA (NIST) ausgerufen AES soll ein Federal Information Processing Standard (FIPS) werden Evaluierung von Sicherheit und Effizienz nicht durch nicht selbst, sondern offen. Anforderungen: –symmetrischer Blockchiffre –Blockgröße:128 Bit –Schlüssellängen: 128, 192 und 256 Bit –Resistenz gegen alle Methoden der Kryptoanalyse –sehr effizient in Software und Hardware (auch auf 8 Bit-Prozessoren (Chipcards)) –einfach zu implementierbar 54

55 IT-Sicherheit Grundlagen AES: The Winner is? Rijndael Oktober 2002 : Rijndael Autoren: Joan Daemen, Vincent Rijmen (Belgien) –Algorithmus hat sehr gute Performance in Hardware und Software –Algorithmus ist sehr einfach –Rijndael verschlüsselt mit 8 und 32 Bit Operationen 8 Bit = 1 Byte und 32 Bit = 4 Byte = 1 Wort –Blockgröße nicht zwingend 128 Bit (AES), sondern jedes Vielfache von 32 zwischen 128 und 256 Bit möglich. 55 * 1970 * 1965

56 IT-Sicherheit Grundlagen Rijndael GF(2) | 8 Byte b 7 …b 0 als Koeffizienten eines Polynoms darstellbar: b(x) = b 7 x 7 + b 6 x 6 + … + b 2 x 2 + b 1 x + b 0 –Beispiel: x 6 + x 4 + x + 1 b(x) repräsentiert Elemente des endlichen Körpers GF(2)| 8 Alle möglichen Bytes sind genau die Elemente von GF(2)| 8 Endlicher Körper : – und sind abelsche Gruppen – und sind distributiv – ist Addition der Komponenten modulo 2, auf Byte-Ebene entspricht der Operation XOR – ist Multiplikation von Bytes modulo m(x)= x 8 + x 4 + x 3 + x + 1 (irreduzibles Polynom, 8ten Grades) –Multiplikation von Worten: wie mit Bytes, mit irreduziblem Polynom m(x) = x

57 IT-Sicherheit Grundlagen Dr. Wolf Müller 57 AES Verschlüsselungs-Runde Datablock d i-1 : 128 bits/16 Bytes Transformationen basierend auf Byte-Operationen - Substitution - Permutation - Intermix Transformationen basierend auf Byte-Operationen - Substitution - Permutation - Intermix Data block d i : 128 bits/16 bytes AES Key: 128/192/256 Bit Rundenschlüssel abgeleitet vom AES Key 10/12/14 mal, abhängig von Schlüsselgröße Rundenschlüssel abgeleitet vom AES Key 10/12/14 mal, abhängig von Schlüsselgröße Keine Transformationsbox in Anfangsrunde Kein Intermix in letzter Runde

58 IT-Sicherheit Grundlagen Dr. Wolf Müller 58 AES Verschlüsselungs-Runde (2) Transformationen: Substitution –Jedes Byte durch sein multiplikativ-inversen Wert ersetzt. –Bytes werden verwendet, um Polynome von einem Grad kleiner 8 darzustellen, wegen der Reduktion auf irreduzible Polynome modulo 8 –Bytes werden als Elemente eines endlichen Körpers interpretiert. Addition und Multiplikation sind definiert, unterscheiden sich aber von der von normalen Zahlen. Permutation –Positionstausch der Bytes Intermix –Matrix Multiplikation der Bytes in dem internen Zustand

59 IT-Sicherheit Grundlagen Dr. Wolf Müller 59 AES Verschlüsselungs-Runde (3) Schlüsselableitung: Mit Schlüssellänge 128 Bit, jede Runde erfordert 128 Bit. Schlüssel wird in 4 Worte zu je Byte aufgeteilt. w0w0 w0w0 w1w1 w1w1 w2w2 w2w2 w3w3 w3w3 w4w4 w4w4 w5w5 w5w5 w6w6 w6w6 w7w7 w7w7 AES Key =Schlüssel für Runde 0 Schlüssel für Runde 1 KT … w i =w i-1 XOR w i-4 Wenn i mod 4=0, wird Schlüsseltransformation (KT) angewendet. KT beinhaltet Byte- Verschiebungen, Substitutionen und die Addition einer Runden- konstanten, Quadrierung im Raum der irreduziblen Polynome in GF(2 8 ).

60 IT-Sicherheit Grundlagen Rijndael: Kryptoanalyse & Verwendung resistent gegen lineare und differentielle Kryptoanalyse saturation attack –chosen-plaintext + Ausnutzung der byte-orientierten Struktur nur für rundenreduzierte (7 Runden) Version möglich implementation attacks –timing attack –power analysis Verwendung: Wireless LAN WPA2 SSH, IPsec Skype, 7-Zip,PGP 60

61 IT-Sicherheit Grundlagen Demo in Crypttool Dr. Wolf Müller 61


Herunterladen ppt "Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherer Kanal:"

Ähnliche Präsentationen


Google-Anzeigen