Tietoturvan Perusteet : Tiedon suojaaminen

Transkriptio

1 Tietoturvan Perusteet : Tiedon suojaaminen Pekka Jäppinen September 26, 2007 Pekka Jäppinen, Lappeenranta University of Technology: September 26, 2007

2 Suojausmenetelmät Tiedon Salaaminen (kryptografia) Tavoitteena on tiedon luottamuksellisuuden varmistaminen Osittain varmentaa myös tiedon eheyden. Käytetään joko tietoa tallennettaessa tai siirrettäessä. Tiivistefunktiot Varmennetaan tiedon eheys Viestin autenttisuus koodi (message authentication code MAC) Varmennetaan viestin lähde ja eheys Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

3 Tiedon piilottaminen (Steganografia) Piilotetaan viesti johonkin toiseen viestiin. Käytetään esimerkiksi sähköisenä vesileimana. Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

4 Kryptologia Määritelmät Kryptologia Matematiikan suunta joka tutkii kryptografiaa ja kryptoanalyysia Kryptografia Viestien salaamisen tiede Kryptoanalyysi Salattujen viestien purkamisen tiede ja taide Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

5 Kryptografia Kryptos (piilotettu) graphein (kirjoitus) Keskittyy tiedon salaamiseen Salattava teksti muutetaan muotoon, josta alkuperäisen tekstin pystyy palauttamaan vai tietämällä jonkin salaisuuden Perustuu matematiikkaan Lukuteoria Informaatioteoria Tietoturvan peruspalikka Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

6 Termistöä Selkoteksti plaintext, Message (M) : luettavissa oleva teksti Salattuteksti ciphertext (C): teksti salauksen jälkeen Salaus encryption, encipher: salatuksitekstiksi operaatio jolla selkoteksti muutetaan Purku decryption, decipher: operaatio jolla salattuteksti palautetaan selkotekstiksi Kryptoalgoritmi (salausalgoritmi) Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

7 Määrittelee kuinka selkotekstistä muodostetaan salattu teksti, eli kuinka salaus tapahtuu esim: DES, AES, RSA... Kryptoprotokolla (salausprotokolla) Määrittelee kuinka algoritmeja käytetään eri tilanteissa turvallisuuden takaamiseksi TLS (SSL), IPSec, SSH... Turvaprimitiivi Toiminnallinen osa protokollassa (esim. kryptoalgoritmi tai tiiviste funktio) Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

8 Klassiset salausmenetelmät eli kryptografian historia 1. Korvaussalaimet Tavoitteena merkkien korvaaminen muilla Esimerkiksi: Yksinkertainen korvaus Merkki korvataan toisella merkillä Helppo toteuttaa, Helppo murtaa vrt. Sanomalehtien kryptot Caesarin salain, rot Sekoitussalaimet Salattavan tekstin merkit pysyvät samoina, mutta niiden paikat vaihtuvat Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

9 Tavoitteena informaation levittäminen ympäri salattua viestiä 3. Yhdistelmä salaimet (Product Ciphers) Useamman salaimen yhteiskäyttö Esim. Salataan ensin toisella algortimilla ja sitten toisella Avaimettomat algoritmit Turvallisuus perustuu algoritmin salaisuuteen Algoritmin paljastuttua on viestit helppo purkaa Samaa algoritmia ei voi käyttää usean eri tahon kanssa Salaajan pitäisi itse kehittää algoritmi Käytetty ennen tietokoneiden aikakautta Ei käyttökelpoinen ratkaisu nykypäivänä muuten kuin aivopähkinöinä. Avaimelliset algoritmit Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

10 Luotettavuus perustuu avaimen salaisuuteen Algoritmi tunnettu ja avoin Symmetriset ja asymmetriset menetelmät Vigeneren salain yksi ensimmäisiä Kehitetty 1500 luvulla perustuen Batistan monikorvaus salaimeen Avaimen avulla vaihtuva korvausaakkosto Murrettu 1900 luvun alussa Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

11 Moderni kryptografia Algoritmit avoimia Turvallisuus perustuu avaimeen Voidaan jakaa symmetrisiin ja asymmetrisiin menetelmiin käytettävien avainten mukaan Symmetriset salaimet yksi avain: viesti salataan ja salaus puretaan käyttäen samaa avainta lohko ja virta-salaimet Asymmetriset salaimet kaksi avainta: julkinen ja salainen avain Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

12 Julkinen avain salaamiseen, salainen avain salauksen purkuun. Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

13 Symmetrinen salaus Symmetrisen algoritmin turvallisuus perustuu salaiseen avaimeen. Samaa avainta käytetään viestin salaamiseen ja salauksen purkamiseen. E k (M) = C ; viesti (M) salataan (Encrypt) avaimella (k) ja saadaan salattu teksti (C) D k (C) = M Etuja Suuri datankäsittelynopeus joka on ennustettavissa Ajoaika riippuu suoraan viestin pituudesta Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

14 Avaimet suhteellisen lyhyitä Voidaan käyttää primitiiveinä erilaisten turvajärjestelmien rakentamisessa Hyvin tunnettu historia Haittoja Avainten salassa pito Avainten jakaminen ja hallinta vaikeaa Avaimet kertakäyttöisiä kommunikoinnin suojauksessa Joka istunnolla oma avain Lohko ja virtasalaimiin (jonos- Voidaan jakaa kahteen ryhmään: alaimiin) 1. Virtasalaimet, jonosalaimet (stream cipher) Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

15 Avaimella alustettava pseudosatunnaislukugeneraattori Korvaa yhden merkin selkotekstiä heti yhdellä salatulla merkillä tarkemmin ottaen bitin bitillä Muunnos riippuu Selkotekstin merkistä Avaimesta Pseudosatunnaislukugeneraattorista Vahvuudet Salauksen nopeus Pieni virheen leviäminen Voidaan tehdä tehokkaita hardware toteutuksia Heikkoudet Muutos selkotekstissä näkyy suoraan salatussa tekstissä Vaatii salaimen alustuksen. Alttius lisäyksillä ja muutoksille Tunnettuja algoritmeja Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

16 RC4, SEAL, A5 (GSM) 2. Lohkosalaimet (block cipher) Salaa joukon (lohkon) selkotekstin merkkejä kerralla. Merkin salaus riippuu koko lohkosta Lohkon koko riippuu salaimesta, tavallisesti 64 bittiä Salauksessa hyödynnetään korvausta että sekoitusta Lohkon sisällä bitit vaihtavat paikkaa Lohkon sisällä pienempi joukko bittejä korvataan toisella joukolla bittejä Lohkojen yhdistämiseen käytetään erilaisia moodeja ECB (Electronic Code Book) Lohkot toisistaan riippumattomia, laitetaan peräkkäin CBC (Cipher Block Chaining), CFB (Cipher-Feedback Mode), OFB (Output-Feedback Mode), CTR (Counter Mode) Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

17 Edellinen lohko vaikuttaa jollain tavalla seuraavan lohkon koodaamiseen. CFB:llä, OFB:llä ja CTR:llä, lohkosalainta voidaan käyttää virtasalaimena Vahvuudet Pieni muutos tekstissä vaikuttaa koko lohkon tai jopa koko viestin salaukseen Immuuni lisäyksille ja muutoksille Heikkoudet Hidas salaus Virheen leviäminen Tunnettuja algoritmeja: DES (1977), AES(2000), Blowfish Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

18 Asymmetrinenkryptografia Julkisen avaimen järjestelmät: 1976 Diffie-Hellman RSA, ElGamal, Elliptiset käyrät Eri avain salauksen ja purkamiseen Viesti salataan vastaanottajan julkisella avaimella. E kpublic (M) = C Vastaanottaja purkaa viestin omalla salaisella avaimellaan. D kprivate (C) = M Algoritmin toiminna johdosta ainoastaan salaisen avaimen tietäjä voi avata viestin. Julkisesta avaimesta ei voi päätellä salaista avainta. Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

19 Julkinen avain voidaan laittaa jakoon vaikka omalle kotisivulle tai julkistaa puhelinluettelossa Salatun viestin lähettäminen ei vaadi salaisuuden jakoa Turvallisuus perustuu vaikeisiin matemaattisiin ongelmiin. esim: Alkulukujen kertolasku on helppo toiseen suuntaan, mutta tulon tekijöihin jako on vaikeaa, kun luvut ovat suuria. Edut Ainoastaan yksityinen avain täytyy pitää salassa Avainten hallinta verkossa vaatii ainoastaan funktionaalisesti luotetun tahon Ei tarvi paljastaa salaisuuttaa ulkopuolisille Avainpareja voidaan käyttää pitkä aika (jopa vuosia) Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

20 Heikkoudet Tietojen käsittelynopeudet montakertaluokka huonommat kuin symmetrisillä järjestelmillä Käytetään yleensä vain symmetrisen avaimen vaihtoon. Avain koot merkittävästi suurempia Salaista avainta ei voi muistaa -> kuinka säilyttää salainen avain turvassa? Vaikea todistaa turvalliseksi Perustuu oletettavasti vaikeisiin numeroteoreetisiin ongelmiin Menetelmien historia lyhyt, voi löytyä uusia tapoja ratkaista algoritmi. Kuinka todistaa julkinen avain oikeaksi Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

21 Yksisuuntaiset funktiot (hash funktiot) one-way hash, message digest, tiivistefunktio, sormenjäljet, kryptografinen tarkistesumma, MIC Perustuvat matemaattisiin funktioihin jotka ovat helppo laskea toiseen suuntaan, mutta lähes mahdottomia laskea takaisin päin. h(x) = y Lautasten rikkominen Funktioiden tulee olla törmäysvapaita (collision free) On vaikea löytää arvoa x 2 siten että h(x 1 ) = h(x 2 ) On vaikea löytää arvoja x 1 ja x 2 siten että h(x 1 ) = h(x 2 ) Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

22 Syntymäpäivä paradoksi 50% mahdollisuus että 23 ihmisen joukossa kahdella on sama syntymäpäivä Algoritmit ovat julkisia, ei avaimia SHA-1, RIPEMD-160, MD5, whirlpool Hashin avulla voidaan varmistaa viestin muuttumattomuus 1. Haetaan koodinpätkä suomesta ja hash arvo tekijän kotisivulta 2. Lasketaan koodinpätkästä hash 3. Verrataan hasheja, jos ovat samat, koodi on alkuperäinen, jos erit, koodi on muuttunut Hasheja käytetään yhtenä osana erilaisissa tietoturva protokollissa. Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

23 Hasheja murrettu viimevuosina MD5 osoitettu oletettua heikommaksi crypto-2004 konferenssissa (samalla meni mm. RIPEMD) SHA-1 osoitettu oletettua heikommaksi vuonna 2006 Odotettavissa uusien algoritmien kehittelyä ja lisää tutkimusta alalla Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

24 Viestin autenttisuus koodi (MAC) Annetaan koodille syötteeksi koko viesti, tuloksena MAC MACin avulla voidaan varmistaa vaihdetun viestin autenttisuus Viestin saavuttua, lasketaan siitä itse MAC salaisella avaimella ja verrataan viestin mukana tulleeseen MAC:iin MACia ei voi luoda kuin avaimen tunteva henkilö MACin avulla voidaan varmistaa talletetun tiedon muuttumattomuus Talletetaan tieto ja siitä laskettu MAC tietokantaan Haettaessa tieto lasketaan MAC ja verrataan sitä kannassa olevaan MAC:iin Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

25 MAC ei salaa itse viestiä, vaan sen voi lukea kuka vain. Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

26 Satunnaisluvut Kryptografia tarvii satunnaislukuja esimerkiksi avaimien generoimiseen. Turvallisuus perustuu numeroiden satunnaisuuteen Turvaton satunnaislukugeneraattori johtaa turvattomaan toteutukseen Seuraava satunnaislukua ei pidä pystyä arvaamaan edellisestä Jos pystytään arvaamaan mitä yksikätinen rosvo arpoo seuraavaksi, edellisistä kuvioista, voi osaaja kerätä kauniin raha potin. Täysin satunnaisen luvun generointi mahdotonta algoritmeilla. Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

27 Tarvitaan ennustamattomia ja uudelleenkehittämöttömiä lukuja turvallisuuden saamiseksi. Ulkoiset lähteet Geigermittarin lukemat, laava lampun kuvan hash, levyjen ilmaturbulenssi.. jne. käyttäjän toimet: hiiren liikuttaminen, näppäinten välinen painallus aika, näppäily järjestys, äännähdykset mikrofoniin... lähteitä käytetään joko sellaisenaan, tai siemenenä jollekin funktiolle. Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

28 Algoritmin valinta Algoritmin valinnan vaikeus Turvallisuutta usein vaikea verrata jopa asiantuntijan Mihin luottaa? Kuka tahansa pystyy kehittämään algoritmin, jota ei itse pysty murtamaan Suljettuja järjestelmiä on voitu testata vain sisäisesti DVD:n suojaus on murrettu, GSM suojaus murrettu... Yleensä avoin pitkään käytetty ratkaisu on hyvä valinta Ottaisitko lääkäriltä lääkkeen Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

29 Jonka hän on itse kehittänyt Jota ei ole annettu muille lääkäreille testattavaksi Jonka koostumusta ei ole kerrottu muille Jonka toiminnan takaa vain kyseinen lääkäri Avoimuus ei kuitenkaan itsessään takaa mitään Algoritmi pitää sunnitella huolella A5 (GSM:n käyttämä algoritmi) käyttää 64 bittistä avainta, Algoritmissa olevan virheen takia se voidaan purkaa samassa ajassa kuin 30 bittinen avain. Avaimen käyttötavasta johtuen sen entropia on siis vain 30 bittiä. Yleensä luotetaan vain avoimiin ja pitkään esillä olleisiin algoritmeihin, joista oletettavasti olisi jo virheet löytyneet. Vaaran merkkejä Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

30 Salainen algoritmi ylipitkät avaimet Paljon teknistä jargonia Avainkoko ja OTP samassa lauseessa Ei julkista algoritmia eikä ulkopuolisten oikeiden asiantuntijoiden analyysia Hyvä algoritmi: case AES (Advanced Encryption Standard) Julkinen kilpailu Kuka tahansa sai arvostella algoritmeja Viisi finalistia, jotka kävivät vielä uuden arviointi kierroksen Kaikki viisi finalistia todettiin luotettaviksi, Rijndael valittiin yleiskäyttöisimpänä Hyväkään algoritmi ei auta huonoja avaimia vastaan. Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

31 Käytetään koneen generoimia avaimia Vaativat hyvän satunnaisluku generaattorin. Netscape 1.1 generoi 128 bittisen avaimen. Koodi virheen takia avaimen entropia oli vain noin 20 bittiä l. generoitu avain vastasi turvallisuudeltaan 20 bitin avainta. Aina ei voida käyttää generoitua avainta Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

32 Steganografia Hidden writing Viesti näkyvillä kun vain osaa etsiä oikein Esim. Ensimmäinen kirjain rivillä Informaatiota voidaan piilottaa melkein mihin tahansa Kuviin, ääneen, tekstiin Turvallisuus perustuu käytetyn menetelmän salaisuuteen sekä siihen että viestiä ei osata etsiä Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

33 Piilotettavan ja piilottavan informaation määrien suhde vaikuttaa turvallisuuteen Vesileimaus Dokumentin alkuperän varmistaminen Kryptografiaa voidaan hyödyntää yhdessä steganografian kanssa. Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

34 Turvaprotokollat Protokolla on sarja ennalta määrättyjä suoritettava askelia Protokollaa tarvitaan jotta tietokoneet ymmärtävät miten toimia, ihmiset osaavat joustaa paremmin. Protokolla määrittää toimintatavat eri tilanteissa Kaikkien osapuolten on tunnettava protokolla Joka ei tunne protokollaa ei osaa toimia sen vaatimalla tavalla Reaalimaailman protokollat ihmisten välillä ovat vapaamuotoisia Tilaus puhelimessa, Pokerin peluu, Äänestäminen Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

35 toiminta perustuu audio-visuaaliseen luottamukseen ja ihmisen kykyyn reagoida Sähköiset protokollat vaativat tarkemmat määrittelyt Tietokoneet tarvitsevat formaalit säännöt toimiakseen Protokollan tulee olla yksiselitteinen Jokaisen askeleen tulee olla määritelty Väärinymmärryksen vaaraa ei saa olla Tulee olla täydellinen Kaikkiin tilanteisiin tulee olla sääntö Kaikessa laitteiden välisessä kommunikoinnissa on jokin protokolla käytössä TCP/IP, USB, älykortien protokollat, digi-tv jne. Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

36 Kryptografinen protokolla (turvaprotokolla) Päämäärä enemmän kuin vain salaus esimerkiksi kommunikointi osapuolten tunnistus tai tiedon eheyden varmistaminen Kertovat kuinka turvatekniikoita käytetään yhdessä kyseisessä tapauksessa hash funktiot, salausalgoritmit jne. Turvaprotokollilla on omat lisävaatimuksensa Kukaan protokollan osapuolista ei saa pystyä huijaamaan Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

37 Protokollan toimintaa ei pidä pystyä salakuuntelemaan Protokollan osapuolten ei pidä pystyä tekemään muuta kuin mitä protokollassa on määritetty Protokollan osapuolten ei pidä oppia toisistaan enempää kuin mitä protokollassa on määritelty Turvaprotokollan tehtävänä on suojella myös tilanteissa, joissa alla olevat naivit olettamukset eivät pidä paikkaansa Kaikki ihmiset tietoverkoissa ovat rehellisiä Kaikki tietoverkkojen ylläpitäjät ovat rehellisiä Kaikki tietoverkkojen suunnitelijat ovat rehellisiä Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

38 Hyökkäykset protokollia vastaan Kohteena voi olla Kryptografinen primitiivi (turvatekniikka) Satunnaisluku generaattori, hash funktio, salaus algortimi jne. Itse protokolla Passiivinen hyökkäys salakuuntelu (Eve) seuraa protokollan toimintaa ja yrittää saada ylimääräistä tietoa esim. salasanan varastus Vaikea havaita Vaikea määrittää mikä tieto pitää suojata Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

39 keskustelu kyllä entä puheluyhteyden tiedot Aktiivinen hyökkäys Yritys muuttaa protokollaa Toiminteen toisto Esiintyminen protokollan jonain muuna tahona Viestien lisäys/poisto Viestien korvaus muilla viesteillä Vanhojen viestien uudelleenlähetys Kommunikaatiolinkkien katkominen Tallennetun tiedon muuntaminen Huijari Protokollan laillinen osapuoli Mahdollisesti protokollan kehittäjä Passiivinen: Seuraa protokollan askeleita, mutta yrittää saada enemmän tietoa protokollan avulla kuin kuuluu Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

40 Aktiivinen: yrittävät hajottaa protokollan omaksi edukseen Luotettu taho yrittää esiintyä A:na Man-in-the middle hyökkäys M esiintyy A:lle B:nä ja B:lle A:na voidaan käyttää aktiivisesti tai passiivisesti Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

41 Avaimenvaihtoprotokolla Symmetrinen avain Avain vaihdetaan usein asymmetrista salausta käyttäen. Erillisiä protokolliakin on. Shamir three pass protocol Trenttiin persutuvat avaimen vaihdot Erlliset asymmetriset avaimenvaihtoi algoritmit (diffie-helmann key-exchange) Asymmetrinen avain Tavoitteena julkisten avainten oikeellisuuden varmistus Public Key Infrastructure Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

42 Julkisen avaimen jakamisen määrittely Erilaisia PKI ratkaisuja olemassa PKIX (X.509), PGP, SKIP Kaikki perustuvat sertifikaatteihin Sertifikaatti koostuu julkisesta avaimesta, tiedoista avaimen omistajasta sekä kontrolli-informaatiosta, jotka on allekirjoitettu sertifikaatin myöntäjän taholta. Eri ratkaisut eroavat lähinnä informaation sisällön, muodon sekä ristiinsertifionti rakenteen pohjalta. Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

43 Digitaalinen allekirjoitus Tehtävät samat kuin tavallisella allekirjoituksella varmistetaan että tietty taho on hyväksynyt tietyn dokumentin Julkisella avaimella toteutettu allekirjoitus Viesti salataan omalla salaisella avaimella E kprivate (M) = C Viesti puretaan salaajan julkisella avaimella D kpublic (C) = M Salaus toimii allekirjoituksena Allekirjoitus on kiistämätön Ainoastaan allekirjoittaja tuntee salaisen avaimen, jolla salaus on suoritettu. Viesti aukeaa julkisella avaimella. vrt. MAC : Ei voida todistaa kuka avaimen tietävistä on viestin allekirjoittanut. Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

44 Allekirjoituksen voi tarkistaa kuka tahansa Julkinen avain on julkinen RSA, DSA Koska allekirjoitus on riippuvainen viestistä Viestiä ei voi muuttaa Allekirjoitusta ei voi siirtää toiseen viestiin Yleensä ei allekirjoiteta koko viestiä vaan siitä laskettu hash Viestin lukija laskee viestistä hashin ja vertaa sitä allekirjoitettuun hashiin nopeuttaa allekirjoitusta ja sen tarkistamista Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

45 Esimerkki protokolla: TLS Transport Layer Security (SSL:Secure Sockets Layer) Kahden laitteen välisen kommunikoinnin suojaukseen. Käytetään esimerkiksi HTTP -yhteyksien suojauksessa. Pitää sisällään mahdollisuuden molempien kommunikointi osapuolien autentikointiin. Protokolla ei ole riippuvainen mistään tietystä avaimen vaihto menetelmästä tai salausalgoritmista, vaan nämä sovitaan protokollan toiminnan aikana. Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45

46 Kolmatta osapuolta käytetään vain julkisten avainten varmistamiseen. Pekka Jäppinen, Lappeenranta University of Technology: September 26, /45