Tietoliikenteen salaustekniikat

Transkriptio

1 Tietoliikenteen salaustekniikat Huom. Tietoliikenneturvallisuus- osaan tietoturvasuunnitelmassa ei kirjoiteta yksityiskohtaisia teknisiä ratkaisuja. Tämä kappale luennoissa on tarkoitettu informatiiviseksi. Tavoitteena on että kuulijoille a) perusterminologia tulee tutuksi, b) syntyy käsitys siitä, miten suojatut tietoliikenneyhteydet toimivat. Tietoturvallisuus Organisaation tietoturva Tekninen tietoturva Palo- muurit Virus- torjunta Salausmenetelmät 2 1

2 Sisältö Käsitteistöä, periaatteita, historiaa Salausmenetelmätyypit Symmetrinen salaus Julkisen avaimen salaus Modernin salausohjelmiston osat Käyttäjien todentaminen Sertifikaatit Istuntoavaimesta sopiminen Tiedonsiirto Digitaalinen allekirjoitus 3 Tietoturvan tavoitteet vs. kryptologian palvelut Pääsynvalvonta Autentikointi eli käyttäjän tunnistus Luottamuksellisuus Viestien salaus Eheys Tiivistefunktiot Kiistämättömyys Digitaalinen allekirjoitus 4 2

3 Tasot Tauko Jatkuu 18:45 Sovellusohjelmataso * esim. Pankkiyhteysohjelmat, sähköpostiohjelmisto Protokollataso * SSL (TLS), SSH Salausohjelmataso (ns. salausalgoritmit ) RSA, AES, SHA Protokollatasolla esim. järjestelmiä asennettaessa voidaan valita, mitä salausmenetelmiä käytetään. Tämän vuoksi järjestelmäasiantuntijan on tunnettava salausmenetelmien erot. Useat palvelimet hyväksyvät useita eri salausalgoritmeja. Riippuu asiakassovelluksesta, mitä istunnossa käytetään. 5 Viestin salauksen periaate Salausavain K1 Purkuavain K2 Viesti m Salausfunktio E(m,k1) Salakirjoitus C Purkufunktio D(c,k2) Viesti m lähettäjä vastaanottaja Jos salausavain K1 = purkuavain K2, puhutaan symmetrisestä salauksesta. Jos salausavain ja purkuavain ovat erisuuret, puhutaan ei-symmetrisestä salauksesta tai julkisen avaimen salauksesta. 6 3

4 Kerckhoffin periaate Auguste Kerckhoff 1883 Hyvässä salausjärjestelmässä salausmenetelmän turvallisuuden tulee perustua vain salausavaimeen. Itse salausmenetelmän tulee olle täysin julkinen Wikipedia: Dr. Auguste Kerckhoffs ( ) was a Dutch linguist and cryptographer 7 Avainavaruuden käsite Hyvässä salausjärjestelmässä salakirjoituksen murtamiseksi ei ole muuta parempaa keinoa kuin kokeilla kaikkia mahdollisia salausavaimia. ( exhaustive search, eli Brute Force attack ) Tärkeä parametri on siten kaikkien mahdollisten avainten lukumäärä: avainavaruuden koko Nykyisillä supertietokoneilla tai grid laskennalla voidaan käydä läpi n avainvaihtoehtoa. Avainpituuden turvallisuuden alarajana pidetään siten 80 bittiä. (avainavaruus on tällöin2 80 = 1.2*10 24 ) Esim. 80 bittinen avain

5 Salaus ennen tietokoneaikaa *) *) ensimmäiset tietokoneet keksittiin luvun vaihteessa Caesar salaus - Salaus perustuu aakkoston rotaation. Salausavaimena on rotaation suuruus. Kuvan kiekkojen asennolla viestin AAMU salakirjoitus olisi NNZH Tämä salaus on kuvattu Tacituksen kirjassa Sotataidon historia 10 5

6 One Time Pad 1919 (todistettavasti murtamaton salaus) Täydellinen salaus, jossa viesti muutetaan binäärimuotoon, salausavaimena on kertakäyttöinen, täysin satunnaisesti generoitu, viestin pituinen bittijono. Salaus suoritetaan laskemalla viesti ja avain yhteen XOR yhteenlaskua käyttäen. Purku suoritetaan laskemalla salakirjoitus ja avain yhteen. XOR yhteenlasku : = 0, = 0, = 1, = 1 Salaus: Viesti Avain Salakirjoitus Purku: Salakirjoitus Avain Purettu viesti Moskova- Washington kuuma linja käytti tätä salausta. 11 Modernit salausmenetelmät JONO- SALAUS GSM: A5 Symmetrisen avaimen menetelmät LOHKO- SALAIMET - DES - AES - IDEA -3DES TIIVISTEET -MD5 - SHA128 - SHA256 - SHA512 Ei symmetriset salaukset - RSA - ECC Suhteellinen nopeus: Tiivisteet 3 Jonosalaus 2 Lohkosalaus 1 Ei symmetr. 1/

7 II ww Aikajana 50 ekr Lohkosalaus 1976 DES > 2001 AES 1975 Caesarsalaus Vige- neren salaus Vernam salaus Enigma Julkisen avaimen salaus 1977 RSA > ECC l--- > 1991 A5 Jonosalaus sotilaskäytössä GSM salaus 13 Lohkosalaus Viesti M jaetaan lohkoihin m1,m2,m3, ( 128 bittiä) Avain k vähintään 128 bittinen. Salakirjoitus on jono c1, c2, c3, c4 Kuvassa on käytettä CBC moodia, jossa edellisen lohkon tulos viedään syötteenä seuraavaan lohkoon M1 M2 M3 t h i s i s t h e m e s s a g e t o b e s e n t K AES K AES K DES w h c g o i t w z x n b v r y u i e w c b n d s C1 C2 C3 14 7

8 Lohkosalauksen historia luku USA:n hallintoon tietokoneet USA_n pankit ja talous tietokoneaikaan Kylmä sota & organisoitu rikollisuus Lucifer projekti (IBM + NSA) 1968 DES bittinen salain Kilpailu 1998 Voittaja: Rijndael Nykyinen standardi AES Useita avainpituuksia: 128, 196, 256 bittiä 15 Lisää lohkosalaimista Vaaditaan, että ne toimivat sekä softana, että kovona (salaussiruina) Nopeita ja luotettavia DES:n periaate oli tarkoitus salata, AES on julkinen (Kerckhoff n periaate) Minimiavainpituus 80 bittiä, suositus 128 Käyttö: suurten tietomäärien salaukseen 16 8

9 EU:n lohkosalaussuositukset 2007 Avainpituus bitteinä Kuvaus 72 Voidaan murtaa perustekniikoilla 80 Teoriassa kestää murtoyrityksiä 96 Yleisesti pidetään ehdottomana miniminä 112 Riittävä minimitaso 128 Riittävä, lukuun ottamatta erittäin salaisia tiedostoja 256 Riittävä myös erittäin salaisille tiedostoille Käytännössä standardi on AES128 luottamuksellisille asiakirjoille ja AES256 erittäin luottamuksellisille asiakirjoille ( 17 Julkisen avaimen salausmenetelmät Public Key encryption RSA = standardi vuodesta 1977 ECC tulossa RSA:n seuraajaksi jollain aikavälillä 9

10 Julkinen/yksityinen avainpari Jokaisella käyttäjällä on kaksi avainta, jotka muodostavat parin. Kun viesti salataan käyttäjän julkisella avaimella, salaus voidaan purkaa vain saman käyttäjän yksityisellä (salaisella) avaimella. Avaimia voidaan käyttää myös toisin päin: salaus yksityisellä ja purku julkisella (esim. käyttäjien todentamisessa) Julkinen avain Yksityinen avain 19 PK- salauksen periaate Bob n julkinen avain Ke CA = certification authority = avainpalvelin Viesti E(m, Ke) Salakirjoitus c D(c, Kd) Purettu m m Bob:n yksityinen avain Kd Alice Bob 20 10

11 PKI = Public key infrastructure Julkisten varmentajien verkko Kuten puhelinyhtiöillä on puhelinluettelot ja numerotiedustelu, julkisen avaimen salaus vaatii luotettavan julkisten avainten rekisterin. Suoritettaessa kysely CA:lle, tämä antaa kysytyn julkisen avaimen digitaalisesti allekirjoitetun sertifikaatin eli varmenteen muodossa. Päämääränä on se, että verkossa ei voi toimia tahoja, jotka antaisivat vääriä julkisia avaimia ja näin voisivat napata käyttäjien salaisiksi tarkoitettuja viestejä 21 SSL ym. salausohjelmat RSA 1. Autentikointi = osapuolten tunnistaminen RSA 2. Istuntoavaimesta sopiminen Ns. hybridisalaus on ohjelmisto, jossa julkisen avaimen salausta käytetään autentikoinnissa, istuntoavaimesta sopimisessa, ja digitaalisessa allekrirjoituksessa. 3. Tiedostojen ja tietoliikenteen salaus AES 4. Digitaalinen allekirjoitus RSA+ SHA Lohkosalaus (AES) salaa siirrettävän datan

12 Salatun yhteyden vaiheet Tyypillinen salausohjelmisto (esim. pankkiyhteyksistä tuttu SSL) käyttää useita salausmenetelmiä. Yhteyden vaiheet on kuvattu ao. kaaviossa: Alku Autentikointi Salausavaimesta sopiminen Tiedon siirrot salattuna Digitaaliset allekirjoitukset RSA tai muu PK- salaus RSA tai muu PK- salaus Lohkosalaus RSA + SHA - tiiviste Loppu 23 SSL- yhteys: vaihe 1 Autentikointi suom. todennus, varmennus Määritelmä: Autentikoinnissa tietoliikenteen osapuoli todistaa identiteettinsä toiselle osapuolella jonkin kiistattoman todisteen avulla. Tekniikoita: Kiinteä salasana Kertakäyttösalasana Salausavaimen käyttö 12

13 Käyttäjän todentaminen Sormenjälki Tunnistaminen voi perustua 1. Johonkin ominaisuuteesi 2. Johonkin, joka sinulla on 3. Johonkin, jonka tiedät Silmän iiris Ääni Älykortti Pin koodi Salasana 25 Autentikointi (todennus, varmennus) = Online -palvelun alussa suoritettava protokolla, jossa asiakkaan identiteetti varmistetaan. Tuloksena joko hyväksyminen tai hylkäys Heikko autentikointi Vahva autentikointi * kiinteät salasanat * kertakäyttösalasanalistat Autentikointi, joka perustuu kryptografiaan Yksi- ja kaksisuuntainen autentikointi Yksisuuntaisessa autentikoinnissa vain toinen osapuoli autentikoidaan, kaksisuuntaisessa autentikoinnissa sekä asiakas, että palvelu autentikoivat toisensa

14 Web- palvelimen todennus Asiakas Palvelu Asiakas purkaa vasteen V käyttäjän julkisella avaimella, jonka hän saa palvelimesta sertifikaatin muodossa Jos purku tuottaa alkuperäisen haasteluvun R, palvelin on varmennettu Satunnaisluku R ns. haasteluku VASTE V = R salattuna palvelimen yksityisellä avaimella Palvelimen julkiset RSA avaimet n, e on toimitettu manuaalisesti asiakkaalle palvelusopimuksen yhteydessä. Salainen avain = d To klo SSL - yhteys Vaiheet: 1. Palvelimen todennus eli autentikointi (RSA) 2. Istuntoavaimesta (AES salausta varten) sopiminen 3. Tiedonsiirto salattuna AES:llä 4. Digitaalisen allekirjoituksen käyttö useissakin vaiheissa Sertifikaatti on CA:n digitaalisesti allekirjoittama Datapakettien eheyden varmennus 14

15 RSA lyhyesti v.1978 Viesti ym. data koodataan kokonaisluvuiksi m (message) salaus c m e mod n e = (vakio) n = vastaanottajan julkinen avain purku m c d mod n d = vastaanottajan yksityinen avain RSA:n turvallisuus: Julkinen avain n on kahden alkuluvun tulo. Jos hyökkääjä saisi selville sen tekijät, hän voisi laskea purkuavaimen d. Turvallisuus perustuu suurten kokonaislukujen tekijöihin jaon vaikeuteen. Turvallinen avainkoko n:lle on tänään 2024 bittiä. 1. Web- palvelimen todennus Asiakas Palvelin Asiakas purkaa vasteen V käyttäjän julkisella avaimella, jonka hän saa palvelimesta sertifikaatin muodossa Jos purku tuottaa alkuperäisen haasteluvun R, palvelin on varmennettu Satunnaisluku R ns. haasteluku VASTE V = R salattuna palvelimen yksityisellä avaimella Palvelimen julkiset RSA avaimet n, e on toimitettu manuaalisesti asiakkaalle palvelusopimuksen yhteydessä. Salainen avain = d 15

16 Sertifikaatteja eli web-palvelimen aitoustodistuksia mail1.luc.fi AES128 lohkosalaus RSA avaimesta sopiminen sha1rsa digitaalinen allekirj. Varmentaja Sonera Class2 CA Nordea verkkopankki AES256 lohkosalaus RSA avaimesta sopiminen sha1rsa digitaalinen allekirj. Varmentaja CA = VeriSign Sertifikaatin X.509 muotomääritys: X.509 Certificate Version : 1 Serial Number : 7983 Algorithm: SHA256WithRSAEncryption Issuer: VeriSign Ltd Validity : Not Before July :00 GMT Not After July :00 GMT Subject: Subject Public Key Info Matti Matikainen, Rovaniemi Public Key Algorithm RSAencryption Subject Public Key: RSA (1024 bit) Modulus: d5 0c..f3 31 e1 Exponent: Certificate Signature Algorithm SHA256WithRSAEncryption Certificate Signature a5 55 7c d a0 c4 (2048 bits) Linkki: johtaa suuren sertifikaattien myöntäjän sivuille. (useimmat pankit asiakkaina) 16

17 Sertifikaatit ehkäisevät Man in the middle hyökkäystä Alice ottaa yhteyden Bobiin, Mitä voi tapahtua? Eve kaappaa Alicen ja Bobin viestiliikenteen toimien välissä ja uskottelee molemmille olevansa toinen osapuoli. Eve voi olla passiivisena salakuuntelijana tai halutessaan muuttaa viestien sisältöä. Vaihtoehtoja sertifikaateille 1. TTT: Trusted Third Party PGP salausohjelmistossa ei luoteta avainservereihin, vaan julkiset avaimet saadaan muilta käyttäjiltä. TPGP:ssä voi jakaa käyttäjät turvaluokkiin trust classes, jotka riippuvat kuinka paljon luotat ko. käyttäjään. PGP kysyy julkisen avaimen ensin niiltä, joiden luokka on korkein. CA operaattori on tarpeeton. PGP:n käsite on TTT: Trusted Third Parties 2. Julkisia avaimia on usein verkkosivuilla Useat organisaatiot / henkilöt julkaisevat julkisia avaimiaan verkkosivuilla. (Tällöin täytyy luottaa, että sivu ei ole väärennetty) Pankeille, vakuutusyhtiölle ym. Organisaatioille sertifikaatit ovat kuitenkin paras ja luotettavin vaihtoehto. 17

18 SSL- yhteys: vaihe 2 Symmetrisestä avaimesta sopiminen Avaimesta sopiminen RSA:lla RSA key exchange Alice Alice lähettää palvelimelle avaimen K salattuna RSA:lla käyttäen sertifikaatista saamaansa palvelimen julkista avainta Palvelin Generoi satunnaisen salausavaimen K Palvelin purkaa avainviestin purkuavaimellaan ja saa avaimen K 36 18

19 Suojatuissa videoneuvotteluissa käytetään : Diffie Hellman avaimesta sopiminen engl. Diffie Hellman key exchange 1977 Alkuluku p ja kantaluku g on annettu Alice valitsee luvun a Bob valitsee luvun b y a = g a mod p y b = g b mod p * A ja B laskevat ja lähettävät toisilleen julkiset avaimensa K = Y b a mod p K = Y a b mod p A ja B laskevat symmetrisen avaimen K = g ab mod p 37 PK-salauksen avainpituudet Kuvaus RSA DH ECC Voidaan murtaa perustekniikoilla Voidaan murtaa lyhyessä ajassa 816 bits Teoriassa riittävä Yleisesti katsotaan ehdottomaksi minimiksi Minimitason takaava turvallisuus Riittävä taso paitsi huippusalaisia asiakirj. Riittävä myös top secret asiakirjoihin Johtopäätökset: RSA:n avainpituudet kasvavat liian suuriksi Älykorteissa ja pienissä laitteissa em. on ongelma. Muisti ei riitä ja laskenta on hidasta. Elliptic Curve Cryptosystem ECC on pienemmän avainpituuden vuoksi suositus tulevaisuuden julkisen avaimen salaukseksi. VM.n tietoturvaryhmän suositus 2008 Esim. mail1.luc.fi serveri käyttää bittistä julkista avainta 19

20 Tiivistefunktiot (hash -functions) Määr: Tiivistefunktiot ovat yksisuuntaisia funktioita, jotka tuottavat viestistä määrämittaisen tiivisteen (tarkistussumman) Käyttö: 1. Tiiviste varmistaa tiedonsiirron eheyden (ts. että tieto ei ole muuttunut siirron aikana). 2. Palvelinkoneiden salasanatiedostoihin ei tallenneta itse salasanoja vaan niiden tiivisteet. Hyvän tiivisteen vaatimukset: 1.h(m) on yksisuuntainen funktio. Tiivisteestä ei ole mahdollista laskea taaksepäin itse viestiä. 2. Kun tunnetaan yhden viestin tiiviste h(m), on mahdotonta keksiä toista viestiä jolla olisi sama tiiviste. (Collision resistance 1) 3. Ylipäänsä on mahdotonta luoda kahta viestiä m1 ja m2 joilla olisi sama tiiviste. (Collision resistance 2) 39 Tiivisteen käyttö 1 Alice Salasanatiivisteet Server Logon:_Alice.Mills Passwd: salasana Hash Alice.Mills 2b4f448s Password file:. Alice.Mills 2b4f338a Kun käyttäjä kirjautuu verkkoon ja syöttää salasanan, kirjautumisohjelma laskee salasanasta tiivisteen. Tiiviste siirtyy serverille joka vertaa tiivistettä salasanatiivisteeseen. Itse salasanaa ei tarvitse siirtää linjaa pitkin lainkaan

21 Tyypillisiä tiivisteitä MD5 SHA128 SHA256 - ei suositella - varauksia käytölle - turvallinen Hash["Tämä on koeviesti, josta lasketaan tiiviste","md5"] Hash["Tämä on koeviesti, josta lasketaan tiiviste","sha"] Hash["Tämä on koeviesti, josta lasketaan tiiviste","sha256"] Tiivisteen käyttö 2 Tiiviste tiedonsiirron tarkistussummana Alkuperäinen viesti ja sen tiiviste, joka on laskettu ennen lähetystä Hash["Tämä on koeviesti, josta lasketaan tiiviste","md5"] Saapunut viesti, jossa yksi kirjain on muuttunut ja sen tiiviste, Hash["Tämä on koeviesti, josta lasketaan tieviste","md5"] Tiivisteen muuttuminen paljastaa, että viestissä on tapahtunut siirtovirhe

22 Tiivisteen käyttö 3 Digitaalinen allekirjoitus Tarkoitus on varmistaa, että 1) viesti on muuttumaton, 2) lähettäjä on varmennettu Digitaalisessa allekirjoituksessa käytetään tiivistettä ja julkisen avaimen salausta Tyypillinen yhdistelmä on RSA ja SHA tiiviste, tiiviste on tällöin sharsa Digitaalinen allekirjoitus = luku, joka on dokumentin tiivisteluku salattuna lähettäjän yksityisellä avaimella 43 Digitaalinen allekirjoitus CA varmentaja Lähettäjän julkinen avain Lähettäjän yksityinen avain d Allekirj. Allekirjoitus S verifiointi Kyllä/ Ei tiiviste tiiviste viesti => hash viesti hash Lähettäjä Vastaanottaja 44 22

23 Digitaalinen allekirjoitus Digitaalinen allekirjoitus on viestin mukana lähtevä luku, joka tarkkaan ottaen on viestin tiiviste salattuna lähettäjän yksityisellä avaimella Vastaanottaja purkaa digitaalisen allekirjoituksen lähettäjän julkisella avaimella ja saa viestin tiivisteen. Hän laskee itse viestin tekstistä myös tiivisteen. Jos tiivisteet täsmäävät, lähettäjä on varmennettu ja viesti muuttumaton 45 Ohjelmistojen alkuperän tarkistus Verkosta ladattaviin ohjelmien, selainten lisäosien, laitteistoajureiden alkuperän tarkistuksessa käytetään myös sertifikaatteja. Digitaalinen allekirjoitus on sähköinen suojausmerkintä, joka voidaan lisätä tiedostoihin. Sen avulla voit varmistaa tiedoston julkaisijan ja sen, että tiedostoa ei ole muutettu sen allekirjoittamisen jälkeen. Jos tiedostolla ei ole kelvollista digitaalista allekirjoitusta, et voi olla varma tiedoston julkaisutietojen aitoudesta etkä siitä, ettei tiedostoa ole muutettu luvattomasti (ettei esimerkiksi virus ole saastuttanut tiedostoa) sen julkaisemisen jälkeen. Jos et ole varma tiedoston tekijästä ja siitä, onko tiedoston sisältö turvallinen, on turvallisempaa olla avaamatta tiedostoa. Edes kelvollinen digitaalinen allekirjoitus ei takaa, ettei tiedoston sisältö ole vahingollinen. Tee päätöksesi tiedoston sisällön luotettavuudesta julkaisijan ja latauslähteen tunnistetietojen perusteella

24 Protokollat ovat tietoliikenneohjelmistoja Suojatun yhteyden tarjoavia ohjelmistoja: SSL (versiosta 3.0 alkaen TLS) = protokolla, jonka avulla voidaan turvallisesti käyttää Internet palveluja (verkkopankit, verkkokauppa, webmail) SSH = etäkäyttö ja tiedostonsiirtoprotokolla, (keksinyt suomalainen Tatu Ylönen) 47 Tavallisen käyttäjän sähköpostin salaus? A-studiossa kysyttiin tietoturva-asiantuntijalta, miten tavallinen käyttäjä voisi lähettää suojattua sähköpostia, jota ei suuretkaan resurssit omaava organisaatio tai viranomaiset eivät kykene murtamaan. Vastaus: Ala käyttämään ilmaista PGP ohjelmaa ( Pretty Good Privacy ) PGP on hybridisalaus: * PGP- sertifikaatit ja RSA autentikointi * RSA avaimesta sopiminen Symmetrinen salaus IDEA, CAST, 3DES (vaihtoehtoiset) Tiiviste MD5 PGP:ssä avainpalvelimien sijasta julkisia avaimia saa koko käyttäjäyhteisöltä ( Web of Trust )

25 World s 1st GSM call GSM salaus 1991 Masto lähettää satunnaisluvun R Puhelin lähettää vasteluvun RES, joka lasketaan R:sta ja SIM- kortin avaimesta Masto lähettää satunnaisluvun R Puhelin ja operaattori laskevat puhelun salausavaimen K luvusta R ja SIMavaimesta samalla algoritmilla. Avaimen pituus on 64 bittiä Puhelu salataan yllä sovitulla salausavaimella * GSM salaus toimii vain puhelimen ja maston välillä. Maakaapelissa puhelut eivät ole salattuja. GSM -salauksen avainpituus 64 bittiä ei ole riittävä, vaan se voidaan murtaa. * 3G ja 4G ovat turvallisempia. Ne käyttävät 128- bittistä Kasumi- salausta. 25