Lectures for 2008 - KTH

More documents

Recommendations

Info

KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS ___________________________________________________________________________ 5.10.3 Kerckhoffs princip Auguste Kerckhoffs, vars fulla namn är det majestätiskt klingande Jean-Guillaume-Hubert- Victor-Francois-Alexandre-Auguste Kerckhoffs von Nieuwenhof, gav 1883 ut boken ”La Cryptographie militaire”. Boken är av många ansedd som en av de främsta böckerna i ämnet. I boken har Kerckhoffs lagt fram en av de grundläggande teorierna för moderna kryptosystem, nämligen att sekretessen måste bygga på säkerheten i nyckeln, inte på sekretess om själva systemet, till exempel vald kryptoalgoritm. Systemets säkerhet skall bestå även om motståndaren får kunskap om metoder, algoritmer och annat om själva krypteringsprocessen. Obskyritet runt detta får inte vara det som bygger säkerheten. Säkerheten måste bestå om man bara håller nyckeln väl skyddad. Detta har blivit känt som Kerckhoffs princip. 5.10.4 Nyckelbyten Ett vanligt antagande är att man kan undvika attacker baserade på uttömmande sökning genom att ändra sessionsnycklar regelbundet. Detta är något som inte helt och hållet stämmer. Kontinuerliga nyckelbyten, baserade på tid, antal överförda byte eller liknande kan leda till ökad säkerhet. Ett problem är dock om någon kan observera när ett nyckelutbyte sker. Denna kunskap kan underlätta försöken att knäcka kryptot. Man behöver i genomsnittbara söka igenom halva nyckelrymden för att hitta nyckeln. Nyckeln kan ligga i den första, men också i den sista procenten nyckelutrymme. Om nyckelbytet går att observera gör man helt enkelt en omstart på sitt sökande. Om man försöker attackera ett kommunikationsprotokoll som nyttjar en krypteringsalgoritm som skulle gå att göra en uttömmade nyckelsökning på i medeltal efter 75 minuter, man hittar nyckel i genomsnitt efter halva tiden. Detta är inte ett orimligt exempel under vissa förutsättningar – korta nyckellängder eller dåligt framslumpade sessionsnycklar. Det innebär att hela nyckelrymden kan sökas igenom 150 minuter, men man har ibland tur och hittar vid vissa sökningar en nyckel som ligger i början av nyckelrymden men vid andra gånger måste man göra en längre genomsökning. Om vi har kunskap om när nyckelbyte sker och att det är exempelvis var 15:e minut så är sannolikheten att vi kan finna en nyckel under dessa 15 minuter 15 / 150 dvs 1/10. Detta innebär att vi i exemplet kan göra en ny nyckelsökning varje gång ett nyckelbyte sker och ändå ha 10 procents chans att lyckas fånga fånga rätt nyckel. Pricipen som framgår av exemplet är att man ändå måste ha en stark kryptoalgoritm och använda långa kryptonycklar även om man använder nyckelbyten eftersom metoden att byta nycklar inte är en fullgod ersättare för nyckel- och algoritmstyrka. 5.10.5 Kryptotyper Modera kryptoalgoritmer faller i en av två kategorier - strömkrypto (eng. stream cipher) och blockkrypto. Ett blockkrypto arbetar med indata i form av block som ofta är 64 eller 128-bitar långa. Strömkrypton arbetar med indata av valfri längd, även fast vanliga avändningsområden är att arbeta med en byte åt gången eller ibland en bit åt gången. Generellt kan man säga att strömkrypton brukar vara snabbare än blockkrypton och de kan implementeras med mindre kod. En fara med strömkrypton är återanvändning av sessionsnycklar då det öppnar upp för attacker. Angriparen kan kombinera de två krypterade dataströmmarna och få fram ett resultat som är kombinationen (XOR) av de två klartextmeddelandena. Från detta stadium är det betydligt enklare att fortsätta angreppen än att angripa kryptotext. Om det är samma meddelande som sänts två gånger och samma nyckel använts så går det enkelt att ta fram det ursprungliga meddelandet. Ett sätt att kringå problemet med återanvändning av exakt samma nycklar är att använda ett framslumpat initieringsvärde (eg initialization vector), IV, samt Copyright (c) 2003-2008 Robert Malmgren AB. All rights reserved Sid 90 (139)
KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS ___________________________________________________________________________ återkoppling av kryptotexten till nyckelströmmen. I fallet med IV så gäller samma sak igen, att man inte får återanvända IV-värdet tillsammans med nyckel. Detta kan tyckas vara en självklarhet men här finns det existerande protokoll och säkerhetslösningar som är bevis på att man inte lärt sig denna läxa. Wired Equivalent Privacy, WEP, som används tillsammans med trådlösa nät bygger på RC4-kryptot som är ett strömkrypto. Där använder man en 40-bitars (eller 104-bitars) kryptonyckel tillsammans med ett 24-bitars IV som ändrar sig för varje paket som sänds. Diverse orsaker påverkar IVberäkningen och i praktiken börjar man använda IV-värden som resulterar i att man läcker ut viss nyckelinformation efter så lite som 5000 sända paket. 5.11 Attacker mot kryptosystem Det finns mängder med olika typer av attacker mot kryptosystem. Kryptoanalys, ibland kallat forcering på svenska, är vetenskapen om hur man knäcker kryptosystem. Det finns en rad olika attackprinciper som en kryptoanalytiker kan använda. Den ”raka” metoden går via så kallade dumma attacker, till exempel en uttömmande sökning (eng. brute force) där varje möjlig nyckel systematiskt provas tills man hittar en nyckel som kan dekryptera informationen. Ofta kräver uttömmande sökning stor datorkapacitet. Trots stora datorresurser kan sådana sökningar i teorin kräva att bearbetningen pågår oavbrutet i tusentals år. Det finns också så kallade enkla attacker. De ”mannen-i-mitten”-attacker som vi beskrivit tidigare är ett exempel på en enkel attack, där man går in och placerar sig mellan de kommunicerande parterna. Andra enkla, men ofta effektiva attacker kan bestå i stöld av nycklar eller kryptoutrustning eller mer klassiskt kriminella ansatser såsom utpressning, hot och mutor. Dessa metoder kallas ibland för black bag jobs. De avancerade attackerna brukar delas upp i flera distinkta grupper. För det första har vi attacker där angriparen har kännedom om såväl klartext som kryptotext (eng. known plaintext attack). En variant av detta är en attack under egen påverkan av valet av klartext (eng choosen plaintext attack). Ibland kan denna påverkan vara förvånande enkel att utföra, till exempel om man själv kan generera den nätverkstrafik som skickas i en krypterad tunnel vars nyckel man vill hitta. Dessutom har vi andra attackkategorier som de statistiska attackerna linjär ochdifferentiell kryptoanalys respektive tidstagningsattacker (eng. timing-attacker). Vanligtvis så tänker gemene man på attacker mot kryptosystem som matematiska analyser där man letar efter logiska misstag i de matematiska antagade som bygger upp kryptots styrka. Differentiell kryptoanalys kan representera denna typ av attack. Andra, ofta praktiska och förbisedda attacker, riktar sig mot implementationsdetaljer hos själva lösningen. Timing-attack är en attack där man observerar hur lång tid det tar att utföra de kryptografiska operationerna. En tidstagningsattack är en så kallad sidokanalattack (eng. side- channel attack) då den bygger på observerbar relaterad sidoinformation till själva kryptooperationen. Andra exempel på sidokanalsattacker kan bygga på observation av utrustningens, exempelvis ett smart cards, strömförbrukning eller hur utrustning beter sig under vissa speciella förhållanden, exempelvis bestrålning. En viktig sak att känna till om attacker baserade på uttömmande sökning är att de i genomsnitt kräver att man söker igenom halva nyckelrymden för att hitta korrekt nyckel. Men den korrekta nyckeln kan i teorin ligga alldeles i början av nyckelrymden, vilket gör att man hittar nyckeln nästan omedelbart. Nyckeln kan också ligga i slutet. Copyright (c) 2003-2008 Robert Malmgren AB. All rights reserved Sid 91 (139)
Page 1 and 2:
KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 3 and 4:
Page 5 and 6:
Page 7 and 8:
Page 9 and 10:
Page 11 and 12:
Page 13 and 14:
Page 15 and 16:
Page 17 and 18:
Page 19 and 20:
Page 21 and 22:
Page 23 and 24:
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
Page 37 and 38:
Page 39 and 40: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 89: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 139: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
show all

Lectures for 2008 - KTH

Create successful ePaper yourself

Delete template?

Save as template?