HiØ 20.01 2003 Datasikkerhet vår 2003 Forelesning 3 Forelesning 3

HiØ 20.01 2003 Terminologi Kryptografi – fra gresk krypto: skjult, hemmelig og grafein: skrift Kryptering - å kode melding slik at dens innhold/mening ikke kan oppfattes av utenforstående (å skjule meningsinnhold) Dekryptering - omforme en kryptert M tilbake til normal for (klartekst) Kryptering Dekryptering Klartekst Kryptogram Kryptoanalyse - lete etter skjult mening analytisk ved hjelp av rå maskinkraft 20.01 2003 HiØ Forelesning 3 Forelesning 3

Algoritme = (regne/behandlings) regel/regler HiØ 20.01 2003 Algoritme = (regne/behandlings) regel/regler P = [VÆR HILSET STUDENTER OG VELKOMMEN] C = E(P) der E (krypteringsalgoritmen) er røverspråkreglene. Etter hver konsonant settes en vokal og deretter gjentas konsonanten. C = [VOVÆROR HOHILOLSESTET SOSTETUDODENONTETEROR OGOG VOVELOLKOKOMOMMOMENON] Røverspråket er en fast algoritme - uten nøkkel. Hvordan vil dette kunne kodes? 20.01 2003 HiØ Forelesning 3 Forelesning 3

HiØ 20.01 2003 Algoritmer med nøkkel KENCRYPT KDECRYPT M Kryptogram M ENCRYPT DECRYPT Hvilke endringer er nødvendig i koden ? Nøkkel må være parameter. (Pass på mulige inkonsistenser ved oversettelse til norsk) 20.01 2003 HiØ Forelesning 3 Forelesning 3

Substitusjon A > D B > E C > F D > G . Ø > B HiØ 20.01 2003 Substitusjon A > D B > E C > F D > G . Ø > B Å > C ZM IV M JIVH QIH D PBVI SQ OVÅTXSKVEJM c = c + 3 Enkel å implementere for mennesker for maskiner Eksempel Caesars algoritme Hva er algoritmen og hva er nøkkelen ? A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Æ Ø Å D E F G H I J K L M N O P Q R S T U V W X Y Z Æ Ø Å A B C 20.01 2003 HiØ Forelesning 3 Forelesning 3

Transposisjoner (Permutasjoner) HiØ 20.01 2003 Transposisjoner (Permutasjoner) Stokker om på ”bokstavene” som utgjør meldingen Forutsetter at man lager blokker av meldingen network securit yessent ialsxxx nsyieee atcslwu ssorexr inxkttx 20.01 2003 HiØ Forelesning 3 Forelesning 3

To sikkerhetskrav - klassisk kryptografi HiØ 20.01 2003 To sikkerhetskrav - klassisk kryptografi Sterk krypteringsalgoritme Algoritme bør være offentlig (NSK er hemmelig) (Algoritme + N*kryptogram) skal ikke medføre avsløring av klartekst/nøkkel; (Algoritme + N*(kryptogram + klartekst)) skal ikke medføre avsløring av nøkkel; Sender og mottaker må ha fått kopier av hemmelig nøkkel på en sikker måte; med tilgang til nøkkelen kan all kommunikasjon avsløres. 20.01 2003 HiØ Forelesning 3 Forelesning 3

Klassifisering av kryptosystemer HiØ 20.01 2003 Klassifisering av kryptosystemer Type operasjoner som benyttes substitusjon, transposisjonering; Antall nøkler som benyttes En nøkkel - symmetrisk To nøkler - asymmetrisk eller ”Public key” Prosesseringsmåte Blokkalgoritmer N bit inn N bit ut Fortløpende (stream) et element inn, et element ut Når må man benytte stream/fortløpende algoritme? 20.01 2003 HiØ Forelesning 3 Forelesning 3

Kryptoanalyse Å avsløre klartekst fra kryptogrammer HiØ 20.01 2003 Kryptoanalyse Å avsløre klartekst fra kryptogrammer Kun den krypterte tekst (algoritme + kryptogram) analyse basert på sannsynligheter, kjente fordelinger, uttømmende nøkkelsøk Kjent klartekst ( + par av klartekst/kryptogrammer der hemmelig nøkkel er benyttet) Valgt klartekst ( + klartekst valgt av analytiker og tilhørende kryptogram) Valgt kryptogram ( + dekryptert klartekst) Valgt tekst (begge de to foregående) Algoritme Klartekst Kryptogram 20.01 2003 HiØ Forelesning 3 Forelesning 3

Kriterier for tilstrekkelig sterke kryptografiske systemer HiØ 20.01 2003 Kriterier for tilstrekkelig sterke kryptografiske systemer Kostnaden ved dekryptering overstiger verdien på den krypterte informasjon; Tiden det tar å gjennomføre analysen overstiger informasjonens ”levetid” (hvor lenge den må holdes hemmelig) 20.01 2003 HiØ Forelesning 3 Forelesning 3

Ønskede egenskaper ved kryptoalgoritmer HiØ 20.01 2003 Ønskede egenskaper ved kryptoalgoritmer Forvirring (confusion) sørge for at det er vanskelig å finne ut hva endringer i noe av klarteksten har å si for den krypterte tekst. Spredning (diffusion) sørge for at endringer i litt av klarteksten spres ut over store deler av den krypterte tekst. 20.01 2003 HiØ Forelesning 3 Forelesning 3

Tid ved uttømmende nøkkelsøk HiØ 20.01 2003 Tid ved uttømmende nøkkelsøk Som oftest nødvendig når kun kryptogram og algoritme er kjent. Dagens PC med 1 GigaHz klokkecykler – 109 tick per sekund. Med 5 tick i gjennomsnitt per instruksjoner, vil man kunne utføre 200 instruksjoner per mikrosekund (et milliontedels sekund). - Har (deler av) kryptogram i register. Dekrypter med valgt nøkkel Kontroller om resultatet kan være tekst Inkrementer nøkkel og – på’n igjen. Det er et alternativ å forsøke å avsløre nøkkelen. 20.01 2003 HiØ Forelesning 3 Forelesning 3

Symmetriske algoritmer Private Key algoritmer KE = KD (DES algoritmen) HiØ 20.01 2003 Symmetriske algoritmer Private Key algoritmer KE = KD (DES algoritmen) P = D(K,E(K,P)) Asymmetriske algoritmer Public Key algoritmer KE  KD (RSA algoritmen) P = D(KD,E(KE,P)) E D M Krypto- gram K E D M Krypto- gram KE KD 20.01 2003 HiØ Forelesning 3 Forelesning 3

DES algoritmen Se egen presentasjon HiØ 20.01 2003 DES algoritmen Se egen presentasjon NB! Resten av presentasjonen omhandler symmetriske (secret key) algoritmer Hvor sterk/motstandsdyktig er DES? To bekymringer – algoritmen selv og nøkkellengden. Algoritmen er utviklet av IBM i samarbeide med amerikansk etterretning. Men den er offentlig. Har vært kjent lenge. Og ingen har så langt kunnet påvise eller har offentliggjort noen alvorlige svakheter. Det er mer tvilsomt at nøkkellengden er begrenset til 56 bit. 20.01 2003 HiØ Forelesning 3 Forelesning 3

Trippel DEA Benytter 3 nøkler (tre hemmelige) HiØ 20.01 2003 Trippel DEA Benytter 3 nøkler (tre hemmelige) Gjennomløper DEA 3 ganger C=EK3[DK2[EK1[P]]] P= DK1[EK2[DK3[C]]] Tre ulike nøkler  168 bits To ulike nøkler  128 bits (en nøkkel 2 ganger) 20.01 2003 HiØ Forelesning 3 Forelesning 3

Andre algoritmer 20.01 2003 HiØ Forelesning 3 HiØ 20.01 2003

Cipher Block Chaining Mode HiØ 20.01 2003 Cipher Block Chaining Mode Se PDF fil Nevne at funksjonen kan benyttes for å lage en ”digest” (forkortelse). 20.01 2003 HiØ Forelesning 3 Forelesning 3

Cipher Feedback Mode DES kan benyttes slik HiØ 20.01 2003 Cipher Feedback Mode DES kan benyttes slik DES i streaming mode (egentlig block cipher) Kan operere i sanntid I figuren sendes j bit. j er ofte 8. Er en ”chaining” variant slik at alle produsert kryptert tekst er avhengig av tidligere tekst 20.01 2003 HiØ Forelesning 3 Forelesning 3

Kryptering (PDF 2.8) Set 64 bit shift register med IV Krypter 20.01 2003 Kryptering (PDF 2.8) Set 64 bit shift register med IV Krypter Ta de j (8) mest signifikante bit XOR disse med j (8) bit klartekst : C1 (j bit) Shift register j (8) bit og plasser C1 i de j minst signifikante bit Krypter osv. 20.01 2003 HiØ Forelesning 3 Forelesning 3

Kryptere hvor Link kryptering Ende-til-ende kryptering HiØ 20.01 2003 Kryptere hvor Link kryptering Sikker på linjen, rask, transparent for bruker, motstandsdyktig mot trafikkanalyse fordi også pakkehoder er kryptert Klartekst i nodene Ende-til-ende kryptering Kan være transparent for bruker, ikke avhengig av underliggende transportnett, færre kryptoenheter, beskyttet gjennom noder Følsom for trafikkanalyse Kan benytte begge samtidig 20.01 2003 HiØ Forelesning 3 Forelesning 3

Livssyklus Distribusjon Installasjon Produksjon Lagring Arkivering HiØ 20.01 2003 Livssyklus Distribusjon Installasjon Produksjon Lagring Nøkkelhåndtering omfatter: nøkkelgenerering, nøkkeldistribusjon, nøkkelinstallasjon, nøkkellagring, nøkkelarkivering og nøkkel-destruksjon. Dette beskriver også nøklenes livssyklus fra de genereres til de til slutt tilintetgjøres. Prosedyrer for nøkkelhåndtering gjør det mulig for grupper av brukere å generere, distribuere, installere, lagre, skifte, slette og arkivere nøkler. Nøkkelbruken kontrolleres og det tilbys rutiner for installasjon og vedlikehold av tjenester brukere trenger for håndtering av kryptomateriale. revisjonstjenester for å kunne frembringe bevis for produksjon og senere manipulasjon av nøkler Arkivering Destruksjon 20.01 2003 HiØ Forelesning 3 Forelesning 3

Nøkkelhåndtering Man må påse at nøkler er gode HiØ 20.01 2003 Nøkkelhåndtering Man må påse at nøkler er gode Det er god praksis å skifte kryptonøkler jevnlig (for å unngå kompromittering) Nøkler må oppbevares betryggende Ønsker å oppbevare digitale signaturer i årevis som bevis (f.eks. på kontrakter) Blir nødvendig å oppbevare nøkler i årevis - kan bli tusenvis av nøkler. 20.01 2003 HiØ Forelesning 3 Forelesning 3

Trusler Avsløring under Svake nøkler Feil ved produksjon distribusjon HiØ 20.01 2003 Trusler Avsløring under produksjon distribusjon lagring Svake nøkler ikke tilfeldige nok dårlige egenskaper Feil ved produksjon distribusjon lagring synkronisering En trussel mot nøkkelhåndtering er nødvendigvis også en trussel mot alle tjenester som benytter kryptografi som mekanisme. Derigjennom er det også en trussel mot brukere og applikasjoner som benytter seg av de samme sikkerhetstjenester. Vi vil også her se truslene i sammenheng med de grunnleggende egenskaper vi forventer av systemene - konfidensialitet, integritet og tilgjengelighet. Trusler mot nøkkelhåndterings-rutiner kan være trusler mot hver av de tre ønskede egenskaper. Vi skal se på truslene avsløring, svake nøkler og feil. Avsløring av nøkler er en trussel mot konfidensialitet og integritet der kryptografi benyttes for å ivareta nettopp disse egenskaper. Det samme gjelder for svake nøkler. Feil er i første omgang en trussel mot tilgjengelighet. Feil kan medføre at meldinger ikke kan dekrypteres. To kommuniserende parter kan da ikke kommunisere og data som er lagret kryptert, kan bli utilgjengelige. Avsløring. Kryptonøkler vil kunne avsløres under produksjon. Faren for det er avhengig av produk-sjonsmåte, sikringen av produksjonsutstyret og påliteligheten til personellet som produserer kryptonøkler. Nøkler kan avsløres der de oppbevare før distribusjon, under distribusjon og under oppbevaring hos mottakeren. Nøkler er data med strenge krav til konfidensialitet og må oppbevares og distribueres deretter. Svake nøkler. Ved produksjon av nøkler er det viktig at alle nøkler er like sannsynlige. Svakheter i funksjonene som produserer nøkler kan medføre at enkelte nøkler er mer sannsynlige enn andre noe som gjør meldinger letter å avsløre. Meldinger kan forsøkes dekryptert av uautoriserte ved bruk av de mer sannsynlige nøklene. Det er kjent at enkelte nøkler som kan benyttes av DES-algoritmen er svake. Det betyr at meldinger kryptert under en slik svak nøkkel er lettere å avsløre ved kryptoanalyse. Feil. Det er mulig å få feil ved generering av nøkler til asymmetriske algoritmer, men dette er ikke kjent som et problem. Ved feil vil parter ikke kunne kommunisere (trussel mot tilgjengelighet). Ved kommunikasjon vil man måtte forsøke nye nøkkelsett eller i verste fall kommunisere uten kryptering (følgetrussel mot konfidensialitet og integritet). Det er mulig å få feil på nøkler mens de er lagret eller under distribusjon. Resultatet vil være det samme som ovenfor. Ved skifte av nøkler kan man risikere at to kommuniserende parter ikke skifter til samme tidspunkt eller at de velger nøkkelsett som ikke passer sammen. Dette kan skyldes svikt i protokollverket som regulerer nøkkelskifte og/eller manglende synkronisering av klokker som benyttes for å få samtalepartnere til å skifte nøkkel samtidig. Konsekvensene kan bli de samme som ovenfor. 20.01 2003 HiØ Forelesning 3 Forelesning 3

Symmetrisk nøkkel utveksling uten server HiØ 20.01 2003 Symmetrisk nøkkel utveksling uten server A og B har en felles symmetrisk nøkkel K A E(K,Knew) B Løsningen forutsetter at alle par av kommuniserende parter har nøkkel for hver part - n(n-1)/2 20.01 2003 HiØ Forelesning 3 Forelesning 3

Nøkkelhierarki 20.01 2003 HiØ Forelesning 3 HiØ 20.01 2003 Ved nøkkelgenerering må man ta hensyn til de tidligere nevnte trusler om avsløring og svake nøkler. Nøkler kan avsløres på forskjellig vis, og mottiltakene må tilpasses de mulighetene man ser. Et mottiltak er alltid å oppbevare nøklene kryptert. Man bygger opp hierarkier av nøkler der noen nøkler benyttes for å kryptere data andre for å kryptere andre nøkler. Et annet mottiltak er å fysisk sikre kryptoenheter og enheter som oppbevarer nøkkelmateriell. Nøkkelhierarki. Det er to slags nøkler - trafikknøkler/ datakrypterings-nøkler og nøkkelkrypteringsnøkler. Som navnene tilsier, benyttes datakrypteringsnøklene til å kryptere data. Slike nøkler kalles ofte sesjonsnøkler fordi de gjerne skiftes for hver sesjon som opprettes mellom to kommuniserende parter. Nøkkelkrypteringsnøkler benyttes for å kryptere nøkler. Trafikknøkler vil som oftest være kryptert under en nøkkelkrypteringsnøkkel ved distribusjon. Nøkler ordnes i et hiararki. Nøklene på det laveste nivået er trafikknøkler. På de høyere nivåene er det nøkkelkrypteringsnøkler. Øverst i hierarkiet står hovednøkkelen, eller om man vil hovedkryp-teringsnøkkelen. Hovednøkkelen er unik for ett utstyr. Det er vanlig med hierarkier i to eller tre nivåer. Øverst har man en hovednøkkel som skiftes med flere måneders mellomrom. Det neste nivået kan være nøkkelkrypteringsnøkler som skiftes daglig. Nederst i hierarkiet kan man så ha trafikknøkler som skiftes for hver sesjon. Produksjon. Nøkler skal produseres "på slump". Dette betyr at en nøkkel ikke skal være mer sannsynlig enn en annen. Det skal ikke være mulig å slutte seg til hva en nøkkel er ved kjennskap til tidligere produserte nøkler. Nøkkelproduksjonsutstyr må være fysisk sikret. Det gjelder utstyrets plassering, men også utstyrets konstruksjon. Det stilles ofte krav om at de skal være "fiklesikre" (tamperproof). 20.01 2003 HiØ Forelesning 3 Forelesning 3

Symmetrisk nøkkel utveksling med server HiØ 20.01 2003 Symmetrisk nøkkel utveksling med server Per og Rita trenger hemmelig nøkkel for sikker kommunikasjon seg imellom Kp, Kr er Pers og Ritas nøkler for sikker kommunikasjon med nøkkelsenter (KDC - Key Distribution Centre) Per sender (P, R, Ip) til KDC - Per, Rita (identiteter) unik identifikator Ip i fall Per har flere samtidige ”oppdrag” - og for å hindre replay angrep. KDC sender Per E((Ip,R,Kpr,E((Kpr,P),Kr)),Kp) Per sender E((Kpr,P),Kr) videre til Rita 20.01 2003 HiØ Forelesning 3 Forelesning 3

Nøkkeldistribusjonssenter - NDS (KDC) HiØ 20.01 2003 Nøkkeldistribusjonssenter - NDS (KDC) Ip: Slumptall Kpr: Trafikknøkkel R: Ritas Id P: Pers Id NDS P Ip R 1 Per-NDS nøkkel Rita-NDS nøkkel P Kpr R Kpr Ip 2 P Kpr Hensikten med et NDS er å generere eller rekvirere og deretter distribuere nøkkelmateriell til parter som deler en nøkkelkrypterings-nøkkel med NDS. En av partene (Per) rekvirerer en nøkkel fra NDS for påfølgende kommunikasjon med en annen part (Rita). NDS sender nøkkelen til Per beskyttet under en nøkkelkrypteringsnøkkel som NDS har felles med Per. NDS kan også sende nøkkelen direkte til Rita, beskyttet av nøkkelkrypteringsnøkkelen som NDS har felles med Rita. 1. Per sender en melding til NDS inneholdende det entydige navnet på Rita, seg selv samt et slumptall (Ip). 2. NDS returnerer en melding inneholdene - Den produserte trafikknøkkelen og Per sitt entydige navn. Det hele kryptert under nøkkelen som er felles for NDS og Rita. - Det entydige navn på Rita. - Den produserte trafikknøkkelen. - Slumptallet Ip. Hele meldingen er kryptert under nøkkelen felles for NDS og Per. 3. Per sender en melding til Rita inneholdende to elementer - Den delen av meldingen fra NDS som var kryptert under NDS og Rita sin felles nøkkel. På den måten skal Rita få tilgang til den nye trafikk-nøkkelen. 3 Rita Per 20.01 2003 HiØ Forelesning 3 Forelesning 3

Modell for nøkkelhåndtering HiØ 20.01 2003 Modell for nøkkelhåndtering KI KP NA NP KI KommunikasjonsInitiator KP KommunikasjonsPartner NA NøkkelAnsvarlig NP Nøkkelprodusent Modellen består av tre hovedelementer. Det er noe, her kalt kommunikasjonsinitiator (KI), som ønsker en "sikker" kommunikasjon med en annen part. Den annen part kalles her kommunikasjonspartner (KP). Den eneste prinsipielle forskjellen på KI og KP er at KI tar initiativet og KP blir det tatt initiativ overfor. En instans som spiller rollen som KI i det ene øyeblikket kan være KP i det neste. Nøkkelansvarlige (NA) er det tredje hovedelement. NA stiller nøkler til disposisjon på forespørsel fra initiatoren. Mellom KI, KP og NA flyter det informasjon. KI sender rekvisisjoner til NA for å få tildelt nøkler. NA retunerer nøkkelmateriell til KI og sender det eventuelt også til KP hvis ikke KI gjør dette selv. Kommunikasjons-Initiator (KI). KI er den part som tar initiativ til opprettelse av en "sikker" samtale med en annen part. KI kan f.eks. være - en applikasjon - en protokollentitet i link/nettverks/transport eller applikasjonslaget - en klient som ønsker å kommunisere med sin tjener KI trenger nøkkelmateriell for å samtale "sikkert" med andre. Kommunikasjons-Partner (KP). KP er den part KI ønsker å kommunisere med. Det gjøres ingen forutsetninger om KI og KPs innbyrdes forhold. De kan f.eks. være protokollentiteter på et eller annet lag i OSI-stakken eller de kan inneha klient og tjener roller overfor hverandre. Forut for opprettelsen av en "sikker" samtale må KI og KP være i besittelse av det nødvendige nøkkelmateriale. KP får enten nøkkel-materialet direkte fra KI eller fra den nøkkelansvarlige. Nøkkel-Ansvarlig (NA). NA er en (eller flere) instans(er) som utruster de kommuniserende parter med nøkkelmateriell. NA kan være en felles ressurs benyttet av mange eller en ressurs dedikert hver enkelt bruker av sikre kommunikasjonstjenester. Nøkkelansvarlige kan distribuere nøkkelmateriell til de involverte parter. En nøkkelprodusent (NP) er en del av eller tilknyttet en eller flere NAer. NP er den instans som faktisk genererer nøkler. Disse stilles til disposisjon for KI og KP via NA. 20.01 2003 HiØ Forelesning 3 Forelesning 3

Informasjonsflyt Rekvisisjon Nøkkelmateriell Egen (KI) identitet HiØ 20.01 2003 Informasjonsflyt Rekvisisjon Egen (KI) identitet Autentiseringsinfo. Identiteten til KP Aksesskontrollinfo. Nøkkelmateriell kryptonøkkel referanse til kryptonøkkel gyldighetsperiode etc. NA sin signatur KI KP Sikker komm. Rekvisisjon Nøkkel- materiell Nøkkel- materiell NA Lagre NP Algoritme Sync Policy Aut.Info Aksessk.Info Hente Arkivere Rekvisisjonen. KIs krav til NA om utlevering nøkler kaller vi her rekvisisjoner. En rekvisisjonen er en melding inneholdende informasjon som setter NA i stand til å vurdere f.eks. - hva slags og hvor mange nøkler KI skal ha, om KI er autorisert for slike nøkler og, om nøkler skal sendes KI og KP eller bare KI. Informasjon som overføres fra initiatoren (KI) til nøkkelansvarlige (NA) i en rekvisisjonen vil derfor kunne inneholde et eller flere av følgende elementer: Egen (KI) identitet, Autentiseringsinformasjon, Identiteten til KP, Aksesskontrollinformasjon Rekvisisjonen vil ofte selv være kryptografisk beskyttet. Nøkkelmateriell. En rekvisisjon kan bli avvist f.eks. av aksesskontroll-tjenesten i NA. Hvis rekvisisjonen godkjennes, returneres hva vi vil kalle nøkkel-materiell. Nøkkelmateriell kan bestå av bl.a. en eller flere kryptonøkler, referanse til en eller flere kryptonøkler som allerede befinner seg hos KI, informasjon om nøkkelens (nøklenes) gyldighetsperiode og NA sin signatur. Nøkkelmateriell vil være fysisk eller kryptografisk beskyttet. Nøkkelmateriell vil alltid sendes KI. I enkelte tilfeller vil NA sende nøkkelmateriell til KI og KP samtidig. Hvis nøkkelmateriell sendes kun til KI, vil KI videreformidle det nødvendige nøkkelmateriell til KP. Det siste er det vanligste. Når NA sender nøkkelmateriell direkte til KP, må NA opprette en forbindelse med KP. Dette kan ta en del tid. KI skal uansett opprette en forbindelse med KP, og kan benytte denne for overføring av nøkkel-materiell før samtalen går over i en "sikker" fase. Hvis NA overfører nøkkelmateriell direkte til KP, må man i tillegg være i stand til å sykronisere KI og KP. KI kan ikke opprette forbindelsen med KP før KP har mottatt sitt nøkkelmateriell. Eksempler. Komponentene kan settes sammen og lokaliseres på forskjellige måter. KI og NA kan samlokaliseres. KI vil da selv produsere nøkler og forsyne KP med slike etter behov. Det forutsettes at KI og KP er utrustet med initielle nøkler som muliggjør sikker overføring av nye nøkler. En annen mulighet er et system der KI og KP har lokale NA, f.eks. med mulighet for lagring av nøkkelmateriell. Selve enheten for produksjon av nøkler er separat. Det er mao. mulig å fordele NA sitt ansvar på flere elementer. Slette 20.01 2003 HiØ Forelesning 3 Forelesning 3