Lernskript IT-SEC Wintersemester 2012

16. Februar 2012

Inhaltsverzeichnis
1 Denitionen
1.1 1.2 1.3 Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ziele der IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kryptographische Mechanismen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4
4 4 5

2 Stze 3 Kryptographische Mechanismen

3.1 3.2 Kryptoanalyse - Angrisarten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konstruktion kryptographischer Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.1 3.2.2 3.3 Kerckos Prinzipien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5 5
5 6 6 6 6 6 6 6

Erweiterung der Kercko Prinzipien

Allgemeine kryptographische Verfahren 3.3.1 3.3.2 3.3.3

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Caesar-Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erweitertes Caesar-Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . One-time-pad Private Key Cryptosystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4 Blockchiren
4.1 4.2 Shannons Konstruktionsprinzipien fr Chirierverfahren . . . . . . . . . . . . . . . . . . . . . . . . . Betriebsarten / Modes of operation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 Electronic Codebook (ECB) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cipher Block Chaining (CBC) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7
7 7 7 8 8 8 9 9

Counter mode encryption (CTR) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Output Feedback Encryption (OFB) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Galois-Counter-Mode (GCM) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nebenbedingungen fr Initialisierungsvektoren . . . . . . . . . . . . . . . . . . . . . . . . . .

INHALTSVERZEICHNIS

5 RSA
5.1 5.2 5.3 Schlsselgenerierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ver- und Entschlsselung Angrismglichkeiten 5.3.1 5.4

9
10 10 10 10 11

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Chosen Ciphertext Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

OAEP (Optimal asymmetric encryption padding) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6 DSA (Digital Signature Algorithm) 7 Hashfunktionen

7.1 7.2 7.3 7.4 7.5 Merkle Damgard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Naiver Ansatz einer Hashfunktion

11 11
12 12 13 13 13

MAC (Message Authentication Codes) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Signaturverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Signaturverfahren mit RSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

8 Instanzauthentisierung
8.1 8.2 8.3 Challenge-Response-Verfahren (Symmetrisch) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Challenge-Response-Verfahren (asymmetrisch) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

13
13 14 14 14 15

Passwortbasierte Verfahren (Chipkarten) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.3.1 8.3.2 Kontaktbehaftete Chipkarten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kontaktlose Chipkarten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

9 Schlsseleinigungsverfahren
9.1 Die-Hellman-Schlsseleinigungsverfahren (asymmetrisch) . . . . . . . . . . . . . . . . . . . . . . . .

15
15

10 Secret Sharing
10.1 Schlsselkopien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.2 Das Vier-Augen-Prinzip

16
16 16 16

10.2.1 A. Shamir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

11 Zufallszahlengeneratoren
11.1 Physikalische Zufallszahlengeneratoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Deterministische (Pseudo-)Zufallszahlengeneratoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2.1 Seedgenerierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

17
17 17 18

12 Public Key Infrastruktur

12.1 Certicate Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.2 Certicate Practise Statement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.3 X.509-Zertikate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

19
19 20 20

INHALTSVERZEICHNIS

13 IT-Sicherheitsmanagement
13.1 Grundprinzipien des IT-Sicherheitsmanagements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.2 IT-Grundschutzkatalog des BSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.3 Entwicklung eines IT-Sicherheitskonzepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

20
20 21 21

14 Common Criteria
14.1 Evaluierungsstufen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

22
22

DEFINITIONEN

1 Denitionen
1.1 Allgemeines
dynamisches technisches System mit der Fhigkeit zur Speicherung und Verarbeitung von Informatio-

IT-System
nen

Sicherheit Schutz vor negativen Konsequenzen aus vorstzlichen und berechtigten Handlungen Funktionssicherheit Eigenschaft eines IT-Systems, dass die Ist-Funktionalitt mit der Soll-Funktionalitt Informationssicherheit
1.2
bereinstimmt (dass also alles so funktioniert, wie es soll) Eigenschaft eines IT-Systems, nur solche Systemzustnde anzunehmen, die zu keiner unautorisierten Informationsvernderung oder -gewinnung fhren.

Ziele der IT-Sicherheit

Dies sind die Schutzziele der IT-Sicherheit:

Schutzziele

1. Vertraulichkeit 2. Integritt 3. Authentizitt 4. Nichtabstreitbarkeit 5. Verfgbarkeit 6. Anonymitt

Vertraulichkeit
sind

Vertraulichkeit soll sicherstellen, dass Informationen unautorisierten Personen nicht zugnglich

Integritt

Vollstndigkeit und Unverflschtheit von Daten fr den Zeitraum, in dem sie von einer autorisierten

Person erstellt, bertragen oder gespeichert werden. Dies umfasst sowohl absichtliche, als auch unabsichtliche Vernderungen (z.B. technische Fehler)

Authentizitt

Die Authentizitt von Daten ist dann gewhrleistet, wenn der Urheber der Daten vom Empfnger

eindeutig identizierbar und seine Urheberschaft nachprfbar ist. Dies beinhaltet auch die Integritt der Daten. -> Message Authentication Codes (MAC) Zudem wird ein Objekt oder Subjekt als authentisch bezeichnet, wenn dessen Echtheit und Glaubwrdigkeit anhand einer eindeutigen Identitt und charakterischer Eigenschaften berprfbar ist. -> Authentikation

Instanzauthentisierung
nachweist.

Verfahren, in dem ein Beweisender einem Prfer den Besitz eines Geheimnisses

Nichtabstreitbarkeit Anonymitt

Die Nichtabstreitbarkeit von Daten ist gewhrleistet, wenn der Ersteller der Daten die

Erzeugung im Nachhinein nicht abstreiten kann. -> Signaturalgorithmen Personenbezogene Daten werden so verndert, dass sie nicht oder nur unter groem Aufwand einer

Person zugeordnet werden knnen

Pseudonymitt

Personenbezogene Daten werden so verndert, dass sie nur unter Kenntnis der Zuordnungsvorschrift

einer Person zugeordnet werden knnen

Schlsseleinigungsverfahren

Austausch eines Verschlsselungsschlssels ber einen unsicheren Kanal. Muss

dringend mit einer Instanzauthentisierung gekoppelt sein, um zu gewhrleisten, dass nur authorisierte Personen an den Schlssel gelangen.

STZE

1.3

Kryptographische Mechanismen

Kryptoanalyse Analyse kryptographischer Verfahren mit dem Ziel, sie zu brechen Chireverfahren Eine Abbildung F : X Z Y fr die gilt, dass F (, k) fr alle k Z
funktion ist. In der Literatur werden hug auch eine Familie von Funktionen betrachtet.

eine Verschlsselungs-

Exhaustion des Schlsselraumes Durchprobieren aller mglichen Schlssel Sicherheitsniveau Einfach Ausgedrckt: Ein Sicherheitsniveau von n Bit bedeutet, dass ein Angreifer 2n Versuche
bentigt, um dem kryptographischen Algorithmus zu brechen.

Blockchire

Algorithmus, der einen Klartext fester Bitlnge (z.B. 128 Bit) mittels eines Schlssels zu einem

Chiretext gleicher Bitlnge verschlsselt. Ist der Klartext lnger, wird er Bspw. in Blcke dieser Gre gespalten und diese einzeln verschlsselt.

Padding Aullen des letzten Blocks beim Nutzen einer Betriebsart Symmetrisches Verfahren Beide Parteien benutzen denselben Key Asymmetrisches Verfahren Eine Partei besitzt den geheimen, die andere den entlichen Schlssel.
Asymmetrische Verfahren basieren meist auf der vermuteten Schwere Zahlentheoretischer Probleme.

DSA

Digital Signature Algorithm

Sicherheit basiert auf der vermuteten Schwierigkeit des diskreten Logarithmusproblems in bestimmten endlichen Gruppen

2 Stze

Ein Chiersystem kann nur dann absolut sicher sein, wenn die eingesetzte Schlssellnge genauso gro ist wie der zu verschlsselnde Klartext Ein Element

a Zn

ist genau dann multiplikativ invertierbar in

Zn

wenn

ggt (a, n) = 1

gilt.

3 Kryptographische Mechanismen
3.1 Kryptoanalyse - Angrisarten

Ciphertext-only einer oder mehrere Chiretexte sind bekannt Known-plaintext Zu einigen Nachrichten sind sowohl Chirat als auch Klartext bekannt Chosen-plaintext Der zu verschlsselnde Text kann vom Angreifer gewhlt werden Adaptive-chosen-plaintext Spezialfall, basierend auf dem Ergebnis der Verschlsselung wird der Klartext modiziert

KRYPTOGRAPHISCHE MECHANISMEN

3.2

Konstruktion kryptographischer Verfahren

3.2.1 Kerckos Prinzipien

1. Wenn ein System nicht theoretisch beweisbar sicher ist, sollte es praktisch sicher sein 2. Das Design eines Systems sollte keine Geheimhaltung erfordern 3. Der Schlssel soll einfach zu merken und zu ndern sein 4. Kryptogramme sollen per Telegraph bertragbar sein 5. Ein Kryptosystem soll portabel sein und nicht mehrere Menschen zur Bedienung erfordern 6. Ein Kryptosystem soll einfach zu bedienen sein

3.2.2 Erweiterung der Kercko Prinzipien

1. Trenne wo du trennen kannst: Kryptographische Schlssel sollten jeweils nur fr ein Verfahren eingesetzt werden 2. Kryptographische Algorithmen sollten probabilistisch sein: Ein Chiretext sollte nie allein von Nachricht und Schlssel, sondern auch von anderen Parametern abhngen 3. Nutze allgemein anerkannte Algorithmen: Versuche nicht, selbst entwickelte Algorithmen einzusetzen 4. Sei achtsam bei Zufallswerten: Bei der Generierung kryptographischer Schlssel werden bentigt!

echte

Zufallswerte

3.3

Allgemeine kryptographische Verfahren

3.3.1 Caesar-Verfahren
Den Buchstaben des Alphabets werden Zahlen zugeordnet. Nun werden diese lediglich um eine bestimmte Anzahl von Stellen (mod 26) verschoben. Aus einem Beispiel:

A wrde bei Verschiebung um 3 somit ein D, aus einem Z

ein

C.

F (CAESAR, 3) = F DHV DU

3.3.2 Erweitertes Caesar-Verfahren

Auch hier wird jeder Buchstabe durch einen anderen ersetzt, jedoch nicht als Shift sondern rein zufllig gewhlt (als Substitution). Hier gibt es theoretisch 26! verschiedene Mglichkeiten, was einem Sicherheitsniveau von ca. geringem Aufwand den Code knacken (z.B. sind ca.

288

Bit entspricht,

jedoch kann ein Angreifer ber die Buchstabenhugkeit innerhalb der (deutschen) Sprache mit weiterhin relativ

17%

aller Buchstaben in deutschen Stzen ein

E ).

3.3.3 One-time-pad Private Key Cryptosystem

Nachricht ist Bitstring Mit jedem Schlssel darf nur eine Nachricht versendet werden Schlssel und Nachricht sind gleich lang

BLOCKCHIFFREN

Das Chirat wird gebildet, indem Klartext und Schlssel exklusiv verodert werden, also

F : X Z Y; (x, k) x k
Ver- und Entschlsselung sind in diesem Fall also identisch. Dieses Verfahren ist absolut sicher (Sicherheitsniveau von

Bit), d.h. auch ein Angreifer mit unbegrenzten

Ressourcen ist nicht in der Lage, es zu knacken - solange jeder Key auch wirklich nur einmal verwendet wird. Ein Verschlsselungsverfahren kann nur dann absolut sicher sein, wenn der Schlssel mindestens so lang ist wie die Nachricht.

Angrismglichkeit
Seien

Wird derselbe Schlssel fr mehrere Nachrichten verwendet, ist es mglich, Rckschlsse

auf die Klartexte zu ziehen.

y1

und

y2

Chirate und

x1 , x2

die zugehrigen Klartexte. Durch das Verschlsseln via XOR gilt:

y1 y2 = x1 x2
Fallen dem Angreifer also viele Chirate mit demselben Schlssel in die Hnde, hat er die Mglichkeit zu lernen.

4 Blockchiren
4.1 Shannons Konstruktionsprinzipien fr Chirierverfahren
1. Diusion (Durchmischung): Die Bits des Klartextblocks werden ber den gesamten Block verschmiert. Grundbaustein sind oft Permutationen. Lawinen-Eekt (avalance eect): (a) Jedes Bit des Geheimtextblocks hngt von jedem Bit des Klartextblocks ab (b) Bei nderung eines Klartextbits ndern sich ca. 50 Prozent der Geheimtextbits 2. Konfusion (Komplexitt des Zusammenhangs): (a) Die Beziehung zwischen Klartextblock und Geheimtextblock soll mglichst kompliziert sein (b) Selbiges soll fr die Abhngigkeit des Geheimtextblocks vom Schlssel gelten. Bei nderung eines Schlsselbits sollen sich also mglichst viele Geheimtextbits ndern - und das auch mglichst unvorhersagbar. Ein Angreifer soll also nicht erkennen knnen, dass er einen Schlssel fast erraten hat. 3. Wiederholte Anwendung von Diusion und Konfusion um die Komplexitt der Chire zu erhhen.

4.2

Betriebsarten / Modes of operation

Betriebsarten werden verwendet, wenn die Bitlnge eines Klartexts die Blockgre des eingesetztes Blockchire bersteigt (also z.B. 128 Bit). Dafr wird der Klartext schlichtweg in Blcke der richtigen grte geteilt, der letzte Block muss ggf. aufgefllt werden.

4.2.1 Electronic Codebook (ECB)

(Einfachste) Betriebsart, bei der schlichtweg jeder Block mit demselben Key verschlsselt wird.

BLOCKCHIFFREN

Gefahr:

Da gleiche Klartextblcke hier zu gleichen Chireblcken fhren, kann ein Angreifer zumindest Rckschlsse

auf die Struktur des Klartexts ziehen. Somit sollte jeder Block nicht nur vom Schlssel, sondern auch von einem sich ndernden Wert abhngen. Zudem kann es mglich sein, einzelne Stellen einer verschlsselten Nachricht durch Stellen einer anderen mit demselben Schlssel verschlsselten Nachricht zu ersetzen.

4.2.2 Cipher Block Chaining (CBC)

Wie ECB, jedoch hngt der Chiretext jedes Blockes vom Chiretext des vorherigen Blockes ab (XOR mit Klartext vor Verschlsselung). Fr den ersten Block wird ein Initialisierungsvektor (VK) benutzt.

4.2.3 Counter mode encryption (CTR)

Hier wird zunchst eine Nonce (Number used ONCE) gebildet und anschlieend fr jeden Klartextblock inkrementiert. Dann wird fr jeden Klartextblock nicht der Klartext, sondern Block den Index 0, der zweite den Index 1 usw. hat).

N once + Blockindex

verschlsselt (wobei der erste

4.2.4 Output Feedback Encryption (OFB)

RSA

4.2.5 Galois-Counter-Mode (GCM)

4.2.6 Nebenbedingungen fr Initialisierungsvektoren CBC Es sind nur unvorhersagbare Initialisierungsvektoren zu verwenden GCM Die Zhlerstende im Zhleranteil des Initialisierungsvektors drfen sich bei gleichem Schlssel nicht wiederholen

CTR

Die Zhlerstnde drfen sich bei gleichem Schlssel nicht wiederholen

5 RSA
Die Sicherheit von RSA basiert auf der vermuteten Schwierigkeit des Faktorisierungsproblems groer Zahlen, also:

Gegeben: Eine zusammengesetzte natrliche Zahl n = p q N mit zwei Primzahlen p, q. Aufgabe: Finde die beiden Primfaktoren p und q.

RSA

10

5.1

Schlsselgenerierung

1. Whle zwei Primzahlen

und

zufllig und unabhngig voneinander. Dann ist

n=pq

das sog. Modul

2. Whle den entlichen Exponenten

eN

(e fr Encryption) unter der Nebenbedingung

ggT (e, (n)) = 1 mit (n) = (p 1) (q 1)

3. Berechne den geheimen Expontenten

dN

(d fr Decryption) in Abhngigkeit von e

e d = 1 mod (n)

entlicher Schssel: Privater Schlssel: d

nicht zhlen kann.

(e, n)

Ein mglicher Angreifer darf

kennen, da er zwar den Restklassenring

Zn

bilden, bei sehr groem

jedoch

(n)

5.2

Ver- und Entschlsselung

Um eine Nachricht

m<n

zu verschlsseln, berechnet der Absender

c = me mod n
Um den Ciphertext zu entschlsseln, berechnet der Empfnger

m = cd mod n
5.3 Angrismglichkeiten

Die Entschlsselungsfunktion des RSA-Algorithmus ist multiplikativ, d.h.:

(xy) mod n = xd y d mod n

5.3.1 Chosen Ciphertext Attack

Der Angreifer mchte

c = me mod n

entschlsseln. Er generiert

c re mod n

(e und n sind ja entlicher Schlssel).

Nun bittet er den Besitzer des geheimen Schlssels, diese Nachricht zu entschlsseln.

(c re mod n)d mod n = = =

((me mod n) re mod n) mod n (me re mod n) mod n ((m r) mod n) mod n
e d d

= m r mod n ?
Nun folgt noch die Multiplikation mit dem Inversen von

r mod n,

um

zu erhalten - ohne den geheimen Schlssel

zu kennen.

DSA (DIGITAL SIGNATURE ALGORITHM)

11

5.4

OAEP (Optimal asymmetric encryption padding)

Um jegliche Zusammenhnge zwischen Klartext und Ciphertext zu vermeiden, wird bspw. das OAEP eingesetzt

Um die Originalnachricht

aus

x||y

zu erhalten, sind folgende Schritte notwendig:

1. Berechne 2.

r = y H (x)

m||0...0 = x G (r) 100 Bit betragen und G und H

sollten sichere Hashfunktionen sein.

Die Lnge der Zufallszahl sollte hier mindestens

6 DSA (Digital Signature Algorithm)

Sicherheit basiert auf der vermuteten Schwierigkeit des diskreten Logarithmusproblems in bestimmten endlichen Gruppen.

Gegeben Zwei Elemente g, h G Aufgabe Der Logarithmus von h zur Basis g, d.h. x N so, dass gx = h

7 Hashfunktionen
Hashfunktionen bilden einen Bitstring beliebiger Lnge auf einen Bitstring fester Lnge ab. Diese Hashfunktionen mssen je nach Art der Anwendung folgende Bedingungen erfllen:

Preimage restistance
H (m) = h

Fr ein gegebenes

h {0, 1}

soll es praktisch unmglich sein, einen Wert

m {0, 1}

mit

zu nden.

Einfach ausgedrckt: Es soll fast unmglich sein, einen (den) Wert zu nden, der zu diesem Hashwert wurde.

HASHFUNKTIONEN

12

Second preimage resistance

{0, 1} \ {m}

mit

Fr ein gegebenes zu nden.

m {0, 1}

soll es praktisch unmglich sein, einen Wert

H (m) = H (m )

Einfach ausgedrckt: Es soll fast unmglich sein, zu einer bereits vorgebenen Nachricht eine weitere zu nden, die beide zu demselben Wert gehashed werden.

Collision resistance
H (m) = H (m )
werden.

Es soll praktisch unmglich sein, zwei Werte gilt.

m, m {0, 1}

so zu nden, dass

m=m

und

Einfach ausgedrckt: Es soll fast unmglich sein, zwei Werte zu nden, die zu demselben Wert gehashed Unterschied zu oben: Hier sind beide Werte variabel.+

Erfllt eine Hashfunktion alle oben genannten Bedingungen, heit sie

kryptographisch stark.

Praktisch/fast unmglich bedeutet hier, dass es keinen Algorithmus gibt, der bei einem Sicherheitsniveu von 100 Bit eine eziente Laufzeit hat.

7.1

Merkle Damgard

Wie bei Betriebsarten wird auch bei Hashfunktionen die zu hashende Nachricht in Blcke aufgeteilt und getrennt bearbeitet.

7.2

Naiver Ansatz einer Hashfunktion

Einsatz einer Blockchire als Hashfunktion, die jeweils den Hashwert des vorhergehenden Blocks als Schlssel nimmt (fr den ersten Block den IV):

h (m) = E (mn , ...E (m2 , E (m1 , IV )) ...)

Dies ist selbst bei einer starken Blockchire nicht sicher: Angenommen die Nachricht versuchen, eine Nachricht

sei gegeben und wir

zu nden, die zu demselben Wert gehashed wird.

1. Muss nur fr den letzten Block

mn

ein Wert gefunden werden, der zu demselben Wert wie

gehashed wird.

2. Kann dieser Wert einfach durch die Umkehrfunktion der Hashfunktion auf die vorigen Blcke und die Nachricht

ermittelt werden:

k mn
Somit knnen die Blcke

:= E (mn1 , ...E (m2 , E (m1 , IV )) ...) := E 1 (h, k)

sogar vllig frei gewhlt werden.

m1 , ..., mn1

Abhilfe: Statt

E (x, y)

wird

f (x, y) := E (x, y) x

verwendet.

INSTANZAUTHENTISIERUNG

13

7.3

MAC (Message Authentication Codes)

Im Prinzip die Nutzung einer Hashfunktion, um eine Nachricht mit einem Schlssel zu signieren (symmetrisch). Naive Anstze fr Nachricht

und Schlssel

k:

h (k||m) - Sehr einfach zu knacken, da einfach weitere Nachrichtenblcke angehngt und weitergehashed werden
kann

h (m||k)

- Schwieriger zu knacken, aber wenn es mglich ist, eine Nachricht zu nden, die zum gleichen

Hashwert umgerechnet wird wie Sicherer Ansatz:

m,

kann diese statt der Originalnachricht versendet werden.

HM ACk (m) = h ((k opad) || ((k ipad) ||m))

mit den Konstanten

opad := ipad
7.4 Signaturverfahren

0x5C...0x5C 0x36...0x36

:=

In einem Signaturverfahren werden die zu signierenden Daten zuerst gehasht und dann aus diesem Hashwert die Prfsumme (Signatur) mit dem geheimen Schlssel des Beweisenden berechnet. Der Empfnger prft diese Signatur dann mit dem zum geheimen Schlssel gehrenden entlichen Schlssel. Da dieser Vorgang asymmetrisch ist, wird auch das Schutzziel Folgende Algorithmen werden bentigt: 1. Eine Hashfunktion, die die zu signierenden Daten auf einen Bitstring fester Lnge abbildet 2. Einen Algorithmus, um die Schlsselpaare zu generieren 3. Einen Algorithmus um die gehashten Daten zu signieren bzw. die Signatur zu prfen. Als Signaturalgorithmus bietet sich bspw. RSA an (in umgekehrter Reihenfolge, der Beweisende signiert hier mit seinem geheimen Schlssel und der Prfende nutzt den entlichen Schlssel zur Verikation) TODO: Evtl. DSA einfgen

Nichtabstreitbarkeit

erfllt.

7.5

Signaturverfahren mit RSA

Signieren Prfen

sig (m, sk) = h (m) mod n = s richtig f alsch wenn se mod n = h (m) sonst

verif y (s, pk) =

8 Instanzauthentisierung
8.1 Challenge-Response-Verfahren (Symmetrisch)
Seien im folgenden der Beweisende als metrischen Schlssel).

und der Prfende als

bezeichnet (beide besitzen den geheimen sym-

INSTANZAUTHENTISIERUNG

14

1. 2. 3.

P B P

sendet einen Zufallswert

an

(Challenge)

berechnet mit seinem geheimen Schlssel prft dann diese Prfsumme.

eine Prfsumme von

und schickt sie zurck zu

(Response)

Gefahr: Man-In-The-Middle-Attack: Gelingt es jemandem, sich zwischen

und

zu schalten, kann er die jeweilige Kommunikation abfangen und an

den eigentlichen Empfnger weiterleiten. Sobald er dann die Prfsumme von

erhalten kann, kann er sie an

weiterleiten und ist so mit statt

authorisiert.

8.2

Challenge-Response-Verfahren (asymmetrisch)

Im Prinzip wie die symmetrische Variante, jedoch besitzt hier der Beweisende einen privaten und der Prfer den dazugehrigen entlichen Schlssel. Wichtig hier: Sollte der Beweisende auch Nachrichten signieren, so ist es absolut notwendig, dass der geheime Schlssel zum Signieren und der zur Authorisierung verschieden sind.

Ansonsten wre folgender Angri denkbar: 1. Der Angreifer erzeugt eine eigene Nachricht

und bildet den Hashwert

h = h (m). h
an

2. Nun schaltet er sich im Zuge des Challenge-Response-Verfahrens in der Rolle des Prfers ein und sendet den Beweisenden.

3. Da ein Hashwert generell auch wie ein Zufallswert aussieht, kann der Beweisende nicht feststellen, dass es sich um eine Nachricht handelt und signiert (gleicher Schlssel) im Zuge des Challenge-Response-Verfahrens den erhaltenen Wert. 4. Sobald er ihn nun zum Prfer zurckschickt, erhlt der Angreifer eine von

korrekt signierte Nachricht.

8.3

Passwortbasierte Verfahren (Chipkarten)

Fr Passwrter sollten generell (mindestens) folgende Regeln gelten: 1. Die Entropie des Passworts muss mindestens merken kann. 2. Die Anzahl der Zugrisversuche muss auf vermeiden.

log2 106

Bit betragen (also z.B. 6 Ziern).

Generell darf ein Passwort fr Chipkarten jedoch auch nicht zu lang sein, damit der Besitzer es sich noch

beschrnkt sein.

Da das Passwort nicht sehr lang ist, muss die Zahl der Zugrisversuche beschrnkt sein, um Bruteforce zu

8.3.1 Kontaktbehaftete Chipkarten

Die eingegebene PIN kann hier unverschlsselt zur Karte bertragen und dort geprft werden. Natrlich mssen hier die Lesegerte so abgeschirmt sein, dass nicht aufgrund von Bspw. der elektromagnetischen Strahlung Rckschlsse auf die PIN gezogen werden knnen.

SCHLSSELEINIGUNGSVERFAHREN

15

8.3.2 Kontaktlose Chipkarten

Hier darf die bertragung der PIN natrlich nicht unverschlsselt erfolgen, da die gesendeten Daten abgefangen werden knnten. Hier wird zwischen der Karte und dem Lesegert eine Schlsseleinigung zusammen mit der PIN-berprfung vorgenommen, so dass danach eine geschtzte Kommunikation mglich ist (PACE, Password Authenticated Connection Establishment) TODO Auch hier muss jedoch die Zahl der Zugrisversuche beschrnkt werden (z.B. wird nach 3 Versuchen die Karte gesperrt). Um DoS-Attacken zu vermeiden (die Karte wird automatisch gesperrt), muss selbstverstndlich auch eine Funktion zum Entsperren vorgesehen sein.

9 Schlsseleinigungsverfahren
Nach einem erfolgreichen Schlsseleinigungsverfahren besitzen beide Parteien ein gemeinsames Geheimnis. Es wird empfohlen, nur Schlsseleinigungsverfahren zu verwenden, in denen beide Kommunikationspartner Anteile fr den neuen Schlssel bereitstellen.

9.1

Die-Hellman-Schlsseleinigungsverfahren (asymmetrisch)

Folgende Algorithmen sind festzulegen: 1. Ein Algorithmus zum Festlegen der Systemparameter 2. Ein Algorithmus zur Schlsseleinigung

Systemparameter
1. Whle eine Primzahl

p g
der multiplikativen Gruppe

2. Whle einen Erzeuger Wichtig: Das Paar

F . p

(p, g)

muss vor der eigentlichen Schlsseleinigung

authentisch

zwischen den Kommunikation-

spartnern ausgetauscht werden.

Schlsselvereinbarung
1. A whlt gleichverteilt einen Zufallswert 2. B whlt gleichverteilt einen Zufallswert 3. A berechnet 4. B berechnet

x {1, ..., p 1} y {1, ..., p 1}

und sendet und sendet

g x mod p g y mod p

an B. an A

(g y mod p) = g xy mod p (g x mod p) = g xy mod p K = g xy mod p. g xy

zu berechnen. Er hat im Hchstfall

Das ausgehandelte Geheimnis ist dann

Das ganze ist sicher, da der Angreifer niemals die Mglichkeit hat, berechnen).

und hier greift die theoretische Schwierigkeit des Logarithmusproblems (es ist sehr schwer,

x, y

aus

g, g x , g y g und g y zu
x

10

SECRET SHARING

16

Mglicher Angri

Es ist bei einer Man-In-The-Middle-Attacke mglich, dass der Angreifer beiden Parteien

eigene Zufallszahlen schickt und somit mit beiden einen geheimen Schlssel aushandelt. Ist dies einmal geschehen, kann er Nachrichten beider Seiten einfach abfangen und bei bedarf mit dem anderen Schlssel an die andere Partei weiterleiten. So bleibt er im Idealfall sogar unbemerkt.

10 Secret Sharing
10.1 Schlsselkopien
Wenn ein Schlssel ber lngere Zeit gespeichert werden muss, ist es oft notwending, dass Kopien des Schlssels angelegt werden. Allerdings bedeuten mehrere Schlsselkopien natrlich auch eine grere Wahrscheinlichkeit, dass einer Schlssel entwendet wird. Beim in

Secret Sharing

geht es darum, das zu schtzende Geheimnis (also hier den kryptographischen Schlssel) so dass

n Teilstcke zu spalten, t 1 Teilstcken).

10.2

tn

Teilstcke gengen, um das Geheimnis wiederherzustellen (jedoch nicht aus

Das Vier-Augen-Prinzip
kann auch dazu eingesetzt werden, dass generell zur Entschlsselung eines Geheimnisses mindestens

Secret Sharing
tn

Teilstcke (z.B. Personen mit Chipkarten) bentigt werden.

Dies ergibt Bspw. bei einer Sicherheitstr zu einem geschtzten Bereich Sinn, den niemand alleine betreten darf.

10.2.1 A. Shamir Annahme:

folgt vor: 1. Whle eine Primzahl Das zu verteilende Geheimnis ist eine natrliche Zahl

KN

Um das Geheimnis so auf

Besitzer zu verteilen, dass

von ihnen gengen, um es zu rekonstruieren, geht man wie

p max (K, n) t1

und setze

a0 := K a1 , ..., at1 {0, 1, ..., p 1}

t1

2. Whle unabhngig voneinander Die Werte

zufllige Werte

a0, a1, ..., at1

denieren dann ein zuflliges Polynom:

f (x) =
j=0
ber

aj xj a0 = K
gesetzt wurde)

Fp ,

fr das

f (0) = K

gilt (der absolute Teil des Polynoms, da fr alle

3. Berechne die Werte

Ki := f (i)

Diese sind dann zusammen mit dem zugehrigen Die Koezienten aus

i {1, ..., n} i die

Teilgeheimnisse.

Formel

Punkten

a0 , ...at1 eines unbekannten Polynoms f knnten mithilfe der sogenannten Lagrange-Interpolations(xi , f (xi )) wie folgt gefunden werden:
t

f (x) =
i=1
Insbesondere lsst sich damit ieren geht man wie folgt vor:

f (xi )
ijt,i=j

x xj xi xj

f (0) = K

aus

gegebenen Punkten ermittlen. Um das Geheimnis nun zu rekonstru-

11

ZUFALLSZAHLENGENERATOREN

17

1. Berechne fr alle

i {j1 , ..., jt }

den Wert

ci =
1lt,Kj =Ki t i=1 ci Kji

Kjl Kjl Kji

2. Berechne

K=

11 Zufallszahlengeneratoren
Zufallszahlen werden in vielen kryptographischen Verfahren verwendet. Dabei spielt die Unvorhersagbarkeit (Entropie) eine groe Rolle. Sie gibt - einfach gesagt - an, wie viele Versuche ein Angreifer mindestens bentigt, um alle Mlgichkeiten durchzuprobieren. Ein Zufallswert sollte zumindest von einem physikalischen Zufallszahlengenerator abhngen.

11.1

Physikalische Zufallszahlengeneratoren

Diese Generatoren beziehen ihre Zufallszahlen aus physikalischen Rauschquellen, die bspw. auf elektromagnetischen, elektromechanischen oder quantenmechanischen Eekten beruhen. AIS 31 Norm (unter anderem):

1. Die Eigenschaften der digitalisierten Rauschsignale mssen sich hinreichend gut durch ein stochastisches Modell beschreiben lassen 2. Der durchschnittliche Entropiezuwachs pro Zufallsbit liegt oberhalb der gegebenen Mindestschranke 3. Die digitalisierten Rauschsignale mssen im laufenden Betrieb in regelmigen Abstnden den statistischen Tests unterzogen werden, die geeignet sind, nicht akzeptable statistische Defekte oder Verschlechterungen der statistischen Eigenschaften in angemessener Zeit zu erkennen 4. Auf eine fehlerhafte Rauschsignalfolge muss zum Beispiel durch Stilllegen der Rauschquelle reagiert werden.

11.2

Deterministische (Pseudo-)Zufallszahlengeneratoren

Diese Zufallsgeneratoren generieren aus einem Zufallswert fester Lnge (Seed) eine pseudozufllige Bitfolge praktisch beliebiger Lnge.

1. Der innere Zustand des Generators wird mit dem Seed initialisiert Die Erzeugung des Seeds sollte mithilfe eines physikalischen Zufallszahlengenerators erfolgen. 2. In jedem folgenden Schritt wird der innere Zustand erneuert und eine neue Zufallszahl generiert.

11

ZUFALLSZAHLENGENERATOREN

18

Der innere Zustand muss natrlich gegen auslesen/verndern geschtzt sein. Es sollten folgende Kritieren erfllt sein:

1. Es soll einem Angreifer praktisch unmglich sein, Vorgnger oder Nachfolger einer Zufallszahl(enfolge) zu bestimmen (bzw. den inneren Zustand) 2. Es soll einem Angreifer praktisch unmglich sein, aus Kenntnis eines inneren Zustands Vorger der Teilfolge oder Vorgngerzustnde zu berechnen.

Im obigen Beispiel ist beides gegeben, wrde jedoch der letzte Schritt (die zweite Hashfunktion) wegfallen, knnte ein Angreifer auf den Nachfolgewert schlieen.

11.2.1 Seedgenerierung

1 Unter Linux gengt / d e v / random

Unter Windows fehlt jedoch eine Funktion, die ein ausreichendes Sicherheitsniveau bereitstellt (100 bit). Hier kann man auf zwei Systemaufrufe zurckgreifen:

1. ReadTimeStampCounter(): Gibt die seit Systemstart durchlaufenen Prozessorzyklen an, bei einem 1GHz-Prozessor pro Sekunde also mindestens

230

verschiedene Werte.

2. KeQuerySystemTime(): gibt die aktuelle Systemzeit in einer Ausung von 100ns an, nimmt also pro Sekunde mindestens schiedene Werte an.

233

ver-

Eine sichere Seed-Generierung wre Bspw. (Annahme: Der Angreifer kann die Zeitpunkte bis auf eine Sekunde genau abschtzen):

1. Starten des Rechners 2. Starten des Programms (a) (b)

A := ReadT imeStampCounter() B := KeQuerySystemT ime()

3. Verizieren des Logins (a)

C := ReadT imeStampCounter()

4. Erzeugen des Seeds (a) (b)

D := ReadT imeStampCounter() SEED := A||B||C||D

12

PUBLIC KEY INFRASTRUKTUR

19

12 Public Key Infrastruktur

Innerhalb der Infrastruktur gibt es eine vertrauenswrdige Instanz, die

Root Certication Authority (CA).

Diese

zertiziert die entlichen Schlssel aller Beteiligten und gibt an, wofr diese genutzt werden drfen. Die von der CA ausgestellten Zertikate enthalten in der Regel folgende Daten:

Angaben zum Zertikatsinhaber entlicher Schlssel des Zertikatsinhabers verwendeter Algorithmus des Zertikatsinhabers Gltigkeitszeitraum Schsselnutzung (z.B. Signatur, Authentisierung, Verschlsselung) Angaben zum Aussteller des Zertikats verwendeter Algorithmus zum Ausstellen des Zertikats Signatur ber alle Datengruppen (Berechnet der Aussteller mit seinem geheimen Signaturschlssel, alle Beteiligten knnen dann mit dem zugehrigen entlichen Schlssel diese Signatur prfen)

Zertikate sind also eine Datenstruktur, die eine Bindung zwischen Schlsselinhaber und Schlssel schaen. In der Praxis gibt es SUB-CAs, die die Zertikate letztendlich an die Nutzer ausstellen. Jede SUB-CA hat wiederum ein Zertikat, das von der Root-CA ausgestellt wurde. Mchte nun ein Nutzer etwas Signieren, muss er folgende Daten an den Prfer schicken: 1. Die Nachricht 2. Die Signatur der Nachricht 3. Sein Zertikat 4. Das Zertikat der Sub-CA, die sein Zertikat ausgestellt hat Der Prfer geht nun folgendermaen vor (Prfung der Zertikatskette): 1. Er prft das Zertikat der Sub-CA mithilfe der Root-CA 2. Er prft das Zertikat des Senders mithilfe der Sub-CA 3. Er prft die Signatur des Senders mithilfe seines Zertikats

12.1

Certicate Policy

Wird von der Root-CA herausgegeben. Das Dokument beschreibt fr alle Teilnehmer verbindlich Sicherheitsvorgaben fr die gesamte Lebensdauer der eingesetzten Schlssel und Zertikate. Unter anderem sind enthalten:

Genutzte Algorithmen Schlssellngen Datenfelder in den Zertikaten

13

IT-SICHERHEITSMANAGEMENT

20

12.2

Schlssel-Backup Generierung der Zertikate Schlssel-Update Zertikatsvalidierung Ablauf des Zertikats Zurckziehen eines Zertikats

Certicate Practise Statement

In der Certicate Policy stehen die Sicherheitsvorgaben, im Certicate Practise Statement steht, wie sie umgesetzt werden.

12.3

X.509-Zertikate

1 2 3 4

Diese Zertikate sind folgendermaen aufgebaut: Certificate : : = SEQUENCE { TBSCertificate AlgorithmIdentifier BITSTRING }

tbsCertificate signatureAlgorithm signatureValue

13 IT-Sicherheitsmanagement
Bewertungskritieren fr Verfahren Grundstzlich: Vergleich der Sicherheit unterschiedlicher Systeme mit hnlicher Funktionalitt

1980 1989 1991 1999

13.1

Orange Book Kritikpunkte: Funktionalitt und Sicherheit waren nicht getrennt, soll heien, es musste Bspw. zwar eine Verschlsselung geben, es war aber egal, wie stark sie war. Grnbuch (Deutschland) EU-Harmonisierung Common Criteria Hier sind Funktionalitt und Vertrauenswrdigkeit (Qualitt der Umsetzung) getrennt.

Grundprinzipien des IT-Sicherheitsmanagements

1. Erreichen und Aufrechterhalten eines angemessenen Sicherheitsniveaus 2. Alle Beteiligten mssen einbezogen sein (Qualikation + Motivation) 3. IT-Sicherheitsmanagement ist Planungs und Leitungsaufgabe (z.B. der Unternehmensleitung, die auch die ntige Durchsetzungskraft hat)

Ein IT-Sicherheitsmanagementsystem ist eine Sammlung von Vorgehensweisen und Vorschriften, um einen ITSicherheitsprozess zu etablieren und aufrechtzuerhalten.

13

IT-SICHERHEITSMANAGEMENT

21

13.2
1.

IT-Grundschutzkatalog des BSI

Strategische Ebene, Aufgabe der Leitung

Initiierung des IT-Sicherheitsprozesses (a) Erstellen von Sicherheitsleitlinien (b) Sicherheitsmanagement einrichten (Verantwortliche benennen)

2.

Taktische Ebene
Erstellung eines IT-Sicherheitskonzepts (a) Untersuchung, Schadenabschtzung, mgliche Angrie (b) Technische, organisatorische und personelle Manahmen beschreiben

3.

Operative Ebene
Umsetzung, Realisierung der Manahmen

4. Aufrechterhaltung im laufenden Betrieb (a) Patchmanagement (b) Anpassung von Schlssellngen (c) ... 5. Zurck zu 2

13.3

Entwicklung eines IT-Sicherheitskonzepts

1. Strukturanalyse (a) Netze (b) Rechner (c) Speichermedien (d) Rume (e) ... 2. Schutzbedarfsanalyse: Ausgehend von den zu verarbeitenden Daten und den Schutzzielen werden alle Komponenten zu 3 Schutzbedarfskategorien eingeteilt (Wie schlimm wre eine Verletzung eines Schutzzieles?)

Normal Hoch: Finanzieller Verlust, Personenschaden, ... Sehr Hoch: Existentiell bedrohlich

(a) Datenerhebung: Welche zu schtzenden Daten existieren im Unternehmen? i. Personenbezogene Daten ii. Geschftsverkehr iii. Geschftsgeheimnisse ... (b) In welchen Komponenten kommen diese Daten vor? (Welche Speichermedien, Computer, ...) (c) Wie hoch ist der Schutzbedarf der Daten?

Ist der Schutzbedarf der Daten hoch, so ist auch der Schutzbedarf der Komponente, in der sie vorkommen (z.B. der Computer - und damit auch der Raum in dem der Computer steht) hoch.

Bis zur Sicherheitsstufe Normal gibt es

einen Gefhrdungskatalog und einen Manahmenkatalog

Bei erhhtem Schutzbedarf ist eine Risikoanalyse erforderlich.

14

COMMON CRITERIA

22

14 Common Criteria
Evaluierung 1. Zur Bewertung der Funktionalitt wird zunchst eine von fertigen Produkten unabhngige Sicherheitsbetrachtung durchgefhrt 2. ...

14.1

Evaluierungsstufen

Die Common Criteria denieren sieben Stufen der Vertrauenswrdigkeit. Mit jeder Stufe steigen die Anforderungen an die Tiefe, in der der Hersteller sein Produkt beschreiben muss und in der das Produkt getestet wird.

EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7

funktionell getestet strukturell getestet methodisch getestet und geprft methodisch entwickelt, getestet und durchgesehen semiformal entworfen und getestet semiformal verizierter Entwurf und getestet formal verizierter Entwurf und getestet