Datasikkerhet. Datasikkerhet. Trusler mot sikkerheten. Kampen mellom det gode og det onde. Datasikkerhet dreier seg om

Transkript

1 Datasikkerhet Datasikkerhet dreier seg om At dataene er tilgjengelige for rette vedkommende (Tilgjengelighet) Datasikkerhet At dataene er utilgjengelig for uvedkommende (Konfidensialitet) At dataene er korrekte (Integritet) At ressurser (maskin- og programvare) ikke kan misbrukes jf. Cyganski Chapter 21 Sikkerhetstiltak: En avveining mellom kostnader, Sikkerhet Kostnader og brukervennlighet brukervennlighet og sikkerhet INF1040-Sikkerhet-1 INF1040-Sikkerhet-2 Kampen mellom det gode og det onde Trusler mot sikkerheten Manglende tilgjengelighet, tap av data Tyveri av data Forvrengning/forfalskning av data Misbruk av ressurser (på din regning) Ødeleggelse av ressurser Truslene kan ha bakgrunn i tekniske feil menneskelig svikt ulovlig/kriminell virksomhet Etter: INF1040-Sikkerhet-3 INF1040-Sikkerhet-4

2 Gjøre data uleselige eller usynlige Data kan gjøres uleselige for utenforstående (kryptering) eller skjules (steganografi) Aktuelt for data som befinner seg utenfor sikkerhetsgjerdet, som for eksempel: Data Kryptering av data Krypterte data Dekrypteringsprosess Krypteringsnøkkel Dekrypteringsnøkkel Krypteringsprosess Data På vei over nettet fra et system til et annet (dataoverføringer, meldinger) På en bærbar datamaskin (stjålet?) På flashmemory eller diskett Også aktuelt som en ekstra beskyttelse for kritiske data som befinner seg innenfor sikkerhetsgjerdet. Data Data Tjeneste Sikkerhetsgjerde (for eksempel innlogging i et maskinmiljø) INF1040-Sikkerhet-5 Formål: Gjøre data som sendes eller lagres uleselige for uvedkommende Utfordringer: Finne tilstrekkelig effektive krypterings- og dekrypteringsprosesser Gjøre det praktisk umulig å Alice, Bob & Wendy finne dekrypteringsnøkkelen ( knekke koden ) Administrere dekrypteringsnøkler INF1040-Sikkerhet-6 Krypteringsterminologi Kryptering: Ek(P) = C (Encryption with key k of plaintext P) Dekryptering: Dk(C) = P (Decryption with key k of crypted text C) To typer krypteringsalgoritmer: Symmetrisk og asymmetrisk kryptering Segl: Kontrollverdi som beregnes ut fra P Digital signatur: Segl kryptert med avsenders private nøkkel Symmetrisk krypteringsteknikk Samme nøkkel k brukes for både kryptering og dekryptering: Dk(Ek(P)) = P Algoritmene er kjent Kommunikasjonspartnerne deler en hemmelighet: Nøkkelen Sikrer autentisering av kommunikasjonspartnerne og hemmeligholdelse og integritet Fordel: Brukbar effektivitet Problem: Distribusjon (og hemmeligholdelse) av nøkkelen INF1040-Sikkerhet-7 INF1040-Sikkerhet-8

3 Cæsar s kryptering (Syklisk permutasjon) Meget enkel krypteringsalgoritme: Bytt ut hver bokstav med en bokstav et bestemt antall plasser k lenger opp i alfabetet. (Ved slutten av alfabetet, wrap around ) Verdien av k er nøkkelen DIGITAL REPRESENTASJON ER ET KULT FAG EJHJUBM SFRSFTFOUBTKPM FS FU LVMU GBH Dekrypteres ved å bytte ut hver bokstav med bokstaven k antall plasser lenger ned i alfabetet. Meget enkel å bryte: Prøv alle N muligheter for k der N er antall tegn i alfabetet og se hvilken forskyvning som gir et forståelig resultat. ( Exhaustive search of the key space, se Cyganski side 285) Effektivisering (ved frekvensanalyse): Anta at hyppigste bokstav i den krypterte meldingen er E Tilfeldig permutasjon Ta alfabetet, bytt bokstavene rundt i en tilfeldig rekkefølge. Nøkkelen er det omstokkede alfabetet Et alfabet på 26 tegn gir ca 4 * mulige nøkler Krypteringsalgoritme: Erstatt hver bokstav med tilsvarende bokstav i det omstokkede alfabetet. Mye sikrere enn syklisk permutasjon, men allikevel usikker: Hver enkelt bokstav i alfabetet erstattes alltid av samme bokstav. Ved hjelp av statistikk over hvor ofte hver enkelt bokstav forekommer, kan nøkkelen avsløres (frekvensanalyse). INF1040-Sikkerhet-9 INF1040-Sikkerhet-10 One time pad Vi har en tekst med k tegn hentet fra et alfabet med N tegn Vi har en nøkkel ( one time pad ) bestående av en sekvens av minst k tall mellom 0 og N-1 Krypteringsalgoritme: Hver bokstav i klarteksten byttes ut med den bokstaven som står så mye lenger fram i alfabetet som tallet i tilsvarende posisjon i nøkkelen tilsier Dekrypteringsalgoritme: Hver bokstav i den krypterte teksten byttes ut med den bokstaven som står så mye lenger tilbake i alfabetet som tallet i tilsvarende posisjon i nøkkelen tilsier Binærversjon (enklere for en datamaskin): Nøkkelen er en sekvens av biter lengre enn representasjonen av klarteksten. Flipp (XOR) bitene i klarteksten i de posisjoner der det er en 1-bit i nøkkelen. 100 % sikker, fordi enhver tekst med k tegn kan genereres med en passende nøkkel 100 % sikker, men upraktisk INF1040-Sikkerhet-11 Pseudo-tilfeldige tall Moderne symmetriske krypteringsteknikker genererer one-timepad som en sekvens av pseudo-tilfeldige tall! Pseudo-tilfeldige tall ser ut som tilfeldige tall, men hvert tall i sekvensen er beregnet på grunnlag av det forrige. Det første tallet er beregnet på grunnlag av en startverdi ( seed ). Dekrypterer må kjenne seed og konstantene C, D og M (se neste foil). Da kan den pseudo-tilfeldige tallsekvensen regenereres av mottaker! Robusthet mot knekking er ikke bevist INF1040-Sikkerhet-12

4 Algoritme for pseudo-tilfeldige tall Eksempel på algoritme (for den matematikkinteresserte) Linear Congruential Pseudo-number Generator x n+1 = (C*x n + D) % M der C, D og M er finurlig valgte konstanter slik at: C og D er relativt prim (ingen felles faktorer) C-1 er delbar med alle primfaktorer i M hvis M er delelig med 4, er også C-1 det. Da gir algoritmen alle tall fra 0 til M-1 i tilfeldig rekkefølge før sekvensen gjentas. For å få en noenlunde sikker nøkkel må M være stor! (> 128 biter) Asymmetrisk krypteringsteknikk Samme algoritme ED brukes for både kryptering og dekryptering, men det brukes et nøkkelpar: En offentlig nøkkel (allment kjent) En privat nøkkel (hemmelig) EDmottakeroff(P) = C EDmottakerpriv(C) = P Sikrer hemmeligholdelse Forenkler administrasjon av nøkler INF1040-Sikkerhet-13 INF1040-Sikkerhet-14 Algoritme for asymmetrisk kryptering Algoritmen må være slik at P = EDoff(EDpriv(P)) og P = EDpriv(EDoff(P)) Mest kjente algoritme: RSA (Rivest, Shamir & Adleman) Basert på at det er lett å multiplisere to primtall, men vanskelig å faktorisere dem (bare empirisk vist!) (se detaljer neste foil) Ulempe: Ressurskrevende INF1040-Sikkerhet-15 RSA-algoritmen RSA-algoritmen - hvordan den virker La meldingen P være et tall mindre enn N Kryptering: C = EDe(P) = P e % N Dekryptering: P = EDd(C) = C d % N N og e er den offentlige nøkkelen d er den private nøkkelen N, e og d må være omhyggelig valgt etter følgende regler: N = p * q, der p og q er store primtall d er et stort tall relativt prim til (p-1)(q-1) e er valgt slik at e*d % (p-1)(q-1) = 1 Eksempel: p = 3, q = 5, d = 7, e = 23, N = 15 Meldingen P er tallet 3: Kryptering: C=ED23(3) = 3 23 % 15 = 12 Dekryptering: P= ED7(12) = 12 7 % 15 = 3 Hvis p og q velges slik at N blir tilstrekkelig stor (mer enn 100 siffer), er det i praksis ikke mulig (selv med datamaskin) å finne d, selv om du kjenner e og N. INF1040-Sikkerhet-16

5 Hybride teknikker Kombinasjon av symmetriske og asymmetriske teknikker mest brukt i praksis Hvordan det virker: velg en tilfeldig hemmelig engangsnøkkel bruk en symmetrisk teknikk for å kryptere meldingen med denne hemmelige engangsnøkkelen bruk en asymmetrisk teknikk for å kryptere den hemmelige engangsnøkkelen send kryptert melding og engangsnøkkel til mottaker Gir god sikkerhet hvis engangsnøkkel velges tilfeldig Hvordan distribuere offentlige nøkler? Hvorfor det ikke nytter å publisere dem i Aftenposten... En løsning: Digitale sertifikater (delegering av tillit) Top Key Authority med kjent offentlig nøkkel Top Key Authority har som oppgave å sertifisere et underliggende nivå med Key Authorities x1, x2, Top Key sender deg en asymmetrisk kryptert melding om at x1 er sertifisert, og har offentlig nøkkel x1off... og så videre nedover i hierarkiet til nederste Key Authority sender deg en assymetrisk kryptert melding om at bruker NN har offentlig nøkkel NNoff En mindre byråkratisk løsning: Web of trust INF1040-Sikkerhet-17 INF1040-Sikkerhet-18 Hvordan oppdage endring av meldinger Kryptering forhindrer at utenforstående kan lese dataene, men forhindrer ikke at utenforstående (inklusive støy på linjen) ubemerket endrer dataene Mottiltak: Avsender beregner s = h(s) og overfører s sammen med dataene Mottaker beregner s = h(s) en gang til og sammenlikner med den overførte s s kalles et segl eller message digest Beregning av digitalt segl En hash-funksjon h kan beregne en tilsynelatende mystisk bitsekvens (dvs. et tall) fra enhver tegnstreng S h(s) er alltid samme verdi for samme tegnstreng Tekststrengen S kan bestå av navn, passord, dato, og selve klarteksten Ønskede egenskaper for en god hash-funksjon: Alle tegn i S inngår i beregningen av h(s) For alle mulige S, gir h(s) en jevn fordeling over hele resultatområdet, dvs. alle verdier h(s) er like sannsynlige Beregningen er rask INF1040-Sikkerhet-19 INF1040-Sikkerhet-20

6 En god hash-funksjon For den matematisk interesserte! h(s) beregnes som verdien av et polynom (t 1 * x n + t 2 * x n-1 + t n *x 0 )% M der koeffisientene t1, t2 er de enkelte tegnene i S x har verdien 256 M er verdiområdet for h(s) Eksempel: h( UiO ) = U * i * O *256 0 )%2 32 Autentisering av avsender med asymmetrisk krypteringsteknikk Autentisering kan oppnås ved EDsenderpriv(P) = C EDsenderoff(C) = P Hemmeligholdelse, integritet og autentisering oppnås med dobbel kryptering EDmotoff(EDsendpriv(P)) = C EDmotpriv(EDsendoff(C)) = P INF1040-Sikkerhet-21 INF1040-Sikkerhet-22 Metode for sikker meldingsformidling Senderen må Beregne et segl for meldingen Kryptere meldingen med en tilfeldig valgt nøkkel Kryptere seglet med egen privat nøkkel gir digital signatur Kryptere den tilfeldig valgte nøkkel med mottakerens offentlige nøkkel Mottakeren må Dekryptere den tilfeldig valgte nøkkelen med egen privat nøkkel Dekryptere signaturen med avsenders offentlige nøkkel gir seglet Dekryptere meldingen med den tilfeldig valgte nøkkel Beregne seglet på nytt og sammenlikne med det oversendte seglet INF1040-Sikkerhet-23 Steganografi Gjemme en representasjon av noe i en representasjon av noe annet et såkalt dekke ( cover ) Se enkelt eksempel på neste foil Dekket er som oftest et bilde eller en lyd (mange biter!) Den beste måten å holde noe hemmelig er å holde det hemmelig at det er noe å holde hemmelig -> dekket må ikke endres påfallende gjennom at noe er skjult Dekke Hemmelig tekst Steganografiprogram Stego-fil Inverst steganografiprogram Hemmelig tekst INF1040-Sikkerhet-24

7 Et eksempel på enkel steganografi Mitt ønske til mor er glemt, kan lillebror se etter katten selv? Vannmerking Utvide en tekst-/bilde-/lydfil med ekstra data som ikke kan la seg fjerne uten å ødelegge originalen Deler av vannmerket kan være observerbart i teksten/bildet/lyden, men vanligvis er det ikke observerbart ved direkte observasjon Brukes for tilleggsopplysninger, som rettighetshaver, copyrightmarkering og eksemplarnummerering. Et vannmerke skal ikke kunne fjernes uten å ødelegge tekst/bilde/lyd For et mer avansert eksempel (bilde skjult i bilde), se for eksempel Vannmerking ligner teknisk sett på steganografi, hovedforskjellen er intensjonen INF1040-Sikkerhet-25 INF1040-Sikkerhet-26 Hvordan gjemme data Trikset er å gjemme det hemmelige bitmønsteret på bestemte steder i bitmønsteret for dekket Eksempel: Et bilde (dekke) er representert som en sekvens av RGBverdier, hver på 24 bit. Vi skal gjemme tegnet A, Unicode 41 (hex) = Vi endrer da den siste biten i for eksempel hver 64de RGB-verdi slik at disse bitene har verdiene Av og til fører dette til at RGB-verdien blir endret, av og til ikke En eventuell endring i intensitet i blått hist og her vil antagelig ikke være synlig Variasjoner: Endre i R- eller G-verdi istedenfor Endre i andre verdiområder (for eksempel frekvensdomenet) Endre biter hvis plassering er bestemt av pseudo-tilfeldige tall Manipulere fargetabellen for bildeformater med fargetabell INF1040-Sikkerhet-27 Robusthet Men farer truer det skjulte budskap: Klipping av bilde og lyd Formatkonvertering Komprimering Derfor: Metoden med å bruke den siste RGB-biten er meget tvilsom hvis bildet eller lyden kan bli utsatt for komprimering basert på at uvesentlige data kastes vekk Vannmerker bør dupliseres og spres over hele dekket INF1040-Sikkerhet-28

8 Stegoanalyse Å konstatere at et dekke inneholder et skjult budskap og eventuelt gjenvinne budskapet Vanskelig å gjøre ved direkte observasjon Analyseprogrammer er mye mer effektive er det noe uvanlig i teksten/bildefilen/lydfilen? Oppsummering Data kan gjøres uleselige ved hjelp av kryptering Urettmessig endring av data kan oppdages med digitale segl Avsender kan verifiseres ved hjelp av asymmetrisk kryptering Ved kryptering brukes oftest en kombinasjon av symmetriske og asymmetriske krypteringsteknikker Vurderinger av sikkerheten mot knekking av krypteringer er kun basert på antagelser og empiri, intet er bevist Steganografi brukes for å skjule en melding i et dekke Vannmerker brukes for å gi tilleggsopplysninger som ikke kan fjernes uten å ødelegge dekket INF1040-Sikkerhet-29 INF1040-Sikkerhet-30