Introduction to Network Security basic algorithms, technology, trust

Transkriptio

1 Introduction to Network Security basic algorithms, technology, trust Prof. Esa Kerttula Prof-Tel Oy April 2003 (privately held presentation) April Prof-Tel Oy Content - security framework - goals, terminology - solutions - challenges from the implementation point of view - basic technologies - symmetric algorithms: DES, 3DES, AES, - asymmetric algorithms: RSA, ECC, - hash functions: MD5, SHA-1, - security functions, e.g. digital signature - PKI - IPSec References: /1/ Esa Kerttula, Tietoverkkojen tietoturva, Edita, 3. painos, 2000 /2/ April Prof-Tel Oy

2 I Security Framework 1. System security: goals - Avoid intrusion - System flaw - un-authorized users - Thefts, - Avoid destruction - System flaws - Viruses - Natural catastrophe: fire, earthquake, - Assure availability - denial of service (DOS), - Restorability April Prof-Tel Oy 2. System security: techniques - User authentication - Access control - authorization - Monitoring - Intrusion detection - Auditing April Prof-Tel Oy

3 Network security: model I - kertakäyttö salasanat - vahva tunnistus - datan salaus - monitasoinen O/S - turvallinen Web - virustorjunta - auditointi/ backup - datan salaus Tietokannat - turvalliset relatiivitietokannat - turvalliset objektitietokannat Intranet Asiakkaat Internet - salaus - palomuurit - VPN - palomuurit - host-tietoturva - viestinnän tietoturva - tietojen eheys - tietojen saatavuus - single sign-on - datan salaus - toimipisteen tietoturva Kuluttajat - elektroninen kaupankäynti - digitaaliset allekirjoitukset Intranet - Windows NT - kiistämättömyys Tuottajat Figure 1 Information security covers whole information infrastructure /1/ April Prof-Tel Oy Network security: model II Kehittyneet tietoverkot Kehittynyt multimedia Tieto-omaisuuden suojaaminen yksityisyyden suojaaminen kauppasalaisuuksien suojaaminen omistusoikeuden suojaaminen Verkkojen lisääntynyt käyttö sopimukset verkkojen kautta informaation kierrättäminen tapahtumasuoritukset verkkojen kautta Defensiivinen tietoturva Offensiivinen tietoturva kryptografia pääsynvalvonta autentikointiteknologiat digitaaliset allekirjoitukset kiistämättömyys Figure 2 From defensive security to offensive security April Prof-Tel Oy

4 Tietoturvauhkat ja riskit Laiton käyttö Salakuuntelu / tiedon muuntaminen Laiton pääsy Laiton operointi Vilpillinen osapuoli Hyökkäys Luotettava kolmas osapuoli Aito osapuoli Sanomat Salaista informaatiota Aito osapuoli Figure 3 Verkko Data Tietojärjestelmään kohdistuvat turvauhkat ja riskit ja hyökkäyksiltä suojautuminen defensiivinen tietoturva /1/ Tietoturvan varmistaminen Autentisointi / allekirjoitukset Informaation tietoturvamuunnos Kryptografia Pääsynvalvonta Monitorointi, auditointi April Prof-Tel Oy Turvallisten ja luotettavien Internet-paikkojen rakentaminen elektronisia kauppatapahtumia varten Käyttäjät voivat etsiä tuotteita luetteloista, ja tilata sekä maksaa ne mikrollaan tai esimerkiksi kännykällään Elektroninen maksaminen Tuoteluettelot e-commerce Palvelun tarjoajat voivat tuoda / päivittää tuoteluettelonsa ja myydä tuotteensa verkossa, ja saada myös maksun verkon kautta Palvelin Käyttäjät Elektroninen markkinapaikka Palvelun tarjoajat Internet / intranet Tietoturva-alustat Salaus-/ autentikointituotteet Figure 4 Turvallisten e-commerce palvelujen yleinen toimintakehikko offensiivinen tietoturva /1/ Digitaaliset allekirjoitukset Kohteen autentikointi Sanoman autentikointi Avainten jakelu/ hallinta Verkkoraha, elektroninen rahakukkaro Salaisen avaimen järjestelmät Julkisen avaimen järjestelmät Nollatietotodistukset... April Prof-Tel Oy

5 3. Network security: attacks - Interruption - Denial of service - Interception - Eavesdropping - Modification - Fabrication - Impersonation - Replay - Traffic analysis - 4. Network security: goals - Protect data transmitted over public networks - Provide security services for network security - Build secure systems that can be run over public networks - Secure payment systems for e-commerce - Secure bidding systems - Secure voting systems - Secure poker play systems - April Prof-Tel Oy 5. Network security: techniques - Cryptography - Encryption - Digital signature - User authentication - Data integrity - Access control - Identification - Authentication - Authorization - Security services - Confidentiality (privacy, secrecy) - Authentication - Integrity - Non-repudiation 6. Security functions (applications) - taulukossa 1 on tärkeimpiä tietoturvatavoitteita (tietoturvafunktioita). - tietoturvallisuuden tavoitteita ei voida aina saavuttaa yksinään pelkillä matemaattisilla algoritmeilla ja protokollilla, vaan tarvitaan April Prof-Tel Oy

6 myös teknisiä menettelytapoja (esim. PKI) ja tietoturvalakeja. - keskeisenä ajatuksena digitaalinen allekirjoitus - samassa verkossa voi olla tuhansia yrityksiä ja jopa miljoonia mikroja. - etäisyydet ovat pitkiä eikä vastapuolta välttämättä aina tunneta eikä ole edes nähty (esim. e-commerce). 7. Security policy Ks. kuva 5. April Prof-Tel Oy

7 Taulukko 1 Informaation tai viestintäsovelluksen tietoturvatavoitteita tunnistaminen (identification) laillistaminen (authorization) lupa ja/tai varmentaminen (license and/or certification) allekirjoitus (signature) todistaminen/notaarin vahvistus (witnessing/notarization) yhtäaikaisuus (concurrence) vastuu (velvollisuus) (liability) kuitti/kuittaus (receipts) alkuperän ja/tai kuitin todentaminen (certification of origination and/or receipt) siirtomerkintä (endorsement) pääsylupa (access), pääsynvalvonta (access control) oikeaksi osoittaminen (validation) tapahtuma-aika (time of occurrence) oikeaksi todentaminen, autentikointi ohjelmistot ja datat authenticity) äänestäminen (vote) omistusoikeus (ownership) omistusoikeus (copyright) rekisteröinti (registration) hyväksyminen/hylkääminen (approval/disapproval) yksilönsuoja/salainen (privacy/secrecy) April Prof-Tel Oy Yrityksen tietoturvapolitiikka Liiketoiminta ohjaa Suojattava tieto ja laitteet Suojattu verkko Yrityksen tietoturvaratkaisu: - IPSEC-suojattu VPN - palomuurit - sovellusten suojaus Tietoturvan hallintajärjestelmä Ihmiset ja laitteet TTP Tietoturvapalvelut: pääsynvalvonta, tietojen luottamuksellisuus, eheys ja saatavuus,... Tietoturvateknologiat: kryptografia, turvalliset käyttöjärjestelmät, sertifikaatit, TTP, PKI,... Figure 5 Turvaratkaisut toteutetaan yrityksen tietoturvapolitiikan pohjalta /1/ April Prof-Tel Oy

8 II Basic Technologies The Aspects of Cryptography Modern cryptography heavily depends on mathematics and the usage of digital systems. It is a inter-disciplinary study of basically three fields: - Mathematics - Computer Science - Electrical Engineering Without having a complete understanding of cryptoanalysis (or cryptoanalytic techniques) it is impossible to design good (secure, unbreakable) cryptographic systems. It makes use of other disciplines such as error-correcting codes compression. Hierarchy of security technologies (see Fig. 6) April Prof-Tel Oy Tietoturvan sovellukset Turvallinen tiedonsiirto Elektroninen kaupankäynti On-line asiointi Luotettava kolmas osapuoli... Tietoturvapalvelut-- tietoturvallisuuden päätavoitteet Luottamuksellisuus Tiedon eheys Autentikointi Kiistämättömyys Kryptografiset funktiot Tiedon salaus Tiedon eheyden teknologiat Sanoman autentisointi Identifiointi Digitaaliset allekirjoitukset Kryptografiset algoritmit ja muunnokset Jonosalaajat Lohkosalaajat Salaus (julkinen avain) Hash-funktiot Allekirjoitukset (julkinen avain) Allekirjoitukset (salainen avain) Matemaattiset työkalut Satunnaislukujen generointi Julkisen avaimen parametrit Tehokkaat algoritmit Infrastruktuuriteknologiat ja kaupalliset komponentit Avaintenluontiprotokollat Avainten hallinta Tietoturva-API:t Standardit Patentit Kryptografian perusteet ja ongelmat Matemaattiset perusteet Kryptografiset ongelmat Kryptografinen kompleksisuus Figure 6 Hierarchy of Information security technologies /1/ April Prof-Tel Oy

9 1. Symmetric, or Secret-key encryption (DES, 3DES, AES, ) Kryptografiasta - Tietoturvan tekniset tavoitteet toteutetaan pääasiassa kryptografialla. - Kryptografia tarkoittaa tietoturvapalveluihin, kuten - tiedon tai siirron luottamuksellisuuteen, - tiedon eheyteen, olion autenttisuuteen tai - tiedon alkuperän autenttisuuteen, liittyvien matemaattisten menetelmien tutkimusta. - Kryptografisella järjestelmällä (kryptosysteemillä) tarkoitetaan kryptografisista peruskomponenteista, kryptoprimitiiveistä (tiedon salaus- ja allekirjoitusmenetelmät, hash-funktiot, jne), rakennettua järjestelmää. April Prof-Tel Oy Kryptomenetelmät Kryptografiset menetelmät voidaan jakaa kahteen pääluokkaan - symmetrisen (yhden, salaisen) avaimen, ja - epäsymmetrisen (kahden, julkisen ja henkilökohtaisen (salaisen)) avaimen menetelmiin. Salaisen (symmetrisen) avaimen menetelmät - Kuvassa 7 on salaisen avaimen (symmetrisen avaimen) periaate. Avain, esimerkiksi DES- tai IDEA-avain, pitää toimittaa vastapuolelle turvallisesti jotenkin (iso ongelma). - Internetissä tähän käytettyjä menetelmiä ovat - joko sopia siitä jotenkin salaisesti keskenään, - digitaalisesti suljetun kuoren käyttö (ks. jäljempänä), ja - Diffie-Hellman avainten sopiminen /1/. April Prof-Tel Oy

10 - Avainten käytöstä pitää sopia kahden kesken, mutta tämä menettely sopii vain hyvin suljettuun käyttöön. - Hyvin suunniteltu symmetrinen menetelmä voidaan murtaa periaatteessa vain raa an voiman murrolla (kokeillaan kaikki avainkombinaatiot). Avain Salaus Salasanoma Salauksen purku Selväkielisanoma Selväkielisanoma Järjestelmä A Järjestelmä B Figure 7 Symmetrinen salaiseen avaimeen perustuva kryptojärjestelmä April Prof-Tel Oy eavesdropper Open networks Figure 8 Security problem Alice How are you? This is Alice. Eve: eavesdropper Bob??? eavesdropper Figure 9 Secret-key encryption Alice Encryption/ decryption Open networks?xx#4fa9$3pd1@$^85f Encryption/ decryption Bob K Secure channel K April Prof-Tel Oy

11 cryptanalysis P, K Figure 10 The model Encryption: E Decryption:D P: plaintext C: ciphertext P: plaintext K: key K: key Terminology Plaintext P: the message Ciphertext C: the encrypted message Secret key K: a binary string of some fixed length Encryption algorithm E E(K,P)=E K (P)=C April Prof-Tel Oy Decryption algorithm D D(K,C)=D K (C)=P, for C=E K (P)=C D(K, E(K,P))=P Cryptosystem (or code) Key space: the set of all possible keys Message space: the set of all possible messages Ciphertext space: the set of all possible ciphertexts Encryption algorithm: key space message space ciphertext space Decryption algorithm: key space ciphertext space message space Cryptanalysis: to analyze cryptosystems without keys Cryptography Study and application of secret writing Transfer a message into an unintelligible form Cryptology Cryptography Cryptanalysis April Prof-Tel Oy

12 Steganography Conceal a message in a way that outsiders do not know its existence Information hiding Watermark General use All users use the same encryption and decryption algorithms A pair of users establish a secret key from the key space between them Each user has N-1 keys Total N(N-1)/2 keys Alice and Bob use K A,B for secure communication, where K A,B is known to Alice and Bob only Performance requirement Encryption and decryption algorithms must Simple Very fast Secure April Prof-Tel Oy Software implementation 10M-100M bits per second Hardware implementation 100M-1G bits per second Cryptanalysis: basic assumptions Encryption and decryption algorithms are public (Kerckhoff s principle) Only the key is unknown Successful attack Get partial or whole key Get partial or whole plaintext of the challenge ciphertext Cryptanalysis: types Unknown The encryption/decryption key K Goal To compute the plaintext of a challenge ciphertext C, or To compute the unknown key April Prof-Tel Oy

13 Attack types Ciphertext only attack Given some ciphertext C 1, C 2, Known plaintext attack Given some pairs of plaintext and ciphertext (P 1,C 1 ), (P 2,C 2 ), Chosen plaintext attack Given pairs of plaintext and ciphertext (P 1,C 1 ), (P 2,C 2 ),, where P i s are chosen by the attacker Attack types (cont.) Chosen ciphertext attack Given pairs of plaintext and ciphertext (P 1,C 1 ), (P 2,C 2 ),, where C i s are chosen by the attacker Chosen text attack Given pairs of plaintext and ciphertext (P 1,C 1 ), (P 2,C 2 ),, where some P i s and some C j s are chosen by the attacker April Prof-Tel Oy Security types Unconditionally (information-theoretically) secure No matter how much resources (time, space, ciphertext) is given, the attacker cannot uniquely determine the key or the plaintext of the challenge ciphertext Computationally secure The attacker cannot get the key or the ciphertext of the challenge ciphertext using limited resources Attack: exhaustive search Key space {K 1, K 2,, K m } Given some ciphertext C, compute D(K 1,C)=P 1, D(K 2,C)=P 2,, D(K m,c)=p m If some P i is intelligible (e.g. some valid English sentence), K i is possibly the right key Given pair (P,C), compute E(K 1,P)=C 1, E(K 2,P)=C 2,, E(K m,p)=c m For C=C i, K i is possibly the right key April Prof-Tel Oy

14 The size of the key space {K 1, K 2,, K m } must be HUGE. At least, m = O(2 64 ) (The big o - notation) Safe, m=o(2 128 ). Computational security As long as the key K is used many times, the cipher is not unconditionally secure All keys in key space Valid Valid keys (P keys 1,C 1 ) (P 2,C 2 ) (P z,c z ) K Exhaustive search April Prof-Tel Oy How large is large? Key length 32 bits 56 bits 64 bits 128 bits 8 chars+nums Number of keys 4.3x x x x x10 14 Time for 10 9 (1G) encryptions/sec 4.3 secs 2.3 years 588 years 5.4x10 27 years 2.4 days April Prof-Tel Oy

15 Scale magnitude? Reference Seconds in a year Years of our universe Seconds since creation of our solar system Clocks per year of 1GHz CPU 56-bit binary strings 128-bit binary strings 75-digit primes Electrons in the universe Magnitude 3x10 7 6x10 9 2x x x x x x10 77 April Prof-Tel Oy Data Encryption Standard (DES) Background 1977 NBS (National Bureau of Standards, U.S.A., now NIST National Institute of Standards and Technology) Developed from IBM s Lucifer cipher General description A Feistel cipher 64-bit plaintext and ciphertext 56-bit keys 16 rounds Modes of operations Electronic codebook mode (ECB) Cipher block chaining mode (CBC) Cipher feedback mode (CFB) Output feedback mode (OFB) April Prof-Tel Oy

16 Figure 11 General description of DES encryption algorithm April Prof-Tel Oy Security analysis of DES Why 56 bits? Lucifer s key is 64-bit long Rumor: it was deliberately reduced so that NSA can break it Facts 1997: distributed exhaustive key search all over the world takes 3 months. 1998: specialized key search chips take 56 hours 1999: the search device is improved and achieves the record of 22 hours Differential attack Chosen plaintext attack 247 chosen plaintexts in breaking 16-round DES A hundred of chosen plaintexts in breaking 6-round DES April Prof-Tel Oy

17 Double DES Key size K=(K1, K2): 112 bits C=EK1(EK2(P)) Meet-in-the-middle attack Given a pair (P, C) Let Ki be the ith key of the key space, 0 i Compute Mi=EKi(P), 0 i Compute Nj=DKj(C), 0 i Check whether Mi=Nj If so, K=(Ki, Kj) is very likely to be the secret key Time: =2112 The memory size for Mi s: bits we need not store Nj s. - April Prof-Tel Oy Triple DES Plaintext, ciphertext: 64 bits Key K=(K1, K2): 112 bits Encryption: C=EK1(DK2(EK1(P))) Decryption: P=DK1(EK2(DK1(P))) Advantages Key size is larger Compatible with regular one-key DES Set K1=K2=K (56-bit) P=EK(DK(EK(P)))=EK(P) C=DK(EK(DK(P)))=DK(P) April Prof-Tel Oy

18 AES Advanced Encryption Standard Motivation: to replace DES NIST called for proposal, Jan 2, 1997, with selection criteria Security Computational efficiency Memory requirement Hardware and software suitability Simplicity Flexibility Licensing requirements NIST, Oct 2, 2000, announced The AES algorithm is Rijndael Rijndael Joan Daemen & Vincent Rijmen (Belgium) Key size: 128, 192, 256 Block size: 128, 192, 256 Round: flexible April Prof-Tel Oy Mathematical background Byte-level operations Each byte consists of 8 bits (over the field GF(2 8 )) Example: (57) 16 0x 7 +x 6 +0x 5 +x 4 +0x 3 +x 2 +x+1 Addition (bitwise XOR) Example: 57+83=D4 (x 6 +x 4 +x 2 +x+1)+(x 7 +x+1)=x 7 +x 6 +x 4 +x 2 Multiplication (mod m(x)) m(x)=x 8 +x 4 +x 3 +x+1 or (11B) 16 : irreducible polynomial Example: (mod m(x))=c1 (x 6 +x 4 +x 2 +x+1) (x 7 +x+1) mod m(x) = x 13 +x 11 +x 9 +x 8 +x 6 +x 5 +x 4 +x 3 +1 mod m(x) = x 7 +x 6 +1 Word-level operations Each word consists of 4 bytes Bytes are operated over GF(2 8 ) a(x)=a 3 y 3 +a 2 y 2 +a 1 y+a 0, where a i over GF(2 8 ) b(x)=b 3 y 3 +b 2 y 2 +b 1 y+b 0, where b i over GF(2 8 ) Definition: a(y) b(y)=a(y)b(y) mod y 4 +1 April Prof-Tel Oy

19 Conclusion Simple Symmetric and parallel structure Flexible implementation Secure against all known cryptanalytic attacks Suitable for modern processors (32-bit processor) Suitable for smart cards (8-bit processor) April Prof-Tel Oy 2. Asymmetric, or Public-key encryption - Julkisen avaimen menetelmiä (mm. RSA, nimi tulee keksijöiden sukunimistä: Rivest, Shamir, Adleman) voidaan käyttää kahdella eri tavalla (kahdessa moodissa) riippuen siitä, käytetäänkö avainparin julkista vaiko henkilökohtaista (salaista) avainta. - Ensimmäinen on salausmoodi (kuva 12) ja toinen autentikointimoodi (kuva 13). - Salausmoodissa julkinen avain lähetetään tai ilmoitetaan jotenkin (julkisesti) kaikille tarvittaville osapuolille, esimerkiksi kuvassa 12 järjestelmän N asiakkaille A, B ja C. - N-järjestelmä voi olla esimerkiksi kauppiaan (Liisa) elektronista kaupankäyntiä tukeva Web-palvelin. - jos esimerkiksi järjestelmä A (Pekka) haluaa lähettää salaisen sanoman Liisalle, etsii Pekka käsiinsä Liisan julkisen avaimen ja salaa sanoman sillä. - salatun sanoman (salasanoman) voi avata vain Liisan salainen avain, koska Liisa itse (tai tarkemmin ottaen Liisan järjestelmä N) on generoinut ko. julkinen/ salainen -avainparin. April Prof-Tel Oy

20 Avainrengas Liisan julkinen avain Liisan salainen avain Iines Emma Jaska Taina Liisa Salaus Järjestelmä A Salasanoma Salasanoma Salauksen purku Järjestelmä N Selväkielisanoma Selväkielisanoma Selväkielisanoma Selväkielisanoma Salaus Järjestelmä B Salaus Salasanoma Järjestelmä C Figure 12 a) salausmoodi April Prof-Tel Oy Liisan salainen avain Liisan julkinen avain Selväkielisanoma Selväkielisanoma Salaus Järjestelmä N Salasanoma Salasanoma Salauksen purku Järjestelmä A Salasanoma Salauksen purku Järjestelmä B Salauksen purku Selväkielisanoma Selväkielisanoma Järjestelmä C Figure 13 b) autentikointimoodi April Prof-Tel Oy

21 Toisessa, eli autentikointimoodissa, sanoma salataan salaisella avaimella ja puretaan lähettäjän vastaavalla julkisella avaimella (kuva 13). - järjestelmä N on esimerkiksi tilausjärjestelmä, jota Liisa käyttää tavaroiden tilaamiseen. - Liisa pitää salaisen avaimen tallessa ja julkaisee sitä vastaavan julkisen avaimen asianomaisille osapuolille tai kenelle tahansa, kuka sitä tarvitsee. - Liisa salaa sanoman omalla salaisella avaimellaan, jonka pystyy nyt purkamaan kuka tahansa, koska Liisan julkinen avain on yleisessä tiedossa. - Tässä tapauksessa sanomaa ei suojata (salata). Sen sijaan kuka tahansa, joka salasanoman pystyy purkamaan, voi vakuuttua alkuperäisen sanoman aitoudesta (autenttisuudesta), koska salasanoma voidaan avata vain lähettäjällä (Liisalla) tallessa olevaa yhtä ja ainoata salaista avainta vastaavalla Liisan julkisella avaimella. - julkisen avaimen menetelmää voidaan siten käyttää sekä sanoman salaamiseen että sanoman alkuperän aitouden ja eheyden todentamiseen. - autentikointimoodi muodostaa digitaalisen allekirjoituksen perusfunktion April Prof-Tel Oy - Julkisen avaimen menetelmässä on kuitenkin haittapuolia. Miten voidaan olla vakuuttuneita, että julkinen avain todella kuuluu väitetylle henkilölle? - Tätä varten julkinen avain pitää varmennuttaa luotettavalla kolmannella osapuolella (Trusted Third Party, TTP), mihin tarvitaan julkisen avaimen infrastruktuuria (PKI, Public Key Infrastructure). Salaisen ja julkisen avaimen yhdistetty käyttö "digitaalisesti suljettu kuori" - julkisen avaimen menetelmä (kuten RSA) soveltuu erityisen hyvin salaisen avaimen jakeluun suojaamattomassa kanavassa. - tätä menetelmää käytetään varsinkin Internet-sovelluksissa (kuten sähköpostissa, kuva 14), jolloin käyttö on spontaania eikä vastaanottajaa aina edes tunneta. - toiminta perustuu siihen, että symmetrinen avain (ns. istuntoavain), kuten DES-avain (tai turvallisempi 3-DES), voidaan generoida sanomakohtaisesti. April Prof-Tel Oy

22 - sanoma (esim. sähköpostiviesti) salataan tällä symmetrisellä avaimella ja itse symmetrinen avain vastaanottajan julkisella avaimella. - molemmat salatut sisällöt (sanoma + avain) siirretään vastaanottajalle, missä ne erotetaan. - ensiksi puretaan symmetrinen avain, jolla sitten avataan salattu sanoma. - tämän jälkeen symmetrinen avain hävitetään. - koko prosessi hoidetaan automaattisesti eikä käyttäjä sitä edes huomaa. - julkinen/salainen -avainpari on generoitu jo aikaisemmin. - salaamiseen käytetään symmetristä menetelmää, koska se on tehokas. - myös itse sanoma voitaisiin salata RSA-tekniikalla, mutta tämä olisi huomattavasti hitaampaa. Siirrettävä sanoma voi olla pitkä. RSA on noin pari dekadia hitaampi kuin esimerkiksi IDEA. Kun IDEA salaa sekunnissa Pentium 100 mikrolla (v. 95 taso) dataa noin 500 kilobittiä, RSA salaa vain noin 5 kilobittiä. April Prof-Tel Oy Suojattu digitaalinen kuori IDEA E Salattu sanoma IDEA D Selväkielisanoma Selväkielisanoma RSA RSA Symmetrinen IDEA-avain K E Salattu avain K D Symmetrinen IDEA-avain K Vastaanottajan julkinen avain Vastaanottajan salainen avain Figure 14 Suojattu sähköposti käyttää symmetristä IDEA-algoritmia sanoman salaamiseen ja RSA-suojausta avainten jakeluun (digitaalisesti suljettu kuori) April Prof-Tel Oy

23 RSA -- julkisen avaimen kryptosysteemi Mitä tehdään Miten tehdään Avainten generointi - Valitaan luvut p ja q p ja q molemmat suuria alkulukuja, luvut valitaan siten, että niillä on määrättyjä hyviä ominaisuuksia - Lasketaan n = pq - Valitaan kokonaisluku d s.y.t (φ(n),d) = 1, 1 < d < φ(n)) 1, φ(n) = (p-1)(q-1). - Lasketaan e e = d -1 mod φ(n), käyttämällä esim. Euklideen laajennettua s.y.t-algoritmia (s.y.t, suurin yhteinen tekijä) - Julkinen avain KU KU = {e,n}, julkistetaan (algoritmi EK) - Salainen avain KR KR = {d,n}, pidetään salassa (algoritmi DK) April Prof-Tel Oy Salaus Selväkielisanoma: M < n Salasanoma: C = M e (mod n) Salauksen purku Salasanoma: C Selväkielisanoma: M = C d (mod n) 1) Tämä tarkoittaa, että d:llä ja (p-1)(q-1):llä ei ole muita yhteisiä tekijöitä kuin 1 (s.y.t on suurin yhteinen tekijä). April Prof-Tel Oy

24 Esimerkki 1 - Sanoma M (kirjain S) salataan RSA:lla. - Valitaan kaksi alkulukua p = 7 ja q = Modulus n on siten pq = 119 ja φ(n) = (p-1)(q-1) = 6x16 = Valitaan julkinen avain e siten, että e:llä ja φ(n):llä ei ole yhteisiä tekijöitä ja että e < φ(n). - Valitaan e = 5. - Määrätään salainen avain d siten, että de = 1 mod φ(n), ja että d < φ(n). - Käyttämällä laajennettua Euklideen algoritmia (/1/, liite 1, kohta 2.3), tai tässä yksinkertaisessa esimerkissä kokeilemalla, saadaan d = Tarkastamalla nähdään, että 77x5 = 385 = 4x Julkinen avain on siten {n,e} = {119,5}, ja salainen avain {n,d} = {119,77}. April Prof-Tel Oy - Salasanoma C = M e mod n = 19 5 mod 119 = = x = 66 mod 119 = Vastaavasti selväkielisanoma saadaan M = C d mod n = mod Käytetään nyt neliöi ja kerro -menetelmää (/1/, liite 1, kohta 5.3) = Nyt 66 1 = 66, 66 2 = 4356 mod 119 = 72, 66 4 = 72 2 = 67, 66 8 = 67 2 = 86 mod 119 = 86, = 86 2 = 18, = 18 2 = 86, = 86 2 = Eli lopullisesti saadaan = 66x67x86x18 mod 119 = 19 = S. April Prof-Tel Oy

25 Esimerkki 2 - Valitaan p = 47 ja q = 59, joten n = 2773 ja φ(n) = 46x58 = Valitaan salainen avain ensiksi, d = 157 (valittu satunnaisesti väliltä 1<d<φ(n)). April Prof-Tel Oy - Määrätään julkinen avain e laajennetulla Euklideen algoritmilla, jolloin saadaan e = Tarkistetaan, että 17x157 = 2669 = 1 mod φ(n). - Julkistetaan {n,e} = {2773,17}. - Salattava sanoma on ITS ALL GREEK TO ME, joka koodataan seuraavasti: - I T S väli A Salasanoman ensimmäinen lohko C 1 = M 1 e mod 2773 = = Nyt = 920, = 635, = = 1140, = = 1836, = = C 1 on siten 1701x920 mod 2773 = Vastaavien operaatioiden jälkeen koko salasanoma on: April Prof-Tel Oy

26 - Tarkastetaan ensimmäinen lohko. - M 1 = C 1 d = = Samalla periaatteella kuin yllä saadaan = 948, = 252, = 2498, = 754, = 51, = 2601, = 1854, = 1569, joten = 1569x51x754x2498x948 mod 2773 = 2375x625x948 = 820x948 mod 2773 = Välitulokset voidaan laskea halutussa järjestyksessä (mod 2773). - Todellisuudessa luvut p ja q ovat luokkaa numeroa ( bittiä), joten laskennassa on satoja välituloksia. Laskenta suoritetaan kuitenkin samoilla yksinkertaisilla algoritmeilla (ks. /1/, liite 1), eikä potenssiin korottaminen vie kuin sekunnin murto-osia. April Prof-Tel Oy RSA: computational aspects Randomly select primes Prime density: the number of primes less than n, ρ(n) n / ln(n) For example, the prime density ρ( ) / ln( ) / 345 To find a prime of 150 digits (A) Randomly generate a 150-digit number n (B) If RPT(n)= n is prime, then n is prime with high probability, else go to (A) In average, it need try 345 times Compute d=e -1 mod φ(n) Extended Euclid s algorithm Find (a,b) such that a e+b φ(n)=1 Then, a = e -1 mod φ(n) Encryption/decryption Modular exponentiation ab mod n April Prof-Tel Oy

27 RSA: security Brute force Try all possible decryption keys 1, 2,, d d must be large: d > n 1/4 Factorization of n=pq # of digits 100 # of bits 332 Date achieved 04/91 MIPS- Year 7 algorithm Quadratic sieve /92 76 Quadratic sieve / Quadratic sieve / Quadratic sieve / General number field sieve / General number field sieve / General number field sieve April Prof-Tel Oy RSA-challenge RSA-129= p= q= To counter factorization, we need select strong prime for p and q n=pq is at least 1024-bit long p and q differ in a few digits p-1 and q-1 must have large prime factors, in particular, we choose p=2p +1 and q=2q +1, where p and q are prime gcd(p-1, q-1) must be small April Prof-Tel Oy

28 Timing attack A ciphertext-only attack By naïve implementation, the time for decrypting a ciphertext depends on the number of 1 s in e We can measure the response time of a decryption to guess what d is. Check if d i =1 then t t a mod n. For some t and a, the execution time is very slow Other PKC s (Public Key Cryptosystems) - ElGamal (important= - DSA (Digital Signature Algorithm, U.S. government, based on ElGamal), - ECC (Elliptic Curve Cryptosystems), important - NTRU, very important (high speed) - Knapsack - April Prof-Tel Oy 3. Digitaalinen allekirjoitus Omakätinen vs. digitaalinen allekirjoitus - dokumenttiin omakätisesti kirjoitettu allekirjoitus, tai muu henkilön tunnistava puumerkki, varmistaa allekirjoittajan identiteetin. - vastaavasti digitaalinen allekirjoitus on kryptografiaa käyttävä mekanismi, missä allekirjoitettavaan dokumenttiin (sanomaan) liitetään erityinen digitaalinen allekirjoitus -sanoma, jolla dokumentin vastaanottaja voi varmistua allekirjoittajasta ja siitä, että dokumenttia ei ole peukaloitu sen allekirjoittamisen jälkeen. - digitaalisella allekirjoituksella on suuri periaate-ero omakätiseen allekirjoitukseen verrattuna. Kun omakätinen allekirjoitus todentaa henkilön, digitaalinen allekirjoitus todentaa dokumentin. - mikäli käytetään henkilövarmennetta, digitaalinen allekirjoitus todentaa myös allekirjoittavan henkilön. - onko digitaalisella allekirjoituksella vastaavaa lainvoimaa oikeudessa kuin omakätisellä allekirjoituksella. April Prof-Tel Oy

29 - Tänä päivänä, kun on käytettävissä moderniin kryptografiaan ja kansainvälisiin standardeihin perustuvia digitaalisen allekirjoituksen menetelmiä ja kun luotettavan kolmannen osapuolen varmennepalvelut on toteutettu turvallisesti, kysymykseen voidaan teknisessä mielessä vastata kyllä. Digitaalisen allekirjoituksen periaate - digitaalinen allekirjoitus on epäsymmetrisen kryptografian sovellus (esim. RSA). - allekirjoitus muodostetaan toisella avaimella kuin millä allekirjoitus todistetaan - seuraavassa on tarkasteltu vain julkisen avaimen periaatteisiin perustuvaa digitaalista allekirjoitusta. - henkilön (tai muun objektin, kuten ohjelman, sovelluksen, tms) digitaaliseen allekirjoitukseen käytetään henkilökohtaista salaista avainta (vain ja ainostaan tätä) ja allekirjoitus todistetaan henkilön yleisellä avaimella (vain ja ainoastaan tällä). - henkilökohtainen avain on pidettävä ehdottomasti tallessa siten, että siihen eivät muut pääse käsiksi. April Prof-Tel Oy - yleinen (julkinen) avain voidaan julkistaa esimerkiksi Webissä. - mikäli lisäksi halutaan varmistua siitä, että julkinen avain on autenttinen, tarvitaan varmenneinfrastruktuuria (PKI), missä luotettava kolmas osapuoli (TTP) varmentaa käyttäjän ja hänen julkisen avaimen välisen yhteyden myöntämällään sertifikaatilla. - avainparit voidaan generoida monella eri tavoin. Ne voi generoida käyttäjä itse mikrossaan (esim. PGP), tai ne voi generoida ja myöntää palvelun tarjoaja (esim. SET-palvelu) tai luotettava kolmas osapuoli (TTP) suojatuissa tiloissa erikoislaitteilla, tai ne voidaan generoida suoraan älykortissa ilman ulkopuolisia lait-teistoja. - Viimeksi mainittu on turvallisin, koska salaista avainta ei koskaan siirretä generointipaikastaan pois. - kuvassa 15 on esitetty, miten itse generoidut julkiset avaimet varmennetaan henkilöllisyystodistuksen avulla ja julkaistaan sopivassa yleisessä hakemistossa. - huomattakoon, että julkista avainta ei tarvitse välttämättä julkaista missään. April Prof-Tel Oy

30 Se voidaan esimerkiksi lähettää aina tarvittaessa vastapuolelle. Menettelytapa riippuu tarkoitusperistä ja sovelluksesta. Digitaalista allekirjoitusta käytetään monissa tietoturvapalveluissa, kuten - sanoman kiistämättömyydessä, - tiedon alkuperän ja itse tiedon tunnistamisessa, ja - tiedon todistamisessa (taulukko 1). Digitaalisen allekirjoituksen teknologiat Internetin nykyiset digitaaliset allekirjoitukset perustuvat joko - pelkkien hash-funktioiden käyttöön, - RSA-menetelmiin (kuva 16), tai - DSS-standardiin (Digital Signature Standard, USA). April Prof-Tel Oy Seppo Iines Julkinen sertifikaattiluettelo (esim. Webissä) Sertifikaatti Sertifikaatti Sertifikaatti Sertifikaatti Pekka Maija Matti Ida Sertifikaatti Sertifikaatti Sertifikaatti Sertifikaatti Jaska Taina Samppa Raili Sertifikaatti Sertifikaatti Sertifikaatti Sertifikaatti Henkilöllisyystodistus Henkilöllisyystodistus Seppo Rauni Bob Alice Sertifikaatti Sertifikaatti Sertifikaatti Sertifikaatti Eve Em ma Iines Väiski Varmentaja Figure 15 Julkisen avaimen varmentaminen henkilöllisyystodistuksen avulla ja julkaiseminen yleisessä varmennehakemistossa April Prof-Tel Oy

31 Lähettäjä Tiedonsiirtoyhteys Vastaanottaja Sanoma Sanoma Hash-funktio Digitaalinen allekirjoitus Hash-funktio Salainen avain Tiiviste Salaus Sanoma Siirretty sanoma Purku Julkinen avain Digitaalinen allekirjoitus Odotettu tiiviste Todellinen tiiviste Verrataan: jos nämä ovat samat, allekirjoitus on aito Figure 16 RSA-menetelmään ja hash-funktioon perustuva digitaalinen allekirjoitus? April Prof-Tel Oy Luotettava kolmas osapuoli ja PKI Merkitys ja roolit Miksi tarvitaan luotettuja kolmansia osapuolia? - useimmat verkkoteknologiat ja sovellukset edellyttävät tunnistamista (autenticity) ja yksilönsuojaa (privacy) - tämän päivän esimerkkejä: - WWW-transaktiot, juridiset transaktiot, - ja FTP - hakemistot - etä-login (remote login) - EDI - elektroninen maksaminen - suojatut IP-yhteydet,... - autentisointi- ja suojausmenetelmät tulevat perustumaan yhä useammin autentikointi- ja salausteknologioiden käyttöön henkilökohtaisten tunnusten ja salasanojen sijasta (tilanne nyt). - erityisesti digitaalinen allekirjoitus perustuu julkisen avaimen salausmenetelmiin April Prof-Tel Oy

32 - julkisen avaimen salausteknologia edellyttää julkisten avainten autentisointia - digitaaliset allekirjoitukset luodaan allekirjoittajan salaisella avaimella, ja voidaan todentaa vastaavalla julkisella avaimella, mihin todentaja (käyttäjä) luottaa - luotetut kolmannet osapuolet (TTP) vahvistavat käytössä olevien avainten määrätyt ominaisuudet, liittämällä avain kryptograafisesti esimerkiksi - käyttäjän nimeen - käyttäjän rooliin (ikä, oikeudet, asema,...), vrt. anonyymi - tai muihin ominaisuuksiin, joita tarvitaan esimerkiksi pääsynohjauksessa (access control) digitaalisen allekirjoituksen avulla, minkä TTP luo omalla salaisella avaimellaan. April Prof-Tel Oy 4. PKI-konsepti (Public Key Infrastructure) Rakenne ja palvelut (kuva 17) - PKI on varmenteiden (digitaalisten sertifikaattien), varmentajien (CA, Certificate Authority), rekisteröijien ja sertifioinnin hallinta- ja hakemistopalveluiden järjestelmä, millä varmennetaan mihin tahansa Internet-transaktioon (tai mobiilitransaktioon) osallistuvan kunkin osapuolen identiteetit ja valtuudet. - CA voi olla yrityksen sisäinen tai ulkopuolinen (esim. VRK) - sisältää mekanismit tukea eri tyyppisten Internet-sovellusten tietoturvapalveluja (esim. suojattu , suojatut WWW-dokumentit, e-kaupan maksuprotokollat,...) - tarjoaa tietosuoja- ja digitaaliset allekirjoituspalvelut kansainvälistä elektronista kaupankäyntiä varten, sekä kaupan ja hallinnon juridisiin sekä kansalaisen yksilönsuojan tarpeisiin, jne - perustuu julkisen avaimen kryptografiaan (ks. varmenne, kuva 18) April Prof-Tel Oy

33 Avainparien generointi Digitaalisen allekirjoituksen todentaminen Key escrowasiamies Sanoman luottamuksellisuuspalvelu Pääsynvalvontapalvelu (access control) Sanoman eheyspalvelu Tunnistuspalvelu (autentisointi) Digitaalinen notariaattipalvelu Varmennettu toimitus (postinkanto)-palvelu Määränpään (vastaanoton) kiistämättömyyspalvelu Digitaalisen allekirjoituksen generointi Sertifikaattien tallennus Politiikan hyväksyntä Sertifikaattien myöntäminen Luotettava avainten vaihto Alkuperän kiistämättömyyspalvelu Istunnon luottamuksellisuuspalvelu Todistusten myöntäminen, "lipputoimisto" Sertifikaattien peruuttaminen Sanomien purku (key escrowing) Selväkielitekstin pelastuspalvelu (key recovery) Ajan/päivämäärän leimauspalvelu Tietojen varastointi Tietoturvapalvelut ja -asiamiehet Hakemistot Yleiset tieto- ja verkkopalvelut Nimeäminen & rekisteröinti Figure 17 Monipuolinen PKI-järjestelmä (toteutunee kokonaisuudessaan vasta myöhemmin) April Prof-Tel Oy - tietoyhteiskunnan ajokortti, digitaalinen passin, ajokortin tai luottokortin vastine Sertifikaatti (X.509 v3- formaatti) - määrättyjä tai jotain muita hyödyllisiä ominaisuuksia liitetään julkiseen avaimeen (ja siten myös omistajan vastaavaan salaiseen avaimeen) Sertifikaattiformaatin versio Sertifikaatin sarjanumero Allekirjoitusalgoritmin ID (CA:n allekirjoitus) CA:n salainen avain - käytetään jonkun toiminnon valtuuttamiseen, luvan antamiseen, ominaisuuden takaamiseen, jne - digitaalisesti allekirjoitettu todistus edellä mainituista asioista sille, jota asia koskee (henkilö, ohjelma, joku muu olio) - toimii varmennettuna todistuksena omis-tajalleen toteuttaa erilaisia transaktioita Internetissä Optio CA X.500-nimi Voimassaoloaika (aloitus- ja erääntymispvm/aika) Kohde X.500-nimi Kohteen Algoritmin ID julkisen avaimen informaatio Avaimen arvo CA:n yksikäsitteinen tunniste Kohteen yksikäsitteinen tunniste Laajennukset CA:n digitaalinen allekirjoitus Digitaalisen allekirjoituksen generointi - sertifikaatin myöntää varmentaja (CA, Certificate Authority), esim. sähköisen henkilökortin osalta Suomessa VRK. Laajennustyyppi Kriittinen/ei-kr. Laajennuskentän arvo Laajennustyyppi Kriittinen/ei-kr. Laajennuskentän arvo Figre 18 Digitaalinen varmenne (sertifikaatti) Laajennustyyppi Kriittinen/ei-kr. Laajennuskentän arvo April Prof-Tel Oy

34 5. Hash-functions Hash Function Characteristics A hash function Takes message of arbitrary length and returns a fixed-length hash value (Fig. 19) Also called: Message digest Thumbprint Fingerprint Good hash functions are: One-way (infeasible to to find input whose hash value is the specified output) Collision-resistant (it is hard to find two random messages with the same hash value) Question: Can a hash function be collision-free? April Prof-Tel Oy Hash Functions in Practice Message integrity Include hash value along with message Sender/recipient hashes should match Expedite digital signatures Signing the hash value is much faster than signing entire message, but offers similar level of assurance Generate pseudo-random bit streams (less common) Examples of Hash Functions MD2 MD4 MD5 SHA-1 Haval (variable length) MAC (Fig. 20) April Prof-Tel Oy

35 Kuva 19 Yksisuuntaisen hash-funktion käyttö tiivisteen muodostamiseen /1/ Tiivisteen pituus on yleensä joko 128 bittiä (MD5, MD4, MD2, RIPEMD-128) tai 160 bittiä (SHA, RIPEMD-160). MD4- ja MD2-algoritmeja ei enää juuri tapaa käytännössä. April Prof-Tel Oy Kuva 20 Message Authentication Code (MAC) April Prof-Tel Oy

36 III IPSec (VPN) - very basic overview - TCP/IP - some examples April Prof-Tel Oy Kuva 21 Automaattinen Internet-reititys liittää verkot yhteen April Prof-Tel Oy

37 Liikenne voi kulkea missä tahansa verkossa sijaitsevan minkä tahansa tietokoneen (host) välillä. Kaikissa host-koneissa on reititystaulukko lista sen lähettämän liiken-teen osoitteista. Työasema B käyttää reitittämiseen oheista kuvan taulukkoa. Jos määräasema ei ole suoraan liittyvässä verkossa, paketti lähetetään reitittimeen tai reitityspalvelimelle, joka ohjaa sen seuraavaksi lähempään verkkoon. Esimerkiksi liikenne työasemasta B palvelimeen C lähetetään automaattisesti palvelimen D kautta (reititys-host) ja edelleen reitittimeen B palvelimen C verkon saavuttamiseksi. Kuva 22 TCP/IP-protokollien hierarkiatasot ja vastaavat osoitteet IP on verkkotason protokolla, joka määrittelee paketit, joilla informaatiota verkossa siirretään. TCP (Transmission Control Protocol) on IPkerroksen päällä oleva kuljetustason yhteyspohjainen (connection oriented) protokolla. UDP (User Datagram Protocol) on datagram-pakettien siirtämiseen tarkoitettu, IP- kerroksen päällä oleva kuljetustason yhteydetön (connectionless) protokolla. Päinvastoin kuin TCP-protokollassa, UDP ei sisällä virheiden korjausta, eikä pakettien uudelleen lähetystä eikä järjestyksen ylläpitoa. UDP-paketteja on helppo manipuloida ja sotkea niiden järjestystä. Turvaprotokollat eivät yleensä salli UDP-protokollien käyttöä. April Prof-Tel Oy Kuva 23 IPSEC-suojaus on transparenttista Internet-sovelluksille ja -reitittimille IPSEC-suojaus tapahtuu IP-reititysinformaation yläpuolella ja sovellusdatan alapuolella. Reitittimet eivät huomioi ylimääräisiä IPSEC-otsikoita, eivätkä sovellukset näe IPSECkryptopalveluja. April Prof-Tel Oy

38 1. TCP/IP protocol Layers of TCP/IP protocol Application TCP IP Data link Physical IP packet Link-H Net-H IP-H TCP-H Data Link-T April Prof-Tel Oy Data in TCP/IP Application data abcdefghi TCP abc def ghi IP TCP abc TCP def TCP ghi IP TCP abc IP TCP def IP TCP ghi Figure 24 TCP/IP April Prof-Tel Oy

39 Network level protocol Application data abcdefghi TCP abc def ghi IP TCP abc TCP def TCP ghi IPSec IP TCP abc IP TCP def IP TCP ghi IP IPSec TCP uvw IP IPSec TCP xyz IP IPSec TCP lmn Figure 25 IPSec -kentät April Prof-Tel Oy 2. IP-level security (IPSec) - Encrypt and authenticate all traffic at the IP level. - It is transparent to application programs - Three security functions - Authentication - Confidentiality - Key management - Applications: - Secure branch office connectivity over the Internet - Secure remote access over the Internet - Enhancing electronic commerce security In LAN, data are is still in plaintext - In WAN (Internet), data are encrypted - An IPSec gateway is installed in between LAN and WAN April Prof-Tel Oy

40 Figure 26 IP security scenario April Prof-Tel Oy Benefits of IPSec - IPSec is implemented in a firewall/router so that all traffics are controlled by the gateway - IPSec is transparent to applications and users - Since data are not encrypted in LAN so that IPSec does not incur encryption load within LAN IPSec overview - SA (security association): it specifies parameters from the sender to the receiver SPI: Security parameters index IP: the receiver s IP address, which is the address of a user/firewall/router/gateway Security protocol identifier AH: authentication header for authentication service only ESP: encapsulating security payload for encryption service ESP with authentication: as ESP, but with authentication ability - Each AH and ESP has two modes: transport and tunnel. April Prof-Tel Oy

41 - Transport mode Protection for the data payload of an IP packet only Used for end-to-end encryption between two hosts (client/server) - Tunnel mode Protection for the entire IP packet (including IP address) Used for firewall/secure router firewall/secure router IPv4 and IPv6 - IPv6 is an enhancement from IPv4 such that IPv6 provides security headers IPv6 uses 64-bit IP addresses, while IPv4 uses 32-bit IP address Authentication header (AH) - Format of AH Next header (8 bits) Payload length (8 bits) Security parameters index (32 bits) Sequence number (32 bits) Authentication data: it contains integrity check value of this IP packet April Prof-Tel Oy Figure 27 IPSec Authentication Header - Next head: the type of the next header - Payload length: length (minus 2) of AH in 32-bit words, eg. If authentication data is 96 bits, then Payload length is 4. - SPI: identifies a security association - Sequence number: a increased counter for anti-replay. - Authentication data: contains Integrity check vaule (ICV) or MAC April Prof-Tel Oy

42 AH Transport mode processing - The original IP header is not changed so that the receiver is the same as that sent by the sender - The AH header is added to the IP packet so that the receiver can perform authentication checking - For both IPv4 and IPv6, the entire packet (except some mutable fields) is authenticated. (see Figure 28) AH Tunnel mode processing - The entire original IP packet is treated as data payload in this mode - A new destination IP (firewall/secure router) is used. - Therefore, the entire IP packet is authenticated April Prof-Tel Oy April Prof-Tel Oy

43 Figure 28 Scope of AH Authentication April Prof-Tel Oy Encapsulation security payload (ESP) - Format of ESP Security parameters index (32 bits) Sequence number (32 bits) Payload data: protected by encryption Padding Next header (8 bits) Authentication data: integrity check value Security Parameters Index (SPI) Sequence Number Figure 29 IPSec ESP Format Confidentiality coverage Authentication coverage Payload Data (variable) Padding (0-255 bytes) Pad Length Authentication Data (variable) Figure 13.7 IPSec ESP Format Next Header April Prof-Tel Oy

44 ESP transport mode processing Authenticated Encrypted IPv4 Orig IP hdr ESP hdr TCP Data ESP ESP trlr auth Authenticated Encrypted IPv6 Orig IP hdr Hop-by-hop, dest, ESP dest TCP Data routing, fragment hdr ESP ESP trlr auth (a) Transport mode April Prof-Tel Oy ESP tunnel mode processing Authenticated Encrypted IPv4 new IP hdr ESP hdr Orig IP hdr TCP Data ESP ESP trlr auth Authenticated Encrypted IPv6 new IP hdr ext ESP headers hdr orig IP hdr ext headers TCP Data ESP ESP trlr auth (b) Tunnel mode Figure 30 ESP in IPSec April Prof-Tel Oy

45 ESP transport mode vs. tunnel mode Figure 31 Transport-mode vs. Tunnel-Mode Encryption April Prof-Tel Oy 89 Prof-Tel Oy 4 combinations: April 2003

46 April Prof-Tel Oy April Prof-Tel Oy

47 Figure 32 Four combinations April Prof-Tel Oy IPSec key management - Manual - Automatic Oakley: a key exchange protocol based on the DH-key exchange algorithm, but with added security ISAKMP (internet security association and key management protocol): provides the specific protocol support, including format, for negotiation of security attributes, such as, X.509 certificate service (see PKI above) April Prof-Tel Oy

48 K i i t o s! April Prof-Tel Oy