Modellbasierte Softwaretechnikenfür sichere Systeme

(1)

6 Kryptographische Protokolle

1

Modellbasierte Software- Modellbasierte Software-

techniken für sichere techniken für sichere

Systeme

Systeme SS 2012SS 2012

Willkommen zur Vorlesung

Modellbasierte Softwaretechniken für sichere Systeme

im Sommersemester 2012 Prof. Dr. Jan Jürjens

TU Dortmund, Fakultät Informatik, Lehrstuhl XIV

(2)

2

Systeme

6. Kryptographische Protokolle

(3)

3

Systeme

Sicherheitsprotokolle

System über nicht vertrauenswürdiges Netzwerk verteilt.

Angreifer kann Nachrichten abfangen, modifizieren, löschen und einfügen.

Kryptographie ermöglicht Sicherheit.

Kryptographisches Protokoll: Austausch von Nachrichten für verteilte Sitzungsschlüssel, authentisierenden Auftragsgebern etc. durch Benutzung von kryptographischen Algorithmen.

Korrekter Entwurf sehr schwierig.

(4)

4

Systeme

Beispiel: Authentisierungs- Protokolle

Ziel: Sichere Authentisierung von Kommunikationspartnern.

Bedrohungen:

• Fälschung von Identitäten

• Unautorisierte Verwendung von Identitäten Weitere Ziele von Sicherheitsprotokollen:

Schlüsselmanagement, elektronische Transaktionen, ...

(5)

5

Systeme

Sicherheitsprotokolle: Probleme

Viele Protokolle haben Schwachstellen aus unterschiedlichen Gründen:

−

schwache Kryptographie

−

Zentraler Nachrichten-Austausch

−

Schnittstellen, Prologe, Epiloge

−

Verwendung

−

Implementierungsfehler

(6)

6

Systeme

ISO OSI 7-Schichten-Modell

Zwischenknoten

Phys. Medium Phys. Medium

End- knoten

End- knoten Ebene

(Layer) Application

Session Transport

Network Link Physical Presentation

Anwendungsprotokoll Darstellungsprotokoll

Sitzungsprotokoll Transportprotokoll

Netzwerk- -protokoll

-protokoll Protokoll Leitungs-

Physikal.

(7)

7

Systeme

Network level Ethernet, FDDI, Token Ring, PPP

Network level Ethernet, FDDI, Token Ring, PPP Switching level

IP

Transport level UDP / TCP

Transport level UDP / TCP Switching level

IP Application level

HTTP, DNS, SMTP,FTP, SNMP,POP3, T

Telenet

Application level HTTP, DNS,

SMTP,FTP, SNMP,POP3, T

Telenet

1 2 3

4 5 - 7

1 2 3 4 5 - 7

Application Application

Physical Transport Layer S/MIME, PGP,

PEM, SSH

Kerberos, SET, S-HTTP

SSL, TLS

IPsec ECP, CHAP

Verschlüsselung und

Protokollebenen

(8)

8

Systeme

S/MIME, PGP, PEM, SSH

Kerberos, SET, S-HTTP

Verschlüsselung und Protokollebenen

IP

Telenet

1 2 3

4 5 - 7

1 2 3 4 5 - 7

Application Application

Physical Transport Layer SSL, TLS

IPsec

ECP, CHAP

(9)

9

Systeme

Verschlüsselung und Protokollebenen

IP

Telenet

1 2 3

4 5 - 7

1 2 3 4 5 - 7

Application Application

Physical Transport Layer S/MIME, PGP,

PEM, SSH

Kerberos, SET, S-HTTP

SSL, TLS

IPsec

ECP, CHAP

(10)

10

Systeme

Verschlüsselung und Protokollebenen

IP

Telenet

1 2 3

4 5 - 7

1 2 3 4 5 - 7

Application Application

Physical Transport Layer S/MIME, PGP,

PEM, SSH

Kerberos, SET, S-HTTP

SSL, TLS

IPsec

ECP, CHAP

(11)

11

Systeme

Verschlüsselung und Protokollebenen

IP

Telenet

1 2 3

4 5 - 7

1 2 3 4 5 - 7

Application Application

Physical Transport Layer S/MIME, PGP,

PEM, SSH

Kerberos, SET, S-HTTP

SSL, TLS

IPsec

ECP, CHAP

(12)

12

Systeme

Ziel:

vertrauliche Übertragung

von Daten über ungeschützte Kommuni-

Kations-

verbindung

Beispiel:

Sicherer Kanal

(13)

13

Systeme

Sicherer Kanal: Protokoll

Verschlüsseln unter Sitzungsschlüssel nach Austausch eines Zertifikates.

(14)

14

Systeme

Sicherheitsanalyse

Nach Dolev, Yao (1982): Für Sicherheitsanalyse,

verifiziere Systemmodell gegen Angreifermodel auf Basis der Bedrohungsszenarien in den

Verteilungsdiagrammen, das:

●

an Protokolläufen teilnehmen kann,

●

bestimmte Daten im Voraus kennt,

●

Nachrichten von bestimmten

Kommunikationsverbindungen abfangen kann,

●

Nachrichten in bestimmte

Kommunikationsverbindungen einfügen kann

●

auf bestimmte System-Knoten zugreifen kann.

(15)

15

Systeme

Angreifer

Verschiedene Angreifer-Klassen können

unterschiedliche Stellen des Systems entsprechend der Gefährdungsszenarien angreifen.

Beispiel: Insider-Angreifer kann

Kommunikationsverbindungen im LAN kontrollieren.

Für Sicherheitsanalyse der Spezifikation wird sie

zusammen mit dem gegebenen Angreifermodell

simuliert.

(16)

16

Systeme

Kryptographie

Im Kontext der Sicherheitsanalye betrachten wir

Schlüssel als Symbole und Kryptoalgorithmen als abstrakte Operationen:

• Kann nur mit richtigen Schlüsseln entschlüsseln.

• Kann keine statistischen Angriffe ausführen.

(17)

17

Systeme

Kryptographische Ausdrücke I

Exp: Menge der Krypto-Terme, die aus den Symbolen in den

Mengen Data, Keys, Var gebildet werden unter Verwendung der Operationen:

• _::_ (Konkatenation), head(_), tail(_),

• (_)

^-1

(K

^-1

: zum Verschlüsselungsschlüssel K gehöriger Entschlüsselungsschlüssel)

• { _ }_ ({M}

_K

: Verschlüsselung der Nachricht M mit Schlüssel K)

• Dec_( ) (Dec

_K

(C): Entschlüsselung der Daten C mit dem Schlüssel K)

• Sign_( ) (Sign

_K

(M): Signatur der Nachricht M mit dem Schlüssel K)

• Ext_( ) (Ext

_K

(S): Extrahieren der Signatur S mit dem Schlüssel K)

(18)

18

Systeme

Kryptographische Ausdrücke II

unter Berücksichtigung der folgenden Gleichungen:



∀ E,K. Dec

_K^-1

({E}

_K

)=E



∀ E,K. Ext

_K

(Sign

_K^-1

(E))=E



∀ E

₁

,E

₂

. head(E

₁

::E

₂

)=E

₁



∀ E

₁

,E

₂

. tail(E

₁

::E

₂

)=E

₂

• Assoziativität für ::.

Zur besseren Lesbarkeit, schreibe E

₁

::E

₂

::E

₃

für E

₁

::(E

₂

::E

₃

) und fst(E

₁

::E

₂

) für head(E

₁

::E

₂

) etc.

[NB: Die o.g. Gleichungen können bei Bedarf um weitere krypto-

spezifische Eigenschaften erweitert werden (z.B. bei XOR).]

(19)

19

Systeme

Angreifer-Modell

memory logic

A B

a dv er sa ry

* memorize message

* delete message

* insert message

* compose own message

* use cryptographic primitives

Angreifer kann:

• Nachrichten abspeichern

• Nachrichten löschen

• Nachrichten einfügen

• Nachrichten erstellen

• Kryptographische Funktionen benutzen

• Bestimmte Systemknoten kontrollieren

• Bestimmte Daten vorab kennen

(20)

20

Systeme

Kryptobasierte Software (z.B Protokolle)

A ^Angreifer B

m(x)

Angreifer- Wissen:

k ^-1 , y,

m(x)

x

return({z} _k )

[arg

_b,1,1

= x]

{z} _k, z

return({y::x} _z )

(21)

21

Systeme

Beispiel: Variante von TLS (SSL)

IEEE Infocom 1999.

Ziel: Vertrauliche

Daten verschlüsselt unter

Sitzungsschlüssel.

Weniger Server-

belastung als bei TLS.

(22)

22

Systeme

Protokollablauf

init

₁

: erstes

Argument der

Nachricht init

(23)

23

Systeme

Frage

Angenommen, der Angreifer kommt in Besitz des zum

Schlüssel K

_CA

gehörenden vertraulichen Signaturschlüssels

der Certification Authority. Wie kann er damit in Besitz des zu

übertragenden Geheimnisses s

i

kommen ?

(24)

24

Systeme

Zusammenfassung

●

ISO Schichtenmodell und Sicherheit

●

Angreifer-Modell

●

Kryptographische Ausdrücke

●