Techtalk: beveiligde verbindingen

Transcript

1. Techtalk: Beveiligde verbindingen Monday 30 March 15

2. Beveiliging Monday 30 March 15

3. Monday 30 March 15

4. Crypto-lingo • cipher • key / salt • plaintext /

   ciphertext • kraken / breken Monday 30 March 15

5. The Gold Bug 53‡‡†305))6*;4826)4‡.)4‡);806*;48†8 ¶60))85;;]8*;:‡*8†83(88)5*†;46(;88*96 *?;8)*‡(;485);5*†2:*‡(;4956*2(5*—4)8 ¶8*;4069285);)6†8)4‡‡;1(‡9;48081;8:8‡ 1;48†85;4)485†528806*81(‡9;48;(88;4 (‡?34;48)4‡;161;:188;‡?; Monday

   30 March 15

6. The Gold Bug 53‡‡†305))6*;4826)4‡.)4‡);806*;48†8 ¶60))85;;]8*;:‡*8†83(88)5*†;46(;88*96 *?;8)*‡(;485);5*†2:*‡(;4956*2(5*—4)8 ¶8*;4069285);)6†8)4‡‡;1(‡9;48081;8:8‡ 1;48†85;4)485†528806*81(‡9;48;(88;4 (‡?34;48)4‡;161;:188;‡?; Monday

   30 March 15

7. A good glass in the bishop's hostel in the devil's

   seat twenty-one degrees and thirteen minutes northeast and by north main branch seventh limb east side shoot from the left eye of the death's-head a bee line from the tree through the shot fifty feet out. Monday 30 March 15

8. Doel • Geheimhouding van de inhoud • Zekerheid van de

   andere partij • Zekerheid van de volledigheid van de inhoud Monday 30 March 15

9. Kraken • Brute-force • Zelf patronen genereren of patronen herkennen

   • Alle info is handig (data-leakage) • Man-in-the-middle Monday 30 March 15

10. CRIME & BREACH • De aanvaller kon cookies achterhalen •

    Man-in-the-middle & data leakage • Door manipulatie kan verschil in ciphertext gedetecteerd worden • Geeft info over welk patroon input, welke output geeft. Monday 30 March 15

11. Onderscheid in versleuteling Monday 30 March 15

12. Sterkte • Moeilijkheid in decryptie bepaalt sterkte • Verwarring &

    verspreiding • Key heeft een “grootte” (bitsize) • Cipher is niet geheim, enkel de key Monday 30 March 15

13. Types • One-way / hashing • Two-way / symmetrisch •

    Asymmetrisch • Block & Stream Monday 30 March 15

14. Eenwegs “versleuteling” Hashing Monday 30 March 15

15. Monday 30 March 15

16. Symmetrisch versleutelen Monday 30 March 15

17. Kenmerken • Eén sleutel, gebruikt voor encryptie en decryptie •

    Zo groot mogelijke verwarring en verspreiding • Snel in beide richtingen Monday 30 March 15

18. Symmetrische ciphers • DES & 3DES • AES Monday 30

    March 15

19. http://www.moserware.com/2009/09/stick-figure-guide-to-advanced.html Rijndael cipher Monday 30 March 15

20. http://www.moserware.com/2009/09/stick-figure-guide-to-advanced.html Rijndael cipher Monday 30 March 15

21. Monday 30 March 15

22. Monday 30 March 15

23. Asymmetrisch versleutelen Monday 30 March 15

24. • Twee sleutels, elkaars complement • Encryptie met ene, decryptie

    met andere • Zekerheid van afzender Monday 30 March 15

25. RSA: Rivest, Shamir & Adleman Monday 30 March 15

26. <wiskunde verwijderd> Monday 30 March 15

27. Monday 30 March 15

28. Diffie–Hellman–Merkle key exchange Monday 30 March 15

29. <nog wiskunde verwijderd> Monday 30 March 15

30. Kleuren mengen • Gedeeld kleur Groen • Alice: Rood en

    Bob: Blauw • Geel (Groen+Rood) naar Bob • Cyaan (Groen+Blauw) naar Alice • Alice: Cyaan+Rood • Bob: Geel+Blauw • Geheim: Groen + Blauw + Rood Monday 30 March 15

31. Het wiel heruitvinden • Iedereen gebruikt standaard bibliotheken • OpenSSL

    Monday 30 March 15

32. Heartbleed Monday 30 March 15

33. Private & publieke sleutels Monday 30 March 15

34. Private & publieke sleutels • Sleutels horen samen • Publieke

    deel is echt publiek, mag je publiceren • Publieke deel gebruiken om iets te encrypteren • Private gebruiken om te decrypteren Monday 30 March 15

35. Challenging • Aantonen dat jij de private sleutel bezit die

    bij een publiek deel hoort • Vraag om iets te encrypteren • Publieke deel wordt gebruikt om te decrypteren en daarna te vergelijken Monday 30 March 15

36. Signing Monday 30 March 15

37. Probleemstelling: mail • We versleutelen alle mail met het publieke

    deel • We vinden de publieke delen in een online databank • Hoe weten we nu dat iemand echt eigenaar is • Iemand “signt” een ander zijn key • Kort: Bob encrypteert publiek deel van Alice haar key, met zijn private key. Verificatie: decryptie van “signature” met Bob’s publieke sleutel Monday 30 March 15

38. Chain of trust • Bob tekent dus de sleutel van

    Alice • John tekent de sleutel van Bob • Ik vertrouw John • Ketting opbouwen Monday 30 March 15

39. Web of trust Monday 30 March 15

40. X.509 Monday 30 March 15

41. Twee partijen willen veilig verbinden... • Diffie-Hellman om een eerste

    “geheim” te bekomen • Private en publieke sleutels: signing en challenging - zekerheid over de andere partij • Symmetrische encryptie voor communicatie • Hashing zorgt voor zekerheid van inhoud Monday 30 March 15

42. X.509 Certificaten & attributen Monday 30 March 15

43. Monday 30 March 15

44. Types certificaten • Domain validated • Organisation validated • Extended

    validated (de groene balk) • Self-signed certificate • Ongeldig certificaat Monday 30 March 15

45. HTTPS Monday 30 March 15

46. SSL / TLS • SSL: Secure Socket Layer • TLS:

    Transport Layer Security • Definieert hoe client en server de nodige stappen doorlopen Monday 30 March 15

47. Communicatie opbouw • Uitwisselen ciphers en certificaten • Assymetrisch (DH,

    RSA, certificaten) voor authenticatie • Symmetrische key via asymmetrisch handshake • Symmetrische encryptie/decryptie tijdens communicatie • Checksumming van data (hashing) Monday 30 March 15

48. Monday 30 March 15

49. Monday 30 March 15

50. Monday 30 March 15

51. Monday 30 March 15

52. Monday 30 March 15

53. Problemen • Servers moeten oudere SSL/TLS systemen ondersteunen • Clients

    in gebruik bepalen wat nodig is • Oudere ciphers zijn in enkele uren te kraken Monday 30 March 15

54. POODLE attack • Downgrade: SSL & CBC • 256 requests

    gaf 1 byte encrypted data Monday 30 March 15

55. FREAK attack • Tegen “export ciphers” • Oude ciphers zijn

    vandaag de dag in enkele uren te kraken Monday 30 March 15

56. SSH paswoordloze verbindingen Monday 30 March 15

57. Monday 30 March 15

58. • Publieke deel publiceren (bvb github, op je site, etc...)

    • Toevoegen aan ‘~/.ssh/authorized_keys’ • Server kan nu iemand die verbindt “challengen” Monday 30 March 15

59. Monday 30 March 15

60. Monday 30 March 15

61. Monday 30 March 15

62. Monday 30 March 15

63. Monday 30 March 15

64. Monday 30 March 15

65. Monday 30 March 15

66. Monday 30 March 15

67. Monday 30 March 15

68. VPN / IPSec Monday 30 March 15

69. Algemene werking • Initiële handshake: pre-shared key, certificaten • 2

    “kanalen”: controle en data • Data wordt symmetrisch versleuteld • Symmetrische keys worden maar opgebouwd als er data vloeit • Regelmatige rotatie Monday 30 March 15

70. Monday 30 March 15

71. eID Monday 30 March 15

72. eID Monday 30 March 15

73. Monday 30 March 15

74. Beale papers Monday 30 March 15

75. Monday 30 March 15

76. Monday 30 March 15

77. Monday 30 March 15

78. I have deposited in the county of Bedford, about four

    miles from Buford's, in an excavation or vault, six feet below the surface of the ground, the following articles, belonging jointly to the parties whose names are given in number three, herewith: The first deposit consisted of ten hundred and fourteen pounds of gold, and thirty-eight hundred and twelve pounds of silver, deposited Nov. eighteen nineteen. The second was made Dec. eighteen twenty-one, and consisted of nineteen hundred and seven pounds of gold, and twelve hundred and eighty-eight of silver; also jewels, obtained in St. Louis in exchange for silver to save transportation, and valued at thirteen thousand dollars. The above is securely packed in iron pots, with iron covers. The vault is roughly lined with stone, and the vessels rest on solid stone, and are covered with others. Paper number one describes the exact locality of the vault, so that no difficulty will be had in finding it. Monday 30 March 15

79. Vragen? Monday 30 March 15