Kryptographie in Theorie und Praxis - Universität Kassel

Kryptographie in Theorie und Praxis
Heiko Stamer
Universität Kassel
Fachbereich Elektrotechnik/Informatik
Wilhelmshöher Allee 71-73, 34109 Kassel
stamer@theory.informatik.uni-kassel.de
76F7 3011 329D 27DB 8D7C 3F97 4F58 4EB8 FB2B E14F
Weiterbildungsseminar 2007
Bund Internationaler Detektive e. V.
Grandhotel Moderne LaStrada, Kassel, 1. Dezember 2007

Inhalt
Einleitung
Begriffsdefinition und Abgrenzung
Ziele der Kryptographie
Geschichte der Kryptographie
Aufbau und Entwicklung kryptographischer Systeme
Secret-Key und Public-Key Kryptographie
Fortgeschrittene kryptographische Techniken
Analyse von Kryptosystemen
Methoden der Kryptoanalyse
Seitenkanalangriffe, Angriffe auf kryptographische Protokolle
Aktuelle Entwicklungen in der Kryptographie
Rechtliche Situation (Kryptodebatte, Schlüsselherausgabe)
” Trusted Computing“ Initiative, Empfehlungen und Literatur
Fragen und Diskussion

Begriffsdefinition
(griech. kryptós = verborgen, logos = Lehre, gráphein = schreiben)
Kryptologie
Kryptographie
Kryptoanalyse
Wissenschaft der Verschlüsselung
von Informationen (Geheimschriften)
Moderne Kryptographie: weitere
Schutzziele, z. B. Datenintegrität
Methoden und Techniken, um
Informationen aus verschlüsselten
Texten zu gewinnen
Beurteilung der Stärken/Schwächen
kryptographischer Verfahren

Abgrenzung/Verbindung zu anderen Gebieten
Verbindungen zu anderen Wissenschaftsgebieten:
Mathematik: Algebra, Kombinatorik, Statistik, Zahlentheorie
Informatik: Informationstheorie, Kodierungstheorie, Logik,
Komplexitätstheorie, Verifikation, Verteilte Systeme
Elektrotechnik: Nachrichtentechnik, Rechnerarchitektur
Abgrenzung zur IT-Sicherheit: Teilgebiet, IT-Sec. umfasst mehr
Abgrenzung zur Steganographie:
� Verschleierung einer Kommunikation,
d. h. Verwendung eines verdeckten Kanals
� Verstecken von Informationen in Daten
(z. B. Bildern, Musik � Wasserzeichen)
� Schutz beruht im Wesentlichen auf der
Geheimhaltung des Verfahrens
� Kommunikation über einen
offenen und unsicheren Kanal
� Verschlüsselung der
Informationen
� Schutz beruht auf Geheimhaltung
des Schlüssels und der
Komplexität des Verfahrens
Aber: Kombination von Steganographie und Kryptographie möglich

Ziele der Kryptographie (Schutzziele)
Vertraulichkeit (Zugriffsschutz): Nur berechtigte Personen
können die Daten/Nachricht lesen oder Informationen über den
geschützten Inhalt erlangen.
Integrität (Änderungsschutz): Der Empfänger kann feststellen,
ob die Daten/Nachricht nach ihrer Erzeugung verändert worden.
Authentizität (Fälschungsschutz): Der Urheber/Absender der
Daten/Nachricht ist eindeutig identifizierbar und seine
Urheberschaft ist für den Empfänger nachprüfbar.
Verbindlichkeit (Nichtabstreitbarkeit): Der Urheber/Absender
der Daten/Nachricht soll nicht in der Lage sein seine
Urheberschaft zu bestreiten, d.h. die Urheberschaft sollte sich
auch gegenüber Dritten nachweisen lassen.
Weitere Schutzziele: Verfügbarkeit, Fairness, Anonymität etc.

Einige Angriffsszenarien in der Kryptographie
� Passives Abhören (Vertraulichkeit)
B
L
Alice Eve Bob
� Aktive Manipulation (Vertraulichkeit und Integrität)
Alice
B
Mallory
k
Bob
� Maskerade (Authentizität)
� Abstreiten der Beteiligung (Verbindlichkeit)
� Sabotage/Denial of Service (Verfügbarkeit)
� Ungerechte Ressourcenverteilung (Fairness)
� Identifizierung (Anonymität)

Geschichte der Kryptographie (Antike)
um 1900 v. Chr.: Unübliche Hieroglyphen werden als
Geheimschrift bei den Ägyptern verwendet
ca. 400 v. Chr.: Skytale wird zur Verschlüsselung militärischer
Nachrichten während des Peloponnesischen Krieges eingesetzt
Bildquelle bei WikipediA
Abbildung einer Skytale
(aus WikipediA, der freien Enzyklopädie)
Geheimer Schlüssel:
Durchmesser des Stabes
ca. 50 v. Chr.: Einfache Verschiebechiffre (monoalphabetische
Substitution) wird vom römischen Feldherrn Gaius Julius Caesar
zur Verschlüsselung von Nachrichten verwendet

Geschichte der Kryptographie (Renaissance)
ca. 1585: Vigenère-Verschlüsselung (polyalphabetische Subst.)
um 1845: Charles Babbage bricht Vigenère-Verschlüsselung
1863: Friedrich Wilhelm Kasiski (preußischer Infanteriemajor)
veröffentlicht Buch ” Die Geheimschriften und die Dechiffrierkunst“
1917–1960: Rotor-Chiffriermaschinen (z. B. Enigma, TypeX)
werden erfunden und im Zweiten Weltkrieg verstärkt eingesetzt
Bildquelle 1 Bildquelle 2
Abbildung einer Enigma
Rotor-Chiffriermaschine
(aus WikipediA, der freien
Enzyklopädie)
Geheimer Schlüssel:
Stellung der Rotoren und
interne Verdrahtung
zwischen den Kontakten

Geschichte der Kryptographie (Moderne)
1883: Kerckhoffs’ Maxime (Grundsatz der modernen Kryptographie)
” Die Sicherheit eines Kryptosystems darf nicht von der
Geheimhaltung des Algorithmus abhängen. Die Sicherheit
gründet sich nur auf die Geheimhaltung des Schlüssels.“
um 1949: Arbeiten zur Informationstheorie von Shannon
ab ca. 1965: Vermehrt öffentliche Forschung an Universitäten
1976: Diffie und Hellman führen die Public-Key Kryptographie ein
1977: Veröffentlichung des Data Encryption Standards (DES)
1979: Rivest, Shamir und Adleman entwickeln RSA-Kryptosystem
ab ca. 1985: Elliptische Kurven in der Kryptographie
1991: Zimmermann veröffentlicht PGP Quelltext im Internet
2000: Veröffentlichung des Advanced Encryption Standards (AES)

Secret-Key Kryptographie (1)
Primäres Schutzziel: Vertraulichkeit von Daten bzw. Nachrichten
B
L
Alice Eve Bob
Allgemeine Funktionsweise: symmetrische Verfahren
Schlüssel
Klartext f
Vor- und Nachteile:
Schlüssel
Geheimtext f ¡1
Klartext
� Hohe Effizienz, d. h. schnelle Berechnung von f bzw. f ¡1
� Problem: Schlüsselverteilung und Schlüsselverwaltung
Voraussetzung: ” Sicherer Kanal“ zum Austausch des Schlüssels
Weitere Schutzziele: Integrität und Authentizität (MAC)

Secret-Key Kryptographie (2)
Unterschiedliche Verfahren:
1 Blockchiffren: Algorithmen, die einzelne Datenblöcke fester
Größe (z. B. 64, 128 oder 256 Bit) ver- bzw. entschlüsseln
Klartext m1 m2 ¤ ¤ ¤ mk
Schlüssel f f ¤ ¤ ¤ f
Geheimtext c1 c2 ¤ ¤ ¤ ck
Betriebsmodus hier ECB, besser jedoch CBC, CTR, . . .
Beispiele: AES, DES, Triple-DES, Blowfish, IDEA
2 Stromchiffren: Algorithmen, die einen Schlüsselstrom
erzeugen, welcher mit dem Klartext verknüpft wird
Beispiele: RC4, A5/1, A5/2, E0, Rabbit, Trivium

Public-Key Kryptographie (1)
Allgemeine Funktionsweise: asymmetrische Verfahren
öffentlicher Schlüssel
Klartext
Vor- und Nachteile:
e
privater Schlüssel
Geheimtext d
� Teillösung für das Schlüsselverteilungsproblem
Klartext
Voraussetzung: ” Authentifizierter Kanal“ zum Prüfen des
öffentlichen Schlüssels bzw. vertrauenswürdiger Verzeichnisdienst
� Berechnung von e, d ist aufwändig � hybride Verfahren
Beispiele: RSA (Faktorisierung), ElGamal (diskreter Logarithmus),
DH (diskreter Logarithmus), Rabin (Faktorisierung), DSA, EC
Schutzziele: Vertraulichkeit, Integrität und Authentizität
(Digitale Signatur), Verbindlichkeit, Anonymität (Mix-Netze)
Anwendungen: OpenPGP, S/MIME, SSH, SSL/TLS, ePass, eGK

Public-Key Kryptographie (2)
Digitale Signatur: Schutzziele sind Integrität und Authentizität
B k
Alice Mallory Bob
Funktionsweise: Alice signiert die Nachricht und Bob verifiziert
Nachricht
h
Hashwert 0¤ ¤ ¤ 01
d
Signatur
privater Schlüssel
öffentlicher Schlüssel
Nachricht
h
� oder � ?
e
Signatur
Hashfunktionen: MD5, SHA-1, RIPEMD-160, SHA-256, . . .

Public-Key Kryptographie (3)
Problem: Wer bestätigt die Identität des Schlüsselinhabers?
Public-Key Infrastruktur (PKI): Zertifikate (Beglaubigungen)
von vertrauenswürdigen Instanzen sichern die Authentizität
1 Hierarchische Zertifizierungsstruktur (Wurzel: z. B. RegTP)
2 Kooperatives Modell ( ” Web of Trust“, OpenPGP)
Wurzel CA
CA 1 CA 2
Alice Carol CA 3 CA 4 CA 5
Ellen Bob Dave Frank

Public-Key Kryptographie (3)
Problem: Wer bestätigt die Identität des Schlüsselinhabers?
Public-Key Infrastruktur (PKI): Zertifikate (Beglaubigungen)
von vertrauenswürdigen Instanzen sichern die Authentizität
1 Hierarchische Zertifizierungsstruktur (Wurzel: z. B. RegTP)
2 Kooperatives Modell ( ” Web of Trust“, OpenPGP)
volles
Vertrauen
Alice
Carol Dave Ellen Frank Gerald
Heinz Ivan Bob Lutz
marginales
Vertrauen
kein
Vertrauen unbekannt valid invalid

Fortgeschrittene kryptographische Techniken
Geheimnisteilung (Secret Sharing):
1 Geheimnis s wird zwischen n Parteien aufgeteilt: s1, . . . , sn
2 Mindestens m � n müssen ” zusammenarbeiten“, um das
Geheimnis s zu rekonstruieren
Anwendung: Vier-Augen-Prinzip für wichtige Vorgänge (Banken/Militär)
Gruppensignaturen: Folgende Operationen: Beitreten, Verlassen,
Signieren, Verifizieren, Anonymität aufheben (nur Gruppenmanager)
Anw.: Zugriff auf gemeinschaftlich genutzte Ressourcen (z. B. Drucker)
Gemeinsame Berechnung von Funktionen: y � f �x1, x2, . . . , xn�
Anwendungen: Millionärs-Problem, fairer Münzwurf, Mental Poker
Weitere Techniken: Zero-Knowledge Beweise, PIR

Analyse von Kryptosystemen
Ziele einer Kryptoanalyse
� Entschlüsselung des Geheimtextes (ohne Kenntnis des Schlüssels)
� Moderne Kryptoanalyse: Beurteilung der Stärken/Schwächen
kryptographischer Verfahren, Bestimmung der Angriffskomplexität
Klassische Methoden: Statistik (Häufigkeitsverteilung)
” Brute-Force“-Angriff: alle möglichen Schlüssel durchprobieren
” Wörterbuch“-Angriff: schwache Passwörter, schwache Schlüssel
Spezielle Methoden: differentielle, lineare und algebraische
Allgemeine Methoden: gewaltfreie Informationsbeschaffung
(Social Engineering), Erpressung/Folter (Rubber-Hose Kryptoanalyse)

Seitenkanal- und Fehlerangriffe
Seitenkanalangriff
� Kein direkter Angriff auf das verwendete Kryptosystem, sondern auf
dessen konkrete Implementierung (Software bzw. Hardware)
� Idee: Rückschlüsse auf Gestalt des Schlüssels ziehen, durch
Beobachtung externer Ereignisse/Parameter (Seitenkanäle)
� Physischer/Remote Zugriff, besondere Ausrüstung und detaillierte
Kenntnis der Implementierung sind oft notwendig (z. B. Chipkarten)
Mögliche Seitenkanäle:
� Verbrauchte Rechenzeit (timing attacks)
� Stromaufnahme (power monitoring attacks)
� Elektromagnetische Abstrahlung (TEMPEST, auch zur Spionage)
� Sprung-Vorhersage moderner CPUs (branch prediction attacks)
� Cache-Speicher moderner CPUs, akustische Kryptoanalyse

Seitenkanal- und Fehlerangriffe
Seitenkanalangriff
� Kein direkter Angriff auf das verwendete Kryptosystem, sondern auf
dessen konkrete Implementierung (Software bzw. Hardware)
� Idee: Rückschlüsse auf Gestalt des Schlüssels ziehen, durch
Beobachtung externer Ereignisse/Parameter (Seitenkanäle)
� Physischer/Remote Zugriff, besondere Ausrüstung und detaillierte
Kenntnis der Implementierung sind oft notwendig (z. B. Chipkarten)
Fehlerangriff
� Aktiver Angriff, oft in Kombination mit Seitenkanalangriff
� Gezieltes oder zufälliges Einbringen von Fehlern (injection)
� Differenzielle Fehleranalyse zur Bestimmung des Schlüssels

Kryptographische Protokolle
Gesamtsystem
Kryptografische Protokolle
Kryptografische Bausteine
Kryptografische Algorithmen
Verteilte Systeme
Informationsaustausch
Hard- bzw. Softwaretechnische Umsetzung
Mathematische Grundlagen

Angriff auf ein Authentifizierungsprotokoll
Needham-Schroeder Public-Key Protocol, 1978:
Ziel: Teilnehmer A soll sich gegenüber B authentifizieren
1. A � B : �nA, A�PKB
2. B � A : �nA, nB�PKA
3. A � B : �nB�PKB
Angriff
Der Angreifer I führt zwei Sitzungen (α und β) parallel aus:
1.α A � I : �nA, A�PKI
2.α I � A : �nA, nB�PKA
3.α A � I : �nB�PKI
1.β I �A� � B : �nA, A�PKB
2.β B � I �A� : �nA, nB�PKA
3.β I �A� � B : �nB�PKB
Dieser Angriff wurde erst 1995 durch Gavin Lowe entdeckt!

Rechtliche Situation
Dual-Use Technologie: militärische und zivile Anwendungen,
Zielkonflikt: Vertraulichkeit vs. Strafverfolgung
� Restriktive Exportbeschränkungen (z. B. ehemals USA), Verbote
bzw. staatliche Kontrolle in wenigen Staaten (z. B. Russland)
� Deutsche Krypto-Debatte (1994–1998): BMI Manfred Kanther
1 BMW: Schlüsselhinterlegung, unverschlüsselte Ausleitung
2 BMJ: Genehmigungsvorbehalt für Inverkehrbringen
3 BMI: Strenges Nutzungsverbot nichtgenehmigter Verfahren
Heftiger Widerstand aus der Wirtschaft � 1999 Absichtserklärung
der Bundesregierung ” Eckpunkte der deutschen Kryptopolitik“
� 2001: Deutsches Signaturgesetz (qualifizierte elektronische Sig.)
� Oktober 2007: Gesetz zur Schlüsselherausgabe in GB
Argumente gegen Einschränkungen und Verbote:
� Wirtschaftsspionage, Recht auf Privatsphäre, Schweigepflicht
� Technisch sind Kryptoverbote kaum durchsetzbar (Steganographie)
” If cryptography is outlawed, only outlaws will have cryptography.“

Trusted Computing Initiative
Trusted Computing Group: Großes Industriekonsortium
� AMD, HP, IBM, Infineon, Intel, Lenovo, Microsoft, Sun, . . .
� Entwicklung von Industriestandards für eine ” vertrauenswürdige“
IT-Infrastruktur (Hardware, Software, Peripherie)
� Arbeitsgruppen: Trusted Platform Module (TPM), Software Stack,
PC Client, Server, Mobile Phone, Storage, TNC, Infrastructure
Trusted Platform Module: Millionenfach verbaut in PCs,
Notebooks und vorgesehen für PDAs, Mobiltelefone etc.
Möglichkeiten TPM-geschützter Systeme:
1 Bereitstellung geschützter Funktionen (u. a. Kryptographie,
Zufallszahlen, Anwesenheit) und Speichers (für Schlüssel)
2 Vermessung, Speicherung und Auswertung des Zustands von
Systemkomponenten (Secure Boot: Vergleich mit Referenzwerten)
3 Bestätigung eines Systemzustands an Dritte (Remote Attestation)

Empfehlungen und Literatur
� Empfehlungen des BSI zu geeigneten Algorithmen und
Schlüssellängen gem. §17 SigG vom 13. 9. 2007:
bis Ende 2007 bis Ende 2009 bis Ende 2014
h SHA-1 RIPEMD-160 SHA-224, SHA-256, . . .
RSA 1024–2048 1536–2048 1976–2048
DSA 1024–2048, 160 1536–2048, 160 2048, 224
� ” Security by Obscurity“ und ” Snake Oil“ vermeiden
� Freie Software für Verschlüsselung und Digitale Signatur:
GNU Privacy Guard
http://www.gnupg.org/
� Alfred J. Menezes, Paul C. van Oorschot, Scott A. Vanstone:
Handbook of Applied Cryptography, CRC Press, 1996,
http://www.cacr.math.uwaterloo.ca/hac/
� Klaus Schmeh: Kryptografie, Dpunkt Verlag, 3. Aufl, 2007

Vielen Dank! Fragen?