Sicherheit in Ad-Hoc Netzwerken Marc Haase

Agenda Ad-Hoc Netzwerke Geschichte Eigenschaften Anwendungen Eine kurze Einführung in die Sicherheit Sicherheitsaspekte in Ad-Hoc Netzwerken Authentifizierung Vertraulichkeit Integrität Verfügbarkeit Anonymität

Ad-Hoc Netzwerke

Ad-Hoc Netzwerke Charakteristik: weit gefächertes drahtloses Netzwerk von mobilen und statischen Knoten keine feste Infrastruktur oder zentrale Administration kein Provider spontane Kommunikationsbeziehungen zwischen benachbarten Knoten jeder Knoten profitiert von Diensten der Nachbarknoten Mobilität durch drahtlose Kommunikation Kooperation zwischen Knoten erforderlich dynamische Netzwerktopologie (unstabile Routen und Verbindungen) Routing und Mobilitätsmanagement wird vom Power Management beeinflusst Accesspoints zum drahtgebundenen Netz

Ad-Hoc Netzwerke Geschichte: Ursprung in den frühen 70er Jahren Packet-Radio-Networks Forschung ausschließlich für militärische Zwecke PRnet entwickelt vom American Defence Advanced Research Projects Agency (DARPA) Entwicklung des 802.11 Standard (WLAN) Umbenennung von Packet-Radio-Network in Ad-Hoc Network durch IEEE Distanzierung vom militärischen Charakter Zukunft: Ubiquitous Computing

Ad-Hoc Netzwerke Applikationen: Militär Kommunikation, Monitoring, Sensornetzwerke für Zielerkennung und -identifizierung Notfallsituationen Geopolitisch Naturkatastrophen „Atomarer Volltreffer“ Erweiterung von zellulären Netzwerken (GSM, UMTS) Schaffung von alternativen, preiswerten Kommunikationsmöglichkeiten private Netzwerke im Heimbereich Verteilte Systeme Datenerfassung, Geräteüberwachung, Spontane Vernetzung für Meetings, Konferenzen

Sicherheitsaspekte? Ad-Hoc Netzwerke Auto-ID The WaerCam The voting button Recognition gadgets The disappearing computer Location Systems Networked cameras and microphones The Home Medical Advisor The input recognition server The Weather and Traffic Display Sicherheitsaspekte?

Ad-Hoc Netzwerke Sicherheitsanforderungen an Ad-Hoc Netzwerke sind vergleichbar mit denen an drahtgebundene Netzwerke Vertraulichkeit – Confidentiality Integrität – Integrity Verfügbarkeit – Availability Authentifizierung – Authentication Privatheit – Anonymity ABER! existierende Sicherheitslösungen für drahtgebundene Netzwerke sind nicht ohne erneute Untersuchung auf Ad-Hoc Netzwerke übertragbar Warum? die Sicherheitsprobleme sind auf Grund der besonderen Eigenschaften von Ad-Hoc Netzwerken andersartig als in drahtgebundenen Netzwerken

Ad-Hoc Netzwerke Was sind die Gründe? beschränkte Hardware-Ressourcen Low-power Mikroprozessoren geringe Speicherkapazität und Bandbreite knappe Energieressourcen Secure clock mobiler Einsatz dynamische Änderung der Netzwerktopologie drahtlose Kommunikation

Eine kurze Einführung in Sicherheit

Was bedeutet Sicherheit? Risikomanagement Aufdecken, Erkennen von Bedrohungen Schwachstellen Angriffen Abschätzen von Angriffswahrscheinlichkeiten Kosten Entwicklung von vorbeugenden Schutzmaßnahmen Entwicklung von Gegenmaßnahmen Installation von adäquaten Gegenmaßnahmen

Vertraulichkeit – Confidentiality Definition Information bleibt unbekannt für unautorisierte Dritte Bedrohung Aufdeckung Mechanismus Verschlüsselung / Entschlüsselung Mathematische Operation – Bijektion Parameter: Schlüssel K ? ? ? Alice Malory Bob Plaintext Ciphertext Plaintext

Vertraulichkeit – Confidentiality Security by Obscurity Verschlüsselungsalgorithmus geheim Gesamte Sicherheit liegt in der Wahl des Schlüssels Falsche Interpretation von Sicherheit „Clipper Chip“ – Pay-TV Decoder Prinzipien von Kerkhoff (1833) Sicherheit vom verwendeten Verschlüsselungsalgorithmus abhängig Veröffentlichung des Algorithmus ermöglicht Krypto-Analyse durch Experten AES Verschlüsselungsstandard: 15 Kandidaten (1998) 5 Finalisten (2000) Oktober 2000 – Rijindael Algorithmus 

Vertraulichkeit – Confidentiality Brute force attacks Verschlüsselungsalgorithmus öffentlich Vollständige Suche nach dem Plaintext bei gegebenem Ciphertext großer Schlüsselraum erforderlich Weitere Angriffe Differentielle Kryptoanalyse (Biham, Shamir) Lineare Kryptoanalyse (Matsui) Hardwarebasierte Schlüsselsuche Beispiele 1994 Wiener – DES Hardware Key Search Machine (7 Stunden) 1997/1998 Electronic Frontier Foundation Parallel DES Key Search Machine (56 Stunden für DES II-2 ) 2001 Bond/Clayton FPGA- based DES-cracking machine

Vertraulichkeit – Confidentiality „Confidentiality Amplifier“ Sicherheit des Krypto-Systems bestimmt durch Geheimhaltung des Schlüssels Problem: Schlüsselverteilung über unsicheren Kanal Lösung: Übertragung des Schlüssels über einen „anderen“ sicheren Kanal (Diplomatischer Kurier) Sicherer Kanal: Geringe Bandbreite Hohe Latenzzeit Hohe Kosten Absicherung eines größeren und billigeren Kanals Verstärkung der Sicherheit

Verschlüsselungsmechanismen One-Time Pad Gewährleistet perfekte Vertraulichkeit bei Cipher-only Angriff Nachteil: hohe Schlüssellänge Stream Cipher Pseudozufälliger Schlüsselstrom Anfällig gegen Known-Plaintext Angriff Block Cipher Permutation des Schlüssels Look-up-table Public-Key Verschlüsselung 1976 Diffie / Hellman – Übertragung von Schlüsseln über unsicheren Kanal mittels Public-Key Kryptographie RSA (Diffie-Hellman Schlüsselaustausch + symmetrische Verschlüsselung des Kanales) Angriff: Man-in-the-middle attack Hybride Systeme

Vertraulichkeit – Confidentiality Fazit Problem der Schlüsselverteilung bleibt trotz public-key Kryptografie erhalten weitere Schwachstellen Protokollfehler Unzureichendes Schlüsselmanagement Implementierungsfehler Zufallszahlengenerator

Integrität – Integrity Definition Eigenschaft von Daten, die nicht durch unautorisierte Dritte verändert wurden Bedrohung Korruption ? ? ? Alice Malory Bob Plaintext Ciphertext Plaintext

Vertraulichkeit vs. Integrität Trugschluss Vertraulichkeit impliziert Integrität Gegenbeweis Stream Cipher Vor.: Angreifer kennt Struktur der Nachricht (Cipher-Text und Plain-Text) Modifikation des Cipher-Textes  „Ich überweise ??? € an John Smith Kontonummer.“ „Ich überweise ??? € an meine Kontonummer.“

Integrität – Integrity Algebra guessedPlaintext XOR unknownKeystream = knownCiphertext Extrahierung von unknownKeystream alteredCiphertext XOR nowKnownKeystream = desiredPlaintext Angreifer ersetzt Teile der Nachricht durch alteredCiphertext Attack in Depth Missachtung dieser Tatsache 802.11 WLAN Standard nutzt Stream-Cipher für Integritätsschutz Borisov, Goldberg, Wagner Merke: Weder Integrität noch Vertraulichkeit schließen einander ein!

Mechanismen Fehlererkennende Codes (CRC) 99,9999% Fehlererkennung Restliche 0,0001% nicht erkennbare Bitfehler für Angriff nutzbar Hash Fehlererkennender Code One-way Hash Funktion Nicht invertierbar „Fingerabdruck“ der Nachricht Wichtige Voraussetzung: Collision Resistance „Integrity Amplifier“ (Bootstraping über Integritätsgeschützten Kanal) Hashwert muss integritätsgeschützt sein Nachricht Redundanz

Mechanismen Message Authentication Codes (MAC) Hash parametrisiert mit einem geheimen Schlüssel Angreifer kann MAC ohne Kenntnis des geheimen Schlüssels nicht ändern Problem: Verteilung des geheimen Schlüssels über vertraulichen Kanal Digitale Signatur Basiert auf Public-key Kryptographie Unterscheidung wichtig zwischen: Verschlüsselung und Entschlüsselung Signatur und Verifikation Empfehlung: Nutzung separater Schlüsselpaare

Integrität – Integrity Schlussfolgerungen Hashwert integritätsgeschützt übertragen MAC nur zwischen zwei Parteien sinnvoll Digitale Signatur für Beweisbarkeit gegenüber Dritten notwendig Non-Repudiation Wer kann sie erstellen? Wer kann sie überprüfen? HASH Jeder MAC Inhaber des Geheimnisses Signatur jeder

Verfügbarkeit – Availability Definition Ständige Erreichbarkeit von angebotenen Servicen für autorisierte Nutzer Bedrohung Denial-of-Service Jamming Battery-Exhaustion-Attack Gegenmaßnahmen Keine Konzept der Maximalen Wartezeit [Gligor]

Authentifizierung – Authentication Definition Prozess der Überprüfung einer vorgegebenen Identität Identifikation Möglichkeiten zur Überprüfung Etwas das man kennt. - Passwort Etwas das man besitzt. - Ausweis Etwas das man ist. - Fingerabdruck Etwas was man tut. - Tastendruck Wo man sich befindet. - Ort

Authentifizierung – Authentication „Etwas was man kennt.“ Passwörter Speicherung des HASH Wertes (Needham, 1960) Dictionary Attack Salting Erweiterung des Passwortes mit zusätzlichen Bits Replay Attack One-Time Passwörter HASH Kette Sicher gegen Abhören Synchronisation erforderlich

Authentifizierung – Authentication Challenge-Response Shared Secret erforderlich Sicher gegen passiven Replay Angriff Angreifbar durch aktiven Angriff Beispiele Man-in-the-Middle „MIG-in-the-middle“ Public Key Infrastruktur Absicherung der Public-Keys durch Key-Fingerprint Verbreitung über einen interitätsgeschützten Kanal (Visitenkarte) Global Trust Register Trust Chains

Sicherheitspolitiken – Security Policies Definition von Schutzmechanismen und deren Schutzziele orientiert an existierenden Bedrohungen Form welche Subjekte greifen auf welche Objekte unter welchen Umständen zu Komponenten einer Politik Model der Sicherheitspolitik Sicherheitsziel Schutzprofil Modelle Bell-LaPadula Modell (1973), Multi-Level Security „No read up“ / „No write down“

Sicherheitspolitiken – Security Policies Ziele Zugriffskontrolle Authentifizierung Delegierung Verfügbarkeit Integrität Anmerkungen Sicherheitspolitiken wichtiger als technologische Schutzmechanismen (SmartCards, Kryptographie) Weniger formale Politiken meist besser, wenn sie zusätzlich zu Sicherheitszielen und Schutzprofilen, auch die Konsequenzen enthalten

Sicherheitsaspekte in Ad-Hoc Netzwerken

Authentifizierung erforderlich für: Vertraulichkeit Integrität Verfügbarkeit „Authentifizierung ist das interessanteste Sicherheitsproblem in Ad-Hoc Netzwerken“ neue Voraussetzungen in Ad-Hoc Netzwerken keine Online-Server PKI basierte Authentifizierung problematisch sichere transiente Verbindung zwischen mobilen Geräten zentraler Authentifizierungsdienst für alle Geräte nicht sinnvoll z.B. Registrierung von Hunden unökonomisch (UK) Nummerierung unmöglich

Distributed Trust Management Eigenschaften dezentralisiertes Trust-Management Basis: Public-Key System Recommendation Protokoll zur Übertragung von Trust-Informationen unidirektionale Vertrauensbeziehung zwischen zwei Entitäten Bewertung mittels Policies Diskussion Anfällig gegen kompromittierte Knoten Verfügbarkeit vertrauenswürdiger Entitäten nicht sicher

Password-based Key Agreement Eigenschaften Aufbau einer abgesicherten Sitzung zwischen mehreren Geräten Keine zusätzliche Infrastruktur notwendig Leistungen des Protokolls Verschwiegenheit Ableitung des Sitzungsschlüssels aus Teilschlüsseln tolerant gegenüber Störungen Ableitung eines starken Schlüssels aus mehreren schwachen Schlüsseln Diskussion Sehr gut geeignet für kleine Gruppen Authentifizierung erfolgt im Voraus Keine vertrauliche Kommunikation zwischen Teilgruppen Örtlich begrenzt

Resurrecting Duckling Vorbemerkungen Resurrecting – Auferstehung Imprinting – Prägen Reverse Metempsychosis – Inverse Seelenwanderung Eigenschaften Geeignet für kleine Geräte ohne Display Symmetrische Verschlüsselung Master/Slave Beziehung sichere transiente Verbindung auf Basis eines Shared Secrets Initialisierung mittels Prägung über sicheren Kanal Aufbau einer Baumstruktur Multi-level Souls Anonyme Authentifizierung

Resurrecting Duckling Diskussion Sehr gut geeignet für Verwaltung von mobilen Kleinstgeräten Anfällig gegenüber zerbrochenen Beziehungen (Isolation) Einsatz von Policies möglich Weitergabe von Berechtigungen Ähnlichkeit mit PKI Secret Key statisch

Public Key Systeme Distributed Public Key Management Verteilung der Certificate Authority (CA) über mehrere Knoten Mechanismus: Threshold Cryptography Anwendbar für Digital Signature Standard (DSS) Self-organized PKI Ersetzen der CA durch Ketten von Zertifikaten Zuordnung Nutzer – Public Key Lokale Sammlung von Zertifikaten

Public Key Systeme Diskussion Public Key Systeme sind die einzige Lösung für finanzielle Transaktionen mit hohen Beträgen Vertrauen sollte auf der Kenntnis eines Geheimnisses beruhen Erstellung von Zertifikaten problematisch bei verteilter CA Überprüfung der Identität in der „wirklichen“ Welt erforderlich Public-Key Operationen erforderlich Verifikation der Signatur Generierung einer neuen Signatur

Distributed Light-Weigth Authentication Model Eigenschaften Geeignet für finanzielle Transaktionen mit geringen Werten Orientiert am menschlichen Verhalten Recommendation Protokoll Request of References Lokale Sammlung von vertrauenswürdigen Instanzen Aufbau von Vertrauensbeziehungen Absicherung des Kommunikationskanals, Routing Unempfindlich gegenüber kompromittierten Knoten Wert der Transaktion kleiner als Kosten eines möglichen Angriffs Diskussion Authentifizierung des Nutzers nicht implementiert Sicherheitsanalyse nicht möglich, da Modell nicht auf mathematischen Funktionen beruht

Authentifizierung Diskussion Voraussetzung für Aufbau von abgesicherten Verbindungen Wahl eines geeigneten Verfahrens situationsabhängig Public-Key Verfahren für hohes Sicherheitslevel notwendig Zusätzliche Aspekte in Ad-Hoc Networks: Vertrauensbeziehungen zwischen Nutzern Mathematische Modellierung schwer Nutzerabhängiges Sicherheitsbedürfnis Keine 100%-ig Sicherheit in Ad-Hoc Netzwerken

Vertraulichkeit Fokus: Vertraulichkeit der zu übertragenden Daten Vertraulichkeit der gespeicherten Daten des Gerätes Kryptographische Fähigkeiten beschränkt durch eingeschränkte Ressourcen Prozessor Speicher Energie Kryptographische Primitiven Public-key Verschlüsselung nicht immer anwendbar Symmetrische Verfahren besser geeignet

Vertraulichkeit „Asymmetric Asymmetric Ciphers“ Kleiner Verschlüsselungsexponent bei RSA Verschlüsselung/Verifikation schnell Entschlüsselung/Signatur langsam Ziel „billige“ Operationen für kleine Geräte „teure“ Operationen für Server Nachteil Schaffung neuer Sicherheitslöcher bei schlechter Implementierung Kompromiss zwischen Latenzzeit bei drahtloser Kommunikation und Prozessortakt Maximaler Datenrate und Zyklenanzahl Sicherheit und Powermanagement Bits/Joule und Bits/Second Sichere Aufbewahrung und verschlüsselte Speicherung

Vertraulichkeit Schutz von persönlichen Daten Abhängig vom ökonomischen Wert Gegenwärtig: Verfügbarkeit wichtiger als Vertraulichkeit Zukünftig Steigende Anzahl mobiler drahtloser Knoten (Dinge des täglichen Gebrauchs, Kleidung, Fahrzeuge) Empfindsame, personalisierte Umgebungen Synergieeffekte Zweckentfremdung für Überwachungszwecke (Türöffner, VISA) Hinterlassen von Spuren auf öffentlichen Geräten Lösungsmöglichkeiten Identitätsmanagement Pseudonyme Anonyme Kommunikation

Integrität von Nachrichten Point-to-Point Verbindungen Authentifizierung erforderlich Integritätsschutz mittels Shared Secret (Message Authentication Code) Point-to-Multipoint Verbindungen MAC nicht anwendbar, da nur für P2P Verbindungen geeignet Integritätsschutz mittels Zertifikate Problem Kosten der Public-Key Operation für Signatur Lösung Ersetzen der digitalen Signatur durch HASH oder MAC Ketten Gewährleistung von Signatur (Non-Repudiation) ohne Signatur zu benutzen

Integrität von Nachrichten (Guy Fawkes) Payload Mi-1 Commitment h(Ki) Authenticator Ki-2 MACKi-1( ) Pi-1 Payload Mi+2 Commitment h(Ki+2) Authenticator Ki MACKi+1( ) Pi+1 Payload Mi Commitment h(Ki+1) Authenticator Ki-1 MACKi( ) Pi

Integrität von Nachrichten Guy Fawkes Protokoll HASH und MAC sichern Integrität Man-in-the-Middle ausgeschlossen Nachteile Latenzzeit Reihenfolge der Nachrichten Verlust einer Nachricht unterbricht Kette Starten der Kette (Bootstraping) Anwendung Videoübertragung

Integrität von Nachrichten TESLA Time Efficient Stream Loss-tolerant Authentication Ki in Paket Pi+d enthalten d>1 Erhöhung des Durchsatzes Verzögerung zwischen Empfang und Authentifizierung Zusätzliche MACs beschleunigen Überprüfung Reverse HASH Chain löst Synchronisationsproblem P1 P2 P3 P4 P5 P6 d=1 d=3 d=6

Integrität von Geräten Integrität und Authentizität eng miteinander verknüpft Manipulationssicherheit (Tamper Resistance) Voraussetzung für Computer Sicherheit Tamper-proof Manipulation möglich, jedoch Datendiebstahl oder Modifikation ausgeschlossen Tamper-evident Preiswertere Lösung (Siegel) Verletzung der Integrität möglich, Angreifer hinterlässt unverwischbare Spuren Anwendung in der Lebensmittelindustrie Trusted Path Input / Output Peripherie

Verfügbarkeit Drahtlose Kommunikation Ungeschützt gegen gezielte Störung des Frequenzbandes Erhöhung der Kosten für Störungen durch Frequency Hopping Direct Sequence spread spectrum Energieressourcen Kritische Ressource in mobilen Geräten (Energie Budget) Battery Exhaustion Attack Sleep Deprivation Torture Lösung: Ressourcen Management Bytes/Joule

Verfügbarkeit Mobiler Code Java, ActiveX Automatischer Firmware Upload, Konfiguration, Klingeltöne Schutzmaßnahmen Watchdog Limitiere Adressräume Sandbox

Anonymität Zurückhaltung identifizierender persönlicher Daten Identität Stattfinden von Kommunikation, Datenvolumen Ort während der Kommunikation MAC Adresse des drahtlosen Interfaces Schutz der Privatsphäre, Datenschutz Kommerzielle Interessen gefährden Anonymität Payback, Rabatsysteme Anwendungen Anonyme Kommunikation Anonyme finanzielle Transaktionen Anonyme Auktionen

Mixe Mehrstufige Verschlüsselungsarchitektur SSL zwischen Nutzer und Mixkaskade RSA mit 1024 Bit Schlüssellänge AES mit 128 Bit Schlüssellänge Quelle: Anon, TU Dresden

Mixe Quelle: Anon, TU Dresden

Anonymitätsdienst JAP http://anon.inf.tu-dresden.de/

The Cocaine Auction Protocol Anonyme Auktion ohne vertrauenswürdige Instanz Anforderungen Keine Vertrauensbeziehungen notwendig Anonyme Gebote gegenüber Mitbietern und Anbieter Gewinner der Auktion nur dem Auktionator bekannt Auktionator kennt nicht die Identität des Meistbietenden Keine Kontrolle durch Dritte Sicherheit wird durch Protokoll selbst verstärkt Protokoll Anonymer Broadcast Mechanismus (Bieter zum Auktionator) normaler Broadcast Mechanismus (Auktionator zum Bieter) Gebot durch anonymes „YES“

The Cocaine Auction Protocol kein Schutz vor Verschwörung der Bieter gegen Auktionator Angriffe Verkäufer verkauft nicht an den Meistbietenden Gewinneinbussen des Verkäufers Verlust der Objektivität des Verkäufers Aufdeckung des Fehlverhaltens durch Mitbieter Verkäufer bietet mit Aufdeckung durch Mitbieter Cut-and-chose Protokoll „Deadbeat“ Bidders kein wirklicher Schutz, Denial-of-Service „Angry Mob Cryptoanalysis“, Aufdeckung von Fehlverhalten Anonyme Kooperation der Bieter wehrt Angriffe ab

Anonymitäts Layer Problem: Anonymer Broadcast Lösungen: Chaum: „The dining cryptographers“ kryptographisch sicher Kombination aus One-Time-Pads und Token-Ring Hoher Kommunikationsaufwand (Auktion) 2*(Anzahl der Teilnehmer n)*(Runden r)*Dilution Faktor K physikalischer Anonymer Broadcast Funktechnologien besitzen Broadcast Funktionalität automatisch Ausblenden der Sender Information im Link-Layer notwendig Reduzierung des Kommunikationsaufwandes Runden r

Anonymitäts Layer Diskussion Shared Medium erforderlich, dadurch nur für lokale Netze geeignet Einschränkende Faktoren Sendeleistung, Verzögerungszeit Bandbreite, Routing Vorteile: Effizienz Shared Medium besitzt implizit Anonymität Klarheit Stärken/Schwächen: „billige“ defensive Funktion jedoch keine bedingungslose Sicherheit

Quellen Stajano, Frank; Security for Ubiquitous Computing. Wiley Series in Communications Networking & Distributed Systems; 2002 TU Dresden, Anonymitätsdienst ANON, http://anon.inf.tu-dresden.de