Moderne Verschlüsselung – Angriffe am Beispiel der Elliptic Curve Cryptography

Transcript

1. – Bruce Schneier, Experte für Kryptografie »If you think technology

   can solve your security problems, then you don’t understand the problems and you don’t understand the technology.«

2. Moderne Verschlüsselung Elias Häußler (u29876/m22054) Medieninformatik und Gesellschaft Hochschule Harz

   Freitag, 14. Oktober 2016 Angriffe am Beispiel der Elliptic Curve Cryptography

3. www.elias-haeussler.de Moderne Verschlüsselung ▶︎ Einführung ▶︎ Elliptic Curve Cryptography -

   Funktionsweise - Sicherheit - Schwachstellen - Geschichte ▶︎ Angriffe (Dual_EC_DRBG) Angriffe am Beispiel der Elliptic Curve Cryptography

4. Einführung Welche modernen Verschlüsselungsverfahren gibt es?

5. Einführung ▶︎ Symmetrische Verschlüsselungsverfahren ▶︎ Asymmetrische Verschlüsselungsverfahren ▶︎ Hybride Verschlüsselungsverfahren

6. Einführung › Symmetrische Verschlüsselung ▶︎ Sender und Empfänger haben denselben

   Schlüssel ▶︎ Schlüssel muss geheim bleiben ▶︎ Empfänger muss den Schlüssel geheim erhalten ▶︎ Vorteil: sehr schnell ▶︎ Nachteil: unsicher ▶︎ Bekannte Verfahren: AES, Blowfish, DES, IDEA, RC4 Geheimtext Klartext Schlüssel

7. Geheimtext Klartext Einführung › Asymmetrische Verschlüsselung ▶︎ Zwei verschiedene Schlüssel

   zum Ver- & Entschlüsseln ▶︎ Schlüsselpaar mit gemeinsamer mathematischer Basis ▶︎ Vorteil: sicherer als symmetrische Verschlüsselung ▶︎ Nachteile: - Deutlich langsamer als symmetrische Verschlüsselungsverfahren - Höhere Schlüssellängen benötigt ▶︎ Bekannte Verfahren: RSA, Elgamal, ECC public key private key

8. Einführung › Hybride Verschlüsselung ▶︎ Kombination aus Geschwindigkeit und Sicherheit

   ▶︎ Verschlüsselung: mittels symmetrischer Verschlüsselungsverfahren ▶︎ Datenübertragung: eigener Schlüssel für jede Übertragung durch asymmetrische Verschlüsselungsverfahren (»session key«) ▶︎ Vorteil: schnell Übertragung durch geringe Schlüssellänge ▶︎ Bekannte Verfahren: IPsec, TLS/SSL, GPG

9. Elliptic Curve Cryptography Die vielleicht beste Kombination aus Effizienz und

   Sicherheit?

10. y² = x³ + ax + b (Kurze Weiherstraß-Gleichung)

11. α 2α 3α Kpub = d ∙ α (public key)

    Kpriv = d (private key) E: y² = x³ − x + 1 d ∙ α

12. Alice Bob dB ∙ dA ∙ α = KAB dA

    ∙ dB ∙ α = KAB 
 KAB : Gemeinsamer geheimer Schlüssel
 mit Koordinaten (xAB , yAB )
 nach ECDH-Verfahren
 (Elliptic Curve Diffie-Hellman) Elliptic Curve Cryptography › Schlüsselaustausch Kpub(A) = dA ∙ α Kpub(B) = dB ∙ α

13. Elliptic Curve Cryptography › Anwendung Beispiel ▶︎ Nachricht: m ▶︎

    Schlüssel: xAB ▶︎ Ver- & Entschlüsselung mittels AES (beispielhaft) ▶︎ Verschlüsselung: C = AES(m, xAB ) ▶︎ Entschlüsselung: m = AES⁻¹(C, xAB )

14. gegeben
 Punkt A in einer von Punkt P erzeugten Gruppe

    einer beliebigen elliptischen Kurve gesucht
 Zahl α mit α ∙ P = A 
 → Sehr schwer berechenbar, deshalb sind erheblich kürzere Schlüssellängen bei vergleichbarer Sicherheit möglich! Diskreter-Logarithmus-Problem (ECDLP) Exkurs

15. Elliptic Curve Cryptography › Sicherheit Sicherheitsniveau RSA/DH ECDH 80 Bit

    Confidential 1024 Bit 160 Bit 128 Bit Secret 3072 Bit 256 Bit 192 Bit Top Secret 7680 Bit 384 Bit 256 Bit 15360 Bit 512 Bit

16. Elliptic Curve Cryptography › Schwachstellen ▶︎ Größe der elliptischen Kurve

    bestimmt die Schwierigkeit beim Lösen des ECDLP ▶︎ Verfahren ist unsicher, sobald das ECDLP lösbar ist ▶︎ NSA befürchtet, Quantencomputer könnten ECC erfolgreich attackieren ▶︎ Trotz der vermeintlich hohen Sicherheit sind Angriffe möglich

17. Elliptic Curve Cryptography › Geschichte ▶︎ Mitte der 1980er Jahre

    vorgeschlagen ▶︎ 2000: NIST empfiehlt 15 elliptische Kurven für Regierungsangelegenheiten ▶︎ 2004: RSA erhält geheime Zahlung von 10 Millionen US-Dollar (2013 bekannt geworden), um sog. »Dual Elliptic Curve Deterministic Random Bit Generator« (Dual_EC_DRBG) als Standard-Verfahren einzusetzen ▶︎ 2013: Dokumente zeigen eine von NSA eingebaute Hintertür im Dual_EC_DRBG ▶︎ 2014: NIST empfiehlt, andere Zufallsgeneratoren als Dual_EC_DRBG zu verwenden

18. – National Security Agency (NSA), 19. August 2015 »...elliptic curve

    cryptography is not the long term solution many once hoped it would be.«

19. Angriffe (Dual_EC_DRBG) Wie die NSA ein vermeintlich sicheres Verfahren für

    sich entschieden hat.

20. Angriffe (Dual_EC_DRBG) › Begriffsbestimmung ▶︎ Kryptografisch sicherer Zufallszahlengenerator (CSPRNG) ▶︎

    War Bestandteil der NIST SP 800-90A (»Recommendation for Random Number Generation Using Deterministic Random Bit Generators«) → Definition von vier (vermeintlich) sicheren CSPRNG-Standardverfahren ▶︎ NIST nahm den Dual_EC_DRBG auf Druck der NSA als Standardverfahren auf

21. Konstanten
 Punkte P und Q auf einer im
 Standard definierten

    elliptischen Kurve Zyklische Gruppe
 Punkt P erzeugt die zyklische Gruppe Zahl d
 Es existiert eine Zahl d mit Q = d ∙ P
 (diskreter Logarithmus von Q zur Basis P) Variablen des Dual_EC_DRBG Exkurs

22. Angriffe (Dual_EC_DRBG) › Probleme ▶︎ Allgemein: Wenn d bekannt ist,

    kann das Verfahren geknackt werden ▶︎ Unklar ist, wie die Konstanten P und Q gewählt wurden - Wenn P echt zufällig gewählt wurde: Berechnung von d ist praktisch unmöglich - Wenn P und d explizit gewählt wurden und daraus Q berechnet wurde:
 Jede Instanz des Dual_EC_DRBG kann geknackt werden ▶︎ Konstanten sind im Dokument der NIST-Veröffentlichung angegeben
 → Problem: Nirgendwo ist definiert, woraus die Konstanten resultieren

23. Angriffe (Dual_EC_DRBG) › Erkenntnisse ▶︎ Konstanten stehen in Bezug zu

    einer zweiten, geheimen Gruppe an Zahlen, die eine Art Generalschlüssel darstellen ▶︎ 2006: Erzeugte Zufallszahlen haben nur eine geringe Verzerrung → Werte weichen im Mittel von dem zu schätzenden Wert nur gering ab ▶︎ 2007: Schwachstelle, die nur als Hintertür resultieren kann, wird nach ihrer Entdeckung vorgestellt

24. Zusammenfassung var secure = encrypt() – nsa;

25. Zusammenfassung ▶︎ ECC als asymmetrisches Kryptosystem auf Basis von elliptischen

    Kurven ▶︎ Ermöglicht deutlich kürzere Schlüssellängen bei vergleichbarer Sicherheit ▶︎ National Security Agency (NSA): - 2005: »...greater security and more efficient performance...« - 2013: Snowden-Dokumente offenbaren angebliche Hintertür im Dual_EC_DRBG - 2015: »...not the long term solution many once hoped it would be.« ▶︎ Angriffe sind zwar durch technische Mittel möglich, jedoch stellen Geheimdienste wie die NSA viel größere Gefahren dar

26. – Bruce Schneier, NSA surveillance: A guide to staying secure,

    The Guardian, 6. September 2013 »Trust the math. Encryption is your friend. Use it well, and do your best to ensure that nothing can compromise it. That’s how you can remain secure even in the face of the NSA.«

27. © 2016 Elias Häußler. +49 1523 3971979 [email protected] [email protected] www.elias-haeussler.de

    Elias Häußler Vielen Dank für Ihre Aufmerksamkeit!