IT-Sicherheit Formelsammlung / Zusammenfassung / Klausur Hilfsmittel PDF

Preview

Summary

Formelsammlung Dollinger, Marco1 Einführung1 SchutzzieleCIA: ConĄdentiality, Integrity, Availability Informationsvertraulichkeit (conĄdentiality) Schutz vor unautorisierter Informationsgewinnung Datenintegrität (integrity) Schutz vor unautorisierter und unbemerkter ModiĄka- tion Verfügbarkeit (avail...

Description

IT-Sicherheit (IN2209) Formelsammlung

1

2. März 2022 Dollinger, Marco

Einführung

1.1

2.1

Symmetrische Verfahren

Designprinzipien für Blockchiffren

Schutzziele

• Avalanche-Effekt Bit-Änderung in der Eingabe ändert jedes Ausgabebit des Chiffretext mit Wahrscheinlichkeit 50

CIA: ConĄdentiality, Integrity, Availability 1. Informationsvertraulichkeit (conĄdentiality) Schutz vor unautorisierter Informationsgewinnung 2. Datenintegrität (integrity) Schutz vor unautorisierter und unbemerkter ModiĄkation

• Diffusion Statistische Eigenschaften werden verschleiert, indem jedes Eingabebit des Klartexts viele Ausgabebits des Ciphertextes beeinĆußt

3. Verfügbarkeit (availability) Schutz vor unbefugter Beeinträchtigung der Funktionalität

• Konfusion Verschleiern des Zusammenhangs zw. Schlüssel und Ciphertext Betriebsmodi für Blockchiffren

4. Authentizität (authenticity) Nachweis der Echtheit und Glaubwürdigkeit der Identität eines Objekts/Subjekts

• ECB Ű Electronic Code Book

5. Verbindlichkeit, Zurechenbarkeit (accountability) Schutz vor unzulässigem Abstreiten durchgeführter Handlungen 6. Privatheit (privacy) Unter Privatheit versteht man im engeren Sinn die Fähigkeit einer natürlichen Person, die Weitergabe und Nutzung seiner personenbeziehbaren Daten zu kontrollieren (informationelle Selbstbestimmung), im weiteren Sinn gehört die Kontrolle der Privatsphäre (z.B. physische Räume) dazu

1.2

Problem: Jeder Block ist unabhängig von jedem anderen Block; Gleiche Klartext-Blöcke ergeben gleiche ChiffreBlöcke • CBC - Cypher Block Chaining

Weitere DeĄnitionen

1. Risiko (Risk) = Wahrscheinlichkeit × Schaden 2. Ein Angriffsvektor ist ein möglicher Angriffsweg, um eine oder mehrere Schwachstellen auszunutzen und ein System zu kompromittieren.

IV zufällig gewählt, nicht geheim FehlerfortpĆanzung auf zwei Blöcke beschränkt

3. Schadcodevarianten

• CTR - Counter Mode Blockchiffre als Stromchiffre

(a) Virus: nicht selbständiges Programm, das sich selbst reproduziert (b) Wurm: selbständig lauffähiges, zur Reproduktion fähiges Programm (c) Trojaner: Programm, das eine versteckte Funktionalität enthält (d) Rootkit: Backdoor oder Keylogger, der sich im OS einnistet (e) Ransomware: verschlüsselt Daten auf Opfer-Rechner, (f) ROP-Gadget (Return Oriented Progr.): geladenen Code nutzen

2

Kryptographie • Absolute Sicherheit: P (M ) = P (M ♣C) und P (C♣M ) = P (C) > 0 • One-time-pad: einmalig verwendete, zufällig generierte Schlüsselfolge (XOR für E/D). Muss sicher ausgetauscht werden, absolut sicher, meist unpraktikabel

• GCM - Galois Counter Mode AEAD: Authenticated Enryption with Associated Data AES - Advanced Encryption Standard • Standard für symmetrische Verfahren

• Kerckhoff-Prinzip: Keine Security by Obscurity!

• 128-Bit Blöcke, 128, 192 oder 256 Bit Schlüssel 1

IT-Sicherheit (IN2209) Formelsammlung

2. März 2022 Dollinger, Marco

• in 10, 12, 14 Runden, ganzer Block verschlüsselt pro Iteration

EEA:

• basierend auf Galoisfeld GF (28 ) Stromchiffren (z.B. ChaCha20)

• Problem: Known-Plaintext Angriffe (wegen XOR) -> Jeden Schlüsselstrom nur einmal verwenden

2.2

2.4

Diffie-Hellman

Asymmetrische Verfahren

• Öffentlicher und privater Schlüssel (e, d) • basierend auf Faktorisierungsproblem, diskreter Logarithmus, elliptische Kurven • Schlüsselpaare müssen effizient erzeugbar sein • Ver- und Entschlüsselungen (E und D) sind effizient durchführbar • d ist aus e nicht mit vertretbarem Aufwand berechenbar

Vorteil: kein geheimer Austausch Problem: MitM-Angriffe

• Schwierigkeit: geheimer Schlüssel dA muss effizient berechnet werden können, aber nur von Subjekt A

2.5

• Lösungsidee: Einweg-Funktion mit Trapdoor (z.B bei RSA p,q)

2.3

Elliptische Kurven Kryptographie (ECC)

kürzere Schlüssel -> weniger Speicheraufwand (z.b. für Embedded)

RSA-Verfahren

Durchführung 1. wähle 2 große, geheime Primzahlen p, q (> 512-Bit) 2. RSA-Modul n = pq, n ist öffentich 3. ϕ(n) = (p − 1)(q − 1) 4. Wähle e ∈{1, 2, . . . , ϕ(n)−1♢ so, dass gilt ggT (ϕ(n), e) = 1, (e, n) ist der öffentliche Schlüssel 5. Berechne mit EEA den privaten Schlüssel d, so dass gilt: ed = 1modϕ(n) Erzeugung Schlüsselpaar

6. Verschlüsselung: c = xe mod n 7. Entschlüsselung: x = c d mod n

1. Gegeben sei eine Kurve E und ein Generator-Element G

8. Problem: Unsicher da deterministisch (wie ECB) -> Zufälliges Padding Muster einfügen

2. Wähle d und berechne d ∗ G = T , d geheim 3. T ist ein Punkt auf der Kurve, öffentlicher Schlüssel 4. ECC Schlüsselpaar ist: (T, d). Empfehlung: nur standardisierte Kurven verwenden Einsatz in: • ECDH: Schlüsselaustausch mittels ECC 2

IT-Sicherheit (IN2209) Formelsammlung

2. März 2022 Dollinger, Marco

• ECDSA: Signaturverfahren mittels ECC

Ű Deterministischer Algorithmus (Seed), aber für Außenstehende zufällig

• ECC in eingebetteten Komponenten: u.a. Smartcards, Token

2.6

• Hybrid (Seed durch TRNG) • KryptograĄsch sichere Zufallszahlengenerator (CSPRNG)

Kryptographische Hashfunktionen

3.2

Bislang: Schutzziel Vertraulichkeit Jetzt: Schutzziel Integrität und Schutzziel Authentizität Merkle-Damgard Schema:

Schlüsselvereinbarung (Austausch, Absprache)

Key Distribution Center (KDC) • HäuĄg auch als Trusted Third Party (TTP) bezeichnet • KDC besitzt Secret-Key (Master key) KA mit jedem Subjekt A oder öffentlichen Schlüssel von A.

Anforderungen/Eigenschaften

• Master Keys dienen als Basis zum sicheren Austausch von kurzlebigen Schlüsseln k zwischen zwei Subjekten A und B

• einfach zu berechnen H (m) = y • Einwegeigenschaft: m = H −1 (y) ist schwer zu berechnen

• (-) keine PFS • (-) Single Point of Failure

• Schwache Kollisionsresistenz: Kollision für gegebenenes m Ąnden nicht effizient möglich

Perfect-Forward-Secrecy: Mit der Aufdeckung eines Schlüssels (z.B. Master Key) darf man nicht in der Lage sein, auch andere Schlüssel aufzudecken. Ein neuer Schlüssel darf nicht von einem alten Schlüssel abhängen. D.h. weder die Schlüsselerzeugung noch Schlüsselverteilung darf von bereits vorhandenem und genutztem Schlüssel abhängig sein Schlüsselaustausch ohne Trusted Third Party (z.b RSA-KEM)

• Starke Kollisionsresistenz: Beliebiges Kollisionspaar Ąnden nicht effizient möglich • Kollisionsangriff: Hashlänge n -> 2n Hashwerte -> 2n/2 Hashe berechnen für Kollision (Geburtstagsparadox) Klassen 1. basierend auf Block-Chiffren (AES-CBC) -> letzter Block ist Hashwert 2. Dedizierte Hashfktn: MD5, SHA

2.7

Digitale Signatur

• X.509: Issuer, ZertiĄkatinhaber (Subject), ZertiĄkat-Signatur

3.4

Public-Key-Infrastruktur

Aufgabe

1. Hashen: SHA3(m) = h

• Infrastruktur, um ZertiĄkate auszustellen und d

2. Signieren: RSA(h) = h modn = sig

• ZertiĄkate durch Dritte prüfen lassen zu können

e

3. Prüfen: RSA(sig) = sig modn = h

Komponenten • Registration Authority (RA): bürgt für die Verbindung zw. öffentlichem Schlüssel und Identitäten/Attributen

Schlüsselmanagement

3.1

• Aufgabe: Authentizitätsnachweis für öffentliche Schlüssel e

• Bestätigen der Korrektheit der Daten über digitale Signatur, die mit dem privaten Key d einer CertiĄcate Authority (CA) erstellt wird

Ziel: Nachweis der Urheberschaft eines Dokuments Dedizierte Signaturverfahren: z.B. DSA, ECDSA Public Key Verschlüsselung: z.B. RSA Vorgehen: Signieren eines Klartextes m, z.B. mit RSA

3

ZertiĄkate

• ZertiĄkat: Binden der Identität (ID von A) an einen Public Key e

Message-Authentication-Code (MAC)

Ziel: Authentizität des Datenursprungs und Datenintegrität Hashfunktion mit Schlüssel

2.8

3.3

• CertiĄcation Authority (CA): Stellt ZertiĄkate aus, signiert

Schlüsselerzeugung

Schlüssel mit hoher Entropie notwendig

• Validierungsstelle (VA) Überprüfung von ZertiĄkaten in • Echte Zufallszahlen (TRNG), (z.b. atmosphärisches/thermisches Echtzeit Rauschen) ZertiĄkatvalidierung • Pseudozufallszahlen (PNG) • Signatur ist gültig 3

IT-Sicherheit (IN2209) Formelsammlung

2. März 2022 Dollinger, Marco

• Keine veralteten Verfahren (z.B. SHA-1)

4.3

• ZertiĄkat nicht zurückgerufen

Anforderungen • Universalität: Jede Person besitzt das Merkmal

• Gültigkeitsdauer der ZertiĄkats ist noch nicht abgelaufen

• Eindeutigkeit: Merkmal ist für jede Person verschieden

• der ZertiĄzierungspfad endet bei einer Root-CA, der vertraut wird.

• Beständigkeit: Merkmal ist unveränderlich • quantitative Erfassbarkeit mittels Sensoren

ACME

• Performance: Genauigkeit und Geschwindigkeit

• Problem: TLS-Server-ZertiĄkats ist zu teuer für WebServer

• Akzeptanz des Merkmals beim Benutzer

• : Lösung: ACME, automatisierte Ausstellung für WebServer

• Fälschungssicherheit Herausforderungen

• Nachweis über Kontroller der Domain -> Beantragung ZertiĄkat bei CA -> ZertiĄkatmanagement durch Web Server

4

AuthentiĄkation durch Biometrie

• Berechtigter Benutzer wird abgewiesen; Akzeptanzproblem (false negative); False Rejection Rate (FRR) • Unberechtigter wird authentiĄziert, Kontrollen zu locker; Sicherheitsproblem (false positive, false accept); False-Acceptance-Rate (FAR)

AuthentiĄkation

Ziel: eindeutige IdentiĄkation und Nachweis der Identität

• : Equal Error Rate (EER): Gleichfehlerrate, Wahrscheinlichkeit, dass FAR und FRR gleich sind

• Wissen: z.B. password, PIN

Probleme: enge Kopplung zwischen Merkmal und Person

• Besitz: z.B. Smartcard, USB Token

• Bedrohung der informationellen Selbstbestimmung

• Biometrie: z.B. Fingerabdruck, Retina

• Gefahren durch gewaltsame Angriffe gegen Personen

One-Time-Passwords: Software-basiert (z.b. Google Authenticator) oder Hardware-basiert (z.b. RSA-Token)

• Problem der öffentlichen Daten und rechtliche Aspekte • Gefahr der Diskriminierung

4.1

Challenge-Response-Verfahren

5

Allgemeiner Ablauf:

Netzwerksicherheit

5.1

1. Subjekt gibt seine Identität an

SSL / TLS

Session Layer 5 Schutzziele

2. Instanz sendet eine Challenge

• AuthentiĄkation: wechselseitig, einseitig durch Server: X509v3-ZertiĄkate

3. Subjekt berechnet Response 4. Instanz prüft Response

• Integrität von Nachrichten mit HMAC/MAC, z.b. SHA3

4.2

Zero-Knowledge-Verfahren

• Vertrauliche Datenübertragung (z.b. mit CypherSuite T LS_AES_128_GCM _SH A256)

Idee: Nachweis der Kenntnis eines Geheimnisses s gegenüber einem Dritten (hier Bob), und zwar:

• Schlüsselaustausch, z.b. ECDHE

• ohne dass Bob das Geheimnis s kennt und

• Digitale Signaturen z.b. RSA

• ohne dass Bob im Verlauf der Authentisierung Kenntnis über das Geheimnis s erlangt

TLS1.2 vs. TLS1.3 • beide PFS (Ćüchtige DH-Keys)

• Angreifer darf beliebig viele ausgetauschte Nachrichten sehen

• schwache Kryptoverfahren sind nicht mehr zulässig • Verbesserter Schutz gegen Man-in-the Middle durch verschlüsselte, signierte Nachrichten

Z.B. Fiat-Shamir-Vefahren (Vorsicht: nutze unterschiedliche Zufallszahlen)

• Durchgängig authentisierte Nachrichten mit AEAD-Modus • Verbesserte Performanz durch Verkürzung der Round Trip Delays 4

IT-Sicherheit (IN2209) Formelsammlung

5.2

2. März 2022 Dollinger, Marco

5.4

IPsec

Firewalls

PaketĄlter: Analyse der Header der Netzwerkprotokolle

Ziel: Sichere Kommunikation auf IP-Ebene

• : Statisch/Stateless: Entscheidung basiert nur auf Header

• Authentizität des Datenursprungs • Vertrauliche Datenübertragung

• Dynamisch/Stateful: Entscheidung basiert auch auf vorhergehende Header

• Integrität u. Schutz vor Replay-Attacken

Deep Packet Inspection (DPI): Analyse der Header und Nutzdaten Prüfung auf Protokollverletzung und Malware möglich Missbrauchspotential: Zensur / Datenschutzverletzung

• Schlüsselmanagement: Erneuerung, Austausch

6

Anwendungssicherheit

6.1

Secure Mail

PGP (Pretty Good Privacy) Format:

Schlüsselverwaltung: Public-Key-Ring, Private-Key-Ring Web of Trust: Vertrauen in öffentliche PGP-Schlüssel (dezentrale Keyserver) Probleme:

Fazit IPSec • KonĄgurieren von IPsec-Policies ist sehr komplex

• Signatur-Spamming (DoS): Schlüssel mit langer Signaturkette

• KonĄgurierungsvarianten führen zu Interoperabilitätsproblemen

• Unklarheit: wie wurde Schlüssel geprüft

• Interworking von IPsec und Firewalls ist problematisch

• Fehlende Interoperabilität von S/MIME und PGP

• bei korrekter Nutzung hoher Sicherheitsgrad erreichbar

5.3

• Unternehmerische Sicherheitspolicy: Umgang mit verschlüsselten Emails (Archivierung, Schlüssel Recovery, ..)

VPN

Ein VPN ist eine Netzinfrastruktur, bei der Komponenten eines privaten Netzes über ein öffentliches Netz kommunizieren und die Illusion besitzen, dieses Netz zur alleinigen Verfügung zu haben. Einsatz

6.2

Secure Messenger

Signal, Whattsapp: X3DH-Protokoll, Double-Ratchet Telegram: MTProto-Protokoll

• End-to-Site-VPN / Remote-Access-VPN: Anbindung von 6.3 Verteilte Authentisierung einzelnen PCs in ein größeres Intranet z.b. HomeOffice Kerberos in Unternehmen • Aufgabe: AuthentiĄkation und Schlüsselaustausch. • Site-to-Site-VPN / Branch-Office VPN: Verbindung von • Authenticator: Identitäts- und Frischenachweis durch mehreren Filialen über das Internet zu einem virtuellen den Principal. Gesamtnetz • Ticket = = (ServerID ,PrincipalID ,PrincipalAddr, Timestamp, Lifetime, K), wird durch Ticket Granting Service ausgestellt 5

IT-Sicherheit (IN2209) Formelsammlung

2. März 2022 Dollinger, Marco • Vollständigkeits-Prinzip (complete mediation): Jeder Zugriff ist zu kontrollieren • Prinzip der minimalen Rechte (need-to-know): Subjekt erhält nur die benötigten Rechte • Prinzip des offenen Entwurfs (open design): Geheimhaltung darf nicht Voraussetzung für Sicherheit sein • Benutzerakzeptanz (economy of mechanism): Verwendung einfach zu nutzender Mechanismen, Verfahren

7.1

Zugriffsmatrix

Shibboleth, OAuth

6.4

Blockchain

Public, permissionless Blockchain: Zugriff für alle möglich. Permissioned Blockchain: Zentrale Instanz verteilt Berechtigungen. Proof-of-Work: Der Proof-Of-Work ist ein mögliches KonsensusProtokoll bei Blockchain. Über das Konsensus- Protokoll einigen sich alle Teilnehmer der Blockchain darauf, wie neue • Blöcke gültig in die Blockchain aufgenommen werden können. Beim Proof-Of-Work muss der Client einen Nonce Ąn• den, sodass der resultierende Hash aus Nonce und Vorgän• gerblock bestimmten Kriterien genügt. Die Kriterien können vom Blockchain-Netzwerk verändert werden, um die Schwie• rigkeit des Minings zu steuern. 51-Prozent-Attacke: Der Angreifer verschafft sich 51% der Mining Kapazität (= Rechenleistung). Diese setzt er ein, um eine neue längste Verzweigung (Fork) der Blockchain zu erzeugen (nur die längste ist gültig) in der er vorhergehende Transaktionen ungeschehen machen kann.

7.2

(+) Sehr einfaches, intuitives Modell (+) Einfach zu implementieren (-) Skaliert schlecht bei dynamischen Mengen (-) Rechtevergabe orientiert an Subjekten, nicht an Aufgaben -> Änderung der Aufgaben eines Subjektes sind aufwendig

Role-based Access Control (RBAC)

Subjekte haben Rollen, welche Zugriffsrechte für Objekte besitzen. Rollenhiearchien: (Höhere) Rollen erben die Rechte von (niedrigeren) Rollen (z.b. Arzt -> Chefarzt) Constraint RBAC: Regeln, die die Rollenmitgliedschaft beschränken

Merkle-Tree:

• Statisch: Subjekt kann nicht die Rollen Kassierer und Kassenprüfer haben • Dynamisch: Subjekt kann Kassierer und Kunde sein, aber nicht zur gleichen Zeit • (-) Vererbungskonzept verstößt idR gegen need-to-know • (-) Umsetzung: häuĄg hunderte von Rollen! Role-Engineering?

7

• (+) Gute Modellierung unternehmerischer Strukturen u. Prozesse

(Betriebs-)systemsicherheit

Sicherheitsaufgaben eines BS:

• (+) Gut skalierend in Bezug auf Subjekt-Dynamik

• Authentizität (z.b. Verwaltung von Credentials)

7.3

• Vertraulichkeit (z.b. Verschlüsselte Datenspeicherung)

Bell-LaPadula-Modell

Einteilung von Objekten und Subjekten in partiell geordneten Security Clearances Aktionen: read-only, append, execute, read-write, control Regeln:

• Datenintegrität (z.b. Isolierung, Zugriffskontrolle) Allgemeine Designprinzipien:

1. no-read-up: (read-only, execute von Objekt Clearance = Subjekt Clearance; read-write von Objekt Clearance = Subjekt Clearance

Hypervisor, Container

3. Ggf. Strong-Tranquility-Regel: während der Systemlauf- 7.7 zeit keine Änderung der Subjekt-Clearance oder der ObjektClassiĄcation 8

7.4

Virtualisierung

Festplattenverschlüsselung

Hardware-basierte Sicherheit

Weitere Konzepte

Side-Channel-Angriff : Seitenkanalangriffe nutzen VerhaltensCharakteristika von Systemen aus. Durch die CharakteristiTrusted Computing Base (TCB): Menge der Softwareka können Muster in bestimmten Messungen auftreten (z.B. /Hardware komponenten und Kontrollen, die die SicherheitsStromverbrauch, Laufzeit). Durch die Analyse dieser Muster konzepte des Systems gewährleisten (SSicherheitskern") wiederum kann ggf. Mehrinformation erlangt werden (z.B. Access Control List (ACL): (z.b. Unix), Felder in Reihenfolge: welcher Code wurde ausgeführt oder welche Speicherzellen _ (Dateityp) r w x (Eigentümer) r w x (Gruppe) r w x (Rest wurde gelesen). Auf diese Weise entsteht ein neuer Kommuder Welt) nikationskanal (Seitenkanal). Angriffe wie Spectre und MeltACLs: down nutzen die Mehrinformation aus, welche durch den Sei• (+) Einfache Implementierung tenkanal übertragen wird, und können dadurch an Information z.B. von geheimen Speicherzellen gelangen • (+) Rechtemanagement aus Objekt-Sicht ist einfach Out-Of-Order Execution: ist eine Prozessor-Optimierung, • (+) Fälschungssichere Verwaltung durch BS-Kern bei die es erlaubt, Instruktionen in einer anderen Reihenfolge ausNutzung zuführen, als vom Programmcode vorgegeben. Die Semantik bleibt dabei erhalten. • (-) Fehleranfälliges Rechtemanagement aus Subjektsicht Cache-Hierachie: ist eine Anordnung von mehreren Caches. (Rollenänderung -> Rechteupdates) Je geringer die Zugriffszeiten auf einen Cache sind, umso techCapability: Zugriffstickets für Objekte nisch aufwändiger und teurer ist auch die Pr...