Kursusgang 6: Netværksanvendelser (2) Digital signatur. Den danske OCESstandard. Folklore ( folkevisdom ). Svar på spørgsmål i testen

Transkript

1 Kursusgang 6: Netværksanvendelser (2) Digital signatur. Den danske OCESstandard. Folklore ( folkevisdom ). Test PKI x.509-certifikater Den danske OCES-standard Folklore Svar på spørgsmål i testen 1. CÆSAR krypteres til FAVDU 2. Alt blev offentliggjort om DES undtagen designrationale 3. 3-DES har skemaet EDE og benytter to nøgler, derfor (iii): c = EK1(DK2(EK1(m))) 4. 3-DES dekryptering: m = D K1 (E K2 (D K1 (c))) 5. Rijndael < DES < 3-DES < RSA 6. Må ikke være overkommeligt at finde y som opfylder ligningen f(y) = h. 7. Må ikke være overkommeligt at finde x og y som opfylder ligningen f(x) = f(y). 8. To hashværdier øger forsvaret mod udnyttelsen af kollisioner. 9. Der paddes med sekvensen 1 fordi der lægges 1 byte til. 10. Først paddes, dernæst krypteres. 11. Alice skal sende Alice, R B1 12. Den krypterede værdi er Du kan bruge primtallene 5 og 11, som passer med 3, fordi (5-1) og (11-1) er relativt primiske med 3. Modulus: 5*11 = 55. f(55) = 40. Den private eksponent: 3*27 = 81 = 1 mod 40. Altså: Offentlig nøgle: (3,55), privat nøgle: (27,55). Kursusgang 6: Netværksanvendelser (2) Digital signatur. Den danske OCESstandard. Folklore ( folkevisdom ). Test PKI x.509-certifikater Den danske OCES-standard Folklore Hvad er Public Key Infrastructure (PKI)? Infrastruktur (elektronisk) til offentlig nøgle kryptering Basismekanisme digital signering af besked med privat nøgle PKI skal sørge for sikker distribution af offentlige nøgler vhja. certifikater certifikat-udstedelse, -tilbagetrækning, og -databaser (til opslag) certifikat-brug Formålet med certifikater er at sammenknytte nøglepar og identitet Det er sandt, at Bill Gates har denne offentlige nøgle: xxxxx identitet kan være person, firma, website det er nok at vise den offentlige nøgle pga. sammenhængen mellem privat/offentlig nøgle der står ikke noget (meget) hemmeligt i et certifikat

2 Den danske satsning på PKI Digital signatur vs. password PKI er elektronisk infrastruktur til offentlige nøgle-systemer især til digital signatur. Den danske stat (ledende embedsmænd, politikere) satser på digital signatur som en forudsætning for digital forvaltning som skal give større effektivitet og kvalitet i den offentlige sektor kræver at borgerne kan kommunikere elektronisk med staten hvilket igen kræver at borgerne kan autentificere sig Digital signatur: høj sikkerhed hvis infrastrukturen fungerer der ikke er incitament til at omgå sikkerhed pga. lav brugervenlighed ca har bestilt digital signatur (inkl. gengangere??) Password KMD har udviklet fælles PIN-kode : 10-cifret password svarer til cpr-nummer, men hemmeligt sommer 2004: udstedt til borgere bruges til logon på e-boks Autentificering vhja. password til forskellige services (jf. Kaufman kap 9) Målsætning for digital signatur Alice Bob Bob Et centralt autentificerings-center opbevarer autentificerings-information ( passwordfil ) Alices password/pin-kode sendes ikke i klartekst enten bruges det til at kryptere en challenge eller det kan udveksles via sikre sockets KMD Udveksling af tekst på en juridisk bindinde måde "Jeg byder 10 mia for Navision. Mvh. B. Gates" Svagheder delt hemmelighed giver ikke nonrepudiation dvs. kan ikke bruges som signatur sårbarhed over for kompromittering af passwordfil lille søgerum: ~ 2 33 forskellige passwords

3 Almindelig (håndskrevet) signatur Signatur (digital & almindelig) Signaturbegrebet er centralt i forpligtelseslæren. Det rummer tre elementer. For det første en objektiv information om den underskrivendes identitet. Dernæst.. et personlighedspræg, der afspejles i underskriftens konkrete udformning. Endelig indebærer den proces, hvorved signaturen fikseres, en manifestation af den forpligtedes vilje. Jeg byder 10 mia for Navision. Mvh. Bill Gates Det forpligtende bygger på: besked må nødvendigvis komme fra underskriver jf. det personlige kendetegn besked kan ikke være ændret ville kunne ses på dokumentet (?) Signaturen er fysisk/logisk knyttet til besked den person, der signerer Besked Mads Bryde Andersen. IT-retten, s Se også Signatur Digital signatur med hash og RSA Certifikat "Jeg byder 10 mia for Navision. Mvh. B. Gates" "Jeg byder 10 mia for Navision. Mvh. B. Gates" Besked er: 1) sendt af indehaver af (n,d) 2) uændret. Bill Gates har den offentlige nøgle (n,e) Mvh. TDC Bill Gates har den offentlige nøgle (n,e) Mvh. TDC Aha! Hvis Bill Gates har (n,e), har han også (n,d), så budet er OK. hash RSA Signatur hash RSA Signatur (n,d)

4 Opgaver i Kaufman kap 15: opg 5 Oprettelse af certifikat Almindelige certifikatindehavere (borgere) Registreringsenheder Certificeringscentre Dig. signatur + certifikat Elementer i en offentlig nøgleinfrastruktur Kontrol af certifikat Serviceudbydere (fx. digital forvaltning) Hvorfor skal spærrelister (CRLs) opdateres med jævne mellemrum, uanset om der i mellemtiden er sket nye spærringer? TDC har spærrelister liggende på nettet bl.a. på denne URL: opdateres 1 gang dagligt (så vidt jeg kan se) Browsere og mailklienter kan importere spærrelisten automatisk hente opdateringer spærrelisterne er signerede Opgaver i Kaufman kap 15: opg 5 Hvorfor skal spærrelister (CRLs) opdateres med jævne mellemrum, uanset om der i mellemtiden er sket nye spærringer? Opgave 6 Hvis der er et velfungerende system med spærrelister, hvorfor er der så en tidsbegrænsning på gyldigheden af certifikater? Facts om OCES: OCES-certifikater gælder i to år. Risikoen ved det modsatte (at CA (TDC) kun opdaterer når der er nye spærringer) falsk tryghed hvis der er sket spærring men der er forsinkelse i opdatering eller hvis an angriber har lagt en gammel spærreliste op i stedet for den nye

5 Opgave 6 Værktøjer og anvendelser Hvis der er et velfungerende system med spærrelister, hvorfor er der så en tidsbegrænsning på gyldigheden af certifikater? International standardisering mail, web Netværksstandarder Årsagen er praktisk, ikke principiel: at mange systemer (fx mailklienter) faktisk ikke tjekker gyldighed vhja. spærrelister. Lokal dansk konkretisering OCES love, regler,.. International standardisering ITU Basale algoritmer OCES: konkretisering af format regler for indehaver, centre, gyldighed m.m. x.509: certifikat-format v1, v2, v3 PKIX.. Værktøjer: Hashing: SHA-1 Asymm. kryptering: RSA Kæder af certifikater Den enkeltes verifikation af en signatur valgfri, kan helt undlades brug medsendt certifikat til: tjek at signatur passer med offentlig nøgle udløbs-tjek spærre-tjek tjek certifikatudsteder tjek at signatur på certifikat passer med CAs offentlige nøgle kan fortsætte i kæder.. I praksis tjekker mailbrugere ikke, eller ud fra de certifikater mailklienten er distribueret med TDC har netop indgået aftale om distribution med MS og Mozilla. Kursusgang 6: Netværksanvendelser (2) Digital signatur. Den danske OCESstandard. Folklore ( folkevisdom ). Test PKI x.509-certifikater Den danske OCES-standard Folklore

6 x.509-version Udsteder Indehavers navn Gyldighedsperiode Udvidelser (v.3) Signatur x.509s certifikat-format (forenklet) Offentlig nøgle Indeh. Unik ID (v.2) 1. Hvilken oplysning giver signaturen? 2. Hvordan verificerer signaturmodtager den oplysning, signaturen giver? 3. Hvorfor er der anført algoritmer (f.eks. RSA+SHA-1) i felterne både for offentlig nøgle og signatur? x.509-version Udsteder Indehavers navn Gyldighedsperiode Offentlig nøgle Indeh. Unik ID (v.2) Udvidelser (v.3) Signatur x.509s certifikat-format (forenklet) 1. Hvilken oplysning giver signaturen? At udsteder bekræfter sammenhæng mellem offentlig nøgle og øvrige oplysninger, herunder navn m.m. 2. Hvordan bekræftes den oplysning, signaturen giver? Sammenligning af hashværdi af certifikatoplysninger signatur dekrypteret med udsteders offentlige nøgle 3. Hvorfor er der anført algoritme (f.eks. RSA) i felterne både for offentlig nøgle og signatur? Der er tale om to forskellige nøglepar Opgave 8 Opgave 8 Hvorfor er det vigtigt at en spærreliste (type: positivliste ) indeholder hashværdier af de gyldige certifikater? Positivlister kan indeholde, for alle gyldige certifikater: serienummer evt. offentlig nøgle men ikke personhenførbar information fx navn, hash Hvorfor er det vigtigt at en spærreliste (type: positivliste ) indeholder hashværdier af de gyldige certifikater??? Positivlister kan indeholde, for alle gyldige certifikater: serienummer evt. offentlig nøgle men ikke personfølsomme information fx navn, hash scenarie: CA er kompromitteret, og fx en medarbejder udsteder 'falske' certifikater med samme serienummer, hvilket ikke umiddelbart kan ses, da personoplysninger er skjult (jf. Kaufman s ) hashen giver mulighed for at kontrollere sammenhængen ml. serienummer og certifikat

7 Kursusgang 6: Netværksanvendelser (2) Digital signatur. Den danske OCESstandard. Folklore ( folkevisdom ). Test PKI x.509-certifikater Den danske OCES-standard Folklore Lov om elektroniske signaturer (maj 2000) Der står ikke at elektronisk signatur er ligeså bindende som håndskrevet signatur. det må komme an på domstolspraksis men kun at elektronisk signatur i lovens forstand opfylder andre loves krav til elektronisk signering Certifikater udstedes af private nøglecentre underkastet tilsyn ikke af statslig myndighed Det centrale begreb er "kvalificeret certifikat": ikke eksplicit krav om fremmøde ved udstedelse men nøglecenter erstatnings-ansvarlig for at identitet er bekræftet ingen principiel grænse for certifikatets/signaturens anvendelse Bekendtgørelse om sikkerhedskrav til nøglecentre (oktober 2000) Eksplicit krav om personligt fremmøde & legitimation kan fraviges hvis identitet i forvejen er nøglecenter bekendt krav om forsikring til dækning af erstatninger herefter må "kvalificeret certifikat" forstås som baseret på fremmøde Begrebet "kvalificerede certifikater eller betegnelser.. fremkalde det indtryk.." - må kun bruges om certifikater i lovens forstand faren for falsk tillid til mindre sikre certifikater Offentlighed: Certifikatpolitik (CP) skal offentliggøres Certificeringspraksis (CPS) skal offentliggøres centre kan delvis undlade offentliggørelse med henvisning til forretningshemmeligheder og sikkerhed Præciseringer omkring intern sikkerhed "betroede medarbejdere ikke straffet for forbrydelser, der.. uegnet til.." Finansrådet: Høring af bekendtgørelsesudkast (sommer 2000) "Certificeringspraksis ikke offentliggøres.. sikkerhedskritisk.. forstås alligevel ikke af brugerne". Post Danmark: ".. meget betænkeligt at fravige.. fysisk fremmøde.." (drejer sig kun om undtagelsesbestemmelser) Erhvervs- og Selskabsstyrelsen: "Nøglecenter kan komme ud i virksomhed i stedet for omvendt" Ingen principielt imod kravet om fysisk fremmøde IT-Sikkerhedsrådet: ".. mangelfuld.. hastværk.." (rådet nu nedlagt)

8 2002: OCES ("letvægtssignatur") OCES = Offentlige Certifikater til Elektroniske Services udviklet og vedtaget af MVTU Udtrykkeligt ikke krav om personligt fremmøde ved udstedelse dvs. ikke "kvalificerede certifikater" i lovens forstand Skyldes ønsket om brugervenlighed og hurtig udbredelse dårlige erfaringer med Kommunedatas kvalificerede certifikater i øvrigt samme opbygning med private nøglecentre under tilsyn en række præciseringer, bla. skal RSA og SHA-1 understøttes Hele det videre arbejde efter lov og bekendtgørelse har tilsyneladende ligget i OCES-udviklingen. OCES: formål IT- og Telestyrelsen. OCES - en fælles offentlig standard: "Kravene [til kvalificerde certifikater] gør det meget svært at få digitale signatur-løsninger hurtigt udbredt. Det gælder primært kravet om at brugerne skal møde personligt frem... tillige muligt for certificeringscentrene at begrænse deres erstatningsansvar...softwarebaseret, og det betyder, at det kan udbredes og anvendes billigere... kan principielt anvendes til al kommunikation mellem myndigheder indbyrdes og mellem myndigheder og virksomheder eller borgere. Det er desuden tilstræbt, at OCES-certifikater også med fordel kan bruges i den private sektor." Det vil sige hele den anvendelse, hvor loven forudsatte kvalificerede certifikater. CAs ansvar Samme generelle formuleringer i Lov og OCES-standard: "CA ansvarlig for at oplysninger i certifikat var korrekte på udstedelsestidspunkt.. Ansvar kan ikke gøres gældende overfor CA, hvis CA kan godtgøre at det ikke har handlet uagtsomt eller forsætligt" (Dvs. kun ansvarspådragende hvis CA ikke kan vise de har fulgt reglerne. Lov: Der kan ikke aftales dårligere forhold for "medkontrahenter" (indehavere og modtagere) OCES: Der kan træffes specielle aftaler med myndigheder og virksomheder, men ikke med private borgere. Indehavers hæftelse Dvs. hvad kan man komme til at hæfte for? Lov, 4: "En tydelig angivelse af eventuelle begrænsninger i certifikatets anvendelsesområde.. En tydelig angivelse af eventuelle begrænsninger med hensyn til de transaktionsbeløb, certifikatet kan anvendes til". OCES-standard: Indeholder tilsyneladende ikke tilsvarende bestemmelser. Det er formentlig op til statslige myndigheder m.fl. at lave regler for anvendelsen/begrænsningerne for brug af OCES-signerede beskeder.

9 Sikkerhed i OCES: udstedelse via CPR Sikkerhed i OCES: den private nøgle Ansøger skal oplyse CPR-nummer udover navn og addresse (ingen af disse behøver stå i certifikatet) Nøglecenter tjekker at CPR-nummer og øvrige oplysninger matcher får ret til at tilgå CPR-registeret (beskrives som alternativ til fremmøde) Ansøger skal i den videre procedure bruge oplysninger som sendes via både den oplyste/kontrollerede adresse og via en anden kanal f.eks. epost Dvs. en tilsvarende procedure som ved udsendelse af meget andet materiale til en person med et bestemt CPR-nummer. selvangivelse, sygesikringsbevis m.m. MEN - her får Modstander-Mogens et generelt anvendeligt certifikat, snarere end en enkelt skrivelse el.lign. (indtil certifikatet spærres) OCES var i starten rent software-baseret dvs. den private nøgle er lagret i en fil på brugerens PC hvorfra nøglen kan stjæles OCES-standarden findes nu i simpel, hardware-baseret udgave lagret på medie som forbindes via USB Senere, formentlig: chipkort med privat nøgle: nøgle lagret på særligt chipkort nøgle forlader aldrig chipkortet kryptering med nøglen foregår også internt på chipkortet Modforholdsregler mod tyveri af softwarebaseret privat nøgle kryptering af private nøgle passwordbeskyttelse af dekryptering/genskabelse af private nøgle OCES-standard pålægger indehaver at "tage rimelige forholdsregler" CA kan opbevare privat nøgle (som backup) efter aftale Sikkerhed i OCES: den private nøgle OCES - "lille borgerkort" Den private nøgle beskyttes med samme teknik som password-filer (bl.a. mod ordbogsangreb) Fjern angriber Mange muligheder for tyveri af "signaturfil" Ethvert OCES-certifikat kan knyttes til det CPR-nummer, der blev opgivet ved dets oprettelse. CA skal opbevare en database herover CA skal bruge certifikatets PID-nummer til at pege på CPR-nummer PID-nummer anbringes i x.509-certifikatets "unique user ID" Privat nøgle salt PKCS#5: Generering af nøgle ud fra password. Salt. Symm. krypt. Symm. nøgle Password Krypteret privat nøgle salt iterationer Certifikater PKCS#8: Lagring af nøgle PKCS#12: Lagring af certifikater m.m. med hash til integritetstjek hash PID-nummer er langt og unikt (Land + CA +...). CA skal fortælle myndigheder (f.eks. SU-styrelsen) og andre, hvilket CPR-nummer, der hører til et OCES-certifikat (efter nærmere regler). Bemærk: Samme person/cpr-nummer kan have flere certifikater, der så har forskellige PID-numre, der alle peger på samme person.

10 Kursusgang 6: Netværksanvendelser (2) Digital signatur. Den danske OCESstandard. Folklore ( folkevisdom ). Test PKI x.509-certifikater Den danske OCES-standard Folklore Folkevisdom nu kan I forstå begrundelserne! Skift nøgler regelmæssigt Brug forskellige nøgler i hver sin retning Brug forskellige hemmelige nøgler for kryptering hhv. hashing Brug forskellige nøgler til forskellige formål Brug forskellige nøglepar til signering hhv. kryptering Begge parter skal bidrage til en master nøgle. (26.9. Lad ikke den ene part bestemme nøglen alene.) Tilføj en konstant før du hasher et password Brug HMAC(besked,nøgle) i stedet for hash(besked nøgle) Lad ikke tekst, som skal krypteres, begynde med en konstant Lad ikke tekst, som skal krypteres, begynde med noget forudsigeligt Komprimer før kryptering. Supplerende litteratur DES J. Orlin Grabbe. The DES Algorithm Illustrated. EFF. Cracking DES. How Federal Agencies Subvert Privacy. cryptome.org/cracking-des.htm Rijndael NIST. Announcing the Advanced Encryption Standard (AES). Digital Signatur Mads Bryde Andersen. IT-retten