Lectures for 2008 - KTH

More documents

Recommendations

Info

KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS ___________________________________________________________________________ undviker samtidigt den traditionella betrodda tredje parten (eng. trusted third-party) som är certifikatutgivare eller liknande som en PKI brukar innehålla. I tidigare utgåvor använde PGP algoritmerna IDEA och RSA för kryptering. På grund av en lång rad problem med patent på dessa algoritmer så övergick man i ett senare skede till att använda DSS och ElGamal för signering och kryptering. PGP definierades i och användningsområden beskrevs i äldre RFC, nämligen 1991 (”PGP Message Exchange Formats”), RFC 2015 (”MIME Security with Pretty Good Privacy (PGP)”). OpenPGP är en standard definierad av IETF i RFC 2440 (”OpenPGP Message Format”), RFC 3156 (”MIME Security with OpenPGP”). GPG, Gnu Privacy Guard, är en fri variant av PGP som implementerar OpenPGP. GPG finns tillgänglig från http://www.gnupg.org Secure/Multipurpose Internet Mail Extensions, populärt förkortat som S/MIME är en standard för att skicka krypterade och signerade e-postmeddelanden. S/MIME bygger på PKCS #7 dataformat för meddelanden samt X.509v3 för certifikat. Många e-postklienter, inlusive outlook, har stöd för S/MIME-signerade och krypterade meddelanden. Såväl S/MIME och PGP skickas via MIME-kodade epostmeddelanden. S/MIME existerar i flera versioner, främst S/MIMEv2 och S/MIMEv3. Version 2 beror på 40-bitars nyckellängd och RSA-kryptering. Version 3 har utökat skydd och kan använda andra nyckellängder. Det finns ett antal utökningar till grundprotokollet S/MIME för att erhålla signerade mottagningskvitton, säker e-postlistor. S/MIME definieras i RFC 2630, RFC 2632 och RFC 2633 5.10 Säkerhetsaspekter i ett kryptosystem Det finns flera kritiska säkerhetsaspekter att ta hänsyn till när man skapar ett kryptosystem. Den första är valet av krypteringsalgoritm. En väl publicerad algoritm som har klarat av många års analys och kritiskt granskande anses ofta vara ett säkrare alternativ än en ny, företagshemlig algoritm. En annan viktig säkerhetsaspekt är valet av längd på krypteringsnyckeln. Tumregeln är att längre kryptonycklar är svårare att attackera än kortare nycklar för samma eller liknande kryptoalgoritmer. Dessutom innebär hanteringen av nycklar speciella problem. Såväl nyckelgenerering som nyckeldistribution måste vara genomtänkt och väl utförd. Ofta är dessa moment systemets akilleshälar. Dåligt genererade nycklar kan lätt forceras och svagheter i nyckeldistributionen öppnar blottor hos i övrigt säkra lösningar. Implementationsfrågorna är ytterligare en viktigt säkerhetsaspekt. Det gäller bland annat att inte få dåligt framtagna sessionsnycklar, inte glömma klartextkopior av data någonstans i minnet eller filsystemet och liknande. Sessionsnycklar byggs ofta med hjälp av slumptal. Är dessa inte tillräckligt slumpmässiga så går det lättare att gissa sig till sessionsnyckeln – man har minskat omfånget på vilka nycklar som skall provas. Slutligen gäller det förstås också att studera hur nycklarna hanteras i datormiljön, till exempel om de lagras på hårddisk eller i datorns arbetsminne. En annan viktig säkerhetsaspekt är att inte återanvända nycklar till andra protokoll eller i andra sammanhang. Ett exempel på farlig användning är att man brukar samma kryptonyckel för att sköta autentisering, elektronisk signering och sedan använder samma nyckel för kryptering. Copyright (c) 2003-2008 Robert Malmgren AB. All rights reserved Sid 88 (139)
KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS ___________________________________________________________________________ En lyckad attack mot det ena användningsfallet även leda till missbruk eller åtkomst i de andra fallen. En bättre lösning skulle använda olika nycklar för varje fall. Det finns mängder av beräkningar på hur teoretiskt säkra olika typer av kryptosystem är. Detta är givetvis en gräns som kontinuerligt ändras med tekniska och vetenskapliga landvinningar. Moores lag ger oss kontinuerligt snabbare och mer kraftfulla datorer. Tekniska genombrott, som till exempel möjligheten att bygga datorer med stöd för flera samtidiga processorer, är av stor betydelse för hur säker en krypteringsmetod kan sägas vara. 5.10.1 Nyckelgenerering För att använda ett modern krypto behövs det kryptonycklar. Dessa nycklar kan skapas manuellt på förhand, manuellt vid själva användingstillfället, automatiskt före eller vid själva användningen. Ett vanligt sätt är att kombinera ett par på förväg skapade nycklar, ett slags huvudnycklar, och sedan vid behov skapa temporära nycklar. För att uppnå bättre säkerhet brukar man därmed skapa så kallade sessionsnycklar som bara används under kortare tidsperioder, enstaka transationer, enskilda krypterade meddelanden och liknade. Detta istället för att man hela tiden använder och sliter på en och samma huvudnyckel. Fördelen med att ha sessionsnycklar är att inte alltför mycket data blir krypterat med en och samma nyckel. Om stora datamängder krypteras med samma nyckel underlättar detta olika typer av analyser och attacker mot kryptosystemet. 5.10.2 Slump och slumpens betydelse Förvånande nog så har slump en central betydelse i moderna kryptosystem. Kryptoalgoritmer av god kvalitet skall producera kryptotext som vid analys är svår att skilja från slumpdata – dvs det skall vara svårt att hitta strukturer i informationen. När man hittar strukturerad data så gör det mycket för att kunna attackera algoritmen eller implementationen av algoritmen. Slumpmässigt framtagna sessionsnycklar kräver att den framslumpade nyckeln är så oförutsägbar som möjligt. De slumptalsgeneratorer som normalt sätt ingår i operativsystem, i rutinbibliotek och liknande, är ofta extremt olämpliga att använda i kryptosammanhang eftersom de skapar så kallade pseudoslumptal. Dessa standardfunktioner kallas pseudorandom number generators, eller PRNG kort och gott. Just den anledningen, att det är svårt att skapa bra slumptal, har föranlett Internets standardiseringsorgan, IETF, att ta fram en speciell, informativ beskrivning som kallas ” Randomness Recommendations for Security”. Den har publicerats som RFC 1750 och ger vägledning för implementation av funktioner som bygger på enstaka slumptal. Andra klassiska beskrivningar om slumptal finns i Donald Knuths böcker om algoritmer, boken om nummeriska metoder. I moderna operativsystem, såsom OpenBSD och Linux, finns det speciella pseudodevice, tjänster, kallade /dev/random eller /dev/urandom, från vilket applikationer och system kan begära slumptal av god kvalitet. Dessa tjänster byggar på insamlandet av många källor av dynamisk information, såsom hur många paket man läst från nätverket och statuset på en visst CPU-register, vilket gör att den sammantagna informationen blir en bra slumpkälla. Då slump har en så central betydelse så har flera tillverkare av elektronikkretsar börjat tillverka speciella komponenter för att producera bra slumptal eller brus. Vissa tillverkare av moderkort har integrerat dessa i sina system. Copyright (c) 2003-2008 Robert Malmgren AB. All rights reserved Sid 89 (139)
Page 1 and 2:
KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 3 and 4:
Page 5 and 6:
Page 7 and 8:
Page 9 and 10:
Page 11 and 12:
Page 13 and 14:
Page 15 and 16:
Page 17 and 18:
Page 19 and 20:
Page 21 and 22:
Page 23 and 24:
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
Page 37 and 38: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 87: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 139:
show all

Lectures for 2008 - KTH

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?