Lecture on IT Security and Technical Data Protection
Part 4: Cryptography
Summer term 2016
(in German: 4 Kryptographie
der Vorlesung IT-Sicherheit und Technischer Datenschutz
im Sommersemester 2016)
How to do Cryptography right in Android Part TwoArash Ramez
Cryptography is an indispensable tool used to protect information in computing systems. It is used everywhere and by billions of people worldwide on a daily basis. It is used to protect data at rest and data in motion. While extremely useful, cryptography is also highly brittle. The most secure cryptographic system can be rendered completely insecure by a single specification or programming error.to argue that a cryptosystem is secure, we rely on mathematical modeling and proofs to show that a particular system satisfies the security properties attributed to it.
We often need to introduce certain plausible assumptions to push our security arguments through.
This presentation is about exactly that: constructing practical cryptosystems in android platform for which we can argue security under plausible assumptions.part one just covers fundamentals topics in cryptography world.
see videos :
https://www.youtube.com/playlist?list=PLT2xIm2X7W7j-arpnN90cuwBcNN_5L3AU
https://www.aparat.com/v/gtlHP
Nmap is an open source tool that can scan networks to discover available hosts, services on hosts, operating systems and versions running on hosts, types of firewalls and filters in place, and other network details. It works across Linux, Windows, and other platforms. Nmap uses raw IP packets to gather this information, which can help identify security issues but also be used by attackers for reconnaissance. The tool supports various types of scans with different tradeoffs between stealthiness and information discovered. While Nmap has both command line and GUI interfaces, advanced usage requires command line expertise.
File inclusion vulnerabilities allow attackers to include local and remote files on a server. If inclusion logic is not implemented properly, it can lead to source code disclosure, data exposure, and remote code execution. Common file inclusion attacks traverse directories, bypass extensions, inject payloads into log files or PHP sessions that are later executed on the server. Proper input validation and restricting included files can help mitigate these risks.
Nowadays mobile networks are the most dynamic part of critical communication infrastructures and the key instrument used to perform daily activities ranging from voice and text messaging to providing signaling for emergency services and critical infrastructure.
Nmap is an open source tool that scans networks to identify devices, services, and operating systems. It works by crafting custom IP packets with different flags using raw sockets to elicit responses that provide information not otherwise available. Nmap can perform various types of scans, identify hosts and services, detect firewalls and IDS, and determine operating systems through detailed analysis of responses. It provides flexible output options and techniques for advanced scanning, packet alteration, and timing control.
Both mobile operators and cybercriminals make heavy use of the SS7 protocol on previous-generation networks.
SS7 is old and vulnerable to attacks, yet will underpin the advanced networks of tomorrow. Learning more about SS7 is mission-critical for securing increasingly complex environments.
Watch the webinar to learn all about the ins and outs of SS7 for a smooth transition to 5G!
Our premium SS7 Security Analysis Report serves as a valuable knowledge base for cybersecurity specialists and network experts as they prepare for the security challenges of 2020. To access the report, go to: https://positive-tech.com/research/ss7-network-security-analysis-2020/
This document discusses computational hardness and complexity classes related to cryptography. It covers the computational complexity of problems like factoring large numbers and the discrete logarithm problem. These problems are assumed to be hard, even for quantum computers, and form the basis for cryptographic techniques. The document also discusses how cryptography could be broken if faster algorithms were found for these problems or if the key sizes used were too small.
Hunting for APT in network logs workshop presentationOlehLevytskyi1
Nonamecon 2021 presentation.
Network logs are one of the most efficient sources to hunt adversaries, but building good analytics capabilities require a deep understanding of benign activity and attacker behavior. This training focuses on detecting real-case attacks, tools and scenarios by the past year.
The training is highly interactive and retains a good balance between theory and a lot of hands-on exercises for the students to get used to the detection engineering methodology and prepare them to start implementing this at their organizations.
Presentation topics:
- Netflow Mitre Matrix view
- Full packet captures vs Netflow
- Zeek
- Zeek packages
- RDP initial comprometation
- Empire Powershell and CobaltStrike or what to expect after initial loader execution.
- Empire powershell initial connection
- Beaconing. RITA
- Scanning detection
- Internal enumeration detection
- Lateral movement techniques widely used
- Kerberos attacks
- PSExec and fileless ways of delivering payloads in the network
- Zerologon detection
- Data exfiltration
- Data exfiltration over C2 channel
- Data exfiltration using time size limits (data chunks)
- DNS exfiltration
- Detecting ransomware in your network
- Real incident investigation
Authors:
Oleh Levytskyi (https://twitter.com/LeOleg97)
Bogdan Vennyk (https://twitter.com/bogdanvennyk)
How to do Cryptography right in Android Part TwoArash Ramez
Cryptography is an indispensable tool used to protect information in computing systems. It is used everywhere and by billions of people worldwide on a daily basis. It is used to protect data at rest and data in motion. While extremely useful, cryptography is also highly brittle. The most secure cryptographic system can be rendered completely insecure by a single specification or programming error.to argue that a cryptosystem is secure, we rely on mathematical modeling and proofs to show that a particular system satisfies the security properties attributed to it.
We often need to introduce certain plausible assumptions to push our security arguments through.
This presentation is about exactly that: constructing practical cryptosystems in android platform for which we can argue security under plausible assumptions.part one just covers fundamentals topics in cryptography world.
see videos :
https://www.youtube.com/playlist?list=PLT2xIm2X7W7j-arpnN90cuwBcNN_5L3AU
https://www.aparat.com/v/gtlHP
Nmap is an open source tool that can scan networks to discover available hosts, services on hosts, operating systems and versions running on hosts, types of firewalls and filters in place, and other network details. It works across Linux, Windows, and other platforms. Nmap uses raw IP packets to gather this information, which can help identify security issues but also be used by attackers for reconnaissance. The tool supports various types of scans with different tradeoffs between stealthiness and information discovered. While Nmap has both command line and GUI interfaces, advanced usage requires command line expertise.
File inclusion vulnerabilities allow attackers to include local and remote files on a server. If inclusion logic is not implemented properly, it can lead to source code disclosure, data exposure, and remote code execution. Common file inclusion attacks traverse directories, bypass extensions, inject payloads into log files or PHP sessions that are later executed on the server. Proper input validation and restricting included files can help mitigate these risks.
Nowadays mobile networks are the most dynamic part of critical communication infrastructures and the key instrument used to perform daily activities ranging from voice and text messaging to providing signaling for emergency services and critical infrastructure.
Nmap is an open source tool that scans networks to identify devices, services, and operating systems. It works by crafting custom IP packets with different flags using raw sockets to elicit responses that provide information not otherwise available. Nmap can perform various types of scans, identify hosts and services, detect firewalls and IDS, and determine operating systems through detailed analysis of responses. It provides flexible output options and techniques for advanced scanning, packet alteration, and timing control.
Both mobile operators and cybercriminals make heavy use of the SS7 protocol on previous-generation networks.
SS7 is old and vulnerable to attacks, yet will underpin the advanced networks of tomorrow. Learning more about SS7 is mission-critical for securing increasingly complex environments.
Watch the webinar to learn all about the ins and outs of SS7 for a smooth transition to 5G!
Our premium SS7 Security Analysis Report serves as a valuable knowledge base for cybersecurity specialists and network experts as they prepare for the security challenges of 2020. To access the report, go to: https://positive-tech.com/research/ss7-network-security-analysis-2020/
This document discusses computational hardness and complexity classes related to cryptography. It covers the computational complexity of problems like factoring large numbers and the discrete logarithm problem. These problems are assumed to be hard, even for quantum computers, and form the basis for cryptographic techniques. The document also discusses how cryptography could be broken if faster algorithms were found for these problems or if the key sizes used were too small.
Hunting for APT in network logs workshop presentationOlehLevytskyi1
Nonamecon 2021 presentation.
Network logs are one of the most efficient sources to hunt adversaries, but building good analytics capabilities require a deep understanding of benign activity and attacker behavior. This training focuses on detecting real-case attacks, tools and scenarios by the past year.
The training is highly interactive and retains a good balance between theory and a lot of hands-on exercises for the students to get used to the detection engineering methodology and prepare them to start implementing this at their organizations.
Presentation topics:
- Netflow Mitre Matrix view
- Full packet captures vs Netflow
- Zeek
- Zeek packages
- RDP initial comprometation
- Empire Powershell and CobaltStrike or what to expect after initial loader execution.
- Empire powershell initial connection
- Beaconing. RITA
- Scanning detection
- Internal enumeration detection
- Lateral movement techniques widely used
- Kerberos attacks
- PSExec and fileless ways of delivering payloads in the network
- Zerologon detection
- Data exfiltration
- Data exfiltration over C2 channel
- Data exfiltration using time size limits (data chunks)
- DNS exfiltration
- Detecting ransomware in your network
- Real incident investigation
Authors:
Oleh Levytskyi (https://twitter.com/LeOleg97)
Bogdan Vennyk (https://twitter.com/bogdanvennyk)
WiFi practical hacking "Show me the passwords!"DefCamp
Konrad Jędrzejczyk in Bucharest, Romania on November 8-9th 2018 at DefCamp #9.
The videos and other presentations can be found on https://def.camp/archive
This document provides an overview and demonstration of Security Onion, an open-source Linux distribution for intrusion detection and network security monitoring. It describes Security Onion's tools like Snort, Sguil, Pulled Pork, Snorby and Daemonlogger. The document demonstrates how to install Security Onion, use its tools to analyze network traffic, view alerts and raw packet captures. It also provides challenges for users to further explore Security Onion's capabilities.
The Diffie-Hellman key exchange algorithm allows two users to securely exchange a secret key over an insecure channel. It uses discrete logarithms over finite fields. Each user generates a public/private key pair, and the exchange of the public keys allows both to independently calculate a shared secret key. The security of the algorithm relies on the difficulty of solving the discrete logarithm problem.
TLS 1.3: Everything You Need to Know - CheapSSLsecurityCheapSSLsecurity
TLS 1.3 has been passed as a web standard by IETF and it comes with significant advancements. Learn how it could make our virtual world safer and faster.
This document discusses hacking and securing iOS applications. It begins by covering iOS security concepts and loopholes, then discusses how those loopholes can affect apps and allow easy theft of app data. The remainder of the document provides guidance on how to protect apps by securing local storage locations, runtime analysis, and transport security. Key recommendations include encrypting sensitive data, using data protection APIs, restricting access to private data, and properly validating SSL certificates.
Nmap (Network Mapper} is and an Open Source utility which can quickly scan broad ranges of devices and provide valuable information about the devices on your network.It can be used for IT auditing and asset discovery as well as security profiling of the network.
This document provides an overview of keyed hashing and message authentication codes (MACs). It discusses using cryptographic hash functions and block ciphers to build MACs, as well as dedicated MAC designs like Poly1305 and SipHash. It also covers potential issues like timing attacks on MAC verification and side-channel attacks that can leak the internal state of sponge-based MACs.
[cb22] Tracking the Entire Iceberg - Long-term APT Malware C2 Protocol Emulat...CODE BLUE
This document discusses the results of long-term scanning and analysis of Winnti 4.0 and ShadowPad malware command and control (C2) protocols. It finds that Winnti 4.0 C2s primarily use TLS, HTTPS, and HTTP, while ShadowPad variants primarily use TCP, HTTPS, and HTTP. Analysis of the protocols reveals encryption methods, packet structures, and server-side functionality. Over time, the number and distribution of active C2s changed, likely in response to research publications and incident response actions. The document advocates for anonymization techniques and merits and risks of future research publications.
Command injection is an attack where malicious commands are executed on a system by passing unsafe user input to a shell. It occurs when an app fails to validate input before using it in system commands. This allows attackers to inject arbitrary commands that get run with the app's privileges. To prevent it, apps should strictly validate input against a whitelist and use command APIs instead of passing strings to interpreters supporting redirection.
Detect HTTP Brute Force attack using Snort IDS/IPS on PFSense FirewallHuda Seyam
This project is devoted to presenting a solution to protect web pages that acquire passwords and user names against HTML brute force.
By performing a brute force password auditing against web servers that are using HTTP authentication with Nmap and detect this attack using snort IDS/IPS on PFSense Firewall.
This document provides an overview of Internet Protocol Security (IPSec) and compares it to Secure Sockets Layer (SSL). IPSec provides authentication and encryption of IP packets and can encrypt both IP headers and payload data, making it application independent. It uses the Encapsulating Security Payload (ESP) protocol to encrypt data. For two devices to communicate securely using IPSec, they must first use Internet Key Exchange (IKE) to securely exchange security associations (SAs) and a shared secret key. The SAs are then used to encrypt packets sent between the devices using ESP in either transport or tunnel mode.
MacOS memory allocator (libmalloc) ExploitationAngel Boy
The document discusses the memory allocator libmalloc used in MacOS. It details the data structures used to manage tiny chunks of memory less than 1008 bytes, including blocks, chunks, magazines, free lists, bitmaps and regions. The mechanism of allocating, freeing and caching tiny chunks is also described.
This document provides an overview of cyber security fundamentals and concepts including information assurance, authentication, authorization, non-repudiation, confidentiality, integrity, and availability. It defines these terms and describes how they relate to maintaining the security properties of systems. The document also discusses specific authentication methods like factors of authentication. It explains concepts like authorization, encryption techniques including symmetric and asymmetric cryptography, and the goals of confidentiality, integrity and availability.
This document provides an overview of privilege escalation techniques. It begins with an introduction to the speaker and defines vertical privilege escalation as moving from a lower privilege user to a higher privilege user. It then covers common privilege escalation vectors for both Linux and Windows systems, such as exploiting kernel vulnerabilities, weak passwords, sudo misconfigurations, vulnerable services, and file permission issues. Specific techniques discussed include dirty cow, password cracking, escaping restricted shells, abusing cron jobs and SUID files. The document emphasizes that credentials are often found in insecure configurations, backup files, logs and other unprotected locations.
This document discusses wireless cracking techniques using Kali Linux. It covers setting wireless interfaces to monitor mode, capturing traffic using airodump-ng to crack hidden SSIDs, bypassing MAC filtering, cracking WEP security using aircrack-ng, capturing the 4-way handshake to crack WPA/WPA2 pre-shared keys either through brute force or using pre-computed PMK files to speed up the cracking process. Generating password files with crunch and tools like pyrit, cowpatty and aircrack-ng are also summarized.
The document discusses various scan types available in the nmap port scanner program. It describes TCP connect scans which actively connect to ports, SYN stealth scans which send SYN packets to identify open and closed ports without fully establishing connections, and less common FIN, NULL and XMAS scans. It also covers ping scans to identify online systems, UDP scans, and options for customizing scans to avoid detection like altering timing and using decoys. The goal is to help users understand different scan techniques and how to choose scans suited to different target types or detection avoidance needs.
This document summarizes a presentation about penetration testing with Metasploit. It introduces penetration testing and why organizations use it. It then discusses the basics of Metasploit, including interfaces like MSFconsole. Key concepts in Metasploit like exploits, payloads, and Meterpreter are explained. The presentation demonstrates Metasploit against different operating systems like Windows XP, Windows 7, and Ubuntu. It shows how to find and use appropriate exploits and payloads to gain remote access and post-exploitation activities.
Lecture on IT Security and Technical Data Protection
Part 3: Security Models
Summer term 2016
(in German: 3 Sicherheitsmodelle
der Vorlesung IT-Sicherheit und Technischer Datenschutz
im Sommersemester 2016)
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementSven Wohlgemuth
Lecture on IT Security and Technical Data Protection
Part 2: IT Compliance and IT Security Management
Summer term 2016
(in German: 2 IT-Compliance und IT-Sicherheitsmanagement
der Vorlesung IT-Sicherheit und Technischer Datenschutz
im Sommersemester 2016)
WiFi practical hacking "Show me the passwords!"DefCamp
Konrad Jędrzejczyk in Bucharest, Romania on November 8-9th 2018 at DefCamp #9.
The videos and other presentations can be found on https://def.camp/archive
This document provides an overview and demonstration of Security Onion, an open-source Linux distribution for intrusion detection and network security monitoring. It describes Security Onion's tools like Snort, Sguil, Pulled Pork, Snorby and Daemonlogger. The document demonstrates how to install Security Onion, use its tools to analyze network traffic, view alerts and raw packet captures. It also provides challenges for users to further explore Security Onion's capabilities.
The Diffie-Hellman key exchange algorithm allows two users to securely exchange a secret key over an insecure channel. It uses discrete logarithms over finite fields. Each user generates a public/private key pair, and the exchange of the public keys allows both to independently calculate a shared secret key. The security of the algorithm relies on the difficulty of solving the discrete logarithm problem.
TLS 1.3: Everything You Need to Know - CheapSSLsecurityCheapSSLsecurity
TLS 1.3 has been passed as a web standard by IETF and it comes with significant advancements. Learn how it could make our virtual world safer and faster.
This document discusses hacking and securing iOS applications. It begins by covering iOS security concepts and loopholes, then discusses how those loopholes can affect apps and allow easy theft of app data. The remainder of the document provides guidance on how to protect apps by securing local storage locations, runtime analysis, and transport security. Key recommendations include encrypting sensitive data, using data protection APIs, restricting access to private data, and properly validating SSL certificates.
Nmap (Network Mapper} is and an Open Source utility which can quickly scan broad ranges of devices and provide valuable information about the devices on your network.It can be used for IT auditing and asset discovery as well as security profiling of the network.
This document provides an overview of keyed hashing and message authentication codes (MACs). It discusses using cryptographic hash functions and block ciphers to build MACs, as well as dedicated MAC designs like Poly1305 and SipHash. It also covers potential issues like timing attacks on MAC verification and side-channel attacks that can leak the internal state of sponge-based MACs.
[cb22] Tracking the Entire Iceberg - Long-term APT Malware C2 Protocol Emulat...CODE BLUE
This document discusses the results of long-term scanning and analysis of Winnti 4.0 and ShadowPad malware command and control (C2) protocols. It finds that Winnti 4.0 C2s primarily use TLS, HTTPS, and HTTP, while ShadowPad variants primarily use TCP, HTTPS, and HTTP. Analysis of the protocols reveals encryption methods, packet structures, and server-side functionality. Over time, the number and distribution of active C2s changed, likely in response to research publications and incident response actions. The document advocates for anonymization techniques and merits and risks of future research publications.
Command injection is an attack where malicious commands are executed on a system by passing unsafe user input to a shell. It occurs when an app fails to validate input before using it in system commands. This allows attackers to inject arbitrary commands that get run with the app's privileges. To prevent it, apps should strictly validate input against a whitelist and use command APIs instead of passing strings to interpreters supporting redirection.
Detect HTTP Brute Force attack using Snort IDS/IPS on PFSense FirewallHuda Seyam
This project is devoted to presenting a solution to protect web pages that acquire passwords and user names against HTML brute force.
By performing a brute force password auditing against web servers that are using HTTP authentication with Nmap and detect this attack using snort IDS/IPS on PFSense Firewall.
This document provides an overview of Internet Protocol Security (IPSec) and compares it to Secure Sockets Layer (SSL). IPSec provides authentication and encryption of IP packets and can encrypt both IP headers and payload data, making it application independent. It uses the Encapsulating Security Payload (ESP) protocol to encrypt data. For two devices to communicate securely using IPSec, they must first use Internet Key Exchange (IKE) to securely exchange security associations (SAs) and a shared secret key. The SAs are then used to encrypt packets sent between the devices using ESP in either transport or tunnel mode.
MacOS memory allocator (libmalloc) ExploitationAngel Boy
The document discusses the memory allocator libmalloc used in MacOS. It details the data structures used to manage tiny chunks of memory less than 1008 bytes, including blocks, chunks, magazines, free lists, bitmaps and regions. The mechanism of allocating, freeing and caching tiny chunks is also described.
This document provides an overview of cyber security fundamentals and concepts including information assurance, authentication, authorization, non-repudiation, confidentiality, integrity, and availability. It defines these terms and describes how they relate to maintaining the security properties of systems. The document also discusses specific authentication methods like factors of authentication. It explains concepts like authorization, encryption techniques including symmetric and asymmetric cryptography, and the goals of confidentiality, integrity and availability.
This document provides an overview of privilege escalation techniques. It begins with an introduction to the speaker and defines vertical privilege escalation as moving from a lower privilege user to a higher privilege user. It then covers common privilege escalation vectors for both Linux and Windows systems, such as exploiting kernel vulnerabilities, weak passwords, sudo misconfigurations, vulnerable services, and file permission issues. Specific techniques discussed include dirty cow, password cracking, escaping restricted shells, abusing cron jobs and SUID files. The document emphasizes that credentials are often found in insecure configurations, backup files, logs and other unprotected locations.
This document discusses wireless cracking techniques using Kali Linux. It covers setting wireless interfaces to monitor mode, capturing traffic using airodump-ng to crack hidden SSIDs, bypassing MAC filtering, cracking WEP security using aircrack-ng, capturing the 4-way handshake to crack WPA/WPA2 pre-shared keys either through brute force or using pre-computed PMK files to speed up the cracking process. Generating password files with crunch and tools like pyrit, cowpatty and aircrack-ng are also summarized.
The document discusses various scan types available in the nmap port scanner program. It describes TCP connect scans which actively connect to ports, SYN stealth scans which send SYN packets to identify open and closed ports without fully establishing connections, and less common FIN, NULL and XMAS scans. It also covers ping scans to identify online systems, UDP scans, and options for customizing scans to avoid detection like altering timing and using decoys. The goal is to help users understand different scan techniques and how to choose scans suited to different target types or detection avoidance needs.
This document summarizes a presentation about penetration testing with Metasploit. It introduces penetration testing and why organizations use it. It then discusses the basics of Metasploit, including interfaces like MSFconsole. Key concepts in Metasploit like exploits, payloads, and Meterpreter are explained. The presentation demonstrates Metasploit against different operating systems like Windows XP, Windows 7, and Ubuntu. It shows how to find and use appropriate exploits and payloads to gain remote access and post-exploitation activities.
Lecture on IT Security and Technical Data Protection
Part 3: Security Models
Summer term 2016
(in German: 3 Sicherheitsmodelle
der Vorlesung IT-Sicherheit und Technischer Datenschutz
im Sommersemester 2016)
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementSven Wohlgemuth
Lecture on IT Security and Technical Data Protection
Part 2: IT Compliance and IT Security Management
Summer term 2016
(in German: 2 IT-Compliance und IT-Sicherheitsmanagement
der Vorlesung IT-Sicherheit und Technischer Datenschutz
im Sommersemester 2016)
EN 6.3: 1 IT-Sicherheit und Technischer DatenschutzSven Wohlgemuth
Lecture on IT Security and Technical Data Protection
Part 1, summer term 2016
(in German: IT-Sicherheit und Technischer Datenschutz (Einführungsveranstaltung)
im Sommersemester 2016)
Privacy in Business Processes - Disclosure of Personal Data to 3rd PartiesSven Wohlgemuth
This document discusses privacy issues related to the disclosure of personal data to third parties. It proposes a method called DETECTIVE that uses digital watermarking of data to preserve data provenance and enable patients to monitor how their personal medical data is used after being disclosed. DETECTIVE was implemented in a proof-of-concept case study of telemedicine where a patient consults a clinic abroad. The document advocates for usage control mechanisms that can track data flows after disclosure through data provenance to give patients more control over their personal information.
Tagging Disclosure of Personal Data to Third Parties to Preserve PrivacySven Wohlgemuth
Honored as one of the best papers of IFIP SEC 2010 Security & Privacy - Silver Linings in the Cloud
Privacy in cloud computing is at the moment simply a promise to be kept by the software service providers. Users are neither able to control the disclosure of personal data to third parties nor to check if the software service providers have followed the agreed-upon privacy policy. Therefore, disclosure of the users‘ data to the software service providers of the cloud raises privacy risks. In this article, we show a privacy risk by the example of using electronic health records abroad. As a countermeasure by an ex post enforcement of privacy policies, we propose to observe disclosures of personal data to third parties by using data provenance history and digital watermarking.
Privacy-Enhancing Trust Infrastructure for Process MiningSven Wohlgemuth
Presented at SCIS 2017 Symposium on Cryptography and Information Security, Okinawa, Japan
Threats to a society and its social infrastructure are inevitable and endanger human life and welfare. Resilience is a core concept to cope with such threats in strengthening risk management in spite of incidents of any kind. This paper discusses the secondary use of personal information as a key element in such conditions and the relevant process mining. It realizes a completeness in an acceptable manner to mitigate a usability problem by secondary use of personal information. Even though, acceptable soundness is still realized in our scheme for a fundamental privacy-enhancing trust infrastructure. Our work approaches the Ground Truth for a personal predictive IT risk management by process mining with the block chain technology and privacy-enhancing mechanisms.
Schlüsselverwaltung - Objektorientierter Entwurf und ImplementierungSven Wohlgemuth
(Abstract of diploma thesis) With the amazingly growing connectivity induced by the internet, the need also rises for an authentication mechanism being general enough to handle the resulting heterogenity and size. Here, cryptographic public-key technology plays a major role. Prominent approaches of practical use for building and verifying trust in networks applying cryptographic keys are PGP and S/MIME. Unfortunately these do have essential weaknesses such that they do not cover all relevant aspects, or at most they do in conjunction. Moreover, the available software solutions and the associated models do not support a cooperation and the user is left with choosing out of a non-optimal set of possibilities.
To cure this defect, we present an integrating design for the management of cryptographic keys which allows a user to manage keys with one software, independent of the actual model context. Besides these and other management tasks resulting from a key’s life cycle, the design emphasizes the integration of modules which support local authenticity decisions employing a policy and public-key infrastructure.
Preceding the design, an analysis of two techniques for determining authenticity of cryptographic keys will be given, being the base for deriving the use-case requirements a system for managing keys must satisfy. The design chapter describes the architecture of the system in terms of modules and their cooperation on processing the use cases. the description is supported by the modelling language UML.
frisch aus der Presse: Der IT-Sicherheitskatalog ist veröffentlicht! Das bedeutet, dass es nun kein Warten und keine Entschuldigungen mehr gibt – der Startschuss ist gefallen! Bis zum 30.11.2015 müssen Netzbetreiber der Bundesnetzagentur per E-Mail einen Ansprechpartner IT-Sicherheit benennen. Ist Ihre Infrastruktur wirklich darauf vorbereitet?
Studieren Sie den Sicherheitskatalog und verpassen Sie nicht die Chance, sich noch im September mit anderen Experten auszutauschen – auf der IQPC IT-Sicherheitskatalog & ITSiG Konferenz! Mehr Infos hier:
http://bit.ly/IT_Sicherheit_Agenda
Effizienter mit Kooperationen bei Integra-PartnernTorben Haagh
N-Ergie, enercity & Mainova haben das Projekt „IT-Servicemanagement“ (ITSM) partnerschaftlich umgesetzt - dieses beschreiben und analysieren Frau Dr. Ernst und Herr Lübcke in einer Präsentation, die Sie hier kostenlos herunterladen: http://bit.ly/2n3tIFE
Kryptografie und Zertifikate (Cryptoparty)tschikarski
Eine kurze Einführung in Grundlagen der Verschlüsselung und elektronischen Unterschrift mit anschließendem Workshop zur Nutzung von GnuPG (PGP) bei E-Mail
Das E-Book behandelt das facettenreiche Thema „Informationssicherheit in Unternehmen“ kompakt und umfassend. Es geht auf das Gefahrenpotential ein, auf personen- und unternehmensbedingte Schwachstellen und verdeutlicht die Auswirkungen auf informationstechnische Systeme und Anlagen. Neben einigen wichtigen Sicherheitsstandards werden Strukturen zur Verbesserung der Informationssicherheit in Unternehmen aufgezeigt.
Kryptografische Verfahren galten und gelten bisweilen, entsprechende Anwendung vorausgesetzt, als sicher. Doch Hintertüren, Supercomputer, unsichere Schlüssel und systemimmanente Metadaten untergraben die Sicherheit.
Kryptographie für Domino-Administratoren - Verstehen und verwenden!Thomas Bahn
Kryptographie - darunter versteht man im Wesentlichen das Ver- und Entschlüsseln von geheim zu haltenden Informationen. Aber man kann damit auch sicher stellen, dass etwas wirklich vom angeblichen Absender kommt und nicht zwischendurch verändert wurde.
Nach einer wirklich kurzen Einführung in die moderne Kryptographie zeige ich, wo überall in Notes/Domino Verschlüsselung und elektronische Signaturen eingesetzt werden, um Informationen zu schützen. Ein Schwerpunkt liegt dabei auch darauf, was man in Notes/Domino als Benutzer und Administrator machen und wo man das einstellen kann. Und ich erkläre, warum selbst ein Administrator mit vollen Admin-Rechten nicht alles lesen kann.
Alle Teilnehmer erhalten einen Passwort-Safe - eine Notes-Anwendung, die sie verwenden können, um Passwörter, Lizenzdateien usw. im Team sicher gemeinsam zu nutzen.
Der Vortrag ist eine Einführung in das Thema Kryptographie. Die kryptographischen Verfahren erkläre ich nicht im Detail und gehe auch sonst nicht allzu sehr in die Tiefe, sondern eher in die Breite.
Er ist ausgerichtet auf erfahrene Notes-Anwender und - vor allem - auf Domino-Administratoren.
Maic Beher – IT-Tage 2015 – MS SQL Server – Security und Verschlüsselungsmech...Informatik Aktuell
In diesem kurzen Vortrag soll auf die Möglichkeiten des SQL Servers eingegangen werden, die Daten mittels Rechteverwaltung und Verschlüsselung gegen unberechtigten Zugriff abzusichern. Schwerpunkt sind in diesem Vortrag die Neuerungen seit SQL 2008R2/SQL 2012 und die betriebssystemseitigen Voraussetzungen. Lernen Sie den Zugriff von der Applikation bis hin zum Datensatz im SQL Server zu verstehen und so Ihre Daten umfassend abzusichern. Dabei wird sowohl auf die neuen Techniken, die der SQL Server 2012 mitbringt, als auch auf die Möglichkeiten, die das Betriebssystem Windows 2012 unterstützend mitbringt, eingegangen.
Wer sind die Angreifer im Netz, was sind Ihre Ziele und gegen welche Arten von Attacken muss ich mich wappnen?
Es gilt immensen Schaden abzuwenden und das Vertrauen der Nutzer in Ihre Plattform zu gewinnen und zu bewahren.
[TALK WAS HELD IN GERMAN DUE TO AUDIENCE]
The BetterCrypto Project started out in the fall of 2013 as a collaborative community effort by systems engineers, security engineers, developers and cryptographers to build up a sound set of recommendations for strong cryptography and privacy enhancing technologies catered towards the operations community in the face of overarching wiretapping and data-mining by nation-state actors. The project has since evolved with a lot of positive feedback from the open source and operations community in general with input from various browser vendors, linux distribution security teams and researchers. This talk will give a concise guide on how to properly deploy networked services in a secure fashion that is applicable today. We will also give an update on the project as well as new development on the front of cryptography, attacks and TLS protocol standardization.
Früher oder später begegnet jeder einem kryptographischen Produkt oder Anwendung. Doch was steckt dahinter? Lernen Sie die Geschichte der Kryptographie und auf einfache Art und Weise aktuelle Algorithmen kennen.
Referent: Andreas Wisler
Verschlüsselungen sind in der heutigen Zeit nicht mehr weg zu denken. Für welche Anwendungsfälle ist man mit diesen Technik auf der sicheren Seite? Wieso braucht es heute um so mehr die Verwendung von VPN, den sogenannten Tunneln? All das ist wichtig um Daten sicher aufzubewahren und zu übertragen. Wir werden Ihnen gerne den aktuellen Stand der Technik und Beispiele aus der Praxis präsentieren.
A Secure Decision-Support Scheme for Self-Sovereign Identity ManagementSven Wohlgemuth
This document discusses self-sovereign identity management using zero-knowledge proofs and blockchain technology. It proposes a scheme where individuals own and control their personal data through a decentralized identity system. Intermediaries could verify relationships and attributes about an identity through zero-knowledge proofs without learning the underlying data. Blockchain consensus protocols and smart contracts would enforce accountability and transparency around data access and usage according to individuals' preferences. This framework aims to give individuals sovereignty over their digital identities and personal data.
This document proposes a blockchain-based system called SK4SC (Secure Kernel for Supply Chains) to address security and privacy issues in supply chain management. SK4SC uses anonymous attribute-based credentials, zero-knowledge proofs, and digital signatures to enable the verifiable and auditable sharing of information while preserving privacy. It aims to establish accountability and enforce compliance through the recording of data provenance and rights management on an open distributed ledger. This would help detect supply chain attacks and unauthorized data access in a transparent yet private manner.
Secure Sharing of Design Information with BlockchainsSven Wohlgemuth
To defend against evolving cyberattacks, defenders alone have limitations to prevent attacks from multiple and powerful attackers. We show a new way for defenders to collaborate closely and to make the necessary security by design. Blockchains are used, and accountability occurs in such a way for incentive so that participants will comply with the rules. Intellectual property rights of individual defenders are protected, and unnecessary leakage of trade secrets and personal information can be avoided. In the mutual interaction between humans and computer, information is shared in such a way that humans correctly benefit from AI-supported machines as intelligent amplifiers.
Talks @ 2018 IEICE Society Conference
個人情報の有効活用を可能にする (Enabling effective use of personal information)Sven Wohlgemuth
Talk @ 「The Future of Blockchain」 on May 13th, 2017
25th Academic Forum of WASEDA University, Tokyo, Japan
About this forum:
http://www.waseda.jp/sanken/forum/academic/img/25th_academic_forum.pdf
http://www.waseda.jp/sanken
Privacy in Business Processes by User-Centric Identity ManagementSven Wohlgemuth
This document summarizes a presentation on privacy in business processes through user-centric identity management. It discusses challenges with 1:n and 1:n:m relationships where personal data is disclosed to multiple services. Two approaches are described: single sign-on and anonymous credentials. Neither fully addresses issues like linkability, non-transferability of data, and misuse of credentials. The document then proposes an approach called DREISAM that uses anonymous credentials and proxy credentials to enable delegation of rights over personal data while preserving user privacy. It outlines the work of WP14 in studying privacy requirements for identity management and business processes.
WP14 Workshop "From Data Economy to Secure Logging as a Step towards Transpar...Sven Wohlgemuth
ALU-FR (Freiburg) contribution to FIDIS 2nd Research Event, Athens, Greece, 2007
The objective of WP14 is the identification and description of privacy requirements for identity management relating to the disclosure of identifying personal data and the use of credentials as access rights on services in business processes. Service providers process identifying data of their users for example for individualizing services and to get access to services as a proxy of their users. By the directives 95/46/EC and 2002/58/EC, the European Commission has defined privacy principles in order to regulate the processing of identifying personal data. Identity management empowers users as long as they disclose their identifying personal data and credentials to service providers. For information chains as found in multi-staged business processes, identity management leads to a big-brother phenomenon. Users have to trust service providers to process personal data of their users according to their privacy policy.
Based on privacy as informational self-determination, privacy threats are identified in business processes by the reference scenario “loyalty programme”. The reference scenario is used as an orientation for the partners in WP14. Undesired profiling is in particular investigated by case studies. The investigation of profiling makes a difference between collection of customers’ data by service providers of which customers are not aware and in externally stored customers’ profiles, while delegation access rights to some of these profiles is made possible The starting point of WP14 is the workshop “Privacy in Business Processes” (D14.1).
On Privacy in Medical Services with Electronic Health RecordsSven Wohlgemuth
SiHIS 2009, IMIA WG 4, Hiroshima, Japan
Centralized electronic health records (EHR) accumulate medical data of patients to improve their availability and completeness. This in turn increases the efficiency of business processes for medical services. As EHRs are not tied to a single medical institution they may be offered by enterprises with the capacity and knowledge to maintain this kind of databases. Legislation, e.g. the US American Health Insurance Portability and Accountability Act (HIPAA) and the German Act for the Modernization of the Health Insurance by Law (GMG), usually prohibit any disclosure to third parties without the patient’s explicit consent. Existing systems for EHRs like Microsoft HealthVault and Google Health comply with this by letting the patients decide on the usage and disclosure of their data. But they fail in providing three essential safeguards to privacy. Firstly, they do not offer mechanisms to guarantee the compliance of the EHR system especially regarding the enforcement of patients’ decisions. Secondly, patients cannot express or enforce obligations on further usage and disclosure of their data to third parties. Thirdly, they fail to guarantee confidentiality of the patients’ health data towards the EHR provider organization, which should not be able to access the data since this increases the risk of unauthorized disclosure. Those drawbacks stem from the fact that privacy-enhancing technologies focus on controlling external access to personal data but not on their usage. But even if health data is protected against those threats, EHR providers are able to create profiles about patients by examining the access requests to their data. We propose a privacy-protecting information system for controlled disclosure of personal data to third parties. Firstly, patients should be able to express, enforce, and observe obligations regarding disclosure of health data to third parties. Secondly, an organization providing EHRs should neither be able to gain access to these health data nor establish a profile about patients.
Privacy with Secondary Use of Personal InformationSven Wohlgemuth
Secondary use of personal information is of essential importance for the Internet of Things. The main application is resilience. Biometrics is an example for support of resilience in times of a natural disaster. The primary use of biometrics is to identify people; a secondary use is to improve healthcare services for affected people. This requires information sharing with third parties. The challenge faced for reliable support of the Internet of Things is safety. Special cases of security systems achieve safety for information flow, but they don’t scale for secondary use. Their users lose control on their identity. With the aim of improving usability of security, this research-in-progress proposes a multilateral information flow control. This is privacy as understood with informational self-determination. The key is usage control with secure delegation of rights and a secondary use of personal security-related information as Open Data.
International Workshop on Information Systems for Social Innovation (ISSI) 2009Sven Wohlgemuth
We need to solve global problems, such as energy, food, education, and economic development in our advanced information and communication technology (ICT) society. These are complicated problems worldwide and only one country, one organization, or one researcher can t solve them all. In this workshop we will pursue issues concerning safety and security to cover difficult ICT society problems, such as compliance privacy, IT risk management, and information security, in cooperation with the MOU organizations NII has partnerships with. For this purpose, we will hold an international workshop on information systems for social innovation.
More @ http://www.nii.ac.jp/issi/en/
Durchsetzung von Privacy Policies in DienstenetzenSven Wohlgemuth
Die Diensteorientierung der zukünftigen Netznutzung erzeugt individualisierte Dienste, die die Privatsphäre und informationelle Selbstbestimmung und damit die Grundlage der gesetzlichen Regelungen aushebeln werden. So sind bei den Kundenkarten europaweit nur wenige Anbieter festzustellen, während aus Nutzersicht scheinbar zahllose, verschiedene Kundenkarten existieren. Trotz aller Vereinbarungen kann die informationelle Selbstbestimmung nicht automatisiert eingefordert werden. Dasselbe gilt in abgewandelter Form für die JobCard und die Gesundheitskarte. Das Projektziel ist die Erweiterung des aktuellen, einseitigen Vertrauensmodells, in dem Nutzer den Diensteanbietern bei einer Erhebung und Weitergabe persönlicher Daten zwingend vertrauen müssen. Es soll ein Identitätsmanagementsystem entwickelt werden, mit dem Nutzer nach der informationellen Selbstbestimmung Profilbildungen bei der Nutzung von Dienstleistungen mit einem Datendienst kontrollieren und Anbieter von Datendiensten das in sie gesetzte Vertrauen rechtfertigen können.
Privacy in Business Processes by User-Centric Identity ManagementSven Wohlgemuth
Privacy is not only a concern of customers. Service providers also fear privacy violations as a main hurdle for the acceptance of personalised services. Furthermore, the protection of privacy is an interest of service providers who take on customer relationship management activities of several service providers. They manage customers’ profiles, e.g. in loyalty programs and e-health scenarios with electronic patient records, and offer the service of aggregation. If it is possible to link profiles of a customer without the need of such service providers, latter would not benefit from their aggregation service. Case studies show privacy threats in business processes with personalised services.
The objective of this FIDIS work package 14 is to identify privacy threats in business processes with personalised services, to suggest process models for modelling privacy-aware business processes and to derive security requirements for user-centric identity management in order to preserve privacy.
The presented scenarios and use cases are recommended for non-technical audicence, whereas the analysis of user-centric identity management protocols and approaches for identity management extensions are recommended for technical audience.
Privacy in Business Processes by Identity ManagementSven Wohlgemuth
Enterprises and governmental agencies process personal data of their clients for, e.g., personalised services and to get access to services as a proxy for them. By the Directives 95/46/EC and 2002/58/EC, the EC has defined data protection and security principles in order to regulate the processing of personal data. User centric identity management empowers clients in controlling the disclosure of their personal data to organisations. For information chains as found in multi-staged processes identity management may lead to a big-brother phenomenon. Clients have to trust organisations that they process personal data according to their privacy and security policies, along the chain of participating parties.
This workshop aims at these challenges and discusses first approaches for privacy enhancing technologies (PET) and their use in current and future business and governmental process models. The workshop itself will be jointly organised by the IST FP6 projects FIDIS and PRIME.
Resilience is introduced as the new security goal supported with security/safety-related information by data-centric services for predictive risk management in real-time. Secondary use of personal information is of essential importance. The problem is that data-centric services threaten resilience. Although privacy as a state of equilibrium and its enforcement with usable security by identity management aims actually at decreasing users’ own risk, its use by data-centric services for unilateral information flow control threatens privacy and resilience. Users lose control on their identity while at the same time competitiveness of in particular small and medium service providers is endangered due to reliable statements on authentication of derived information. Self-protection, however, depends on opposite security interests. This talk claims that Multilateral Security improves privacy and resilience by a multilateral secondary use of personal security-related information for distributed usage control. This kind of privacy is understood as informational self-determination whereas the key concept is non-linkable delegation of rights on secondary use of personal information.
presented at the workshop "Usable Security and Privacy" an event of "Mittelstand-Digital" of the Federal Ministry for Economic Affairs and Energy (BMWi) and HCI conference "Mensch und Computer 2015" in Stuttgart, Germany http://www.mittelstand-digital.de/DE/Service/suche,did=717526.html
Ein Viertel aller Ausgaben für Forschung und Entwicklung in der Wirtschaft und ein Fünftel aller Patentanmeldungen entfallen auf die Informatik. In Deutschland werden die Informations- und Kommunikationstechnologien im Jahr 2006 ca. 140 Milliarden Euro umsetzen. Die Informatik liegt damit mittlerweile vor dem Fahrzeugbau und Maschinenbau und trägt ein Drittel des erwarteten Wirtschaftswachstums. Arbeitsstellen finden sich für Informatiker vor allem in der Forschung und Entwicklung, in der Unternehmensberatung und in der Entwicklung von Systemen.
Solutions for Coping with Privacy and UsabilitySven Wohlgemuth
After Mainframe and Client-Server computing, Cloud computing is the next computing paradigm. The main difference is that individuals and enterprises make use of services out of the Cloud via a web browser, share computing power and data storage. The data disclosure from users to software service providers of the Cloud raises privacy risks. Users cannot enforce the agreed-upon privacy policy. In this article we propose a privacy system for an ex post enforcement of a privacy policy. Our proposal is to observe disclosures of personal data to third parties by data provenance using digital watermarking.
Location: NII Open House 2010, National Center of Sciences, Tokyo, Japan
Privatsphäre in Geschäftsprozessen mit einer Weitergabe von persönlichen Daten/Information an Dritte ist derzeit nicht möglich. Nutzer müssen personenbezogene Daten an Dritte, bspw. ihre Stellvertreter, weitergeben, wobei dies zur Bildung von mehreren „Big Brother“ führt. Deshalb sind derzeitige Identitätsmanagementsysteme für kritische Anwendungen nicht erfolgreich. Wir schlagen für eine dezentralisierte Vertrauensverwaltung (Decentralized Trust Management) ein allgemeines Protokoll für die zweckgebundene und damit autorisierte Weitergabe personenbezogener Daten in Form eines Ausweises (Credentials) vor, das die Kontrolle eines Nutzers über den Schutz seiner Privatsphäre zu seiner Beobachtbarkeit erweitert. Dieses Delegationsprotokoll erweitert heutige Identitätsmanagementsysteme.
With the increasing use of information and communication technology (ICT) and the transformation of economic activities in computer networks, IT security is becoming more and more important. The use of secure IT systems are the basis for a user to protect his privacy, i.e. his right to informational self-determination. However, users can only work safely, secure, and protect their privacy, when the ICT systems are usable according to the user's expertise and preferences. The team ATUS (A Toolkit for Usable Security) argues that security and usability needs to be extended from HCI to HCI+ with comprehensive user interfaces and security mechanims for control and transparency of personal data processing. Identity management as a security application assists users in enforcing their balanced security requirements. It allows a context-dependent actions under different roles. The project team ATUS presents with the iManager a prototype for identity management on a mobile personal device of the user.
PersoApp - Secure and User-Friendly Internet ApplicationsSven Wohlgemuth
The document discusses secure and user-friendly internet applications. It describes how identity theft and data breaches currently occur through malicious authentication and a lack of privacy controls. The document proposes extending identity infrastructure to enable mobility, identity control, privacy control, and privacy forensics in order to provide transparency and detect any misuse of personal data or identities.
FIDIS D3.3 Study on Mobile Identity ManagementSven Wohlgemuth
Study available at:
* in English http://www.fidis.net/resources/fidis-deliverables/hightechid/#c1786
* in Japanese http://www.jipdec.or.jp/archives/PKI-J/shiryou/FY18_translation/15_FIDIS_mobile_identity_J.pdf
This study gives a technical survey on mobile identity management. It identifies requirements for mobile identity management systems in particular on security and privacy of mobile users with mobile devices, e.g. smart phones or smart cards. A non-technical reader should understand the need and requirements for mobile identity management systems. Approaches for realising these requirements are described. The study gives answers to the following questions.
* What are the requirements for mobile identity management systems in particular on user’s mobility and privacy
* Which approaches for realising mobile identity management systems do exist?
* What are the open issues and further steps towards mobile identity management?
3. Historische Entwicklung (1/3)
400 v. Chr.: Spartaner benutzen ein Stab zur
Verschlüsselung der Kommunikation: Scytale
– Transpositionschiffre
– Scytale: Holzstab, um den ein Pergament- oder Lederstreifen
versetzt gewickelt wird, auf dem die Nachricht geschrieben wird
– Auf dem ausgewickelten Streifen erscheint
die Nachricht durcheinander
– Schlüssel: die Größe der Scytale
58-51 v. Chr.: Caesar-Chiffre im Gallischen Krieg
– monoalphabetische Substitution:
Rotation des Klartextalphabetes um k Zeichen
k=3:
Klartextalphabet: ABCDEFGHIJKLMNOPQRSTUVWXYZ
Geheimtextalphabet: DEFGHIJKLMNOPQRSTUVWXYZABC
– Schlüssel: Angabe k der Rotation
4. Historische Entwicklung (2/3)
1586: Vigenère-Chiffre (Blaise de Vigenère)
– polyalphabetische Substitution
– Verwendung von bis zu 26 Alphabeten
– Schlüssel: Verwendung eines Codewortes, das die Verwendung der Alphabete
bestimmt
1923: Enigma – Verschlüsselungsmaschine nach dem Rotor-
Prinzip (Arthur Scherbius)
B
A
C
D
E
F f
e
d
c
b
a
Lampen Tastatur Stecker-
brett
3 Walzen Reflektor
Eingabe: a Ausgabe: C
5. Historische Entwicklung (3/3)
1973-1977: Entwicklung von DES (Data Encryption Standard)
1976: Prinzip der asymmetrischen Kryptographie (W. Diffie und M. Hellman)
1978: RSA-Verfahren (R.L. Rivest, A. Shamir und A.M. Adleman)
1982: Konzeption der Quantenkryptographie (C. Bennett und G. Brassard)
1985: Einführung der elliptischen Kurven-Kryptograhie (N. Kobliz; V. Miller)
1998-2001: Entwicklung von AES (Advanced Encryption Standard)
2010: Einführung des Personalausweises mit Online-Ausweisfunktion
2016: Konflikte u.a. Apple vs. FBI, Initiativen wie Mozilla #youbeyou
14. Erfolgsarten eines Angreifers
Ziele des Angreifers
– Geheimen Schlüssel berechnen (total break)
– Zum Schlüssel äquivalentes Verfahren finden (universal break)
– Einzelne Nachrichten entschlüsseln bzw. fälschen
Verschlüsselung
– Ganze Nachricht entschlüsseln
– Teile einer Nachricht entschlüsseln
Authentifikation
– Selektive Fälschung: vor dem Angriff wird eine best. Nachricht gewählt
– Existentielle Fälschung: während des Angriffes wird eine beliebige
Nachricht gewählt
15. Passiver Angriff
Lesen des Schlüsseltextes (Ciphertext-only)
Lesen des Schlüssel- und Klartextes (Known-Plaintext)
Angreifer
Angreifer
Ziel:
Angreifer beobachtet die Kommunikation und versucht,
den Schlüssel zur Entschlüsselung bzw. Authentifikation zu rekonstruieren.
16. Mit gewähltem Klartext (Chosen-Plaintext)
Mit gewähltem Schlüsseltext (Chosen-Ciphertext)
Angreifer
Angreifer
bei asymmetrischem
Verfahren sinnlos, da pk und
sk verschieden sind
Ziel:
Angreifer beeinflusst die Kommunikation zur Rekonstruktion
des Schlüssels zur Entschlüsselung.
Aktive Angriffe auf Verschlüsselung
17. Angreifer lässt best. Nachrichten signieren (Chosen-Message)
Angreifer wählt MAC
• Angreifer erfährt nur 1 Bit bei einem Protokolldurchlauf.
• Angriff ist bei digitaler Signatur sinnlos, da Testschlüssel pk öffentlich ist.
Angreifer
Angreifer
Aktive Angriffe auf Authentifikation
Ziel:
Angriff auf ein Challenge-Response-Protokoll, um einen gültigen MAC zu konstruieren.
18. Kerckhoffs Prinzipien
1. Das System darf in der Praxis, falls nicht
mathematisch, nicht zu entschlüsseln sein.
2. Die Sicherheit des Systems darf nicht auf
Verschwiegenheit beruhen, d.h. auch wenn
das System in Besitz des Feindes gerät,
so darf ihm daraus kein Vorteil entstehen.
3. Der Schlüssel sollte ohne Zuhilfenahme von
Notizen sowohl kommuniziert und gespeichert als
auch ausgetauscht und verändert werden können.
4. Für telegraphische Kommunikation muss das System benutzbar sein.
5. Das System muss mobil sein, und seine Anwendung darf nicht viele Personen erfordern.
6. Das System muss einfach zu benutzen sein und weder extreme geistige Anstrengungen
noch Wissen über eine Vielzahl von einzuhaltenden Regeln erfordern.
Quelle: Kerckhoff 1883
19. Dolev Yao
m, pkBob
Alice Bob
Charlie
Verzeichnisdienst
eIDBobeIDAlice
pkBob pkBob
Dolev und Yao, On the Security of Public Key Protocols, 1983
20. Dolev Yao
m, pkBob
Alice Bob
Charlie
Verzeichnisdienst
eIDBobeIDAlice
pkBob pkBob
• Hashfunktionen sind nicht korrumpierbar
• Verzeichnisdienst ist öffentlich und sicher
• Alle öffentliche Schlüssel sind für jeden verfügbar
• Eigentliche Kommunikation ohne dritte Partei
• Der private Schlüssel ist nur dem Eigentümer bekannt Dolev und Yao, On the Security of Public Key Protocols, 1983
21. Sicherheitsgrade
Informationstheoretische Sicherheit
– Sicherheit ist unabhängig von den Ressourcen des Angreifers
– Verschlüsselung: Angreifer kann Klartext nicht besser als
mit a-priori Wahrscheinlichkeit raten
– Authentifikation: Angreifer kann MAC bzw. digitale Signatur nicht besser
als durch blindes Raten fälschen
Komplexitätstheoretische Sicherheit
– Sicherheit beruht auf der begrenzten Rechenfähigkeit des Angreifers
– Sicherheit beruht auf Annahmen (z.B. Faktorisierungsannahme)
– Angriffsmöglichkeit: Vollständige Suche (Brute Force)
23. Symmetrische Verschlüsselung
Ziel: Geheimhaltung der Nachricht m
– Genau ein Schlüssel k zur Ver- und Entschlüsselung
– Zufallsbit z zur Vermeidung von Probierangriffen
– Keine Integrität: Schlüsseltext kann unbemerkt modifiziert werden
gen := Schlüsselgenerierung
ver := Verschlüsselungsfunktion
ent := Entschlüsselungsfunktion
ent
l z
gen
k k
m c m
Klartext Schlüsseltext
ZufallsbitsSicherheits-
parameter
Geheimer
Bereich
ver
24. Asymmetrische Verschlüsselung
Ziel: Geheimhaltung der Nachricht m
– Verschiedene Schlüssel für Ver- und Entschlüsselung
– Empfänger benötigt ausschließlich ein Schlüsselpaar (pk, sk) für alle Sender
– Schlüsselverteilung von pk muss integer sein
gen := Schlüsselgenerierung
pk := öffentlicher Schlüssel
sk := privater Schlüssel
ver := Verschlüsselungsfunktion
ent := Entschlüsselungsfunktion
25. Symmetrische Authentifikation
Ziel: Integrität und Authentizität der Nachricht m
– Erstellung eines Prüfwertes MAC (Message Authentication Code)
– Prüfung: MAC* := auth(k, m) ! MAC ?= MAC*
– Geheimer und integrer Schlüsselaustausch notwendig
gen := Schlüsselgenerierung
auth := Authentikationsfunktion
test := Prüfsfunktion
MAC:= Message Authentication Code
26. Asymmetrische Authentifikation
Ziel: Integrität, Authentizität und Nicht-Abstreitbarkeit einer Nachricht m
– Disput vor Dritten möglich
– Systeme zur digitalen Signatur
– Sicherheit und Schlüsselverteilung analog zur asymmetrischen Verschlüsselung
gen := Schlüsselgenerierung
pk := öffentlicher Schlüssel
sk := privater Schlüssel
sign:= Signaturfunktion
test := Testfunktion
27. Einwegfunktion
Ziel: „Einfache“ Berechnung von f und „schwere“ Berechnung von f-1
– „Einfach“ und „schwer“ ist komplexitätstheoretisch zu verstehen
– Partielle Informationen über f-1 können gefunden werden,
daher nicht zur Verschlüsselung geeignet
– Beispiel: f(p,q) = pq für große Primzahlen (Annahme)
29. Pseudozufallszahlengenerator
Ziel: Deterministische Erzeugung von einer langen, „zufälligen“ Bitfolge
– Pseudozufallszahl sollte nicht von einer Zufallszahl unterscheidbar sein
– Der Startwert seed ist eine kleine Zufallszahl
– Beispiel: Thermisches Rauschen als seed
– Anwendung: z.B. Schlüsselgenerierung
30. Betriebsarten
Blockchiffre
– Ver- und Entschlüsselung für Zeichenketten fester Länge
Stromchiffre
– Ver- und Entschlüsselung für Zeichenketten variabler Länge
• Synchron
– Verschlüsselung eines Zeichens hängt von der Historie ab
– Sender und Empfänger müssen immer im selben Takt sein.
Ein Fehler wird nicht toleriert
• Selbstsynchronisierend
– Verschlüsselung eines Zeichens hängt nur von wenigen vorigen
Schlüsseltextzeichen ab
33. One-Time-Pad / Vernam Chiffre
Informationstheoretische sichere Verschlüsselung
Schlüssel k
– Zufallszahl
– Schlüssellänge ist gleich Nachrichtenlänge
– Darf nur einmal verwendet werden, da k sonst berechnet werden kann
Schlüsselverteilung
– Geheimer und integrer Austausch des Schlüssels k notwendig
– Beispiel: Thermisches Rauschen als Schlüssel k und Verteilung auf CD
enc(k, m) := m XOR k
dec(k, c) := c XOR k
m = 1 0 1 0 1 1 0
k = 0 1 1 0 1 0 1
c = 1 1 0 0 0 1 1
34. Vernam Chiffre: Informationstheoretisch sicher
Schlüsseltext Schlüssel Klartext Schlüsseltext Schlüssel Klartext
sichere Chiffre unsichere Chiffre
Bsp.: Vernam-Chiffre mod 2
x = 00 01 00 10
+ k = 10 11 01 00
S= 10 10 01 10
Subtraktion von einem
Schlüsselbit mod 4 von
zwei Klartextbits
"Hinter jedem Schlüsseltext S kann sich jeder Klartext x gleich gut
verbergen."
35. Data Encryption Standard (DES)
• 1977: Standardisierung als Data Encryption Standard (DES) mit 64[56]-bit
Schlüssellänge
• Kombination aus Transpositions- und Substitutionschiffre
• Erster kryptographischer Standard (NIST: FIPS PUB 46)
• Nicht patentiert ! frei benutzbar
• Heute ist die Schlüssellänge zu kurz, deshalb
– 3DES mit 112 bzw. 168-bit Schlüssellänge
– AES
36. DES: Gesamtstruktur
• Verschlüsselung von Nachrichtenblöcken
der Größe 64 Bit
• Aufteilung eines Nachrichtenblocks
in Li und Ri zu je 32 Bit
• DES besteht aus 16 Runden in denen
jeweils permutiert und substituiert wird
• IP und IP-1 sind Ein- und
Ausgangspermutationen
• Rundenschlüssel Ki sind unterschiedlich:
Pro Runde werden 48 Bit des 56 Bit
Schlüssels gewählt
37. Transpositionschiffre
• Prinzip: Anordnung der Klartextzeichen wird vertauscht
• Verwendung des gleichen Alphabetes für Klar- und Schlüsseltext
• Häufige Beschreibung durch Tabellen (z.B. bei DES)
• Beispiel:
9 3 1
2 8 4
7 5 6
T E L E M A T I K
K L T E I E T M A
Klartext
Schlüsseltext
38. Transpositionschiffre
• Prinzip: Anordnung der Klartextzeichen wird vertauscht
• Verwendung des gleichen Alphabetes für Klar- und Schlüsseltext
• Häufige Beschreibung durch Tabellen (z.B. bei DES)
• Beispiel:
9 3 1
2 8 4
7 5 6
T E L E M A T I K
K L T E I E T M A
Klartext
Schlüsseltext
39. Substitutionschiffre
• Prinzip: Buchstaben(-gruppen) werden durch andere Zeichen(-gruppen) ersetzt
• Verwendung eines Alphabetes: Rotation des Klartextalphabetes um k Zeichen
– Muster können erkannt werden und auf den Klartext rückschließen lassen
• Verwendung mehrerer Alphabete:
– Verschleierung von Mustern durch Verwendung unabhängiger Substitutionschiffren
– Beispiel: S-Box S1 aus DES (Substitutionsvorschrift)
Substitution: ein 6Bit Eingabe-Block wird substituiert durch einen 4Bit Ausgabeblock
S1 0 1 2 3 4 5 6 7 8 9 A B C D E F
0 E 4 D 1 2 F B 8 3 A 6 C 5 9 0 7
1 0 F 7 4 E 2 D 1 A 6 C B 9 5 3 8
2 4 1 E 8 D 6 2 B F C 9 7 3 A 5 0
3 F C 8 2 4 9 1 7 5 B 3 E A 0 6 D
Beispiel: S1(0 0101 1) = (2) = (0010)
⎬
Spalte
Zeile
210
41. Asymmetrische Verfahren
Verschiedene Schlüssel für Ver- und Entschlüsselung
– Ein Schlüsselpaar (pk, sk) des Empfängers für alle Sender
Verschiedene Schlüssel für digitale Signatur und Prüfung
– Ein Schlüsselpaar (pk, sk) des Signierers für alle digitalen Signaturen und
alle Empfänger
Einfacherer Schlüsselaustausch
durch Asymmetrie
– Kein geheimer Austausch
von pk notwendig
– Schlüsselverteilung von pk
muss integer sein
– Vertrauenswürdige Dritte
bestätigen die Beziehung
zwischen pk und dem
Eigentümer (s. PKI)
42. RSA
• 1978 entwickelt von Ronald Rivest, Adi Shamir und Leonard Adleman
• Idee: RSA als Trap-door-Einwegpermutation
• Basiert auf der Faktorisierungsannahme
RSA-Annahme:
Das Ziehen von zufälligen e-ten
Wurzeln ist genauso schwer,
wie die Faktorisierung, d.h. wie
große Zahlen n in ihre
Primfaktoren p und q zu zerlegen.
43. Stand der Faktorisierung
RSA Factoring Challenge, RSA Laboratories Inc.
(Challenge ist nicht mehr aktiv)
Quelle: http://www.emc.com/emc-plus/rsa-labs/
historical/the-rsa-factoring-challenge.htm
Empfehlung des BSI
(BSI Technische Richtlinie TR-02102-2
Quelle: https://www.bsi.bund.de/DE/
Publikationen/TechnischeRichtlinien/tr02102/
index_htm.html
• Datensparsamkeit bei der Übertragung
von Informationen mit langfristigem
Schutzbedarf
• Nutzung hybrider Verschlüsselung
Verfahren ECIES DLIES RSA
Länge l in Bits 250 2000 2000
Empfehlung für
Einsatz > 2016
3000 3000
44. RSA: Schlüsselgenerierung
1. Wähle zwei Primzahlen p, q
a) zufällig und unabhängig
b) mit Länge l = |p|2 ≈ |q|2
c) p ≠ q
Beispiel: p = 11, q = 3
2. Berechne n := p * q
Beispiel: n = 33
3. Wähle e zufällig, so dass
e und (p-1)(q-1) relativ prim
Beispiel: e = 3
4. Berechne Inverses von e dem Erweiterten Euklidischen Algorithmus:
d := e-1 mod (p-1)(q-1)
Beispiel: d = 7
Öffentlicher Schlüssel: pk := (n, e) Beispiel: pk = (n = 33, e = 3)
Geheimer Schlüssel: sk := (p, q, d) Beispiel: sk = (p = 11, q = 3, d = 7)
45. RSA: Verschlüsselung
pk:=(n,e)
sk:=(p,q,d)
Verschlüsselung einer Nachricht m
1. Verschlüsselung
ver(pk, m) := me mod n = c
Beispiel: ver(pk, m) := 43 mod 33
= 64 mod 33
≡ 31
2. Entschlüsselung
ent(sk, c) := cd mod n = m
Beispiel: ent(sk, c) := 317 mod 33
= 27.512.614.111 mod 33
≡ 4
Beispiel: m = 4
46. RSA: Signatursystem
Digitale Signatur
– Digital Signieren:sign(sk, m) := md mod n = sig
– Testen: test(pk, m, sig) = ok :↔ sige ≡ m mod n
Bemerkung
– RSA-Schlüssel können für dig. Signatur und für Verschlüsselung eingesetzt werden.
– Vorsicht: Kompromittierung des Signaturschlüssels = Kompromittierung des Schlüssels
zur Entschlüsselung
pk:=(n,e)sk:=(p,q,d)
47. Einige Schwächen von RSA
Größe des Modulus (Empfehlung des BSI)
– Langfristig: min. 2000 Bit
– Einsatz ab 2016: min. 3000 Bit
Ausnutzung der Homomorphie-Eigenschaft von RSA
• Homomorphie-Eigenschaft: (m1m2)e ≡ m1
em2
e mod n
• Angriff: Digitale Signatur einer Nachricht m ohne Signaturschlüssel zu kennen
(Chosen-Message-Angriff)
1. Wähle sig1 und setze m1 := sig1
e
2. Sei m2 := m • m1
-1
3. Lasse m2 unterschreiben
4. Setze sig := sig1 • sig2 = m1
d * m2
d = (m1*m2)d = md
m2
sig2
m, m1, m2, sig1
48. Hybride Verfahren
Prinzip: Kombination kryptographischer Verfahren verschiedenen Typs
Beispiele:
– Symmetrische mit asymmetrischer Verschlüsselung
– Hashfunktionen mit Signaturverfahren
Motivation
– Asymmetrische Verfahren sind langsam
– Asymmetrische Kryptosysteme sind anfällig gegen Chosen-Ciphertext-Angriffe
Hybride Verfahren
– Erweiterung des Klartextes um Redundanz, Hashwert, Zufallszahl, …
– Hybride Verschlüsselung
49. Hybride Verschlüsselung (1/2)
Idee
– Mischung aus symmetrischer und asymmetrischer Verschlüsselung
– Symmetrischer Schlüssel wird nur einmal gebraucht
Vorteile
– Effizienz der symmetrischen Verschlüsselung
– Einfache Schlüsselverteilung für asymmetrische Schlüsselpaare
Symmetric Key EC Key RSA Key Time to Break Machines Memory
56 112 430 less than 5 minutes 105
trivial
80 160 760 600 months 4300 4 Gb
96 192 1020 3 million years 114 170 Gb
128 256 1620 1016
yrs .16 120 Tb
Quelle: RSA Laboratories: Bulletin number 13, April 2000
51. Erweiterung des Klartextes
Idee: Erweiterung des Klartextes um Redundanz, Hashwert, Zufallszahl, …
Verschlüsselung
a) Verschlüsselung des Klartextblocks m
1. Wähle Zahl z mit Länge zufällig
2. Setze m* := (m, z, h(m, z)) mit Hashfunktion h und Redundanz red = h(m, z)
3. Berechne c := ver(pk, m*)
b) Entschlüsselung von c
1. m* := ent(sk, c)
2. Zerlege m* in 3 Teile: (m, z, red)
3. Prüfe, ob red = h(m, z)?
Digitale Signatur
Prinzip: Statt m wird m* := hash(m) signiert
a) Signatur sig von m: sign(sk, m*) = sign(sk, hash(m))
b) Test: Prüfe, ob test(pk, m, sig) = hash(m)?
52. Erforderlich: Sicherer Schlüsselaustausch
Informatisierte, vernetzte Gesellschaft: Spontaner Informationsaustausch
• Kein persönlicher Austausch
• Keine zentrale Vertrauensstelle (für das Internet)
pkBob, pkCA2, pkCA1
“Man in
der Mitte”
Alice Bob
54. Schlüsselmanagement
Aufgaben:
• Erstellung von Schlüsseln
• Verteilung von Schlüsseln
• Widerruf von Schlüsseln
Eigenschaften:
• Für symmetrische Verschlüsselung und
Authentifikation:
– geheimer und integrer Austausch des
Schlüssels k
• Für asymmetrische Verschlüsselung:
– Integrer Austausch des öffentlichen
Schlüssels
• Für Signatursysteme:
– Integrer und konsistenter Austausch des
öffentlichen Schlüssels
56. Das Zuordnungsproblem von Information
Bürger(A)
A fordert B’s Schlüssel an
C holt B’s richtigen
Schlüssel
C schickt A aber eigenen
Schlüssel
Nachricht unwissentlich
verschlüsselt für C Nachricht neu
verschlüsselt für B
Rathaus(B)
57. Das Zuordnungsproblem von Information
Bürger(A)
A fordert B’s Schlüssel an
C holt B’s richtigen
Schlüssel
C schickt A aber eigenen
Schlüssel
Nachricht unwissentlich
verschlüsselt für C Nachricht neu
verschlüsselt für B
Rathaus(B)
Angreifer(C)
„Man in the Middle Attack“
Frage von A: Ist der Schlüssel von B authentisch?
59. Drei Arten von Zertifizierungssystemen
• Zentrale Zertifizierungsstelle
(Certification Authority, CA)
– Eine einzige CA
– Public Key der CA häufig in Anwendungs-Software integriert
• Dezentrale Zertifizierungsstelle
(Vertrauensgeflecht, „Web of Trust“)
– Jeder Inhaber eines Schlüssels kann als CA tätig sein
– Bsp.: PGP (Pretty Good Privacy)
• Hierarchisches Zertifizierungssystem
– CAs, die wiederum von „höherer“ CA bestätigt werden
– Bsp.: Infrastruktur nach Signaturgesetz
60. Austausch symmetrischer Schlüssel
• Ziel: geheimer und integrer Austausch des
symmetrischen Schlüssels k
• Möglichkeiten:
– Persönliche Übergabe oder durch
vertrauenswürdigen Boten (Dritten)
– Masterschlüssel:
• Einmal übertragen
• Nur für Austausch von
mehreren Sitzungsschlüsseln verwenden
– Austausch über zentrale Stelle(n)
– Hybrides Verfahren
• Sitzungsschlüssel wird
asymmetrisch verschlüsselt
• Asymmetrischer Schlüssel
integer verteilen
ent
l z
gen
k k
m c m
Klartext Schlüsseltext
ZufallsbitsSicherheits-
parameter
Geheimer
Bereich
ver
61. Austausch über eine dritte Stelle
• Jeder Teilnehmer benötigt im Voraus ein kAZ
• Zentrale Stelle kann Nachrichten des Nutzers lesen bzw. ihn authentisieren
• Aufteilung eines Schlüssels auf mehrere Stellen, z.B. k = k1 + k2 + k3
• Vertrauen in zentrale Stellen notwendig
• Beispiel: Kerberos
k(Nachrichten)
kAZ(k) kBZ(k)
kAZ kBZ
Schlüsselverteilzentrale
62. Austausch asymmetrischer Schlüssel
• Ziel ist anwendungsabhängig
– für Verschlüsselung: integrer Austausch
des öffentlichen Schlüssels
– für digitale Signatur: integrer und
konsistenter Austausch des öffentlichen
Schlüssels
• Möglichkeiten:
– Persönliche Übergabe des öffentlichen
Schlüssels
– Papierverzeichnisse
– Austausch über zentrale Stellen
– Austausch über (mehrere)
Bekannte
63. Zeitlicher Ablauf eines Austausches
1. Identitätsprüfung: Zuordnung Person/Pseudonym – Schlüssel/Attribute
2. Zertifizierung: Bestätigung der Zuordnung durch Dritte und Ausstellung von Zertifikaten
3. Verteilung solcher Zertifikate
4. Prüfung eines Zertifikates durch den Empfänger (Authentizität des erhaltenen Schlüssels)
Reg. Zert. Verteilung Prüfung
pkA
A
B
C
64. Identitätsprüfung
Reg. Zert. Verteilung Prüfung
pkA
• Zuordnung: Person/Pseudonym zu Schlüssel/Attribut(e)
• Prüfung ist Anker für den gesamten Verteilvorgang
• Möglichkeiten:
– Persönliche Übergabe von pk auf Papier oder Diskette
• evtl. mit eigenhändiger Unterschrift und Vorlage des
Ausweises
– Schlüsselerstellung unter Beobachtung eines Dritten
• Aussagen einer Zuordnung:
– Zuordnung
– Angabe des verwendeten Kryptographiesystems
– Gültigkeitsdauer der geprüften Zuordnung
– Schutz vor Schlüsseldiebstahl
– Haftung
65. Zertifizierung durch vertrauenswürdigen Dritten
Public Key,
Name
Signatur der CA
Public Key, Nam
e
Zertifizierungsinstanz
(Certification Authority - CA)
Signtrust
• Semantik durch PKI und Policy der CA vorgegeben (z.B. deutsches Signaturgesetz)
• Privatsphäre: Nutzung von Zertifikaten hinterlässt verkettbare Spuren (Profilbildung)
• Zertifikate können vom Empfänger nicht gefälscht werden
66. Zertifizierung durch vertrauenswürdigen Dritten
Echtheits-
bestätigung
des Zertifikats
Eindeutige
Zertifikats
nummer
Öffentlicher
Schlüssel
der Person
Name:
Ser. Nummer:
Issued by:
Issue date:
Expiration:
Public key:
Attributes:
H. Acker
12345678
S-Trust
07/01/1999
07/01/2002
X a # 6 @
Usage
Limits
Zertifikat
Digitale Signatur
der CA
Identifikation
der Person
Identifikation
des
Ausstellers
Zusätzliche
Angaben
Public Key,
Name
Signatur der CA
Public Key, Nam
e
Zertifizierungsinstanz
(Certification Authority - CA)
Signtrust
• Semantik durch PKI und Policy der CA vorgegeben (z.B. deutsches Signaturgesetz)
• Privatsphäre: Nutzung von Zertifikaten hinterlässt verkettbare Spuren (Profilbildung)
• Zertifikate können vom Empfänger nicht gefälscht werden
67. Zertifikate
Schlüsselzertifikate
• Digitale Bestätigung von Zuordnung
Person-Schlüssel
Attributzertifikate (Credentials)
• Digitale Bestätigung von Zuordnung
Person-Eigenschaft oder Person-
Recht
• Privatheit: Credentials sollten
nachweisbar sein, ohne Attribute und
Schlüssel zu zeigen
• Attribute ändern sich oft ! Widerruf
von bestehenden Credentials und
Verteilung neuer Credentials
Zert.
68. Verteilung von Zertifikaten
• Sicherheit: Zertifikate können von Sender/Verteiler und Empfänger nicht
gefälscht werden
• Empfänger vertraut bestimmten Sendern/Verteilern
• Möglichkeiten der Verteilung:
– Zertifikate als Anhang zur geschützten Nachricht verschicken
– Über CA
– Über Verzeichnisdienste
– Über Ketten von Bekannten
Verteilung
Reg.
Zert.
pkA
69. Prüfung von Zertifikaten
• Problem: Hält der Empfänger den erhaltenen öffentlichen Schlüssel für
authentisch?
• Prüfung:
– basiert auf Vertrauen in Zertifizierer (Vertrauensinfrastrukturen)
– anhand von Zertifizierungspfaden
• Verbesserung des Vertrauens: Prüfung anhand von Zertifikaten
unterschiedlicher Zertifizierer
Zertifikat
AliceCA1 CA2 CA3
70. Wann ist ein Schlüssel authentisch?
• Schlüssel wurde persönlich geprüft
• Zertifikat des Schlüssels ist gültig, d.h.
– Signatur ist korrekt
– Schlüssel der Zertifizierungsstelle ist authentisch
– Vertrauen in die Zertifizierungsautorität gegeben
– Datum ist im Bereich der Gültigkeitsdauer
– Schlüssel ist nicht widerrufen
– Kontext der Schlüsselverwendung ist korrekt
– Sicherheitspolicy wird akzeptiert
• Anforderungen (Sicherheitspolicy) an die Zertifizierung(spfade) sind erfüllt
71. Prüfung eines Schlüsselzertifikates
Name des Inhabers SignaturÖffentlicher Schlüssel
Schlüsselzertifikat
Hash
(z.B. MD5)
Dechiffierung
der Signatur
Hashwert HashwertTest auf
Gleichheit
Öffentlicher
Schlüssel der
CA
72. Widerruf von Zertifikaten
• Notwendig wenn z.B. private Schlüssel
kompromittiert wurden oder der Eigentümer
Berechtigungen verliert (Kündigung eines
Arbeitnehmers)
• Publikation widerrufener Zertifikate über
Certificate Revocation List (CRL) oder on-
line Prüfung mit CA
• In einer CRL stehen alle Zertifikate, deren
Gültigkeit vorzeitig beendet wurde
• Zertifikate, deren Gültigkeitsdauer
abgelaufen ist, werden nicht in CRL
aufgenommen
• Zeitstempel einer CRL markiert den
Zeitpunkt der Rücknahme
• Dokumente, die vor der Rücknahme eines
Schlüssels signiert wurden, bleiben gültig
73. Zeitliche Definitionslücke bei einem Widerruf
t
Verifier
Certification
Authority
trequest
tsignature verification
Requester
trevocation published
Revocation
only internally
well-known
Revocation
publicly
well-known
trevocation list updated
trevocation request approved
trevocation entry created
Quelle: Bertsch, Institut für Informatik und Gesellschaft, Freiburg, 2000
Gültigkeit eines Zertifikates ist vom Zeitpunkt abhängig
75. Authentifizierungsprotokolle
Kommunikationsprotokolle in Verteilten Systemen in zwei Phasen
1. Initialisierungsphase mit Authentifizierung (Handshake)
• Aushandlung von Verbindungsparametern
• Austausch initialer Informationen
– Einige sind geheim (z.B. Passwort)
– Einige nicht (z.B. Benutzerkennung)
2. Kommunikationsphase
• Im Weiteren nicht betrachtet (Payload)
Benutzer Server
Alice Bob
Handshake
Datenübertragung
76. Challenge-Response
Authentifizierung mit Geheimnis
1. Alice sendet ihre Kennung an Bob
2. Bob sendet eine Nonce als Challenge C an Alice zurück (i.d.R. eine Zufallszahl)
3. Alice verschlüsselt/hashed Challenge mit ihrem Passwort
4. Alice weist bei korrekter Response R Kenntnis ihres Passworts nach
gespeichert:
Alice -> PA
f(PA ,C) = R ??
Alice Bob
C
R
Alice
C = Nonce
f(PA ,C) = R
77. Challenge-Response
Authentifizierung mit Geheimnis
1. Alice sendet ihre Kennung an Bob
2. Bob sendet eine Nonce als Challenge C an Alice zurück (i.d.R. eine Zufallszahl)
3. Alice verschlüsselt/hashed Challenge mit ihrem Passwort
4. Alice weist bei korrekter Response R Kenntnis ihres Passworts nach
Probleme
– Schlechte Wahl der Challenge kann zur Schwächung des Protokolls führen
– Hat Angreifer Zugang zu Bobs Datenbank, kann er sich mit PA als Alice ausgeben
gespeichert:
Alice -> PA
f(PA ,C) = R ??
Alice Bob
C
R
Alice
C = Nonce
f(PA ,C) = R
78. Challenge-Response: Needham-Schroeder
Voraussetzungen
– Symmetrische Verschlüsselung
– Einsatz einer TTP T als Vermittler (KDC)
• Schlüssel KA,T zwischen Alice A und TTP existiert bereits
• Schlüssel KB,T zwischen Bob B und TTP existiert bereits
Protokollablauf
1. A → T A, B, NA
2. T → A {NA, B, KA,B, {KA,B, A}KB,T }KA,T T erzeugt und KA,B für Alice und Bob (verschlüsselt)
3. A → B {KA,B, A}KB,T Alice leitet für Bob verschlüsselten Teil weiter
4. B → A {NB}KA,B Bob überprüft mit NB, ob auch Alice KA,B kennt
5. A → B {NB-1}KA,B
Bezug zu aktueller Transaktion
– Nachrichten werden mit Zeitstempeln (Timestamps) versehen
– Bob kann die Aktualität der ersten Nachricht von Eve überprüfen
79. Commitments
• Ziel: Manipulationssicheres und vertrauliches Festlegen auf
einen Wert
• Beispielanwendung: Nachweis von Eigenschaften
(s. Benutzbare Sicherheit)
• Interaktives 2-Parteienprotokoll
(Committer und Recipient) mit Teilprotokolle:
1. Commit: Committer legt sich auf einen Wert fest, der
nachträglich nicht geändert werden kann (Commitment)
2. Opening: Der festgelegte Wert wird gezeigt, d.h. das Commitment wird geöffnet
• Sicherheitseigenschaften:
– Bindend (binding): Der Commiter kann den Wert nach dem Commit-Teilprotokoll nicht
mehr ändern
– Versteckend (hiding): Der Recipient erhält während des Commit-Teilprotokolls keine
Information über den betreffenden Wert
– Ein Commitment-Protokoll ist entweder informationstheoretisch bindend oder
versteckend, aber nicht beides zugleich
80. Protokollskizze
Committer Recipient
1. Eingabe: Wert m
2. Berechne commit(m)
4. Speichert commit(m)
5. Ausgabe: ok oder error6. Ausgabe: ok oder error
8. Prüfe, ob m* in commit(m) ist
9. Ausgabe: (accept, m*) oder reject
7. m*
3. commit(m)
Co
m
mit
Op
eni
ng
81. Zero-Knowledge Proof
• Probabilistisches Beweissystem
• Interaktives Protokoll zwischen zwei Parteien
(Prover und Verifier)
• Eigenschaften
– Kein Wissensgewinn für den Verifier bei mehreren
Protokollläufen
– Vollständigkeit (Completeness): Prover kann
gegenüber dem Verifier korrekte Aussagen
nachweisen
– Korrektheit (Soundness): Ein betrügerischer
Prover kann einem ehrlichen Verifier nicht von
falschen Aussagen überzeugen
– Weiterleitung nur mit Weitergabe des zu
beweisenden Geheimnisses möglich
– Erfolgswahrscheinlichkeit für einen Angreifer pro
Protokolllauf: 50 %
! Mehrere Protokollläufe zur Reduzierung der
Fehlerrate notwendig
82. Beispiel: Wissen über einen diskreten Logarithmus
Prover Verifier
pkProver := (p, q, g, h)
8. Prüfe, ob gr = ahc
1. pkProver := (p, q, g, h)
2. Nachricht m aus Zq,
t zufällig aus Zq
a := gt
3. a
Ch
alle
ng
e
Re
sp
on
se
7. r
• n Durchläufe notwendig, da Angreifer (Prover) pro Durchlauf zu 50% richtig raten kann
• One-Time Pad ist t mod q ➔ info.-theoretisch sichere Verschlüsselung
a := gt
4. c zufällig aus {0,1}
5. c
6. r := t+cm mod q
83. Quellen und weiterführende Literatur
• Diffie, W., Hellman, M.E. New Directions in Cryptography. IEEE Transactions on Information
Theory 22(6), 1976
• Dolev, D., Yao, A.C. On the Security of Public Key Protocols. IEEE Transactions on
Information Theory 29(2), 1983
• Eckert, C. IT-Sicherheit: Konzepte – Verfahren – Protokolle. 9. Auflage, De Gruyter
Oldenbourg, 2014
• Menezes, A.J., van Oorschot, P.C., Vanstone, S.A. Handbook of Applied Cryptography. CRC
Press, 1996
http://cacr.uwaterloo.ca/hac/