Identifikation und Authentikation
Transcription
Identifikation und Authentikation
Identifikation und Authentikation Hast du auch nicht die Parole vergessen? Begriffe und Verfahren Kennwort-Verfahren Biometrische Verfahren Digitale Signaturen Erzeugung mit Hilfe von Hash-Funktionen Übertragung und Verifikation Signaturgesetz und Signaturverordnung (PKI) Schlüsselverwaltung Wer hat sein Schlüsselein verloren? Begriffe und Verfahren Identifikation: Namensnennung (z. B. durch Magnetkarte) Authentikation: Echtheitsprüfung, Verifikation, Zurechenbarkeit, Anerkennung, Nichtabstreitbarkeit, Nachweis der Übereinstimmung von behaupteter und tatsächlicher Identität; Authentikatoren: aus den Informationen abgeleitete Daten, die diesen Nachweis führen können; aber auch Nachweis der Integrität (Unversehrtheit) von Daten; evtl. zusätzlich Authentizität des Ursprungs, des Urhebers, der Zuordnung Nachricht - Urheber, der Zeitechtheit feststellen (Authentizität: die Übereinstimmung selbst) Häufig nötig: Initial-Primärauthentikation: erste Übergabe von Authentikatoren (z. B. der Schlüssel): geheim, personengebunden (personalisiert!), z. B. als geschützter Datenträger, evtl. Smartcard (früher auch SmartDisk); weitere Schlüsselaustauschvorgänge i. allg. mit RSA. Kennwort- Verfahren: zur Benutzer-Authentikation Kennwort-Management: zu starre Regeln begünstigen Hacker, da sie die Anzahl der Kombinations-Möglichkeiten verkleinern (Beispiel: am Anfang Buchstaben, hinten Ziffern); Default-Paßwörter gefährlich Ausspähen (Phishing = password-harvesting-fishing [Kennwort ernten/fischen]): Keystroke-Logger; spoof-emails, die seriösen Absender vorgaukeln; Webseiten mit leicht (unauffällig) geänderter URL (sogar https); SSO (single-sign-on): ein Kennwort für mehrere Rechner/Anwendungen Anfang 2014 wurden 16 Mill. E-Mail-Adressen und ihre Kennwörter (durch Phishing?) geknackt, vor allem bei .de Gute Kennwörter durch Sniffer erst nach Monaten auffindbar. Nutzer-Regeln: keine persönlichen Namen/Daten (von Familientypen bevorzugt), keine (von Fans geliebte) Prominenten, keine Wunscheigenschaften (Selbstverliebte!); besser: willkürliche Zeichenkombinationen (Kryptiker!), niemandem sagen, nichts aufschreiben oder abspeichern, verschiedene Kennwörter bei unterschiedlichen Rechnern, nicht zu kurz, nicht Nutzernamen, keine bekannten Abkürzungen, keine Alltagswörter, keine Lexikon-Wörter, keine benachbarten Tasten, keine im Büro sichtbare Wörter, keine Begriffe aus Dienst- oder Arbeitsumgebung, auch nicht alle diese Wörter rückwärts, nicht beobachten lassen, öfter wechseln. Grundprinzip: leicht zu merken und schwer zu erraten! z. B. 2 Kurzwörter aus Klein/Großbuchstaben mit Sonderzeichen kombiniert oder: Merksatzmethode: Anfangszeichen eines Satzes/Liedes generierte Kennwörter i. allg. nicht merkbar Nachteil der meisten Kennwort-Verfahren: Kennwort wird im Klartext übertragen Besser: PAP-Standard (password authentication protocol) oder: Dynamische Einmal-Kennwörter, z. B. TAN (transaction number): anfangs wurden gedruckte TAN-Listen zwischen Bank und Kunden vereinbart und meist in beliebiger Reihenfolge abgearbeitet; dann meist in vorgegebener Reihenfolge: iTAN = indizierte TAN (evtl. auch nächste TAN + zufällig gewählte TAN) oder mTAN: temporär von Bank erst erzeugte, evtl. per SMS über Handy übertragene TAN mit Überweisungsdaten (prüfen!) oder eTAN: mit speziellem Gerät vom Kunden generierte TAN oder chipTAN: Bank sendet TAN als Foto-Code (möglichst als Flickercode) auf Bildschirm; Zusatzgerät mit Fototransistor beim Nutzer erkennt auf die blinkende Grafik gerichtet die TAN; Empfänger und Geldbetrag werden angezeigt (prüfen!) [Flickercode: kleine Flächen mit Pixeln enthalten verschlüsselte Informationen, die von speziellen Scannern erkannt werden] PhotoTAN ähnlich Sicherheit auch dadurch gegeben, dass mit Handy und Internet mehrere Übertragungskanäle benutzt werden. Aber Vorsicht: es gibt Phishing-Trojaner (SpyEye und Zeus), welche die Handy-Daten abfragen. challenge-response-(Frage-Antwort-)Verfahren: System sendet zufälligen challenge (Anruf), der mit Schlüssel bzw. Token (z. B. SmartCard) bzw. Software verschlüsselt und zurückgesendet wird (response) und dann mit dem selbstverschlüsselten verglichen wird. Zero-Knowledge-Verfahren (Geheimnis-Nachweis ohne Geheimnis-Verrat): challenge ist Zufallszahl, die beim response mit dem geheimen/gemeinsamen Schlüssel verschlüsselt und vom Sender/System erneut verschlüsselt (also verifiziert) wird (wichtig bei electronic commerce!). TokenIDs: Passwort-Automaten, meist PIN-geschützt (unterschiedliche Verfahren, z. B. von Startwert ausgehend iterative DES-Verschlüsselung oder Hash-Wert aus Geheimzahl + Uhrzeit oder synchronisierte Pseudozufallszahl (Startwert bzw. Geheimzahl und Verfahren sind dem Host bekannt). Salt: Zufallsfolge, die mit Kennwort zwecks Verfremdung verknüpft wird Visuell keys: Bilder (farbige Tintenkleckse), jeder Bildteil wird vom Nutzer mit Zeichen belegt (Microsoft), oder die Teile sind in richtiger Reihenfolge anzuklicken. ePAD: Geheimzahlen werden nicht über Tastatur sondern auf dem Bildschirm eingegeben. Versteckte verschlüsselte Kennwörter auch gegen unerwünschte Datenbank-Zugriffe, aber Gefahr der Software-Robbery: Software wird ohne Kennwort noch einmal installiert, die Kennwörter werden duch Hexadezimalvergleich gesucht und gelöscht. Kennwort-Manager: verschlüsselte Container für alle Kennwörter, die durch ein Master-Kennwort geschützt sind, z. B. auf einem USB-Stick (nicht sicher gegen Keylogger) [s. auch Zugangskontrolle!] Biometrische Verfahren: Körpermerkmalerkennung mittels biometrischer Sensoren (die menschliche Variante der Authentikation!), z.B. o Fingerprint: Papillarlinien mit 12 Minutien (Verzweigungen, Endungen, Einschlüsse, Unterbrechungen, Wirbeln; optische oder kapazitive Sensoren (Kondensator aus Sensor- und Fingeroberfläche); Beispiele: Fingerabdrucksensor zum Entsperren von iPhones (2013 vom CCC mittels einer bedruckten Folie geknackt); SECUREX oder „ID Mouse“ von Siemens (3D-Scanner); ggf. fälschungssicher durch Hämoglobin- oder Fingerpulsprüfung; Fingerabdruck-Identifizierer/Reader für PC, z. T. in Tastatur, auch Smartcards; praktisch, weil viele Vergleichsdaten vorliegen o Gesichtserkennung: von Google eingeführt (z. B. Programm der Firma PittPat), von der NSA seit 2011 zur Suche nach Zielpersonen millionenfach eingesetzt. Gesichtsmerkmale: Streifenmuster werden auf Gesicht projiziert, Verformung der Muster durch Nase usw. liefert Merkmale (Templates aus 1 – 1,3 Mbyte); JPEG-Passbilder im Reisepass; 2-dimensional, zunehmend 3-dimensional o Handform: Hand in Meßgerät einlegen, Fotos werden von 100 auf 9 Bytes komprimiert, auf Magnetkarte gespeichert und bei Überprüfung verglichen, in USA schon weit verbreitet (Einreise, Mensa) o Venenmuster der Hand (Infrarot-Scanner; Vorteil: kann nicht von außen verändert werden) o Augenfarbe/Iris (Struktur der Regenbogenhaut), z. B. für Geldautomaten (dann keine PIN mehr), in Nagano zur Sicherung der olympischen Waffenkammer benutzt; Scan ergibt Template aus 512 Byte für 250 Merkmale (Äderchen, Pigmentkrausen, Streifen, Punkte, Erhöhungen, Furchen, Corona); Digitalkamera liefert schwarz-weiß-Bild des unteren Iris-Halbkreises in Form von Rechteckstreifen aus 640x480 Pixeln; bei mindestens 67 % Übereinstimmung wird Identität angenommen (bei Fingerabdruck: 12 %) o Adergeflecht im Augenhintergrund (Retina, Abtasten mit schwachem Laserstrahl, mit am besten): 35 Byte, seit 1985 in USA im Einsatz (Gefängnisse, Rechenzentren) o Gesichtsgeometrie (Face, weniger gut geeignet, da veränderlich) o Lippenbewegung evtl. zusätzlich o Thermogramm: Wärmeabstrahlung der Adern unter der Gesichtshaut (auch im Dunkeln ablesbar) o Pulsschlag o Schreibdynamik (Art der Stiftführung bei Unterschrift oder Tastatur-Anschlag) o Motorik beim Unterschreiben (spezielle Unterlagen / Kugelschreiber) o Sprache: noch in Arbeit (mittels neuronaler Netze), Klang der Stimme o Körpergeruch o Handschrift als Biometrie für elektronische Geschäftsprozesse (?) o DNA noch zu aufwändig Gefahr des Unterschiebens von künstlichen Körperteilen oder Tonbändern, deshalb besser: Kombination mehrerer Verfahren (z. B. Muskelbewegungen, challenge response) Schon viele Systeme. Identifikation mittels gespeicherter Vergleichsdaten (einweg-verschlüsselt, zeitkritisch, Datenschutzprobleme) oder Verifikation mittels persönlicher Chipkarten (schneller, möglichst nicht auslesbar oder durch PIN bzw. Fingerabdruck geschützt). Sensorchips, z. B. Fingertip-Chip für Smartcards / Handy / Tastatur. Auch als Wegfahrsperre geeignet. Bewertung: FRR (false rejection rate), FZR (Falschzurückweisungsrate) und FAR (false acception rate) müssen klein sein. Vorteile: Schlüssel (Kennwörter) können nicht verloren gehen oder vergessen werden, der Mensch selbst ist der Schlüssel, sehr sicher Nachteile: Kennwort-Wechsel nicht möglich, kompliziert, oft erschwerende Randbedingungen (Beleuchtung, Abstand/Kontakt zum Messgerät, Bewegungen, zeitweilige Veränderungen wie Bart/Schminke, Hintergrundgeräusche), teuer, zur Zeit noch mängelbehaftet (Fingerabdrücke auf Testern können z. B. durch Anhauchen reaktiviert werden; Gesichts/Iris-Scanner können evtl. durch Bilder überlistet werden) seit 2005 Biometrik-Pass Pflicht bei Einreise in USA. Weitere Verfahren zur Benutzer-Authentikation: - pesönlicher Gegenstand: o Chipkarte (Karteninhaber-Authentikation: PIN = personal identification number, zuerst mittels Magnetstreifen, dann über Chip; PIN selbst steht nicht auf der Karte, wird bei jeder Transaktion aus Bankleitzahl, Kontonummer, Kartennummer und geheimem auf zentralen Servern gespeichertem Schlüssel errechnet; nicht zu sicher (1987 zeigte Pausch, dass die PIN u. U. aus den auf der Karte gespeicherten Informationen ermittelt werden kann); besser wäre personal identification name mit Buchstaben und Sonderzeichen und evtl. zusätzlich Hologramm des Eigentümers; noch besser: biometrische Verfahren, aber erst, wenn Prüfung in Chipkarte möglich ist o Schlüssel o Ausweis (in Estland u. a. Ländern Personal-Ausweise mit RSA-Schlüsselpaar!) Besser: Kombination aus Kennwort/PIN + Gegenstand - gemeinsames Geheimnis, z. B. Schlüssel bei symmetrischen Verfahren (analog Parole beim Militär): nur die Partner können chiffrieren/dechiffrieren: schwache Authentikation - Rückruf-(dial-back-)Systeme: Angerufener ruft erst noch zurück - Software-Token, evtl. zeitabhängig (dynamisch) - ACM (access control modul): Zugangsserver (führen die Zugangskontrolle durch) - PAM (pluggable authentication module, Linux) mit PAM-API Authentikation von Rechnern: z. B. - SSH: Host-Authentikator: pubkey identity.pub in ~/.ssh/authorized_keys der Server, statt UNIX-Kennwort wird dann RSA-Passphrase abgefragt, Port 22 (keine unverschlüsselte Kennwort-Übertragung mehr!) - Pentium III enthielt Serienummer zur Authentikation (umstritten!) - EAP (extensible authentication protocol) mit zentralem Server, z. B. in Windows NT Authentikation von Nachrichten / Objekten: z. B. in LDAP (lightweight directory access protocol) und Microsoft Active Directory Digitale Signaturen - "elektronische Unterschrift" als Authentikator für Nachricht und Ursprung (Sender) zur Authentikation von Dokumenten - MAC (message authentication code) Definition: IV-Prozeß zum technisch-logischen Nachweis der Zuordnung Text - Aussteller "Data appended to, or a cryptographic transformation of, a data unit that allows a recipient of the data unit to prove the source and integrity of the data unit and protect against forgery e. g. by the recipient." {“ ... gegen Fälschung z. B.“} [ISO 7498-2] "ein mit einem privaten Signaturschl. erzeugtes Siegel zu digitalen Daten, das mit Hilfe eines zugehörigen öffentlichen Schlüssels, der mit einem Signatur-Schlüssel-Zertifikat einer Zertifizierungsstelle ... versehen ist, den Inhaber des Signatur-Schlüssels und die Unverfälschtheit der Daten erkennen läßt." [SigG] Also: 1) Authentikator! 2) Unterschreiben bedeutet asymmetrisch chiffrieren! Erzeugung digitaler Signaturen: A → B {Alice und Bob} - symmetrische Verfahren: MAC (message authentication code), Erzeugung z. B. mit DES im CBC-Mode und Initialisierungsvektor am Anfang (letzter Schlüsseltextblock ist MAC, Authentikator ist der geheime gemeinsame Schlüssel.) [ISO 9797] sicher für B (Sender kann nur A sein), aber unsicher für A (B kann Nachricht manipulieren); Nachweis für Dritte nur durch Preisgabe des Schlüssels, d. h. sinnvoll nur über einen vertrauenswürdigen Dritten (trusted third party, Siegelverwalter), welcher die Nachricht noch einmal verschlüsselt Name MAC irreführend, da Authentikation durch Dritte wegen des geheimen Schlüssels nicht möglich ist (nur subjektive Authentikation!). Besserer Name: MDC (message/manipulation/modification detection code) oder MIC (message integrity code) oder message error detection code (Verwendung bei vertraulicher Nachrichten-Übertragung oder zur automatischen Erkennung der korrekten Dechiffrierung). Besser: - asymmetrische Verfahren (z. B. in OSI-Sicherheitsarchitektur). Praxis: nicht die Nachricht wird verschlüsselt, sondern der Hash-Wert h (Prüfwert/Komprimat/Fingerprint) wird als Authentikator verschlüsselt (mit geheimem Schlüssel!), der Nachricht hinzugefügt und verschlüsselt übertragen (Nachricht selbst kann im Klartext sein: geringer Aufwand, Sicherung der Daten-Integrität), vorher Nachricht evtl. mit Zeitstempel versehen (der verschlüsselte h-Wert ist die Signatur!). Hash-Funktionen: zur eindeutigen Abbildung des Nachrichtentextes von Daten beliebiger Länge auf Prüfwert h fester Länge (16 - 160 bit, „Nachrichtenkern“) Hauptanwendungen: Erzeugung / Verifikation digitaler Signaturen, Prüfsummenbildung Geforderte Eigenschaften kryptographischer Hash-Funktionen: o Kompression auf einen kleinen Output (z.B. 64/128 bit) unabhängig von der Nachrichtenlänge o Eindeutigkeit: bei A und B ergibt sich der gleiche Wert von h o Kollisionsfreiheit: nicht eineindeutig, aus dem hash-Wert kann keine irgendwie plausible Nachricht konstruiert werden (bzw.: es gibt keine 2 Nachrichten mit dem gleichen hash-Wert) [theoretisch möglich?] o Einwegcharakter: Nicht-Rückrechenbarkeit o Sensibilität: jede kleinste Änderung (1 bit) der Nachricht führt zu Änderung von mind. 50 % der Hash-Wert-Bits o Zufälligkeit der Zuordnung Nachricht - Zeichen - Hash-Zeichen Widerlegung meist durch Kollisionsbeispiele: Tripwire-Tests von 254686 Files mit 7 Hash-Funktionen ergaben viele Kollisionen bei 16-bit, wenige (1 - 3) bei 32 / 64bit und keine bei 128-bit Realisierung mittels XOR, Addition mod 2k , Antivalenz u. a. Beispiele: UNIX-Kommando sum (16 bit) CRC (16 oder 32 bit) DES-CBC (64 bit) SqmodN (Quadrieren und Reduzieren) ISO/IEC 10118 ® (Meyer-Matyas-Hash-Funktion) MD2/4/5 (message digest, von Ron Rivest, 128 bit) MD4: 1990, 1992 RFC 1320, 3 Durchläufe mit 16 Schritten und 3 Funktionen, Addition modulo 32 MD5: 1992, 128 bit, 5 Durchläufe mit 16 Schritten und 4 Funktionen, wechselnde Konstanten (Kollisionen bekannt!) RIPE-MD-160: EU, 128 bit, MD-Variante, gilt als sicher Snefru (von Merkle, Hash-Länge wahlweise, DES-ähnlich: S-Boxen / XOR, auf 32-bit-Prozessoren zugeschnitten) FEAL CS4 SHA / SHS1 (USA, secure hash algorithm/standard): 1993, Basis ebenfalls MD4, 160 bit, auf 32-bit-Prozessoren zugeschnitten, 512-bit-Textblöcke 1) Anfügen von Füllbits L000... + 64-bit-Block mit Nachrichtenlänge 2) Einrichten eines 160-bit-MD-Speichers aus 5 Hexadezimal-Oktetten ABCDE ( 5 x 32 vorgegebene Werte) 3) 80 Verabeitungsrunden, jeweils mit Aktualisierung des MD-Speichers: rot(5,A) + f(t,B,C,D) + E + W(t) + K(t) A rot(30,B) C D ↓ ↓ ↓ ↓ ↓ A B C D E mit rot ~ zyklische Linksverschiebung, t ~ Rundennr. (4 Bereiche), f ~ einfache logische Funktion, W und K ~ Additionskonstante, + ~ Addition modulo 232 der letzte Stand des MD-Speichers wird an den nächsten Block weitergegeben 4) Durchführung für alle Textblöcke, der zuletzt erreichte MD-Speicher ist der Hash-Wert HMAC (hash-based message authentication code) kombiniert Hash-Funktion mit symmetrischem Schlüssel und speziellem Padding, gilt als sicher, auch wenn Hash-Funktion nicht sicher ist. Angriffe: z. B. auf der Grundlage des Birthday-Paradoxons: Wieviel Personen sind nötig, damit 2 mit der Wahrscheinlichkeit ½ am selben Tag Geburtstag haben? Antwort: 23 und nicht wie vielleicht zu erwarten 365/2 ! Bei 100 Personen ist die Wahrscheinlichkeit > 0,99 : die Wahrscheinlichkeit einer Kollision ist also viel größer als vermutet.) Birthday-Attacke bei m-bit-Hash: Gegner erzeugt 2m/2 inhaltlich gleiche Nachrichten und genauso viel manipulierte (inhaltlich gleiche), dann ist mit der Wahrscheinlichkeit ½ eine gefälschte mit gleichem Hash-Wert dabei. Angriff auf einwegverschlüsselte und so gespeicherte Kennwörter z. B. durch Vergleich mit großen Rainbowtables (Regenbogentabellen), in denen die Hash-Werte üblicher Kennwörter gespeichert sind. Übertragung und Verifikation: 0) Authentikation von Nachrichten: A: h → B (kritisch: man in the middle kann Nachricht und h manipulieren; deshalb: keyed-hash-Funktion: h wird aus der Nachricht und einem vorher vereinbarten Schlüssel gebildet) 1) Authentikation von Nachricht und Sender: A: S = E(h) mit sA B: h = D(S) mit pA B bildet selbst h aus m und vergleicht mit entschlüsseltem h 2) Authentikation von Nachricht, Sender und Empfänger: (nur B kann hierbei h bilden!) 3) dual signature (Doppelunterschrift) von Chaum bei electronic commerce Standard DSS (digital signature standard): NIST (national institute of standards and technology] + NSA, 1991, umstritten, Basis: Hash nach SHA, Übertragung mit diskretem Logarithmus nach El Gamal) Praxis: Chipkarte (enthält sA und z. T. den Algorithmus von A, ist mit wechselbarer PIN geschützt, nicht kopierbar, hat eigenes BS, Signaturchip + Lesegerät) Software (Signatur durch Mausklick), z. B. Microsoft passport (digitaler Ausweis) Signaturgesetz und Signaturverordnung Anforderungen an Unterschriften: Echtheits-, Abschluß-, Warn-, Identitätsfunktion bezgl. Dokument, Willenserklärung bezgl. Unterzeichner; wichtig auch als Nachweis gegenüber Dritten Vergleich zwischen persönlichen Unterschriften und digitalen Signaturen zeigt vergleichbare Funktionalität bei o Visualisierbarkeit (speicherbar und verifizierbar, nicht flüchtig) o Identifizierbarkeit (des Unterschreibenden) o Disputabilität (als Beweismittel, beurteilbar für einen vertrauenswürdigen Dritten) o Signifikanz (Herstellung einer Rechtslage) o Unmittelbarkeit (Vertrauen in die Echtheit kann sich unmittelbar einstellen) o Perpetuität (fortlaufende Herstellung) Vorteile der digitalen Signatur bei o Transparenz: in die Signatur kann ihr Zweck und ggf. der Empfänger u. a. einbezogen werden o Immutabilität (feste Verbindung mit dem Text und Abschlussfunktion) Deutliche Nachteile der digitalen Signatur bei der o Originalität: wenn die technischen Mittel verfügbar sind, kann die Signatur absolut identisch nachgebildet werden (Bitfolge: bit bleibt bit, Besitz der Chipkarte = Besitz der Unterschrift), wogegen die persönliche Unterschrift ein einmaliger Vorgang ist Vor allem deshalb war die Rechtsverbindlichkeit lange umstritten. Weitere Gründe: Schlüsselwechsel bedeutet Wechsel der Unterschrift (danach ist die alte Form nicht mehr nachweisbar), fehlende Infrastruktur bezüglich vertrauenswürdiger Instanzen, viele Gesetze verlangen Schriftform (Gesetzesänderungen nötig!), politische Gründe (Kryptographie-Monopol wird für Geheimdienste/Militär beansprucht). Keine Probleme in geschlossenen Benutzergruppen, z. B. elektronischer Zahlungsverkehr (Teilnehmer gehen Vertrag ein: Dienste können nur genutzt werden, wenn Verbindlichkeit anerkannt wird). Also ist eine PKI (public key infrastructure: Verzahnung mehrerer Beteiligter) erforderlich! Signaturgesetz (SigG) als Artikel 3 des "Multimediagesetzes" seit 1997 Signaturverordnung (SigV) mit Ablauforganisation (z. B. Belehrungsnachweis über Umgang mit geheimen Schlüsseln) und Forderung von Algorithmenkatalogen durch BSI (§12) sowie Anforderungen an die Verfahren der Schlüssel-Generierung und Signaturbildung/verifikation sowie des electronic commerce, mindestens IT-Kriterium E4/B2, sonst E2/C2 . Trustcenter = CA (certification authority) für Signaturgesetz (ebenfalls E4): Hierarchie aus mehreren Ebenen, Wurzelinstanz ist die "Regulierungsbehörde" (ehemals Postministerium), CA-Genehmigungen müssen beantragt werden. Zertifikate - Speicherung - Gültigkeit u. a. regeln §§ 16 – 18. (Verfahren sollen mindestens 6 Jahre gelten, jährliche Prüfung, private Erzeugung nur mit bestätigten Verfahren) (Schlüssel evtl. nicht nur für natürliche Personen.) EU: keine staatliche Wurzelinstanz für CA-Genehmigung nötig (Keine Hierarchie: web of trust; Nachteil: Gleichwertigkeit mit persönlichen Unterschriften nicht gesetzlich vorgegeben, muss einzeln entschieden werden). Daraus ergeben sich 2 Varianten von Signaturen: „einfache“ nach EU-Recht (in der Praxis geschlossener Nutzergrupen meist) und „qualifizierte“ nach SigG. Struktur zur Administration von Zertifikaten: - Registration Authority (RA) zur Identifikation/Prüfung des Antragstellers - Certfication Authority (CA) zur Ausstellung und ggf. Sperrung des Zertifikats nach X.509v1 oder X.509v3 - Directory Service (DS) mit den Schlüsselverzeichnissen Firmenextern nach SigG/V, intern abgeschwächte Formen möglich Kommunikation mit fremden PKIs muss möglich sein, Standardformate für Zertifikate, Verzeichniszugriff, email müssen beachtet werden Windows Certificate Services in Windows Server: - Server Engine zur Steuerung - Certificate Database für die Zertifikate - Intermediaries für die Zertifikatsanträge der Clients und für die Umwandlung in die Standardformate PKCS#10 oder CMC (über CMS = cryptographic message syntax) - Web-Frontend für Anträge über HTTP - Zertifikats-Assistent beim Client - Policy-Modul für Ausstellung/Ablehnung des beantragten Zertifikats - Exit-Modul für externe Datenbanken Weitgehend auch in heterogenen Umgebungen nutzbar. Schlüsselverwaltung Die Schlüsselverwaltung ist das kritische Element kryptographischer Anwendungen, ist insbesondere kompliziert bei langen Schlüsseln; sie ist auch Bestandteil der Sicherheitspolicy. Schlüsselarten / Schlüsselhierarchie: 1) Arbeitsschlüssel: Chiffrierschlüssel (Transaktionsschlüssel, zur Konzelation von Nachrichten), Signierschlüssel (zum elektonischen Unterschreiben) 2) Austauschschlüssel: Verteilerschlüssel/Schlüssel-Chiffrier-Schlüssel (KEK = key encrypting key) zum Zertifizieren und zum Schlüssel-Austausch 3) Haupt/Masterschlüssel zum Verschlüsseln von Verteilerschlüssel Definition in ISO 7498-2: "The generation, storage, distribution, deletion, archiving and application of keys in accordance with a security police." Schlüsselgenerierung: Forderungen: keine schwachen Schlüssel, SigV verlangt IT-Kriterium E4/B2, keine Mehrfachverwendung (Vermeidung von Schlüsseldopplungen), Einsatzgebiet beachten (langfristige Archivierung erfordert wegen Alterung der Verfahren besonders lange Schlüssel.). Abhängig vom Kryptoverfahren, z. B. sind bei DES Zufallszahlen wichtig (echte oder Pseudo-Zufallszahlen), bei RSA spezielle Primzahl-Verfahren. Möglichst Hardware-Lösungen, z. B. < 5 sec. für 1024-bit-RSA-Schlüssel. Je nach Sicherheitsbedürfnis werden RSA-Schlüsselpaare zwischen 384 und 2048 bit Länge generiert; willkürliche Tastenanschläge ergeben Zufallszahlen für die Schlüsselgenerierung. IDEA-Schlüssel als wiederholt verschlüsselte 1024-bit-Zufallszahl aus Tastenanschlägen, ggf. dynamische Erneuerung von Schlüsselsequenzen während einer gesicherten Sitzung. SSH: ssh-keygen PGP: pgp –kg (key generate) Verteilung (Migration): Forderungen: Alleinige Herrschaft des Teilnehmers über seinen privaten Schlüssel (SigG!), kein unbefugter Zugriff und keine Manipulation möglich, muß nachweislich von Schlüssel-Verwaltung stammen, d. h. am besten mit Zertifikat (Beglaubigung, meist nach X.509) durch CA (certification authority, notwendig speziell für öffentliche Nutzer-Schlüssel), und RA (registration authority). Personalisierung der geheimen Schlüssel (z. B. Schutz durch persönliches Kennwort und Chipkarte). X.509 (jetzt Version 3): Credentials + Signatur, Projekt Eurotrust für europaweite CA , Bekannte CA: Net Tools PKI von Network Associates, OnSite von VeriSign, TC-Trustcenter. Mehrere Sicherheitsstufen für Zertifikate: 1) email-Adresse ohne Bindung an Person 2) Kreditwürdigkeit (in Datenbanken nachgeprüft) 3) Beglaubigung durch TTP (trusted third party) 4) zusätzliche Prüfungen (für Konzerne/Kreditinstitute gedacht) Folgerungen: Schlüssel Chiffrieren, evtl. mit Reply-Erkennungscode; Chiffrierschlüssel RSA-verschlüsseln (Hybridverfahren), z. B. PGP. Evtl. Initial-Primärauthentikation (der sicherste Kanal ist die persönliche Übergabe!), Wiederholung bei Wechsel des Signierschlüssels (nach Kompromittierg., nach Verfall, nach Schlüsselwechsel der CA). Ungeschützte Übergabe der öffentlichen Schlüssel begünstigt back-to-back-Angriff. Möglichkeiten der sicheren Übergabe: - persönliche Übergabe (evtl. auch telefonisch) - Mail mit Schlüssel (im ASCII-Code) + telefonische Durchgabe des Schlüssel-Fingerprints (Hash-Wert in ASCII): A bildet dann selbst erneut Fingerprint und vergleicht - über CA mit Zertifikat (PKI!), meist auf Chipkarte (PIN-geschützt, nicht kopierbar) - über eine trusted third party Diffie-Hellmann: Schlüsselaustausch über einen unsicheren Kanal 1) A und B einigen sich (öffentlich) über Primzahl n und Hilfszahl g 2) A erzeugt Zufallszahl x und schickt a = g x mod n zu B 3) B erzeugt Zufallszahl y und schickt b = g y mod n zu A 4) A berechnet k = b x = ( g y mod n ) x = g y x mod n 5) B berechnet k’ = a y = ( g x mod n ) y = g x y mod n Da g y x mod n = g x y , ist auch k = k’ (der für beide identische Schlüssel). Keine Authentifizierung: Gefahr für man in the middle. (Ein neues Verfahren auf GMD-Tagung "Digitale Signaturen" 1996 wurde von Dr. Peterson, Chemnitz, in einer Stunde gebrochen.) Speicherung: Gleiche Forderungen wie bei Verteilung: mindestens verschlüsseln und Zugriffsrechte einschränken! Für PC-Endstellen früher auf Diskette (stets verfügbar, aber leicht kopierbar), später SmartDisk (wie gewöhnliche Diskette, aber mit Prozessor und Boot-Schutz). Jetzt Chipkarte(SmartCard) in verschiedenen Formen: memory card, symmetric und asymmetric cryptoprocessor card (PKI Smart Card mit 2-Schlüssel-Verfahren), kennwortgeschützte SmartCD; z. T. auf der Basis von ECC. Z.T. auch zentrale Speicherung zum Kommunikationsnachweis und zur Schlüssel-Rekonstruktion (Voraussetzung : vertrauenswürdige Instanz!) Schlüsselbund für jeden Nutzer! Key-Server im Internet zur Hinterlegung öffentlicher Schlüssel. Clipper-Chip MYK-78 zur Verschlüsselung: Seriennummer wird mitgesendet, Generalschlüssel aus 2 Teilen (in 2 Behörden), nicht offengelegt; Anlaß war Industriespionage [nicht durchgesetzt]. "key escrew": staatliche Treuhandverwaltung aller Schlüssel. PGP: in Verzeichnis, z. B. $HOME/.pgp , unter den Namen secring.pg bzw. pubring.pgp , mit Identifikator name <mailadresse> , durch Passphrase pp geschützt (beliebig lang, beliebige Zeichen, Authentikator bei der Verwendung des geheimen Schlüssels). IDEA-Schlüssel werden nicht gespeichert. Anwendung: konsequent einsetzen, möglichst oft wechseln Gültigkeitsdauer beachten: Sitzungsschlüssel nur für eine Verbindung, RSA zur Zeit 2 Jahre (Sicherheit, Kosten, Rechtsprobleme: mehrere Schlüssel bedeutet mehrere Unterschriften), ggf. vorzeitige Annullierung. Smart Card: der geheime asymmetrische Schlüssel muss nicht über das Netz transportiert werden, wird direkt auf der Karte verarbeitet, 2048 -bit-Schlüssel. PGP: Zum Verschlüsseln (IDEA, Einmalschlüssel) und Signieren (RSA) von Dateien bzw. Nachrichten. Archivierung: Ziele: Nachweis von Unterschriften (Signaturen), Vermeidung von Dopplungen. Alle unsymmetrischen Schlüssel werden archiviert. Symmetrische Schlüssel nicht zum Nachweis geeignet. Archivierung von Zertifikaten durch CA: Gewährleistung der Integrität öffentlicher Schlüssel (Schutz vor Manipulation und falscher Zuordnung zu Nutzern, Gewährleistung der Gültigkeitsdauer: nur Leserecht für alle!) Löschen: Durch physisches Überschreiben, Logbuch-Eintrag. Sitzungsschlüssel wird sofort nach der Verteilung gelöscht. Rückruf von Zertifikaten mittels „schwarzer“ Liste (CRL = certificate revocation list), speziell in Trustcentern. Schlüssel-Rekonstruktion (key recovery): nötig bei Schlüssel-Verlust oder zum Datenzugriff aus Kontrollgründen (staatliche Überwachung o. ä.) 2 Möglichkeiten: 1) Rekonstruktion des Originalschlüssels (recovery im engeren Sinne) aus Schlüssel-Kopie oder aus verschlüsseltem Originalschlüssel (Bestandteil der Nachricht oder sicher hinterlegt); 2) Benutzung eines Zweitschlüssels (message recovery), z. B. Sitzungsschlüssel 2x verschlüsselt (mit pubkey des Partners und mit recovery key), evtl. als Dienstleistung durch ein key recovery center (hohe Anforderungen wegen Zentralisierung!) Weck: Risiken z. Zt. nicht beherrschbar, kann umgangen werden, recovery von Signierschlüsseln nicht vertretbar. Evtl. auch mittels ADK (additional decryption key). Schlüssel-Klone. Beispiel für dezentrale Schlüsselverwaltung: WAN, z. B. CCITT (X.500); Beispiel für zentrale Schlüsselverwaltung: Kerberos Praktizierte Verfahren: SKIP (simple key interchange protocol), TKIP (temporal key integrity protocol (auch zu Austausch), IKE (internet key exchange: ISAKMP + Oakley, ISAKMP = internet security association key management protocol), Modi und Phasen für Schlüssel-Austausch. © kd rieck febr. 2015