Willkommen zur Vorlesung Modellbasierte Softwaretechniken für sichere Systeme im Sommersemester 2012 Prof. Dr. Jan Jürjens

(1)

Softwaretechniken für sichere Systeme SS 2012 sichere Systeme SS 2012

Willkommen zur Vorlesung

Modellbasierte Softwaretechniken für sichere Systeme

im Sommersemester 2012 Prof. Dr. Jan Jürjens

TU Dortmund, Fakultät Informatik, Lehrstuhl XIV

(2)

Modellbasierte Modellbasierte Softwaretechniken für Softwaretechniken für sichere Systeme SS 2012 sichere Systeme SS 2012

2. Netzwerksicherheit und Kryptographie

(3)

Das Internet

Router

Clients Server Mobiler

Teilnehmer Web-

Server Mail- DNS-

Backbone

Internet Service Provider FTP-Server

(4)

Internet-Angriffe: Abhören

A B C

Y

Packet

(5)

Softwaretechniken für Softwaretechniken für sichere Systeme SS 2012 sichere Systeme SS 2012

(Spoofing)

A B _Spoof C

Denial–of– Masquerader

X „B“

(6)

Alice

Mallory Bob

Forged connection

Router Router

Correct connection

Internet-Angriffe III:

„Man-in-the-Middle“

(7)

Abwehr: Kryptographie

(8)

Geheimer Schlüssel (Secret Key) K

Geheimer Schlüssel (Secret Key) K Nachricht

(Plaintext) M

Verschlüsselung (Ciphertext) C Verschlüsselung (Encryption)

Entschlüsselung (Decryption)

Symmetrische Verschlüsselung

Beziehungen: C = K(M) und M = K(C)

(9)

Öffentlicher Schlüssel (Public Key) E

Geheimer Schlüssel (Private Key) D Nachricht

(Plaintext) M

Verschlüsselung (Ciphertext) C

Asymmetrische Verschlüsselung

Beziehungen: C = E(M) und M = D(C)

Verschlüsselung (Encryption) Verschlüsselung (Encryption) Entschlüsselung (Decryption)

(10)

Frage

a) Wenn man bedenkt, dass die Menge der möglichen zu verschlüsselnden Texte sehr klein sein kann (z.B. nur

die Nachrichten “ja” oder “nein”), welches Problem ergibt sich bei einem deterministischen Public-Key-Verfahren ?

(11)

Kryptographische Algorithmen

Symmetrisch:

• Digital Encryption Standard (DES), 3DES

• Advanced Encryption Standard (AES): Ryndael 2001 Asymmetrisch:

• RSA (Rivest/Shamir/Adleman): Integer-Faktorisierung

• ElGamal: diskreter Logarithmus

• Diffie-Hellman: Sitzungsschlüssel generieren

(12)

Symmetrische Verschlüsselung vs.

Vertraulichkeit

A

^{m}^K^::K

B A

^{m} ^K

B

Gegen passiven Angreifer: Vertraulichkeit von m…

• bei Versenden von {m}_K::K nicht bewahrt,

• bei Versenden von {m}_K bewahrt (Annahme: Angreifer bekommt K nicht auf anderem Wege)

(wobei :: Konkatenation, {m}_K Verschlüsselung von m mit

(13)

Hybride Verschlüsselung

Öffentlicher Schlüssel (Public Key) E

Plaintext M Ciphertext

K(M)

Symmetrische Verschlüsselung

Symmetrische Entschlüsselung

Geheimer

Sitzungsschlüssel (Session Key) K

Sitzungsschlüssel K

Verschlüsselter Sitzungsschlüssel E(K)

Verschlüsselter Sitzungsschlüssel E(K) Asymmetrische

Verschlüsselung

Asymmetrische Entschlüsselung

(14)

Hybrid vs. Vertraulichkeit

A B

{K}_PubB {m}_K

Für symmetrischen Schlüssel K und öffentlichen (asymm.) Schlüssel PubB:

Vertraulichkeit von m nicht bewahrt gegen Angreifer, der Nachrichten löschen und einfügen kann.

Vertraulichkeit von m bewahrt gegen passiven Angreifer.

(15)

Erzeugung digitaler Signaturen

Plain text M

Nachrichtenauszug (Message Digest) H(M)

Digitale Signatur D(H(M))

Hash-Funktion H

Signatur- Funktion D

Geheimer Schlüssel

(16)

Verifikation digitaler Signaturen

Plain text M

Hash-Funktion H

Message Digest E(S) Message Digest H(M) ?

= Öffentlicher

Schlüssel

Signatur-Extraktions- Funktion E

(17)

Brute-Force-Angriffe

10¹¹ J 10⁶ J

6 h 0,3 s

1 ms 20 ns

10¹³

10¹² J 10⁷ J

2,4 T 3 s

10 ms 0,2 µs

10¹²

10¹³ J 10⁸ J

24 T 32 s

0,1 s 2 µs

100 Mrd

10¹⁴ J 10⁹ J

245 T 5,4 min

1 s 20 µs

10 Mrd

10¹⁵ J 10¹⁰ J

7 J 1 h

13 s 0,2 ms

1 Mrd

10¹⁶ J 10¹¹ J

70 J 9 h

2 min 2 ms

100 Mio

10¹⁷ J 10¹² J

700 J 4 T

21 min 20 ms

10 Mio

10¹⁸ J 10¹³ J

7.000 J 37 T

3,5 h 0,2 s

1.000.000

10¹⁹ J 10¹⁴ J

70.000 J 1 J

35 h 2 s

100.000

128 112

80 64

56 40

Kosten ($)

(18)

(A-)Symmetrische Schlüssellängen

Schlüssellänge (in Bits)

1792 112

768 80

512 64

384 56

Asymmetrisch Symmetrisch

Vergleichbare Sicherheit von symmetrischen

und asymmetrischen Schlüssellängen

(19)

Schlüssellängen

> 128 100 Jahre

Daten der US-Volkszählung

> 128 über 65 Jahre

Geheimdiplomatie

128 über 50 Jahre

personenbezogene Daten

128 über 50 Jahre

Identität von Spionen

128 über 40 Jahre

geheime Daten zur Wasserstoffbombe

112 Jahrzehnte

Wirtschaftsgeheimnisse (Coca Cola)

64 mehrere Jahre

langfristige Geschäftsplanungen

64 Tage / Wochen

Produktankündigungen, Firmen- zusammenschlüsse, Zinssätze

56 – 64 Min. / Stunden

militärtaktische Informationen

Bits (min.) Lebensdauer

Informationsart

[Schneier: Angewandte Kryptographie]

(20)

Der RSA-Signaturalgorithmus D hat die Homomorphie-Eigenschaft, dass:

D(M1::M2)=D(M1)::D(M2)

für alle Nachrichten M1, M2. Wenn man kein Hash verwenden würde – wie könnte dann ein Angreifer den Geldbetrag in der Signatur D

(“Ich schulde Dir 10 EUR.”) auf 100 EUR erhöhen, ohne den Algorithmus brechen zu müssen

(wenn Zeichenketten Konkatenationen von Zeichen sind) ?

Frage

(21)

„Side-Channel“-Angriffe

Vertrauliche kryptographische Daten rekonstruieren (z.B. externen Stromverbrauch von Smartcard beobachten)

(22)

Reichweite der Verschlüsselung I

„Link encryption“

- nur direkte Knotenverbindungen verschlüsselt - einfache Konstruktion

- unterstützt durch Controller-Hardware, transparent für Software

- Daten in Netzwerkknoten als Plaintext.

Unter- Knoten

Knoten 1 Knoten 2

offen

geschützt geschützt

(23)

Reichweite der Verschlüsselung II

„End-to-End-Encryption“

- Daten durchgehend verschlüsselt - komplexer zu implementieren

- intransparent für Software, separate Behandlung von Adressen und Daten

Unter- Knoten

Knoten 1 Knoten 2

geschützt

(24)

Cryptool

Freies Programmpaket zum „Erfahren“ von Kryptographie (www.cryptool.de; B. Esslinger (Deutsche Bank)).

Kryptoverfahren anwenden und analysieren.

Fast alle State-of-the-Art Kryptofunktionen.

• klassische Verfahren (Cäsar,…) und Analysen (Entropie, gleitende Häufigkeit,…)

• moderne (a-)symmetrische Verfahren (3DES, AES, RSA,

…), Analysen

• Signaturen, Zufallszahlen, Hash, MACs,…

(25)

Zusammenfassung

● Lesson Learned

− Angriffe auf Netzwerke

− symmetrische und asymmetrische Kryptographie

− Signaturen

− Reichweite von Verschlüsselung