Früher oder später begegnet jeder einem kryptographischen Produkt oder Anwendung. Doch was steckt dahinter? Lernen Sie die Geschichte der Kryptographie und auf einfache Art und Weise aktuelle Algorithmen kennen.
Referent: Andreas Wisler
Kryptographie – Einführung und Anwendungsmöglichkeiten
1. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Kryptographie
Einführung und Anwendungsmöglichkeiten
Andreas Wisler, CEO
GO OUT Production GmbH
1
Übersicht
Die Kryptologie („versteckt“, „verborgen“, „geheim“) ist eine
Wissenschaft, die sich mit technischen Verfahren für die
Informationssicherheit beschäftigt.
Kryptologie
Kryptografie Kryptoanalyse Steganografie
2. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Bedrohungen
• Abhören von Nachrichten oder Einsicht in Nachrichten.
Personen nehmen Einblick in Informationen oder
Nachrichten, obwohl dies vom Verfasser der Nachricht oder
der Information unerwünscht
oder ungewollt ist.
• Verändern von Nachrichten. Hier wird eine Nachricht soweit
verändert, dass der Sinn oder Zweck der ursprünglichen
Nachricht nicht mehr mit der veränderten übereinstimmt.
• Bestreiten des Versands von Nachrichten (Non Repudiation
of origin). Hier wird vom Absender einer Nachricht bestritten,
dieNachricht versandt zu haben.
• Vortäuschen einer anderen Identität (Masquerade). Eine
Person gibt sich als eine andere Person aus, um eine andere
Person in die Irre zu führen.
Einsatz Kryptographie
• Gewährleistung von
• Integrität
• Vertraulichkeit
• Authentizität
• Verbindlichkeit
3. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Begriffe
Plaintext Ciphertext
Begriffe
• Plaintext
Daten die von jedermann gelesen und verstanden werden
können
• Encryption
Verschlüsseln
• Ciphertext
Darin ist die Botschaft vom „plaintext“ verschlüsselt
enthalten. Der Inhalt der Botschaft ist nicht ersichtlich, auch
nicht für diejenigen, welche den „ciphertext“ sehen können.
• Decryption
Entschlüsseln - Wiederherstellen des Zustandes vor der
Verschlüsselung
• Algorithmus
Ein Set von Regeln, welche ver- & entschlüsseln
4. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Kerckhoff‘s Prinzip
• Die Sicherheit eines Kryptosystems darf nicht von
der Geheimhaltung des Algorithmus abhängen.
• Die Sicherheit gründet sich auf die Geheimhaltung
frei wählbarer Eingangsgrössen des Algorithmus.
• Fakten:
• Hacker kennen jedes Detail des Kryptografie Algorithmus
• Hacker verfügen über das Equipment für die Ver- und
Entschlüsselung (Hardware und Software)
• Hacker haben Zugriff auf eine Vielzahl von ver- und
entschlüsselten Texten mit dem gleichen (unbekannten)
Schlüssel.
Ägypter
5. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Spartaner / Skytale
Babington Komplott
Mary Stuart
Königin von Schottland
Elisabeth I
Königin von England
6. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Babington Komplott
Navajo-Dialekt
7. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Enigma
Verschlüsselung
• Symmetrisches Verfahren
Sender Empfänger
8. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Verschlüsselung
• Symmetrisches Verfahren
• ein einziger Schlüssel für die Ver- und
Entschlüsselung
• sehr schnell
• ideal, wenn Daten verschlüsselt und nicht
übertragen werden müssen
• problematische Schlüsselverteilung
Redundanz
Buchstabe Häufigkeit in % Buchstabe Häufigkeit in %
a 6,51 n 9,78
b 1,89 o 2,51
c 3,06 p 0,79
d 5,08 q 0,02
e 17,40 r 7,00
f 1,66 s 7,27
g 3,01 t 6,15
h 4,76 u 4,35
i 7,55 v 0,67
j 0,27 w 1,89
k 1,21 x 0,03
l 3,44 y 0,04
m 2,53 z 1,13
9. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
XOR-Transformation
Funktionsweise DES
10. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
1 Runde DES (von 16)
DES Modi
• Electronic Code Book (ECB)
• Cipher Block Chaining (CBC)
11. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
DES Modi
• Cipher Feedback (CFB)
• Output Feedback (OFB)
DES Modi
• Counter Mode (CTR)
12. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Verschlüsselung
• Asymmetrisches Verfahren
plaintext
encryption
ciphertext
decryption
plaintext
public
key
private
key
EmpfängerSender
Verschlüsselung
• Asymmetrische Verschlüsselung
• zur Verschlüsselung wird ein Schlüsselpaar
verwendet
• mit dem öffentlichen Schlüssel werden die Daten
verschlüsselt mit dem privaten Schlüssel
entschlüsselt
• der öffentliche Schlüssel ist allen bekannt, der
private Schlüssel dagegen bleibt geheim.
• Oft auch als Public-Key Verfahren bezeichnet
13. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Verschlüsselung
• Bekanntestes Verfahren ist RSA
(Rivest, Shamir, Adleman; 1978)
• Ein-Weg Funktion:
• Exponentielle Funktion y = f(x) = xe mod n kann mit
angemessener Aufwand berechnet werden.
• Die inverse Funktion x = f-1(y) ist extrem aufwändig zu
berechnen.
Shamir – Rivest - Adleman
Digitale Unterschriften
14. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Hash Verfahren
Schlüsselaustausch
• Erfinder:
Whitfield Diffie Martin Hellman Ralph Merkle
15. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Diffie Hellman
1. Alice und Bob einigen sich auf p = 13 und g = 2.
2. Alice wählt die Zufallszahl a = 5. Bob wählt b = 7.
3. Alice berechnet A = 25 mod 13 = 6 und sendet
dieses Ergebnis an Bob.
4. Bob berechnet B = 27 mod 13 = 11 und sendet
dieses Ergebnis an Alice.
5. Alice berechnet K = 115 mod 13 = 7.
6. Bob berechnet K = 67 mod 13 = 7.
7. Beide erhalten das gleiche Ergebnis K = 7.
Kryptoanalyse
• Kryptoanalyse ist die Wissenschaft ~
• Codes zu „knacken“
• Geheimnisse (in Nachrichten) zu entschlüsseln
• Schwachstellen von krptographischen Algorithmen
aufzudecken
16. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Steganografie
• Das Wort "Steganografie" kommt aus dem
Griechischen und heisst übersetzt "verborgenes
Schreiben". Sie wird oft definiert als "die Kunst
und Wissenschaft der Kommunikation auf einem
Weg, welcher die Existenz der Nachricht verbirgt".
Somit ist Sinn und Zweck die "Vertuschung" von
Informationen. Die Sicherheit einer geheimen
steganografischen Botschaft liegt also darin, dass
dem Angreifer die Existenz einer solchen nicht
auffällt.
• Technische Steganografie
• Computergestützte Steganografie
• Linguistische Steganografie
SSL
• Verbindungsaufbau
• Sofern der Client eine Authentisierung fordert, sendet der
Server sein Zertifikat (X.509 key)
• Der Client prüft die CA, welche das Zertifikat signiert hat
• Der Client verwendet den öffentlichen Schlüssel der CA
um die digitale Signatur des Server Zertifikats zu prüfen,
berechnet den Message Digest
• Der Client prüft Gültigkeitsdatum und URL im Zertifikat
• Der Client erzeugt einen Sitzungsschlüssel (Session Key)
mit dem vorher ausgehandelten Algorithmus
• Der Sitzungsschlüssel wird mit dem öffentlichen
Schlüssel des Servers verschlüsselt und an den Server
verschickt
32
17. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
SSL
33
Service Name Port Protokoll
https 443 / tcp http überTLS/SSL
smtps 465 / tcp smtp über TLS/SSL
nntps 563 / tcp nntp über TLS/SSL
sshell 614 / tcp shell über TLS/SSL
ldaps 636 / tcp ldap über TLS/SSL
ftps-data 989 / tcp ftp-data über TLS/SSL
ftps 990 / tcp ftp über TLS/SSL
telnets 992 / tcp telnet über TLS/SSL
imaps 993 / tcp imap über TLS/SSL
ircs 994 / tcp irc über TLS/SSL
pop3s 995 / tcp pop3 über TLS/SSL
Certification Authority
• Die CA signiert Zertifikatsanfragen,
verwaltet eine Zertifikats-Sperrliste,
generiert Schlüsselpaare für
Verschlüsselungszertifikate (key recovery)
und publiziert signierte Zertifikate im
öffentlichen Verzeichnis
• Sie „verwaltet“ das Wurzelzertifikat und die
in der Hierarchie darunter liegende
Zwischenzertifizierungstellen.
• Stellt Trust Cross Zertifizierungen sicher
34
18. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Zertifikat
35
Extras – Internetoptionen… – Inhalte – Zertifikate…
Zertifizierungspfad
36
19. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Sperrlisten
• Ist ein Zertifikat nicht mehr gültig, so kann es gesperrt
werden. Jede CA sollte in regelmässigen Abständen diese
Sperrliste (Key Revocation List) veröffentlichen. Wo der Ort
der Sperrlisten ist, steht meistens im Root Zertifikat der CA
drin. So ist es beispielsweise bei Verisign:
http://crl.verisign.com/pca3.crl .
37
ZertES
• Seit 1. Januar 2005 werden elektronische Signaturen der
handschriftliche Unterschriften gleichgestellt. Der Bundesrat hat
die ausführende Verordnung zum Bundesgesetz über die
elektronische Signatur verabschiedet.
• Dieses definiert die Bedingungen, unter denen Anbieterinnen
von Zertifizierungsdiensten auf freiwilliger Basis anerkannt
werden können, und regelt ihre Tätigkeiten im Bereich der
elektronischen Zertifikate. Es legt zudem die Voraussetzungen
fest, die eine elektronische Signatur erfüllen muss, um die
gleichen Wirkungen wie eine handschriftliche Unterschrift
erzielen zu können.
• Die neuen gesetzlichen Bestimmungen sind mit der geltenden
Regelung der Europäischen Union kompatibel.
• Informationen: www.admin.ch/ch/d/ff/2003/8221.pdf
38
20. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
SuisseID
• Die SuisseID ist der erste standardisierte elektronische
Identitätsnachweis der Schweiz, mit dem sowohl eine
rechtsgültige elektronische Signatur wie auch eine sichere
Authentifizierung möglich sind.
• Das SuisseID-System enthält drei Elemente:
• Elektronischer Identitätsnachweis
• Qualifizierte elektronische Signatur
• Elektronischer Funktionsnachweis
• Anbieter
• QuoVadis / Trüb
• Post (Swiss Sign)
• Swisscom (Unternehmen)
• BIT (Verwaltungen)
39
Eigene CA
40
21. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Verschlüsselung
• Festplattenverschlüsselung
mit Bitlocker
41
Verschlüsselung
• Verschlüsselung mit TrueCrypt
• Freie Software
• Partition- und/oder Container Verschlüsselung
• Seit Windows 2000, Mac OS X 10.4 verfügbar
• Auch als Portable Version
• AES, Twofish, Serpent
42
22. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
PGP
• Verdienst eines einzelnen Mannes:
Phil Zimmermann
• 1991: erste Freeware Version
als Resultat eines Projektes
• ohne finanzielle Unterstützung
• ohne industrielle Unterstützung
• als Ein-Personen Projekt
• 1993: ViaCrypt verteilt erste kommerzielle Version
• 1996: Gründung von PGP Inc.
• 1997: PGP Inc. Wird von Network Associates aufgekauft
• 1993-1996: Strafverfolgung von Phil Zimmermann
• PGP benützt RSA and Merkle-Hellmann Technologie, beides
Patentrechtlich geschützt.
• Zusätzlich darf Verschlüsselungssoftware nicht aus den USA exportiert
werden ohne die explizite Genehmigung vom State Department.
43
Verschlüsselung
44
23. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Authentifikation
1. Der Sender erstellt die Nachricht.
2. Mit SHA-1 generiert er einen 160-bit langen
Hash Code von der Nachricht.
3. Der Hash Code wird mit dem privaten RSA
Schlüssel des Senders verschlüsselt und an
die Nachricht angehängt.
4. Der Empfänger entschlüsselt den Hash Code
mit dem Public RSA Schlüssel des Senders.
5. Der Empfänger berechnet den Hash Code
vom Dokument und vergleicht ihn mit dem
angehängten..
45
Verschlüsselung
1. Der Sender generiert die Nachricht und eine
Zufallszahl von 128 Bit (=Session Key für
diese Nachricht).
2. Die Nachricht wird mit dem Session Key
verschlüsselt (Algorithmen: CAST-128, IDEA
oder 3DES)
3. Der Session Key wird mit dem RSA Public Key
vom Empfänger verschlüsselt und der
verschlüsselten Nachricht vorgehängt.
4. Der Empfänger entschlüsselt den Session Key
mit seinem privaten RSA Key.
5. Mit dem Session Key kann er die Nachricht
entschlüsseln.
46
24. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Entschlüsselung
47
Fazit
• Verschlüsselung wird an vielen Orten
genutzt
• Verschlüsselung bietet idealen Schutz
• Verfahren sind noch immer sehr komplex
48
25. Digicomp Hacking Day 2013 – Einführung Kryptographie
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Mit uns wissen Sie,
wie es um Ihre IT-Sicherheit steht!
Th. Furrer
S. Walser K. Haase N. Rasstrigina
A. Wisler S. Müller M. Schneider E. Kauth
C. Wehrli
Dienstleistungen