Kryptographie – Einführung und Anwendungsmöglichkeiten
-
Upload
digicomp-academy-ag -
Category
Technology
-
view
384 -
download
4
description
Transcript of Kryptographie – Einführung und Anwendungsmöglichkeiten
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
KryptographieEinführung und Anwendungsmöglichkeiten
Andreas Wisler, CEO
GO OUT Production GmbH
1
Übersicht
Die Kryptologie („versteckt“, „verborgen“, „geheim“) ist eine Wissenschaft, die sich mit technischen Verfahren für die Informationssicherheit beschäftigt.
Kryptologie
Kryptografie Kryptoanalyse Steganografie
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Bedrohungen
• Abhören von Nachrichten oder Einsicht in Nachrichten. Personen nehmen Einblick in Informationen oder Nachrichten, obwohl dies vom Verfasser der Nachricht oder der Information unerwünscht oder ungewollt ist.
• Verändern von Nachrichten. Hier wird eine Nachricht soweit verändert, dass der Sinn oder Zweck der ursprünglichen Nachricht nicht mehr mit der veränderten übereinstimmt.
• Bestreiten des Versands von Nachrichten (Non Repudiation of origin). Hier wird vom Absender einer Nachricht bestritten, dieNachricht versandt zu haben.
• Vortäuschen einer anderen Identität (Masquerade). Eine Person gibt sich als eine andere Person aus, um eine andere Person in die Irre zu führen.
Einsatz Kryptographie
• Gewährleistung von
• Integrität
• Vertraulichkeit
• Authentizität
• Verbindlichkeit
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Begriffe
Plaintext Ciphertext
Begriffe
• PlaintextDaten die von jedermann gelesen und verstanden werden
können
• EncryptionVerschlüsseln
• CiphertextDarin ist die Botschaft vom „plaintext“ verschlüsselt
enthalten. Der Inhalt der Botschaft ist nicht ersichtlich, auch
nicht für diejenigen, welche den „ciphertext“ sehen können.
• DecryptionEntschlüsseln - Wiederherstellen des Zustandes vor der
Verschlüsselung
• AlgorithmusEin Set von Regeln, welche ver- & entschlüsseln
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Kerckhoff‘s Prinzip
• Die Sicherheit eines Kryptosystems darf nicht von
der Geheimhaltung des Algorithmus abhängen.
• Die Sicherheit gründet sich auf die Geheimhaltung
frei wählbarer Eingangsgrössen des Algorithmus.
• Fakten:
• Hacker kennen jedes Detail des Kryptografie Algorithmus
• Hacker verfügen über das Equipment für die Ver- und
Entschlüsselung (Hardware und Software)
• Hacker haben Zugriff auf eine Vielzahl von ver- und
entschlüsselten Texten mit dem gleichen (unbekannten)
Schlüssel.
Ägypter
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Spartaner / Skytale
Babington Komplott
Mary Stuart
Königin von Schottland
Elisabeth I
Königin von England
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Babington Komplott
Navajo-Dialekt
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Enigma
Verschlüsselung
• Symmetrisches Verfahren
Sender Empfänger
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Verschlüsselung
• Symmetrisches Verfahren• ein einziger Schlüssel für die Ver- und
Entschlüsselung
• sehr schnell
• ideal, wenn Daten verschlüsselt und nicht
übertragen werden müssen
• problematische Schlüsselverteilung
Redundanz
Buchstabe Häufigkeit in % Buchstabe Häufigkeit in %
a 6,51 n 9,78
b 1,89 o 2,51
c 3,06 p 0,79
d 5,08 q 0,02
e 17,40 r 7,00
f 1,66 s 7,27
g 3,01 t 6,15
h 4,76 u 4,35
i 7,55 v 0,67
j 0,27 w 1,89
k 1,21 x 0,03
l 3,44 y 0,04
m 2,53 z 1,13
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
XOR-Transformation
Funktionsweise DES
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
1 Runde DES (von 16)
DES Modi
• Electronic Code Book (ECB)
• Cipher Block Chaining (CBC)
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
DES Modi
• Cipher Feedback (CFB)
• Output Feedback (OFB)
DES Modi
• Counter Mode (CTR)
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Verschlüsselung
• Asymmetrisches Verfahren
plaintext
encryption
ciphertext
decryptionplaintext
public
key
private
key
EmpfängerSender
Verschlüsselung
• Asymmetrische Verschlüsselung
• zur Verschlüsselung wird ein Schlüsselpaar
verwendet
• mit dem öffentlichen Schlüssel werden die Daten
verschlüsselt mit dem privaten Schlüssel
entschlüsselt
• der öffentliche Schlüssel ist allen bekannt, der
private Schlüssel dagegen bleibt geheim.
• Oft auch als Public-Key Verfahren bezeichnet
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Verschlüsselung
• Bekanntestes Verfahren ist RSA(Rivest, Shamir, Adleman; 1978)
• Ein-Weg Funktion:
• Exponentielle Funktion y = f(x) = xe mod n kann mit
angemessener Aufwand berechnet werden.
• Die inverse Funktion x = f-1(y) ist extrem aufwändig zu
berechnen.
Shamir – Rivest - Adleman
Digitale Unterschriften
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Hash Verfahren
Schlüsselaustausch
• Erfinder:
Whitfield Diffie Martin Hellman Ralph Merkle
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Diffie Hellman
1. Alice und Bob einigen sich auf p = 13 und g = 2.
2. Alice wählt die Zufallszahl a = 5. Bob wählt b = 7.
3. Alice berechnet A = 25 mod 13 = 6 und sendet
dieses Ergebnis an Bob.
4. Bob berechnet B = 27 mod 13 = 11 und sendet
dieses Ergebnis an Alice.
5. Alice berechnet K = 115 mod 13 = 7.
6. Bob berechnet K = 67 mod 13 = 7.
7. Beide erhalten das gleiche Ergebnis K = 7.
Kryptoanalyse
• Kryptoanalyse ist die Wissenschaft ~
• Codes zu „knacken“
• Geheimnisse (in Nachrichten) zu entschlüsseln
• Schwachstellen von krptographischen Algorithmen
aufzudecken
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Steganografie
• Das Wort "Steganografie" kommt aus dem Griechischen und heisst übersetzt "verborgenes Schreiben". Sie wird oft definiert als "die Kunst und Wissenschaft der Kommunikation auf einem Weg, welcher die Existenz der Nachricht verbirgt". Somit ist Sinn und Zweck die "Vertuschung" von Informationen. Die Sicherheit einer geheimen steganografischen Botschaft liegt also darin, dass dem Angreifer die Existenz einer solchen nicht auffällt.• Technische Steganografie
• Computergestützte Steganografie
• Linguistische Steganografie
SSL
• Verbindungsaufbau• Sofern der Client eine Authentisierung fordert, sendet der
Server sein Zertifikat (X.509 key)
• Der Client prüft die CA, welche das Zertifikat signiert hat
• Der Client verwendet den öffentlichen Schlüssel der CA
um die digitale Signatur des Server Zertifikats zu prüfen,
berechnet den Message Digest
• Der Client prüft Gültigkeitsdatum und URL im Zertifikat
• Der Client erzeugt einen Sitzungsschlüssel (Session Key)
mit dem vorher ausgehandelten Algorithmus
• Der Sitzungsschlüssel wird mit dem öffentlichen
Schlüssel des Servers verschlüsselt und an den Server
verschickt
32
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
SSL
33
Service Name Port Protokoll
https 443 / tcp http überTLS/SSL
smtps 465 / tcp smtp über TLS/SSL
nntps 563 / tcp nntp über TLS/SSL
sshell 614 / tcp shell über TLS/SSL
ldaps 636 / tcp ldap über TLS/SSL
ftps-data 989 / tcp ftp-data über TLS/SSL
ftps 990 / tcp ftp über TLS/SSL
telnets 992 / tcp telnet über TLS/SSL
imaps 993 / tcp imap über TLS/SSL
ircs 994 / tcp irc über TLS/SSL
pop3s 995 / tcp pop3 über TLS/SSL
Certification Authority
• Die CA signiert Zertifikatsanfragen,
verwaltet eine Zertifikats-Sperrliste,
generiert Schlüsselpaare für
Verschlüsselungszertifikate (key recovery)
und publiziert signierte Zertifikate im
öffentlichen Verzeichnis
• Sie „verwaltet“ das Wurzelzertifikat und die
in der Hierarchie darunter liegende
Zwischenzertifizierungstellen.
• Stellt Trust Cross Zertifizierungen sicher
34
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Zertifikat
35Extras – Internetoptionen… – Inhalte – Zertifikate…
Zertifizierungspfad
36
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Sperrlisten
• Ist ein Zertifikat nicht mehr gültig, so kann es gesperrt
werden. Jede CA sollte in regelmässigen Abständen diese
Sperrliste (Key Revocation List) veröffentlichen. Wo der Ort
der Sperrlisten ist, steht meistens im Root Zertifikat der CA
drin. So ist es beispielsweise bei Verisign:
http://crl.verisign.com/pca3.crl .
37
ZertES
• Seit 1. Januar 2005 werden elektronische Signaturen der handschriftliche Unterschriften gleichgestellt. Der Bundesrat hat die ausführende Verordnung zum Bundesgesetz über die elektronische Signatur verabschiedet.
• Dieses definiert die Bedingungen, unter denen Anbieterinnen von Zertifizierungsdiensten auf freiwilliger Basis anerkannt werden können, und regelt ihre Tätigkeiten im Bereich der elektronischen Zertifikate. Es legt zudem die Voraussetzungen fest, die eine elektronische Signatur erfüllen muss, um die gleichen Wirkungen wie eine handschriftliche Unterschrift erzielen zu können.
• Die neuen gesetzlichen Bestimmungen sind mit der geltenden Regelung der Europäischen Union kompatibel.
• Informationen: www.admin.ch/ch/d/ff/2003/8221.pdf
38
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
SuisseID
• Die SuisseID ist der erste standardisierte elektronische Identitätsnachweis der Schweiz, mit dem sowohl eine rechtsgültige elektronische Signatur wie auch eine sichere Authentifizierung möglich sind.
• Das SuisseID-System enthält drei Elemente:
• Elektronischer Identitätsnachweis
• Qualifizierte elektronische Signatur
• Elektronischer Funktionsnachweis
• Anbieter• QuoVadis / Trüb
• Post (Swiss Sign)
• Swisscom (Unternehmen)
• BIT (Verwaltungen)
39
Eigene CA
40
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Verschlüsselung
• Festplattenverschlüsselung
mit Bitlocker
41
Verschlüsselung
• Verschlüsselung mit TrueCrypt
• Freie Software
• Partition- und/oder Container Verschlüsselung
• Seit Windows 2000, Mac OS X 10.4 verfügbar
• Auch als Portable Version
• AES, Twofish, Serpent
42
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
PGP
• Verdienst eines einzelnen Mannes:Phil Zimmermann
• 1991: erste Freeware Version als Resultat eines Projektes• ohne finanzielle Unterstützung
• ohne industrielle Unterstützung
• als Ein-Personen Projekt
• 1993: ViaCrypt verteilt erste kommerzielle Version
• 1996: Gründung von PGP Inc.
• 1997: PGP Inc. Wird von Network Associates aufgekauft
• 1993-1996: Strafverfolgung von Phil Zimmermann• PGP benützt RSA and Merkle-Hellmann Technologie, beides
Patentrechtlich geschützt.
• Zusätzlich darf Verschlüsselungssoftware nicht aus den USA exportiert werden ohne die explizite Genehmigung vom State Department.
43
Verschlüsselung
44
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Authentifikation
1. Der Sender erstellt die Nachricht.
2. Mit SHA-1 generiert er einen 160-bit langen Hash Code von der Nachricht.
3. Der Hash Code wird mit dem privaten RSA Schlüssel des Senders verschlüsselt und an die Nachricht angehängt.
4. Der Empfänger entschlüsselt den Hash Code mit dem Public RSA Schlüssel des Senders.
5. Der Empfänger berechnet den Hash Code vom Dokument und vergleicht ihn mit dem angehängten..
45
Verschlüsselung
1. Der Sender generiert die Nachricht und eine Zufallszahl von 128 Bit (=Session Key für diese Nachricht).
2. Die Nachricht wird mit dem Session Key verschlüsselt (Algorithmen: CAST-128, IDEA oder 3DES)
3. Der Session Key wird mit dem RSA Public Key vom Empfänger verschlüsselt und der verschlüsselten Nachricht vorgehängt.
4. Der Empfänger entschlüsselt den Session Key mit seinem privaten RSA Key.
5. Mit dem Session Key kann er die Nachricht entschlüsseln.
46
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Entschlüsselung
47
Fazit
• Verschlüsselung wird an vielen Orten
genutzt
• Verschlüsselung bietet idealen Schutz
• Verfahren sind noch immer sehr komplex
48
Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Mit uns wissen Sie,
wie es um Ihre IT-Sicherheit steht!
Th. Furrer
S. Walser K. Haase N. Rasstrigina
A. Wisler S. Müller M. Schneider E. Kauth
C. Wehrli
Dienstleistungen