e-dokumen.id

Sicherheit in Netzen u. verteilten SystemenKapitel 4: KryptographieSicherheit in Netzen u. verteilten SystemenKapitel 4: HRHEIT (*)WAHRHEITWAHRHEIT (*)WAHRHEITWAHRHEIT (*)WAHRHEIT (*)Wahrheit ist das Wort, daswir kennen.(*) gibt die erlaubtenKombinationen an.Beispiel:Sicherheit in Netzen u. verteilten SystemenKapitel 4: KryptographieProf. Dr. Stefan FischerIBR, TU BraunschweigSicherheit in Netzen u. verteilten SystemenKapitel 4: KryptographieProf. Dr. Stefan FischerIBR, TU Braunschweig Eigenheiten der ChiffrierungProf. Dr. Stefan FischerIBR, TU Braunschweig Kein Buchstabe wirdauf sich selbstabgebildet! Wenn man also wusste,dass ein bestimmterBegriff im Klartextvorkam, konnte manbereits die Stellenausschließen, an denendiese Wort nichtvorkommen konnte(negative Mustersuche).4-25 Schon 1927 bekam Polen eine Enigma, weil sieversehentlich an eine deutsche Firma in Polengeschickt wurde. Auch wenn dies zivile Maschinenwaren, war nun die grundlegende Funktionsweisebekannt. Die Briten griffen schlecht bewaffnete Wetterschiffean, die ebenfalls die Enigma nutzten – und schafftenes, an die Codebücher zu kommen, ohne dass esdem Gegner auffiel. Dadurch konnten vieleNachrichten zumindest im Nachhinein gelesenwerden.Verlust von Maschinenteilen/CodesProf. Dr. Stefan FischerIBR, TU Braunschweig Betrachten wir einige BeispieleMaschine bzw. Maschinenteile fielen in FeindeshandLeichtsinnsfehler bei der ChiffrierungEigenarten der ChiffrierungGenialität und Ausdauer der Angreifer (Bletchley Park,polnische Wissenschaftler)– Unmengen von Geheimmaterial verfügbar Die Enigma ist im Laufe des zweiten Weltkriegsgeknackt worden – ohne das das deutscheOberkommando dies vermutet oder erkannt hätte.Man hielt mit Enigma verschlüsselte Nachrichten fürnicht dechiffrierbar. Gründe für die Brechung der Enigma: Buchstaben werden nicht auf sich selbst abgebildet Chiffrierung und Dechiffrierung erfordern gleicheAusgangsstellungen polyalphabetisch 2*1020 verschiedene Schlüssel eine Periode von 16900 Schlüssel wurden durch Codebücher weitergegeben(pro Tag eine Grundstellung der Rotoren, mit derdann pro Nachricht ein sog. Spruch- bzw.Sitzungsschlüssel codiert wurde; ein sehr gängigesVerfahren) Die Enigma galt als sehr sicher – wurde abertrotzdem geknackt.––––Kryptanalyse der EnigmaWichtige Eigenschaften der Enigma4-284-26

Prof. Dr. Stefan FischerIBR, TU BraunschweigSicherheit in Netzen u. verteilten SystemenKapitel 4: Kryptographie So konnte man dann dieses Wort bzw. seineKodierung wieder im Geheimtext suchen– Verminung von Häfen– Bombardierung von Leuchttonnen4-31Sicherheit in Netzen u. verteilten SystemenKapitel 4: Kryptographie4-30Prof. Dr. Stefan FischerIBR, TU BraunschweigSicherheit in Netzen u. verteilten SystemenKapitel 4: Kryptographie4-32 One-Time Pad ist die einzige sichereVerschlüsselungsmethode. Sie ist polyalphabetisch, allerdings mit unendlicherPeriode des Schlüssels (der Schlüssel wiederholtsich nicht). Wichtig: verwende zufällige Schlüssel, da sich sonstevtl. wieder etwas ableiten liesse. Problem: der lange Schlüssel ist nicht praktikabel. Denken Sie an das Verschlüsseln einer komplettenFestplatte mit einem One-Time Pad – man benötigteeine zweite Platte, die man wegschließen müsste. Dakönnte man gleich die Originalplatte wegschließen. Also kein praktisch einsetzbares Verfahren.Prof. Dr. Stefan FischerIBR, TU Braunschweig Durch bestimmte Aktionen konnten dieEngländer den Deutschen Nachrichtenunterschieben, bei denen sie dann wussten,welche Worte darin vorkamen:4-29One-Time PadSicherheit in Netzen u. verteilten SystemenKapitel 4: Kryptographie Senden ein- und derselben Nachrichtverschlüsselt und unverschlüsselt – alsokannte man den Klartext und denGeheimtext!– KEINEBESONDERENVORKOMMNISSE– HEILHITLER– ANX („AN“ Leerzeichen am Nachrichtenanfang) Häufiges Senden von Nachrichten mitdemselben Text bzw. mit bekannten WortenChiffrierfehler (II)Unterschieben von NachrichtenProf. Dr. Stefan FischerIBR, TU Braunschweig Folge: Spruchschlüssel wurde zweimalhintereinander am Anfang der Nachricht übertragenÆ ein polnischer Wissenschaftler fand heraus, dassdies dann wohl der Schlüssel sein müsse– Antwort „bitte nochmal“ lässt sich fast erraten, wennanschließend derselbe Spruch noch einmal kommt– Rückfragen manchmal nicht möglich wegen Funkstille Æ dieNachricht musste lesbar sein Auswahl schlechter Spruchschlüssel („aaa“, „bbb“,Stellung der Rotoren nach dem letzten Spruch) Problem des Verlusts bzw. der Störung einerNachrichtChiffrierfehler

Sicherheit in Netzen u. verteilten SystemenKapitel 4: KryptographieProf. Dr. Stefan FischerIBR, TU BraunschweigSicherheit in Netzen u. verteilten SystemenKapitel 4: Kryptographie– Die Nachricht wurde mit zwei verschiedenen Verfahrenkodiert und zweimal versandt. Geheimtext-Geheimtext-Angriff– Der unterzuschiebende Klartext wird entsprechend derbisherigen Ergebnissen verändert Angriff mit adaptiv ausgewähltem Klartext– Angreifer gibt den Klartext vor, schiebt ihn unter Angriff mit ausgewähltem Klartext:– Ein Teil des Klartextes ist zusätzlich zum Geheimtextbekannt. Wichtigste Methode der Kryptanalyse Klartextangriff– Schlüssel bzw. Klartext werden nur mit Hilfe desGeheimtextes gewonnen (z.B. mit Brute-Force) Geheimtextangriff:Grundbegriffe und -methodenProf. Dr. Stefan FischerIBR, TU Braunschweig Wir haben schon einige wichtigeVorgehensweisen bei der Kryptanalysekennengelernt, insbesondere bzgl. derEnigma. Wir wollen dies nun ein wenigsystematisieren. Dazu zunächst die Ziele der Kryptanalysesowie einige Grundbegriffe.Kryptanalyse4-354-33Sicherheit in Netzen u. verteilten SystemenKapitel 4: KryptographieProf. Dr. Stefan FischerIBR, TU BraunschweigSicherheit in Netzen u. verteilten SystemenKapitel 4: Kryptographie– Ohne diese Infos wird die Analyse wesentlichschweiriger! Welche Sprache? In einer Textverarbeitung erzeugt (wegenDatenrepräsentation)? Welche? Komprimierte Datei? Sprach- oder Bildaufzeichnung?– Sammle Informationen über den Klartext Erster Schritt:– Geheimtext empfangen– Verfahren bekannt Voraussetzung:Vorgehen des KryptanalytikersProf. Dr. Stefan FischerIBR, TU Braunschweig4-364-34– Gewinne den Schlüssel, denn dann können alle weiterenNachrichten mitgelesen werden– Wenn nicht das, dann ermittle wenigstens den Klartext.Damit ist eine Nachricht dekodiert, und man bekommtAnhaltspunkte über den Schlüssel– Wenn nicht das, dann versuche wenigstens Aussagen überden Klartext zu machen (z.B. negative Mustersuche, sieheoben) Annahme: das Verfahren ist bekannt. Dies ist eine realistische Annahme in fast allenSituationen (Beispiel: GSM-Verschlüsselung) Ziele:Ziele der Kryptanalyse

4-37Erst Mitte der 1970er Jahre entwickeltBit- statt zeichenweise VerschlüsselungNutzung von Konfusion und DiffusionBis heute gibt es ausser Brute-Force keinen bekanntenAngriff gegen diese VerfahrenProf. Dr. Stefan FischerIBR, TU BraunschweigSicherheit in Netzen u. verteilten SystemenKapitel 4: Kryptographie– Data Encryption Standard (DES)– Diffie-Hellman– RSA (Rivest, Shamir, Adleman) Insbesondere gehen wir ein auf––––4-39 Wir wollen uns nun mit einigen Verfahrenbeschäftigen, die etwas moderner sind als die bisherbetrachteten:Modernere VerschlüsselungsverfahrenSicherheit in Netzen u. verteilten SystemenKapitel 4: KryptographieTest auf verbotene Zeichen und hePersönliche Vergleiche nur bei den vielversprechendstenKandidatenProf. Dr. Stefan FischerIBR, TU Braunschweig – Teste zunächst die einfachen bekannten Verfahren (Caesar,Vigenère, .)– Wenn keines in Frage kommt, betrachte die möglichenSchlüssel– Beispiel: bei einem maximal 6-Zeichen-langen Passwortbleiben nur etwa 300 Mio. Möglichkeiten – kein Problem füreinen PC– Zum schnellen Testen des Klartexts: Zweiter SchrittVorgehen des Kryptanalytikers (II)Sicherheit in Netzen u. verteilten SystemenKapitel 4: Kryptographie4-38Prof. Dr. Stefan FischerIBR, TU BraunschweigSicherheit in Netzen u. verteilten SystemenKapitel 4: Kryptographie– XOR ist einfach in Hardware zuimplementieren– XOR ist leicht umkehrbar (einfacherneute Anwendung)010 011014-40 Typischerweise wird die bitweise XOR-Operationverwendet, um Schlüssel und Klartext zu verknüpfen– Häufigkeitsanalysen werden schwierig: wie sieht dieVerteilung des 3. Bits aller Bytes eines Textes aus? Bisherige Verfahren: zeichenorientiert Mit Computern kann man auf bitweiseVerschlüsselung übergehen:Bitweise VerschlüsselungProf. Dr. Stefan FischerIBR, TU Braunschweig– UNIX crack– wpcrack zum Knacken des Word Perfect Passworts– . Beispiele für Crack-Programme– Versuche Klartextangriffe mit vermuteten Wörtern– Überprüfung auf schlechte Implementierung guterAlgorithmen Weitere Schritte: Oft genügt aber ein Wörterbuchangriff, daPassworte/Sitzungsschlüssel schlecht gewähltwerdenVorgehen des Kryptanalytikers (III)

4-41Prof. Dr. Stefan FischerIBR, TU BraunschweigSicherheit in Netzen u. verteilten SystemenKapitel 4: Kryptographie Heute nutzen praktisch alle sehr gutenVerfahren die Blockchiffrierung.4-43– Es werden Gruppen von Bits zusammengefasstund gemeinsam verschlüsselt, oft jede Gruppe mitdemselben Schlüssel– Einfaches Beispiel: einfache Substitution wie beiCaesar Blockchiffrierung– Es wird eine Bitfolge erzeugt, mit der derNachrichtenstrom verschlüsselt wird –optimalerweise genauso lang wie der Strom. StromchiffrierungStrom- vs. BlockchiffrierungSicherheit in Netzen u. verteilten SystemenKapitel 4: KryptographieI U O D F F N S IF G H T F T I K GProf. Dr. Stefan FischerIBR, TU Braunschweig D I F F U S I O N– Verteilung der im Klartextenthaltenen Informationüber den Geheimtext– Das Prinzip derTransposition, diePositionen der Zeichenwerden vertauscht Diffusion K O N F U S I O N– Verschleierung desZusammenhangszwischen Klartext undGeheimtext– Also Ersetzen einesZeichens durch einanderes KonfusionKonfusion und DiffusionRi 1 Sicherheit in Netzen u. verteilten SystemenKapitel 4: KryptographiefRiGeheimtextblockLi 1LiKlartextblockFeistel-NetzwerkeSicherheit in Netzen u. verteilten SystemenKapitel 4: KryptographieHeute die zentraleKomponente gängigerKryptoverfahrenEntworfen von Horst Feistel(IBM) Anfang der 70er JahreVerschlüsselung besteht ausmehreren RundenEinfaches Prinzip mit einersehr hilfreichen Eigenschaft– das Dechiffrieren wirdeinfachWarum?Prof. Dr. Stefan FischerIBR, TU Braunschweig Prof. Dr. Stefan FischerIBR, TU Braunschweig4-444-42 Die einfachen Verfahren arbeiten nur mitKonfusion. Ziel: Änderung eines Schlüssel- bzw.Klartextbits führt bei jedem Geheimtextbit mit50% Wahrscheinlichkeit zu einer Änderung Sonst können statistische Verfahrenangewandt werden– Jedes Bit des Geheimtextes soll von jedem Bitdes Klartextes und des Schlüssels abhängen. LawineneffektVerschärfung: LawineneffektRundenschlüssel

undRi 1 Li fs,i(Ri)(Umkehrbarkeit von XOR)Der DES-AlgorithmusSicherheit in Netzen u. verteilten SystemenKapitel 4: Kryptographie4-45Prof. Dr. Stefan FischerIBR, TU BraunschweigSicherheit in Netzen u. verteilten SystemenKapitel 4: Kryptographie4-47 DES kodiert Datenblöcke: 64 Bits werden ineinem Schritt verschlüsselt. Die Schlüssellänge ist ebenfalls 64 Bit, wobeijedes 8. Bit ein Kontrollbit ist 56 Biteffektive Schlüssellänge DES führt 16 Verschlüsselungsschritte aus. Eine Runde ist ein Feistelnetzwerk undbesteht aus Bit-Permutationen undVerteilungen.Prof. Dr. Stefan FischerIBR, TU Braunschweig Das heißt, durch erneutes Anwenden der Funktion flässt sich von der Stufe i auf i-1 zurückrechnen. Dies geht bis L0 und R0. Das heisst, f muss nicht umkehrbar sein! Es genügt,dass f ohne Schlüssel nicht berechenbar ist. Man kann also beliebig komplexe Funktionen wählen.– Li Li fs,i(Ri) fs,i(Ri) Ri 1 fs,i(Ri) Damit folgt bei Kenntnis des Schlüssels und f– Li 1 Ri Es gilt:Feistel-Netzwerke (II)Prof. Dr. Stefan FischerIBR, TU BraunschweigProf. Dr. Stefan FischerIBR, TU BraunschweigSicherheit in Netzen u. verteilten SystemenKapitel 4: KryptographieDES-AlgorithmusSicherheit in Netzen u. verteilten SystemenKapitel 4: Kryptographie4-484-46 DES Data Encryption Standard Ergebnis einer öffentlichen Ausschreibung desamerikanischen National Bureau of Standards (NBS)Mitte der siebziger Jahre zum Entwurf eineseinheitlichen sicherenVerschlüsselungsalgorithmus Bester Vorschlag von IBM (Feistel, Coppersmith et al.) Modifiziert von 128 auf 56 Bit Schlüssellänge unterMitarbeit der berühmten NSA (National SecurityAgency) Deswegen immer wieder Bedenken wegen möglicherUnsicherheit, die nur die NSA kannte Bis heute kein Angriff außer Brute-Force bekanntGeschichte von DES

Sicherheit in Netzen u. verteilten SystemenKapitel 4: KryptographieProf. Dr. Stefan FischerIBR, TU BraunschweigSicherheit in Netzen u. verteilten SystemenKapitel 4: Kryptographie4-51TelefonBriefKurierPersönliches TreffenProf. Dr. Stefan FischerIBR, TU BraunschweigSicherheit in Netzen u. verteilten SystemenKapitel 4: Kryptographie Frage nach Sicherheit und Anwendbarkeit?–––– großes Problem: wie tauschen die beidenKommunikationspartner ihre(n) Schlüsselaus, bevor sie kommunizieren können? Über dieselbe Leitung geht es offensichtlichnicht – extreme Unsicherheit! Andere Verfahren:Prof. Dr. Stefan FischerIBR, TU Braunschweig DES ist heute wegen seiner kurzenSchlüssellänge in kurzer Zeit mittels BruteForce zu brechen Neuere Analyseverfahren wie differenzielleund lineare Analyse werden ebenfalls ständigweiterentwickelt und stellen eine Gefährdungdar Deswegen wird DES ersetzt durch neuereVerfahren mit längeren Schlüsseln wie z.B.Triple DES4-49Verteilung geheimer SchlüsselSicherheit in Netzen u. verteilten SystemenKapitel 4: Kryptographie Aufgabe der P-Boxen: Lawineneffekt undAnsteuerung der S-Boxen Aufgabe der S-Boxen: Komplexität derKodierung, Sicherheit gegen versch.Verfahren der Kryptanalyse– Beschränkt sich auf einfache Bitoperationen wieVerschiebungen und XOR DES ist zwar sehr komplex, aber extremhardwarefreundlichZum Design von DESSicherheit von DESProf. Dr. Stefan FischerIBR, TU BraunschweigEine S-Box:Ein Zyklus:DES: Ein Zyklus4-524-50

Sicherheit in Netzen u. verteilten SystemenKapitel 4: Kryptographie4-53Prof. Dr. Stefan FischerIBR, TU BraunschweigSicherheit in Netzen u. verteilten SystemenKapitel 4: Kryptographie4-55– Etablierung eines geheimen Schlüssels ohne dassdie Kommunikationspartner sich kennen müssen– Basiert auf zwei unterschiedlichen Schlüsseln, diemiteinander mathematisch zusammen hängen(deshalb asymmetrisch, alle bsiherigen Verfahrenwaren symmetrisch)– Entwickelt von Diffie und Hellman 1976 Wegen der versch. Nachteile Suche nachneuen Verfahren zur Schlüsselverteilung Sensationelle Neuerung Mitte der siebzigerJahreAsymmetrische VerfahrenProf. Dr. Stefan FischerIBR, TU Braunschweig– Warum ist eine Aufteilung in 4 16-Bitblöcke nichtgut?– Besser: Schlüssel Summe von vier 64-BitZahlen, von denen drei zufällig sind– Warum ist das besser? Traut man zum Schlüsseltausch einem Kanalnicht, wählt man eine Kombination ausmehreren. Beispiel: 64-Bit-Schlüssel in 4 Teile teilen, jeeinen Teil über jeden Kanal Frage: wie teilt man den Schlüssel?Verteilung geheimer Schlüssel (II)Sicherheit in Netzen u. verteilten SystemenKapitel 4: KryptographieProf. Dr. Stefan FischerIBR, TU BraunschweigSicherheit in Netzen u. verteilten SystemenKapitel 4: Kryptographie Es ist praktisch unmöglich, den einen Schlüssel ausdem anderen abzuleiten, obwohl die beidenvoneinander abhängig sind. Authentizität und Integrität müssen für denöffentlichen Schlüssel garantiert sein, jedoch nichtdie Vertraulichkeit.– Ein privater Schlüssel, der geheim gehalten werden muss– Ein öffentlicher Schlüssel, der jedem zur Verfügung steht In asymmetrischen Schlüsselverfahren besitztjeder Partner in einer ZweierKommunikationsbeziehung zwei Schlüssel:Die Idee von Diffie-HellmanProf. Dr. Stefan FischerIBR, TU Braunschweig4-564-54– Mit dem Schlüsselcenter muss auch zunächst einvertraulicher Schlüssel etabliert werden– Der Schlüsselcenter muss 100% vertrauenswürdigsein Populäre Variante: Schlüsselverteilzentren(key distribution centers, KDC), die OnDemand einen Sitzungsschlüssel für dieKommunikationspartner generieren können Vorteil: schnell, flexibel Nachteile:Schlüsselverteilzentren

Prof. Dr. Stefan FischerIBR, TU BraunschweigPublicKey of BASicherheit in Netzen u. verteilten SystemenKapitel 4: KryptographiePrivateKey of BBVer- und EntschlüsselungsprozessSicherheit in Netzen u. verteilten SystemenKapitel 4: Kryptographie4-594-571. Schlüsselaustausch für symmetrische Verfahren2. Verschlüsselung und Entschlüsselung „normaler“Nachrichten3. Digitale SignaturenAsymmetrische Schlüsselverfahren könnennach diesem Prinzip drei unterschiedlicheAnwendungen haben:Prof. Dr. Stefan FischerIBR, TU Braunschweig Anwendung asymm. VerfahrenAProf. Dr. Stefan FischerIBR, TU BraunschweigPrivateKey of ASicherheit in Netzen u. verteilten SystemenKapitel 4: KryptographieA AA A A ASicherheit in Netzen u. verteilten SystemenKapitel 4: KryptographieA APublicKey of ABProzess des digitalen SignierensProf. Dr. Stefan FischerIBR, TU Braunschweig Annahme: A will mit B kommunizieren Zunächst erzeugt jeder ein asymmetrischesSchlüsselpaar. Wenn B an A eine Nachricht schicken will,verschlüsselt er diese mit dem öffentlichenSchlüssel von A. Wenn A diese Nachricht bekommt,entschlüsselt sie die Nachricht mittels ihresprivaten Schlüssels.Generelles Verfahren4-604-58

Je ein Algorithmus und Schlüssel fürVer- und Entschlüsselung.Sender und Empfänger müssen jejeweils einen der zusammengehörigenSchlüssel besitzen.Einer der beiden Schlüssel muss geheimgehalten werden.Derselbe Algorithmus mit demselbenSchlüssel wird für Ver- undEntschlüsselung verwendet.Sender und Empfänger besitzen jeweilsdenselben Schlüssel.Der Schlüssel muss geheim gehaltenwerden.Anforderungen (II)Sicherheit in Netzen u. verteilten SystemenKapitel 4: KryptographieKenntnis des Algorithmus plusmitgelesene Nachrichten plus Kenntnisdes einen Schlüssels dürfen nichtausreichen, um den anderen Schlüsselzu bestimmen.4-61Prof. Dr. Stefan FischerIBR, TU BraunschweigSicherheit in Netzen u. verteilten SystemenKapitel 4: Kryptographie4-632. Es ist leicht für einen Sender A, mit Hilfe desöffentlichen Schlüssels von B und der NachrichtM den Geheimtext zu erzeugen, wobei E dergesuchte Algorithmus ist:C EKUb(M)3. Für den Empfänger B ist es ebenfalls leicht, dieerhaltene Nachricht zu entschlüsseln (mittels desEntschlüsselungsalgorithmus D):M DKRb(C) DKRb(EKUb (M))4. Es ist schwer (computationally infeasible) ausdem öffentlichen Schlüssel KUb den privatenSchlüssel KRb abzuleiten.Prof. Dr. Stefan FischerIBR, TU BraunschweigKenntnis des Algorithmus plusmitgelesene Nachrichten dürfen nichtausreichen, um den Schlüssel zubestimmen.Es muss unmöglich oder zumindest sehr Es muss unmöglich oder zumindest sehrschwer sein, eine Nachricht ohne weitere schwer sein, eine Nachricht ohne weitereInfos zu entschlüsseln.Infos zu entschlüsseln.AsymmetrischSymmetrischUnterschied Symmetrisch-Asymmetrisch4-62Prof. Dr. Stefan FischerIBR, TU BraunschweigSicherheit in Netzen u. verteilten SystemenKapitel 4: Kryptographie4-64– Diese Anforderungen erfüllen heute nur zweibekannte Algorithmen – RSA und EllipticCurve.5. Es ist schwer, aus dem öffentlichen Schlüsselund dem Geheimtext C die Originalnachricht Mabzuleiten6. Die Ver- und Entschlüsselungsalgorithmenkönnen in beliebiger Reihenfolge angewendetwerden:M EKUb (DKRb (M)) DKUb

Prof. Dr. Stefan Fischer IBR, TU Braunschweig Sicherheit in Netzen u. verteilten Systemen Kapitel 4: Kryptographie 4-9 Caesar-Verschlüsselung Dies ist eine der ältesten Verschlüsselungsmethoden, angeblich erfunden von Julius Caesar. Es wird einfach jeder Buchstabe des Klartextes durch den i