Introduction to Network Security basic algorithms, technology, trust

Introduction to Network Security basic algorithms, technology, trust Prof. Esa Kerttula Prof-Tel Oy April 2003 (privately held presentation) April 2003 1 Prof-Tel Oy Content - security framework - goals, terminology - solutions - challenges from the implementation point of view - basic technologies - symmetric algorithms: DES, 3DES, AES, - asymmetric algorithms: RSA, ECC, - hash functions: MD5, SHA-1, - security functions, e.g. digital signature - PKI - IPSec References: /1/ Esa Kerttula, Tietoverkkojen tietoturva, Edita, 3. painos, 2000 /2/ http://www.cis.nctu.edu.tw/~tzeng/ April 2003 2 Prof-Tel Oy

I Security Framework 1. System security: goals - Avoid intrusion - System flaw - un-authorized users - Thefts, - Avoid destruction - System flaws - Viruses - Natural catastrophe: fire, earthquake, - Assure availability - denial of service (DOS), - Restorability April 2003 3 Prof-Tel Oy 2. System security: techniques - User authentication - Access control - authorization - Monitoring - Intrusion detection - Auditing April 2003 4 Prof-Tel Oy

Network security: model I - kertakäyttö salasanat - vahva tunnistus - datan salaus - monitasoinen O/S - turvallinen Web - virustorjunta - auditointi/ backup - datan salaus Tietokannat - turvalliset relatiivitietokannat - turvalliset objektitietokannat Intranet Asiakkaat Internet - salaus - palomuurit - VPN - palomuurit - host-tietoturva - viestinnän tietoturva - tietojen eheys - tietojen saatavuus - single sign-on - datan salaus - toimipisteen tietoturva Kuluttajat - elektroninen kaupankäynti - digitaaliset allekirjoitukset Intranet - Windows NT - kiistämättömyys Tuottajat Figure 1 Information security covers whole information infrastructure /1/ April 2003 5 Prof-Tel Oy Network security: model II Kehittyneet tietoverkot Kehittynyt multimedia Tieto-omaisuuden suojaaminen yksityisyyden suojaaminen kauppasalaisuuksien suojaaminen omistusoikeuden suojaaminen Verkkojen lisääntynyt käyttö sopimukset verkkojen kautta informaation kierrättäminen tapahtumasuoritukset verkkojen kautta Defensiivinen tietoturva Offensiivinen tietoturva kryptografia pääsynvalvonta autentikointiteknologiat digitaaliset allekirjoitukset kiistämättömyys Figure 2 From defensive security to offensive security April 2003 6 Prof-Tel Oy

Tietoturvauhkat ja riskit Laiton käyttö Salakuuntelu / tiedon muuntaminen Laiton pääsy Laiton operointi Vilpillinen osapuoli Hyökkäys Luotettava kolmas osapuoli Aito osapuoli Sanomat Salaista informaatiota Aito osapuoli Figure 3 Verkko Data Tietojärjestelmään kohdistuvat turvauhkat ja riskit ja hyökkäyksiltä suojautuminen defensiivinen tietoturva /1/ Tietoturvan varmistaminen Autentisointi / allekirjoitukset Informaation tietoturvamuunnos Kryptografia Pääsynvalvonta Monitorointi, auditointi April 2003 7 Prof-Tel Oy Turvallisten ja luotettavien Internet-paikkojen rakentaminen elektronisia kauppatapahtumia varten Käyttäjät voivat etsiä tuotteita luetteloista, ja tilata sekä maksaa ne mikrollaan tai esimerkiksi kännykällään Elektroninen maksaminen Tuoteluettelot e-commerce Palvelun tarjoajat voivat tuoda / päivittää tuoteluettelonsa ja myydä tuotteensa verkossa, ja saada myös maksun verkon kautta Palvelin Käyttäjät Elektroninen markkinapaikka Palvelun tarjoajat Internet / intranet Tietoturva-alustat Salaus-/ autentikointituotteet Figure 4 Turvallisten e-commerce palvelujen yleinen toimintakehikko offensiivinen tietoturva /1/ Digitaaliset allekirjoitukset Kohteen autentikointi Sanoman autentikointi Avainten jakelu/ hallinta Verkkoraha, elektroninen rahakukkaro Salaisen avaimen järjestelmät Julkisen avaimen järjestelmät Nollatietotodistukset... April 2003 8 Prof-Tel Oy

3. Network security: attacks - Interruption - Denial of service - Interception - Eavesdropping - Modification - Fabrication - Impersonation - Replay - Traffic analysis - 4. Network security: goals - Protect data transmitted over public networks - Provide security services for network security - Build secure systems that can be run over public networks - Secure payment systems for e-commerce - Secure bidding systems - Secure voting systems - Secure poker play systems - April 2003 9 Prof-Tel Oy 5. Network security: techniques - Cryptography - Encryption - Digital signature - User authentication - Data integrity - Access control - Identification - Authentication - Authorization - Security services - Confidentiality (privacy, secrecy) - Authentication - Integrity - Non-repudiation 6. Security functions (applications) - taulukossa 1 on tärkeimpiä tietoturvatavoitteita (tietoturvafunktioita). - tietoturvallisuuden tavoitteita ei voida aina saavuttaa yksinään pelkillä matemaattisilla algoritmeilla ja protokollilla, vaan tarvitaan April 2003 10 Prof-Tel Oy

myös teknisiä menettelytapoja (esim. PKI) ja tietoturvalakeja. - keskeisenä ajatuksena digitaalinen allekirjoitus - samassa verkossa voi olla tuhansia yrityksiä ja jopa miljoonia mikroja. - etäisyydet ovat pitkiä eikä vastapuolta välttämättä aina tunneta eikä ole edes nähty (esim. e-commerce). 7. Security policy Ks. kuva 5. April 2003 11 Prof-Tel Oy

Taulukko 1 Informaation tai viestintäsovelluksen tietoturvatavoitteita tunnistaminen (identification) laillistaminen (authorization) lupa ja/tai varmentaminen (license and/or certification) allekirjoitus (signature) todistaminen/notaarin vahvistus (witnessing/notarization) yhtäaikaisuus (concurrence) vastuu (velvollisuus) (liability) kuitti/kuittaus (receipts) alkuperän ja/tai kuitin todentaminen (certification of origination and/or receipt) siirtomerkintä (endorsement) pääsylupa (access), pääsynvalvonta (access control) oikeaksi osoittaminen (validation) tapahtuma-aika (time of occurrence) oikeaksi todentaminen, autentikointi ohjelmistot ja datat authenticity) äänestäminen (vote) omistusoikeus (ownership) omistusoikeus (copyright) rekisteröinti (registration) hyväksyminen/hylkääminen (approval/disapproval) yksilönsuoja/salainen (privacy/secrecy) April 2003 12 Prof-Tel Oy Yrityksen tietoturvapolitiikka Liiketoiminta ohjaa Suojattava tieto ja laitteet Suojattu verkko Yrityksen tietoturvaratkaisu: - IPSEC-suojattu VPN - palomuurit - sovellusten suojaus Tietoturvan hallintajärjestelmä Ihmiset ja laitteet TTP Tietoturvapalvelut: pääsynvalvonta, tietojen luottamuksellisuus, eheys ja saatavuus,... Tietoturvateknologiat: kryptografia, turvalliset käyttöjärjestelmät, sertifikaatit, TTP, PKI,... Figure 5 Turvaratkaisut toteutetaan yrityksen tietoturvapolitiikan pohjalta /1/ April 2003 13 Prof-Tel Oy

II Basic Technologies The Aspects of Cryptography Modern cryptography heavily depends on mathematics and the usage of digital systems. It is a inter-disciplinary study of basically three fields: - Mathematics - Computer Science - Electrical Engineering Without having a complete understanding of cryptoanalysis (or cryptoanalytic techniques) it is impossible to design good (secure, unbreakable) cryptographic systems. It makes use of other disciplines such as error-correcting codes compression. Hierarchy of security technologies (see Fig. 6) April 2003 14 Prof-Tel Oy Tietoturvan sovellukset Turvallinen tiedonsiirto Elektroninen kaupankäynti On-line asiointi Luotettava kolmas osapuoli... Tietoturvapalvelut-- tietoturvallisuuden päätavoitteet Luottamuksellisuus Tiedon eheys Autentikointi Kiistämättömyys Kryptografiset funktiot Tiedon salaus Tiedon eheyden teknologiat Sanoman autentisointi Identifiointi Digitaaliset allekirjoitukset Kryptografiset algoritmit ja muunnokset Jonosalaajat Lohkosalaajat Salaus (julkinen avain) Hash-funktiot Allekirjoitukset (julkinen avain) Allekirjoitukset (salainen avain) Matemaattiset työkalut Satunnaislukujen generointi Julkisen avaimen parametrit Tehokkaat algoritmit Infrastruktuuriteknologiat ja kaupalliset komponentit Avaintenluontiprotokollat Avainten hallinta Tietoturva-API:t Standardit Patentit Kryptografian perusteet ja ongelmat Matemaattiset perusteet Kryptografiset ongelmat Kryptografinen kompleksisuus Figure 6 Hierarchy of Information security technologies /1/ April 2003 15 Prof-Tel Oy

1. Symmetric, or Secret-key encryption (DES, 3DES, AES, ) Kryptografiasta - Tietoturvan tekniset tavoitteet toteutetaan pääasiassa kryptografialla. - Kryptografia tarkoittaa tietoturvapalveluihin, kuten - tiedon tai siirron luottamuksellisuuteen, - tiedon eheyteen, olion autenttisuuteen tai - tiedon alkuperän autenttisuuteen, liittyvien matemaattisten menetelmien tutkimusta. - Kryptografisella järjestelmällä (kryptosysteemillä) tarkoitetaan kryptografisista peruskomponenteista, kryptoprimitiiveistä (tiedon salaus- ja allekirjoitusmenetelmät, hash-funktiot, jne), rakennettua järjestelmää. April 2003 16 Prof-Tel Oy Kryptomenetelmät Kryptografiset menetelmät voidaan jakaa kahteen pääluokkaan - symmetrisen (yhden, salaisen) avaimen, ja - epäsymmetrisen (kahden, julkisen ja henkilökohtaisen (salaisen)) avaimen menetelmiin. Salaisen (symmetrisen) avaimen menetelmät - Kuvassa 7 on salaisen avaimen (symmetrisen avaimen) periaate. Avain, esimerkiksi DES- tai IDEA-avain, pitää toimittaa vastapuolelle turvallisesti jotenkin (iso ongelma). - Internetissä tähän käytettyjä menetelmiä ovat - joko sopia siitä jotenkin salaisesti keskenään, - digitaalisesti suljetun kuoren käyttö (ks. jäljempänä), ja - Diffie-Hellman avainten sopiminen /1/. April 2003 17 Prof-Tel Oy

- Avainten käytöstä pitää sopia kahden kesken, mutta tämä menettely sopii vain hyvin suljettuun käyttöön. - Hyvin suunniteltu symmetrinen menetelmä voidaan murtaa periaatteessa vain raa an voiman murrolla (kokeillaan kaikki avainkombinaatiot). Avain Salaus Salasanoma Salauksen purku Selväkielisanoma Selväkielisanoma Järjestelmä A Järjestelmä B Figure 7 Symmetrinen salaiseen avaimeen perustuva kryptojärjestelmä April 2003 18 Prof-Tel Oy eavesdropper Open networks Figure 8 Security problem Alice How are you? This is Alice. Eve: eavesdropper Bob??? eavesdropper Figure 9 Secret-key encryption Alice Encryption/ decryption Open networks?xx#4fa9$3pd1@$^85f Encryption/ decryption Bob K Secure channel K April 2003 19 Prof-Tel Oy

cryptanalysis P, K Figure 10 The model Encryption: E Decryption:D P: plaintext C: ciphertext P: plaintext K: key K: key Terminology Plaintext P: the message Ciphertext C: the encrypted message Secret key K: a binary string of some fixed length Encryption algorithm E E(K,P)=E K (P)=C April 2003 20 Prof-Tel Oy Decryption algorithm D D(K,C)=D K (C)=P, for C=E K (P)=C D(K, E(K,P))=P Cryptosystem (or code) Key space: the set of all possible keys Message space: the set of all possible messages Ciphertext space: the set of all possible ciphertexts Encryption algorithm: key space message space ciphertext space Decryption algorithm: key space ciphertext space message space Cryptanalysis: to analyze cryptosystems without keys Cryptography Study and application of secret writing Transfer a message into an unintelligible form Cryptology Cryptography Cryptanalysis April 2003 21 Prof-Tel Oy

Steganography Conceal a message in a way that outsiders do not know its existence Information hiding Watermark General use All users use the same encryption and decryption algorithms A pair of users establish a secret key from the key space between them Each user has N-1 keys Total N(N-1)/2 keys Alice and Bob use K A,B for secure communication, where K A,B is known to Alice and Bob only Performance requirement Encryption and decryption algorithms must Simple Very fast Secure April 2003 22 Prof-Tel Oy Software implementation 10M-100M bits per second Hardware implementation 100M-1G bits per second Cryptanalysis: basic assumptions Encryption and decryption algorithms are public (Kerckhoff s principle) Only the key is unknown Successful attack Get partial or whole key Get partial or whole plaintext of the challenge ciphertext Cryptanalysis: types Unknown The encryption/decryption key K Goal To compute the plaintext of a challenge ciphertext C, or To compute the unknown key April 2003 23 Prof-Tel Oy

Attack types Ciphertext only attack Given some ciphertext C 1, C 2, Known plaintext attack Given some pairs of plaintext and ciphertext (P 1,C 1 ), (P 2,C 2 ), Chosen plaintext attack Given pairs of plaintext and ciphertext (P 1,C 1 ), (P 2,C 2 ),, where P i s are chosen by the attacker Attack types (cont.) Chosen ciphertext attack Given pairs of plaintext and ciphertext (P 1,C 1 ), (P 2,C 2 ),, where C i s are chosen by the attacker Chosen text attack Given pairs of plaintext and ciphertext (P 1,C 1 ), (P 2,C 2 ),, where some P i s and some C j s are chosen by the attacker April 2003 24 Prof-Tel Oy Security types Unconditionally (information-theoretically) secure No matter how much resources (time, space, ciphertext) is given, the attacker cannot uniquely determine the key or the plaintext of the challenge ciphertext Computationally secure The attacker cannot get the key or the ciphertext of the challenge ciphertext using limited resources Attack: exhaustive search Key space {K 1, K 2,, K m } Given some ciphertext C, compute D(K 1,C)=P 1, D(K 2,C)=P 2,, D(K m,c)=p m If some P i is intelligible (e.g. some valid English sentence), K i is possibly the right key Given pair (P,C), compute E(K 1,P)=C 1, E(K 2,P)=C 2,, E(K m,p)=c m For C=C i, K i is possibly the right key April 2003 25 Prof-Tel Oy

The size of the key space {K 1, K 2,, K m } must be HUGE. At least, m = O(2 64 ) (The big o - notation) Safe, m=o(2 128 ). Computational security As long as the key K is used many times, the cipher is not unconditionally secure All keys in key space Valid Valid keys (P keys 1,C 1 ) (P 2,C 2 ) (P z,c z ) K Exhaustive search April 2003 26 Prof-Tel Oy How large is large? Key length 32 bits 56 bits 64 bits 128 bits 8 chars+nums Number of keys 4.3x10 9 7.2x10 16 1.8x10 19 3.4x10 38 2.1x10 14 Time for 10 9 (1G) encryptions/sec 4.3 secs 2.3 years 588 years 5.4x10 27 years 2.4 days April 2003 27 Prof-Tel Oy

Scale magnitude? Reference Seconds in a year Years of our universe Seconds since creation of our solar system Clocks per year of 1GHz CPU 56-bit binary strings 128-bit binary strings 75-digit primes Electrons in the universe Magnitude 3x10 7 6x10 9 2x10 17 3.2x10 16 3.6x10 16 3.4x10 38 5.2x10 72 8.3x10 77 April 2003 28 Prof-Tel Oy Data Encryption Standard (DES) Background 1977 NBS (National Bureau of Standards, U.S.A., now NIST National Institute of Standards and Technology) Developed from IBM s Lucifer cipher General description A Feistel cipher 64-bit plaintext and ciphertext 56-bit keys 16 rounds Modes of operations Electronic codebook mode (ECB) Cipher block chaining mode (CBC) Cipher feedback mode (CFB) Output feedback mode (OFB) April 2003 29 Prof-Tel Oy

Figure 11 General description of DES encryption algorithm April 2003 30 Prof-Tel Oy Security analysis of DES Why 56 bits? Lucifer s key is 64-bit long Rumor: it was deliberately reduced so that NSA can break it Facts 1997: distributed exhaustive key search all over the world takes 3 months. 1998: specialized key search chips take 56 hours 1999: the search device is improved and achieves the record of 22 hours Differential attack Chosen plaintext attack 247 chosen plaintexts in breaking 16-round DES A hundred of chosen plaintexts in breaking 6-round DES April 2003 31 Prof-Tel Oy

Double DES Key size K=(K1, K2): 112 bits C=EK1(EK2(P)) Meet-in-the-middle attack Given a pair (P, C) Let Ki be the ith key of the key space, 0 i 256-1 Compute Mi=EKi(P), 0 i 256-1 Compute Nj=DKj(C), 0 i 256-1 Check whether Mi=Nj If so, K=(Ki, Kj) is very likely to be the secret key Time: 256 256=2112 The memory size for Mi s: 256 64 bits we need not store Nj s. - April 2003 32 Prof-Tel Oy Triple DES Plaintext, ciphertext: 64 bits Key K=(K1, K2): 112 bits Encryption: C=EK1(DK2(EK1(P))) Decryption: P=DK1(EK2(DK1(P))) Advantages Key size is larger Compatible with regular one-key DES Set K1=K2=K (56-bit) P=EK(DK(EK(P)))=EK(P) C=DK(EK(DK(P)))=DK(P) April 2003 33 Prof-Tel Oy

AES Advanced Encryption Standard Motivation: to replace DES NIST called for proposal, Jan 2, 1997, with selection criteria Security Computational efficiency Memory requirement Hardware and software suitability Simplicity Flexibility Licensing requirements NIST, Oct 2, 2000, announced The AES algorithm is Rijndael Rijndael Joan Daemen & Vincent Rijmen (Belgium) Key size: 128, 192, 256 Block size: 128, 192, 256 Round: flexible April 2003 34 Prof-Tel Oy Mathematical background Byte-level operations Each byte consists of 8 bits (over the field GF(2 8 )) Example: (57) 16 0x 7 +x 6 +0x 5 +x 4 +0x 3 +x 2 +x+1 Addition (bitwise XOR) Example: 57+83=D4 (x 6 +x 4 +x 2 +x+1)+(x 7 +x+1)=x 7 +x 6 +x 4 +x 2 Multiplication (mod m(x)) m(x)=x 8 +x 4 +x 3 +x+1 or (11B) 16 : irreducible polynomial Example: 57 83 (mod m(x))=c1 (x 6 +x 4 +x 2 +x+1) (x 7 +x+1) mod m(x) = x 13 +x 11 +x 9 +x 8 +x 6 +x 5 +x 4 +x 3 +1 mod m(x) = x 7 +x 6 +1 Word-level operations Each word consists of 4 bytes Bytes are operated over GF(2 8 ) a(x)=a 3 y 3 +a 2 y 2 +a 1 y+a 0, where a i over GF(2 8 ) b(x)=b 3 y 3 +b 2 y 2 +b 1 y+b 0, where b i over GF(2 8 ) Definition: a(y) b(y)=a(y)b(y) mod y 4 +1 April 2003 35 Prof-Tel Oy

Conclusion Simple Symmetric and parallel structure Flexible implementation Secure against all known cryptanalytic attacks Suitable for modern processors (32-bit processor) Suitable for smart cards (8-bit processor) April 2003 36 Prof-Tel Oy 2. Asymmetric, or Public-key encryption - Julkisen avaimen menetelmiä (mm. RSA, nimi tulee keksijöiden sukunimistä: Rivest, Shamir, Adleman) voidaan käyttää kahdella eri tavalla (kahdessa moodissa) riippuen siitä, käytetäänkö avainparin julkista vaiko henkilökohtaista (salaista) avainta. - Ensimmäinen on salausmoodi (kuva 12) ja toinen autentikointimoodi (kuva 13). - Salausmoodissa julkinen avain lähetetään tai ilmoitetaan jotenkin (julkisesti) kaikille tarvittaville osapuolille, esimerkiksi kuvassa 12 järjestelmän N asiakkaille A, B ja C. - N-järjestelmä voi olla esimerkiksi kauppiaan (Liisa) elektronista kaupankäyntiä tukeva Web-palvelin. - jos esimerkiksi järjestelmä A (Pekka) haluaa lähettää salaisen sanoman Liisalle, etsii Pekka käsiinsä Liisan julkisen avaimen ja salaa sanoman sillä. - salatun sanoman (salasanoman) voi avata vain Liisan salainen avain, koska Liisa itse (tai tarkemmin ottaen Liisan järjestelmä N) on generoinut ko. julkinen/ salainen -avainparin. April 2003 37 Prof-Tel Oy

Avainrengas Liisan julkinen avain Liisan salainen avain Iines Emma Jaska Taina Liisa Salaus Järjestelmä A Salasanoma Salasanoma Salauksen purku Järjestelmä N Selväkielisanoma Selväkielisanoma Selväkielisanoma Selväkielisanoma Salaus Järjestelmä B Salaus Salasanoma Järjestelmä C Figure 12 a) salausmoodi April 2003 38 Prof-Tel Oy Liisan salainen avain Liisan julkinen avain Selväkielisanoma Selväkielisanoma Salaus Järjestelmä N Salasanoma Salasanoma Salauksen purku Järjestelmä A Salasanoma Salauksen purku Järjestelmä B Salauksen purku Selväkielisanoma Selväkielisanoma Järjestelmä C Figure 13 b) autentikointimoodi April 2003 39 Prof-Tel Oy

Toisessa, eli autentikointimoodissa, sanoma salataan salaisella avaimella ja puretaan lähettäjän vastaavalla julkisella avaimella (kuva 13). - järjestelmä N on esimerkiksi tilausjärjestelmä, jota Liisa käyttää tavaroiden tilaamiseen. - Liisa pitää salaisen avaimen tallessa ja julkaisee sitä vastaavan julkisen avaimen asianomaisille osapuolille tai kenelle tahansa, kuka sitä tarvitsee. - Liisa salaa sanoman omalla salaisella avaimellaan, jonka pystyy nyt purkamaan kuka tahansa, koska Liisan julkinen avain on yleisessä tiedossa. - Tässä tapauksessa sanomaa ei suojata (salata). Sen sijaan kuka tahansa, joka salasanoman pystyy purkamaan, voi vakuuttua alkuperäisen sanoman aitoudesta (autenttisuudesta), koska salasanoma voidaan avata vain lähettäjällä (Liisalla) tallessa olevaa yhtä ja ainoata salaista avainta vastaavalla Liisan julkisella avaimella. - julkisen avaimen menetelmää voidaan siten käyttää sekä sanoman salaamiseen että sanoman alkuperän aitouden ja eheyden todentamiseen. - autentikointimoodi muodostaa digitaalisen allekirjoituksen perusfunktion April 2003 40 Prof-Tel Oy - Julkisen avaimen menetelmässä on kuitenkin haittapuolia. Miten voidaan olla vakuuttuneita, että julkinen avain todella kuuluu väitetylle henkilölle? - Tätä varten julkinen avain pitää varmennuttaa luotettavalla kolmannella osapuolella (Trusted Third Party, TTP), mihin tarvitaan julkisen avaimen infrastruktuuria (PKI, Public Key Infrastructure). Salaisen ja julkisen avaimen yhdistetty käyttö "digitaalisesti suljettu kuori" - julkisen avaimen menetelmä (kuten RSA) soveltuu erityisen hyvin salaisen avaimen jakeluun suojaamattomassa kanavassa. - tätä menetelmää käytetään varsinkin Internet-sovelluksissa (kuten sähköpostissa, kuva 14), jolloin käyttö on spontaania eikä vastaanottajaa aina edes tunneta. - toiminta perustuu siihen, että symmetrinen avain (ns. istuntoavain), kuten DES-avain (tai turvallisempi 3-DES), voidaan generoida sanomakohtaisesti. April 2003 41 Prof-Tel Oy

- sanoma (esim. sähköpostiviesti) salataan tällä symmetrisellä avaimella ja itse symmetrinen avain vastaanottajan julkisella avaimella. - molemmat salatut sisällöt (sanoma + avain) siirretään vastaanottajalle, missä ne erotetaan. - ensiksi puretaan symmetrinen avain, jolla sitten avataan salattu sanoma. - tämän jälkeen symmetrinen avain hävitetään. - koko prosessi hoidetaan automaattisesti eikä käyttäjä sitä edes huomaa. - julkinen/salainen -avainpari on generoitu jo aikaisemmin. - salaamiseen käytetään symmetristä menetelmää, koska se on tehokas. - myös itse sanoma voitaisiin salata RSA-tekniikalla, mutta tämä olisi huomattavasti hitaampaa. Siirrettävä sanoma voi olla pitkä. RSA on noin pari dekadia hitaampi kuin esimerkiksi IDEA. Kun IDEA salaa sekunnissa Pentium 100 mikrolla (v. 95 taso) dataa noin 500 kilobittiä, RSA salaa vain noin 5 kilobittiä. April 2003 42 Prof-Tel Oy Suojattu digitaalinen kuori IDEA E Salattu sanoma IDEA D Selväkielisanoma Selväkielisanoma RSA RSA Symmetrinen IDEA-avain K E Salattu avain K D Symmetrinen IDEA-avain K Vastaanottajan julkinen avain Vastaanottajan salainen avain Figure 14 Suojattu sähköposti käyttää symmetristä IDEA-algoritmia sanoman salaamiseen ja RSA-suojausta avainten jakeluun (digitaalisesti suljettu kuori) April 2003 43 Prof-Tel Oy

RSA -- julkisen avaimen kryptosysteemi Mitä tehdään Miten tehdään Avainten generointi - Valitaan luvut p ja q p ja q molemmat suuria alkulukuja, luvut valitaan siten, että niillä on määrättyjä hyviä ominaisuuksia - Lasketaan n = pq - Valitaan kokonaisluku d s.y.t (φ(n),d) = 1, 1 < d < φ(n)) 1, φ(n) = (p-1)(q-1). - Lasketaan e e = d -1 mod φ(n), käyttämällä esim. Euklideen laajennettua s.y.t-algoritmia (s.y.t, suurin yhteinen tekijä) - Julkinen avain KU KU = {e,n}, julkistetaan (algoritmi EK) - Salainen avain KR KR = {d,n}, pidetään salassa (algoritmi DK) April 2003 44 Prof-Tel Oy Salaus Selväkielisanoma: M < n Salasanoma: C = M e (mod n) Salauksen purku Salasanoma: C Selväkielisanoma: M = C d (mod n) 1) Tämä tarkoittaa, että d:llä ja (p-1)(q-1):llä ei ole muita yhteisiä tekijöitä kuin 1 (s.y.t on suurin yhteinen tekijä). April 2003 45 Prof-Tel Oy

Esimerkki 1 - Sanoma M (kirjain S) salataan RSA:lla. - Valitaan kaksi alkulukua p = 7 ja q = 17. - Modulus n on siten pq = 119 ja φ(n) = (p-1)(q-1) = 6x16 = 96. - Valitaan julkinen avain e siten, että e:llä ja φ(n):llä ei ole yhteisiä tekijöitä ja että e < φ(n). - Valitaan e = 5. - Määrätään salainen avain d siten, että de = 1 mod φ(n), ja että d < φ(n). - Käyttämällä laajennettua Euklideen algoritmia (/1/, liite 1, kohta 2.3), tai tässä yksinkertaisessa esimerkissä kokeilemalla, saadaan d = 77. - Tarkastamalla nähdään, että 77x5 = 385 = 4x96 + 1. - Julkinen avain on siten {n,e} = {119,5}, ja salainen avain {n,d} = {119,77}. April 2003 46 Prof-Tel Oy - Salasanoma C = M e mod n = 19 5 mod 119 = 2 476 099 = 20 807x119 + 66 = 66 mod 119 = 66. - Vastaavasti selväkielisanoma saadaan M = C d mod n = 66 77 mod 119. - Käytetään nyt neliöi ja kerro -menetelmää (/1/, liite 1, kohta 5.3). - 77 = 64 + 8 + 4 + 1. - Nyt 66 1 = 66, 66 2 = 4356 mod 119 = 72, 66 4 = 72 2 = 67, 66 8 = 67 2 = 86 mod 119 = 86, 66 16 = 86 2 = 18, 66 32 = 18 2 = 86, 66 64 = 86 2 = 18. - Eli lopullisesti saadaan 66 77 = 66x67x86x18 mod 119 = 19 = S. April 2003 47 Prof-Tel Oy

Esimerkki 2 - Valitaan p = 47 ja q = 59, joten n = 2773 ja φ(n) = 46x58 = 2668. - Valitaan salainen avain ensiksi, d = 157 (valittu satunnaisesti väliltä 1<d<φ(n)). April 2003 48 Prof-Tel Oy - Määrätään julkinen avain e laajennetulla Euklideen algoritmilla, jolloin saadaan e = 17. - Tarkistetaan, että 17x157 = 2669 = 1 mod φ(n). - Julkistetaan {n,e} = {2773,17}. - Salattava sanoma on ITS ALL GREEK TO ME, joka koodataan seuraavasti: - I T S väli A... 0920 1900 0112 1200 0718 0505 1100 2015 0013 0500. - Salasanoman ensimmäinen lohko C 1 = M 1 e mod 2773 = 920 17 = 920 16+1. - Nyt 920 1 = 920, 920 2 = 635, 920 4 = 635 2 = 1140, 920 8 = 1140 2 = 1836, 920 16 = 1836 2 = 1701. - C 1 on siten 1701x920 mod 2773 = 948. - Vastaavien operaatioiden jälkeen koko salasanoma on: 0948 2342 1084 1444 2663 2390 0778 0774 0219 1655 April 2003 49 Prof-Tel Oy

- Tarkastetaan ensimmäinen lohko. - M 1 = C 1 d = 948 157 = 948 128+16+8+4+1. - Samalla periaatteella kuin yllä saadaan 948 1 = 948, 948 2 = 252, 948 4 = 2498, 948 8 = 754, 948 16 = 51, 948 32 = 2601, 948 64 = 1854, 948 128 = 1569, joten 948 157 = 1569x51x754x2498x948 mod 2773 = 2375x625x948 = 820x948 mod 2773 = 920. - Välitulokset voidaan laskea halutussa järjestyksessä (mod 2773). - Todellisuudessa luvut p ja q ovat luokkaa 150-300 numeroa (512-1024 bittiä), joten laskennassa on satoja välituloksia. Laskenta suoritetaan kuitenkin samoilla yksinkertaisilla algoritmeilla (ks. /1/, liite 1), eikä potenssiin korottaminen vie kuin sekunnin murto-osia. April 2003 50 Prof-Tel Oy RSA: computational aspects Randomly select primes Prime density: the number of primes less than n, ρ(n) n / ln(n) For example, the prime density ρ(10 150 ) 10 150 / ln(10 150 ) 10 150 / 345 To find a prime of 150 digits (A) Randomly generate a 150-digit number n (B) If RPT(n)= n is prime, then n is prime with high probability, else go to (A) In average, it need try 345 times Compute d=e -1 mod φ(n) Extended Euclid s algorithm Find (a,b) such that a e+b φ(n)=1 Then, a = e -1 mod φ(n) Encryption/decryption Modular exponentiation ab mod n April 2003 51 Prof-Tel Oy

RSA: security Brute force Try all possible decryption keys 1, 2,, d d must be large: d > n 1/4 Factorization of n=pq # of digits 100 # of bits 332 Date achieved 04/91 MIPS- Year 7 algorithm Quadratic sieve 110 365 04/92 76 Quadratic sieve 120 398 06/93 830 Quadratic sieve 129 428 04/94 5000 Quadratic sieve 130 431 04/96 500 General number field sieve 140 462 02/99 2000 General number field sieve 155 512 08/99 8000 General number field sieve April 2003 52 Prof-Tel Oy RSA-challenge RSA-129= 114381625757888867669235779976146612010218296721 242362562561842935706935245733897830597123563958 705058989075147599290026879543541 p=3490529510847650949147849619903898133417764638 493387843990820577 q=3276913299326670954996198819083446141317764296 7992942539798288533 To counter factorization, we need select strong prime for p and q n=pq is at least 1024-bit long p and q differ in a few digits p-1 and q-1 must have large prime factors, in particular, we choose p=2p +1 and q=2q +1, where p and q are prime gcd(p-1, q-1) must be small April 2003 53 Prof-Tel Oy

Timing attack A ciphertext-only attack By naïve implementation, the time for decrypting a ciphertext depends on the number of 1 s in e We can measure the response time of a decryption to guess what d is. Check if d i =1 then t t a mod n. For some t and a, the execution time is very slow Other PKC s (Public Key Cryptosystems) - ElGamal (important= - DSA (Digital Signature Algorithm, U.S. government, based on ElGamal), - ECC (Elliptic Curve Cryptosystems), important - NTRU, very important (high speed) - Knapsack - April 2003 54 Prof-Tel Oy 3. Digitaalinen allekirjoitus Omakätinen vs. digitaalinen allekirjoitus - dokumenttiin omakätisesti kirjoitettu allekirjoitus, tai muu henkilön tunnistava puumerkki, varmistaa allekirjoittajan identiteetin. - vastaavasti digitaalinen allekirjoitus on kryptografiaa käyttävä mekanismi, missä allekirjoitettavaan dokumenttiin (sanomaan) liitetään erityinen digitaalinen allekirjoitus -sanoma, jolla dokumentin vastaanottaja voi varmistua allekirjoittajasta ja siitä, että dokumenttia ei ole peukaloitu sen allekirjoittamisen jälkeen. - digitaalisella allekirjoituksella on suuri periaate-ero omakätiseen allekirjoitukseen verrattuna. Kun omakätinen allekirjoitus todentaa henkilön, digitaalinen allekirjoitus todentaa dokumentin. - mikäli käytetään henkilövarmennetta, digitaalinen allekirjoitus todentaa myös allekirjoittavan henkilön. - onko digitaalisella allekirjoituksella vastaavaa lainvoimaa oikeudessa kuin omakätisellä allekirjoituksella. April 2003 55 Prof-Tel Oy

- Tänä päivänä, kun on käytettävissä moderniin kryptografiaan ja kansainvälisiin standardeihin perustuvia digitaalisen allekirjoituksen menetelmiä ja kun luotettavan kolmannen osapuolen varmennepalvelut on toteutettu turvallisesti, kysymykseen voidaan teknisessä mielessä vastata kyllä. Digitaalisen allekirjoituksen periaate - digitaalinen allekirjoitus on epäsymmetrisen kryptografian sovellus (esim. RSA). - allekirjoitus muodostetaan toisella avaimella kuin millä allekirjoitus todistetaan - seuraavassa on tarkasteltu vain julkisen avaimen periaatteisiin perustuvaa digitaalista allekirjoitusta. - henkilön (tai muun objektin, kuten ohjelman, sovelluksen, tms) digitaaliseen allekirjoitukseen käytetään henkilökohtaista salaista avainta (vain ja ainostaan tätä) ja allekirjoitus todistetaan henkilön yleisellä avaimella (vain ja ainoastaan tällä). - henkilökohtainen avain on pidettävä ehdottomasti tallessa siten, että siihen eivät muut pääse käsiksi. April 2003 56 Prof-Tel Oy - yleinen (julkinen) avain voidaan julkistaa esimerkiksi Webissä. - mikäli lisäksi halutaan varmistua siitä, että julkinen avain on autenttinen, tarvitaan varmenneinfrastruktuuria (PKI), missä luotettava kolmas osapuoli (TTP) varmentaa käyttäjän ja hänen julkisen avaimen välisen yhteyden myöntämällään sertifikaatilla. - avainparit voidaan generoida monella eri tavoin. Ne voi generoida käyttäjä itse mikrossaan (esim. PGP), tai ne voi generoida ja myöntää palvelun tarjoaja (esim. SET-palvelu) tai luotettava kolmas osapuoli (TTP) suojatuissa tiloissa erikoislaitteilla, tai ne voidaan generoida suoraan älykortissa ilman ulkopuolisia lait-teistoja. - Viimeksi mainittu on turvallisin, koska salaista avainta ei koskaan siirretä generointipaikastaan pois. - kuvassa 15 on esitetty, miten itse generoidut julkiset avaimet varmennetaan henkilöllisyystodistuksen avulla ja julkaistaan sopivassa yleisessä hakemistossa. - huomattakoon, että julkista avainta ei tarvitse välttämättä julkaista missään. April 2003 57 Prof-Tel Oy

Se voidaan esimerkiksi lähettää aina tarvittaessa vastapuolelle. Menettelytapa riippuu tarkoitusperistä ja sovelluksesta. Digitaalista allekirjoitusta käytetään monissa tietoturvapalveluissa, kuten - sanoman kiistämättömyydessä, - tiedon alkuperän ja itse tiedon tunnistamisessa, ja - tiedon todistamisessa (taulukko 1). Digitaalisen allekirjoituksen teknologiat Internetin nykyiset digitaaliset allekirjoitukset perustuvat joko - pelkkien hash-funktioiden käyttöön, - RSA-menetelmiin (kuva 16), tai - DSS-standardiin (Digital Signature Standard, USA). April 2003 58 Prof-Tel Oy Seppo Iines Julkinen sertifikaattiluettelo (esim. Webissä) Sertifikaatti Sertifikaatti Sertifikaatti Sertifikaatti Pekka Maija Matti Ida Sertifikaatti Sertifikaatti Sertifikaatti Sertifikaatti Jaska Taina Samppa Raili Sertifikaatti Sertifikaatti Sertifikaatti Sertifikaatti Henkilöllisyystodistus Henkilöllisyystodistus Seppo Rauni Bob Alice Sertifikaatti Sertifikaatti Sertifikaatti Sertifikaatti Eve Em ma Iines Väiski Varmentaja Figure 15 Julkisen avaimen varmentaminen henkilöllisyystodistuksen avulla ja julkaiseminen yleisessä varmennehakemistossa April 2003 59 Prof-Tel Oy

Lähettäjä Tiedonsiirtoyhteys Vastaanottaja Sanoma Sanoma Hash-funktio Digitaalinen allekirjoitus Hash-funktio Salainen avain Tiiviste Salaus Sanoma Siirretty sanoma Purku Julkinen avain Digitaalinen allekirjoitus Odotettu tiiviste Todellinen tiiviste Verrataan: jos nämä ovat samat, allekirjoitus on aito Figure 16 RSA-menetelmään ja hash-funktioon perustuva digitaalinen allekirjoitus? April 2003 60 Prof-Tel Oy Luotettava kolmas osapuoli ja PKI Merkitys ja roolit Miksi tarvitaan luotettuja kolmansia osapuolia? - useimmat verkkoteknologiat ja sovellukset edellyttävät tunnistamista (autenticity) ja yksilönsuojaa (privacy) - tämän päivän esimerkkejä: - WWW-transaktiot, juridiset transaktiot, - e-mail ja FTP - hakemistot - etä-login (remote login) - EDI - elektroninen maksaminen - suojatut IP-yhteydet,... - autentisointi- ja suojausmenetelmät tulevat perustumaan yhä useammin autentikointi- ja salausteknologioiden käyttöön henkilökohtaisten tunnusten ja salasanojen sijasta (tilanne nyt). - erityisesti digitaalinen allekirjoitus perustuu julkisen avaimen salausmenetelmiin April 2003 61 Prof-Tel Oy

- julkisen avaimen salausteknologia edellyttää julkisten avainten autentisointia - digitaaliset allekirjoitukset luodaan allekirjoittajan salaisella avaimella, ja voidaan todentaa vastaavalla julkisella avaimella, mihin todentaja (käyttäjä) luottaa - luotetut kolmannet osapuolet (TTP) vahvistavat käytössä olevien avainten määrätyt ominaisuudet, liittämällä avain kryptograafisesti esimerkiksi - käyttäjän nimeen - käyttäjän rooliin (ikä, oikeudet, asema,...), vrt. anonyymi - tai muihin ominaisuuksiin, joita tarvitaan esimerkiksi pääsynohjauksessa (access control) digitaalisen allekirjoituksen avulla, minkä TTP luo omalla salaisella avaimellaan. April 2003 62 Prof-Tel Oy 4. PKI-konsepti (Public Key Infrastructure) Rakenne ja palvelut (kuva 17) - PKI on varmenteiden (digitaalisten sertifikaattien), varmentajien (CA, Certificate Authority), rekisteröijien ja sertifioinnin hallinta- ja hakemistopalveluiden järjestelmä, millä varmennetaan mihin tahansa Internet-transaktioon (tai mobiilitransaktioon) osallistuvan kunkin osapuolen identiteetit ja valtuudet. - CA voi olla yrityksen sisäinen tai ulkopuolinen (esim. VRK) - sisältää mekanismit tukea eri tyyppisten Internet-sovellusten tietoturvapalveluja (esim. suojattu e-mail, suojatut WWW-dokumentit, e-kaupan maksuprotokollat,...) - tarjoaa tietosuoja- ja digitaaliset allekirjoituspalvelut kansainvälistä elektronista kaupankäyntiä varten, sekä kaupan ja hallinnon juridisiin sekä kansalaisen yksilönsuojan tarpeisiin, jne - perustuu julkisen avaimen kryptografiaan (ks. varmenne, kuva 18) April 2003 63 Prof-Tel Oy

Avainparien generointi Digitaalisen allekirjoituksen todentaminen Key escrowasiamies Sanoman luottamuksellisuuspalvelu Pääsynvalvontapalvelu (access control) Sanoman eheyspalvelu Tunnistuspalvelu (autentisointi) Digitaalinen notariaattipalvelu Varmennettu toimitus (postinkanto)-palvelu Määränpään (vastaanoton) kiistämättömyyspalvelu Digitaalisen allekirjoituksen generointi Sertifikaattien tallennus Politiikan hyväksyntä Sertifikaattien myöntäminen Luotettava avainten vaihto Alkuperän kiistämättömyyspalvelu Istunnon luottamuksellisuuspalvelu Todistusten myöntäminen, "lipputoimisto" Sertifikaattien peruuttaminen Sanomien purku (key escrowing) Selväkielitekstin pelastuspalvelu (key recovery) Ajan/päivämäärän leimauspalvelu Tietojen varastointi Tietoturvapalvelut ja -asiamiehet Hakemistot Yleiset tieto- ja verkkopalvelut Nimeäminen & rekisteröinti Figure 17 Monipuolinen PKI-järjestelmä (toteutunee kokonaisuudessaan vasta myöhemmin) April 2003 64 Prof-Tel Oy - tietoyhteiskunnan ajokortti, digitaalinen passin, ajokortin tai luottokortin vastine Sertifikaatti (X.509 v3- formaatti) - määrättyjä tai jotain muita hyödyllisiä ominaisuuksia liitetään julkiseen avaimeen (ja siten myös omistajan vastaavaan salaiseen avaimeen) Sertifikaattiformaatin versio Sertifikaatin sarjanumero Allekirjoitusalgoritmin ID (CA:n allekirjoitus) CA:n salainen avain - käytetään jonkun toiminnon valtuuttamiseen, luvan antamiseen, ominaisuuden takaamiseen, jne - digitaalisesti allekirjoitettu todistus edellä mainituista asioista sille, jota asia koskee (henkilö, ohjelma, joku muu olio) - toimii varmennettuna todistuksena omis-tajalleen toteuttaa erilaisia transaktioita Internetissä Optio CA X.500-nimi Voimassaoloaika (aloitus- ja erääntymispvm/aika) Kohde X.500-nimi Kohteen Algoritmin ID julkisen avaimen informaatio Avaimen arvo CA:n yksikäsitteinen tunniste Kohteen yksikäsitteinen tunniste Laajennukset CA:n digitaalinen allekirjoitus Digitaalisen allekirjoituksen generointi - sertifikaatin myöntää varmentaja (CA, Certificate Authority), esim. sähköisen henkilökortin osalta Suomessa VRK. Laajennustyyppi Kriittinen/ei-kr. Laajennuskentän arvo Laajennustyyppi Kriittinen/ei-kr. Laajennuskentän arvo Figre 18 Digitaalinen varmenne (sertifikaatti) Laajennustyyppi Kriittinen/ei-kr. Laajennuskentän arvo April 2003 65 Prof-Tel Oy

5. Hash-functions Hash Function Characteristics A hash function Takes message of arbitrary length and returns a fixed-length hash value (Fig. 19) Also called: Message digest Thumbprint Fingerprint Good hash functions are: One-way (infeasible to to find input whose hash value is the specified output) Collision-resistant (it is hard to find two random messages with the same hash value) Question: Can a hash function be collision-free? April 2003 66 Prof-Tel Oy Hash Functions in Practice Message integrity Include hash value along with message Sender/recipient hashes should match Expedite digital signatures Signing the hash value is much faster than signing entire message, but offers similar level of assurance Generate pseudo-random bit streams (less common) Examples of Hash Functions MD2 MD4 MD5 SHA-1 Haval (variable length) MAC (Fig. 20) April 2003 67 Prof-Tel Oy

Kuva 19 Yksisuuntaisen hash-funktion käyttö tiivisteen muodostamiseen /1/ Tiivisteen pituus on yleensä joko 128 bittiä (MD5, MD4, MD2, RIPEMD-128) tai 160 bittiä (SHA, RIPEMD-160). MD4- ja MD2-algoritmeja ei enää juuri tapaa käytännössä. April 2003 68 Prof-Tel Oy Kuva 20 Message Authentication Code (MAC) April 2003 69 Prof-Tel Oy

III IPSec (VPN) - very basic overview - TCP/IP - some examples April 2003 70 Prof-Tel Oy Kuva 21 Automaattinen Internet-reititys liittää verkot yhteen April 2003 71 Prof-Tel Oy

Liikenne voi kulkea missä tahansa verkossa sijaitsevan minkä tahansa tietokoneen (host) välillä. Kaikissa host-koneissa on reititystaulukko lista sen lähettämän liiken-teen osoitteista. Työasema B käyttää reitittämiseen oheista kuvan taulukkoa. Jos määräasema ei ole suoraan liittyvässä verkossa, paketti lähetetään reitittimeen tai reitityspalvelimelle, joka ohjaa sen seuraavaksi lähempään verkkoon. Esimerkiksi liikenne työasemasta B palvelimeen C lähetetään automaattisesti palvelimen D kautta (reititys-host) ja edelleen reitittimeen B palvelimen C verkon saavuttamiseksi. Kuva 22 TCP/IP-protokollien hierarkiatasot ja vastaavat osoitteet IP on verkkotason protokolla, joka määrittelee paketit, joilla informaatiota verkossa siirretään. TCP (Transmission Control Protocol) on IPkerroksen päällä oleva kuljetustason yhteyspohjainen (connection oriented) protokolla. UDP (User Datagram Protocol) on datagram-pakettien siirtämiseen tarkoitettu, IP- kerroksen päällä oleva kuljetustason yhteydetön (connectionless) protokolla. Päinvastoin kuin TCP-protokollassa, UDP ei sisällä virheiden korjausta, eikä pakettien uudelleen lähetystä eikä järjestyksen ylläpitoa. UDP-paketteja on helppo manipuloida ja sotkea niiden järjestystä. Turvaprotokollat eivät yleensä salli UDP-protokollien käyttöä. April 2003 72 Prof-Tel Oy Kuva 23 IPSEC-suojaus on transparenttista Internet-sovelluksille ja -reitittimille IPSEC-suojaus tapahtuu IP-reititysinformaation yläpuolella ja sovellusdatan alapuolella. Reitittimet eivät huomioi ylimääräisiä IPSEC-otsikoita, eivätkä sovellukset näe IPSECkryptopalveluja. April 2003 73 Prof-Tel Oy

1. TCP/IP protocol Layers of TCP/IP protocol Application TCP IP Data link Physical IP packet Link-H Net-H IP-H TCP-H Data Link-T April 2003 74 Prof-Tel Oy Data in TCP/IP Application data abcdefghi TCP abc def ghi IP TCP abc TCP def TCP ghi IP TCP abc IP TCP def IP TCP ghi Figure 24 TCP/IP April 2003 75 Prof-Tel Oy

Network level protocol Application data abcdefghi TCP abc def ghi IP TCP abc TCP def TCP ghi IPSec IP TCP abc IP TCP def IP TCP ghi IP IPSec TCP uvw IP IPSec TCP xyz IP IPSec TCP lmn Figure 25 IPSec -kentät April 2003 76 Prof-Tel Oy 2. IP-level security (IPSec) - Encrypt and authenticate all traffic at the IP level. - It is transparent to application programs - Three security functions - Authentication - Confidentiality - Key management - Applications: - Secure branch office connectivity over the Internet - Secure remote access over the Internet - Enhancing electronic commerce security -... - In LAN, data are is still in plaintext - In WAN (Internet), data are encrypted - An IPSec gateway is installed in between LAN and WAN April 2003 77 Prof-Tel Oy

Figure 26 IP security scenario April 2003 78 Prof-Tel Oy Benefits of IPSec - IPSec is implemented in a firewall/router so that all traffics are controlled by the gateway - IPSec is transparent to applications and users - Since data are not encrypted in LAN so that IPSec does not incur encryption load within LAN IPSec overview - SA (security association): it specifies parameters from the sender to the receiver SPI: Security parameters index IP: the receiver s IP address, which is the address of a user/firewall/router/gateway Security protocol identifier AH: authentication header for authentication service only ESP: encapsulating security payload for encryption service ESP with authentication: as ESP, but with authentication ability - Each AH and ESP has two modes: transport and tunnel. April 2003 79 Prof-Tel Oy

- Transport mode Protection for the data payload of an IP packet only Used for end-to-end encryption between two hosts (client/server) - Tunnel mode Protection for the entire IP packet (including IP address) Used for firewall/secure router firewall/secure router IPv4 and IPv6 - IPv6 is an enhancement from IPv4 such that IPv6 provides security headers IPv6 uses 64-bit IP addresses, while IPv4 uses 32-bit IP address Authentication header (AH) - Format of AH Next header (8 bits) Payload length (8 bits) Security parameters index (32 bits) Sequence number (32 bits) Authentication data: it contains integrity check value of this IP packet April 2003 80 Prof-Tel Oy Figure 27 IPSec Authentication Header - Next head: the type of the next header - Payload length: length (minus 2) of AH in 32-bit words, eg. If authentication data is 96 bits, then Payload length is 4. - SPI: identifies a security association - Sequence number: a increased counter for anti-replay. - Authentication data: contains Integrity check vaule (ICV) or MAC April 2003 81 Prof-Tel Oy

AH Transport mode processing - The original IP header is not changed so that the receiver is the same as that sent by the sender - The AH header is added to the IP packet so that the receiver can perform authentication checking - For both IPv4 and IPv6, the entire packet (except some mutable fields) is authenticated. (see Figure 28) AH Tunnel mode processing - The entire original IP packet is treated as data payload in this mode - A new destination IP (firewall/secure router) is used. - Therefore, the entire IP packet is authenticated April 2003 82 Prof-Tel Oy April 2003 83 Prof-Tel Oy

Figure 28 Scope of AH Authentication April 2003 84 Prof-Tel Oy Encapsulation security payload (ESP) - Format of ESP Security parameters index (32 bits) Sequence number (32 bits) Payload data: protected by encryption Padding Next header (8 bits) Authentication data: integrity check value 0 16 24 31 Security Parameters Index (SPI) Sequence Number Figure 29 IPSec ESP Format Confidentiality coverage Authentication coverage Payload Data (variable) Padding (0-255 bytes) Pad Length Authentication Data (variable) Figure 13.7 IPSec ESP Format Next Header April 2003 85 Prof-Tel Oy

ESP transport mode processing Authenticated Encrypted IPv4 Orig IP hdr ESP hdr TCP Data ESP ESP trlr auth Authenticated Encrypted IPv6 Orig IP hdr Hop-by-hop, dest, ESP dest TCP Data routing, fragment hdr ESP ESP trlr auth (a) Transport mode April 2003 86 Prof-Tel Oy ESP tunnel mode processing Authenticated Encrypted IPv4 new IP hdr ESP hdr Orig IP hdr TCP Data ESP ESP trlr auth Authenticated Encrypted IPv6 new IP hdr ext ESP headers hdr orig IP hdr ext headers TCP Data ESP ESP trlr auth (b) Tunnel mode Figure 30 ESP in IPSec April 2003 87 Prof-Tel Oy

ESP transport mode vs. tunnel mode Figure 31 Transport-mode vs. Tunnel-Mode Encryption April 2003 88 Prof-Tel Oy 89 Prof-Tel Oy 4 combinations: April 2003

April 2003 90 Prof-Tel Oy April 2003 91 Prof-Tel Oy

Figure 32 Four combinations April 2003 92 Prof-Tel Oy IPSec key management - Manual - Automatic Oakley: a key exchange protocol based on the DH-key exchange algorithm, but with added security ISAKMP (internet security association and key management protocol): provides the specific protocol support, including format, for negotiation of security attributes, such as, X.509 certificate service (see PKI above) April 2003 93 Prof-Tel Oy

K i i t o s! April 2003 94 Prof-Tel Oy