Mit Kryptographie ist es wie mit dem Autofahren. Zuerst muss man die Basismethoden der Kryptographie kennen lernen, genau wie es mit der Bedeutung aller Anzeigen beim Autofahren ist – erst wenn man alle Bestandteile des Armaturenbretts kennt, kann man auf der Autobahn fahren. Und ähnlich ist es beim Auto: war es gestern noch modern, kann es heute altmodisch sein; auch die Überalterung bei Sicherheit beschleunigt sich.
CodeMeter®, mit der umfangreichen Erfahrung und des Wissens von Wibu-Systems entwickelt, bietet ein umfangreiches Sortiment an kryptographischen Methoden. Aber auch die besten Schutzlösungen wie CodeMeter könnten versagen, wenn es schlecht und unsicher implementiert wurde oder die notwendigen Sicherheitsvorkehrungen fehlen.
Ein essentiell wichtiger Punkt ist die sichere Speicherung von privaten und geheimen Schlüsseln. Die erste Frage, die Sie sich stellen sollten, ist, wo Ihre Lizenzen gespeichert werden sollen. Der Hardware-basierte Schutz CmDongle ist sicher ähnlich einer uneinnehmbaren Festung. Die Software-basierte Lösung CmActLicense gibt es als Schlüsselspeicher inklusive der einzigartigen und geschützten Technologie SmartBind®. Die privaten und geheimen Schlüssel liegen dann in einer verschlüsselten Lizenz-Datei, deren Schlüssel der Fingerabdruck des PCs ist, an den die Lizenz-Datei gebunden ist.
Die zweite wichtige Entscheidung ist, wie die Verschlüsselung arbeitet: sie hängt von Einsatzgebiet und Bedrohungsszenario ab.
Zum Schluss noch ein paar interessante Fakten: wussten Sie, dass im Counter Mode (CTR) die Verschlüsselung mit AES eigentlich nur ein XOR ist?
Betrachten wir beispielsweise ein Datenbankfeld mit einem Booleschen Wert. Bei einer einfachen Verschlüsselung mit AES, ergibt dies genau zwei mögliche verschlüsselte Werte. D.h. ein Angreifer muss nur einen Datensatz im Original kennen, um den unverschlüsselten Wert bei allen Datensätzen zu kennen.
Inhalt:
- HASH Funktionen
° SHA 256
- Symmetrische Verschlüsselung
* AES 128
* Direkte Verschlüsselung im CmContainer
* Indirekte Verschlüsselung
* Verschlüsselung ohne CmContainer
* Auswahl des richtigen Betriebsmodus
- Asymmetrische Verschlüsselung
* ECC 224
* RSA 2048
Webinar anchauen: https://youtu.be/q5QZqi64Rqk
3. Verschlüsseltes Geschlechtsmerkmal
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 3
Implementierung:
Datenfeld mit „0“ aufgefüllt
Verschlüsselt mit AES ohne IV
Fehler
Entropie der Daten ist zu gering
IV und Padding mit „0“
Hack
Erraten der Feldes
5. Verschlüsseltes Geschlechtsmerkmal
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 5
Implementierung:
Datenfeld mit „0“ aufgefüllt
Verschlüsselt mit AES ohne IV
Fehler
Entropie der Daten ist zu gering
IV und Padding mit „0“
Hack
Erraten der Feldes
Sichere Lösung
Verschlüsselte Daten sind
größer als unverschlüsselte
Daten:
Initialization Vector,
Nonce oder
Auffüllen mit zufälligen
Daten
6. Verschlüsselte Krankenakte
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 6
Implementierung
Verschlüsselung von xml/docx mit AES-CTR
Fehler
Implementierungsfehler: Nonce = „0“
Hack
Stehlen der verschlüsselten Datenbank
Eigene Krankenakte besorgen (unverschlüsselt)
Record = MyPlainRecord XOR MyEncRecord XOR EncRecord
EncRecord
MyPlainRecord
MyEncRecord
Record
7. Verschlüsseltes Bild
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 7
Electronic Codebook Cipher-Block Chaining
ECB erhält die Struktur der Daten.
8. Kryptographie - Grundlagen
Symmetrische Verschlüsselung
Hash Funktionen
Asymmetrische Verschlüsselung
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 8
22. CodeMeter API – Unterstützte Algorithmen
Symmetrische Verschlüsselung: AES 128 bit
Asymmetrische Verschlüsselung : ECC 224 bit
Signaturen: ECC 224 bit (ECDSA)
Hash: SHA 256
Legacy: RSA 2048 bit
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 22
23. CodeMeter API – Schlüsselquellen
FirmKey mit Schlüsselableitung
Direkt (ECB)
Indirekt (ECB, CBC) mit P1363 KDF2
Secret Data / Hidden Data mit Schlüsselableitung
Direkt (ECB)
Indirekt (ECB, CBC) mit P1363 KDF2
Secret Data / Hidden Data ohne Schlüsselableitung
Direkt (ECB)
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 23
24. Schlüsselableitung – Firm Key – Direkt
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 24
Plaintext
CmDongle
AES ECBSHA 256
Firm Code
Product Code
Feature Code
Release Data
Encryption Code
Enc. Code Options
Feature Map
Maint. Period
Black Key
Firm Key
Ciphertext
Product Code
Firm Code
25. Schlüsselableitung – Secret Data / Hidden Data – Direkt
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 25
Plaintext
CmDongle
AES ECBSHA 256
Firm Code
Product Code
Feature Code
Release Data
Encryption Code
Enc. Code Options
Feature Map
Maint. Period
Black Key
Secret Data
Ciphertext
Product Code
Firm Code
26. Schlüsselableitung – Firm Key – Indirekt (Standard)
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 26
InitKey
Plaintext
CmDongle
AES ECBSHA 256
Firm Code
Product Code
Feature Code
Release Data
Encryption Code
Enc. Code Options
Feature Map
Maint. Period
Black Key
Firm Key
Ciphertext
Product Code
Firm Code
KDF2
P1363
AES
27. Schlüsselableitung – Secret Data / Hidden Data – Indirekt
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 27
InitKey
Plaintext
CmDongle
AES ECBSHA 256
Firm Code
Product Code
Feature Code
Release Data
Encryption Code
Enc. Code Options
Feature Map
Maint. Period
Black Key
Secret Data
Ciphertext
Product Code
Firm Code
KDF2
P1363
AES
28. Ohne Schlüsselableitung – Secret Data / Hidden Data – Direkt
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 28
Plaintext
CmDongle
AES ECB
Firm Code
Product Code
Feature Map
Maint. Period
Black Key
Secret Data
Ciphertext
30. Challenge Response Check
Stellt sicher, dass ein gültiger CmDongle vorhanden ist
Private Key im CmDongle (mit Lizenz, für alle Kunden gleich)
Public Key in der Software
Software erzeugt eine Challenge
CmDongle signiert die Challenge
Software überprüft die Response
Verhindert eine Record Playback Attacke auf den CmDongle
Verhindert eine Simulation des CmDongles
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 30
31. Bekanntes Shared Secret
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 31
Sicheres Speichern eines AES-Schlüssels, der auf einem PC
verwendet werden kann
Speicher des AES-Schlüssels in Secret Data
Verwendung von Secret Data als Schlüssel-Quelle
Einsatzsszenario:
Datentransfer zwischen Embedded Device / Cloud und PC
Schlüssel in Embedded Device / Cloud sind bereits sicher
Verwendung des CmDongles am PC
Verhindert das Kompromittieren des Schlüssels am PC
32. Verschlüsselte Kommunikation
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 32
Übermittlung der Fischfänge an einen zentralen
Server (über Satellit)
Anforderungen: Authentisch und Vertraulich
Implementierung:
Schlüsselpaar auf dem Server und jedem Schiff
Tagebuch verschlüsselt mit Public Key des Servers
Tagebuch signiert mit Private Key des Schiffs
Ergebnis: Authentisch und Vertraulich 603 4711
33. Zusammenfassung
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 33
Starten Sie mit der Bedrohungsanalyse
Wählen Sie Algorithmus, Schlüssellänge und Modus sorgfältig
Wählen Sie den richtigen Platz zum Speichern (Dongle, Software, …)
Vermeiden Sie Implementierungsfehler
Überprüfen Sie die Implementierung regelmäßig
Wibu Professional Services unterstützt Sie von Analyse bis
Implementierung und Überwachung.
34. Vielen Dank für Ihre
Aufmerksamkeit
WIBU-SYSTEMS AG
www.wibu.com
04.09.2014 Ihr Führerschein zum Kryptographie-Experten 34