View
108
Download
1
Category
Preview:
Citation preview
Geschichte und Anwendung des Software-Pakets
Pretty Good Privacy (PGP)
Ein Vortrag von
Lars Rosenboom und
Jens Rosenboom
PGP ist ein Kryptographie-System zur• Verschlüsselung und• Signierung von Dateien;• entwickelt von Phil Zimmermann ab 1990.
Merkmale:• „starke“ Verschlüsselung, die auch von Geheimdiensten
nicht gebrochen werden kann• hybride Verschlüsselung (public key/symmetrisch)• veröffentlichte, verifizierte Algorithmen • Quelltext verfügbar• auf Sicherheitslücken überprüfbar • für Privatanwender kostenlos (www.pgpi.com)• einige eMail-Plugins verfügbar (Hauptanwendung)
1. Was ist PGP?
1991: Gesetzesvorschlag im US-Senat zur Kriminalitätsbekämpfung:
• Verpflichtung zum Einbau von „trap doors“ in Kryptographie-Produkte, dadurch
• Schaffung/Erhaltung von Abhörmöglichkeiten für Regierungsstellen.
Reaktion:• Phil Zimmermann veröffentlicht PGP als freie Software.
Idee:
• Weite Verbreitung von Kryptographie
• Kryptographie-Verbot erschweren
Heute: PGP ist Standard bei privater Verschlüsselung
1.1 Entstehung von PGP
1993: Ermittlungen gegen Phil Zimmermann wegen Export militärischer Güter.
Jedoch:• „Export“ fand von Unbekannten im Internet statt
• Zimmermann hatte in der Anleitung vor dem Export gewarnt
Spendenkampagne für Phil Zimmermann im Internet.
1996: Einstellung des Verfahrens.
Neuere Versionen von PGP:• außerhalb der USA entstanden• oder in Buchform exportiert und eingescannt.
Exportbeschränkungen wurden so umgangen.
1.2 US-Regierung vs. Phil Zimmermann
3DES: dreifach ausgeführter DES (mit verschiedenen Schlüsseln),IBM (ca. 1975)
CAST: symmetrische Verschlüsselung von Carlisle Adams und Stafford Tavares für Nortel (ca. 1997)
DSA : Digital Signature Algorithm, Teil des DSSDSS : Digital Signature Standard, von der NSA für das NIST
entwickelt
IDEA : International Data Encryption Standard von Massey/Lai an der ETH Zürich (1990)
MD5 : Message Digest 5 von Ron Rivestfür RSA Data Security Inc. (1992)
NIST : National Institute of Standards and Technology
RSA : von Rivest, Shamir, Adleman am MIT (1977)
SHA : Secure Hash Algorithm, Teil des DSS
Abkürzungen
Version asymm. Alg. Unterschrift Hashfkt. symm. Algo.1.x RSA RSA MD5 Bass-O-Matic2.x RSA RSA MD5 IDEA5.x ElGamal [RSA] DSA [RSA] SHA [MD5] CAST, IDEA, 3DES6.0 ElGamal [RSA] DSA [RSA] SHA [MD5] CAST, IDEA, 3DES
Bass-O-Matic: Eigenbau, leicht zu knacken
ElGamal und DSA statt RSA: lizenzfrei auch für Firmen
SHA statt MD5: MD5 von Hans Dobbertin geknackt (1995)
CAST: neu aber vielversprechend, lizenzfrei
PGP 5 und 6:
• Vorteile: GUI, kein MD5
• Nachteil: Kompatibilität eingeschränkt
1.3 Versionen und Algorithmen
• RSA (1977) ist nur in den USA patentiert (ein Grund für die Unterscheidung von US- und internationalen PGP-Versionen)
• DSA (der Algorithmus in DSS) ist von der NSA patentiert, aber frei einsetzbar
• IDEA (1990) ist ebenfalls patentiert und für nicht-kommerzielle Anwendung frei
• für CAST ist ein Patent beantragt, die Benutzung soll aber frei bleiben
• DES/3DES (ca. 1975) stammt von IBM und ist nicht patentiert
• MD5 ist frei
• SHA galt als frei, Schnorr beansprucht Patentrechte
1.4 Patent- und Lizenzrechte
2. Ver- und Entschlüsselung
Klartext IDEA
zufälliger Sitzungsschlüssel
öffentlicher Schlüssel
Sitzungsschlüssel mit öffentlichemSchlüssel verschlüsseln
Hybride Verschlüsselung bei PGP
Chiffrat + verschlüsselter Sitzungsschlüssel
Gra
fik a
us „
An
Intr
odu
ctio
n to
Cry
pto
grap
hy“,
Net
wor
k A
ssoc
iate
s, I
nc.
2.1 Schlüssellänge
Jahr Einzelperson Firma Regierung1995 768 1280 15362000 1024 1280 15362005 1280 1536 20482010 1280 1536 20482015 1538 2048 2048
Gegner
Bitlänge sicherer PGP-Schlüssel (Bruce Schneier, Applied Cryptography 2nd edition)
Annahmen:
• Faktorisierung: Special Number Field Sieve-Algo. sei anwendbar auf alle Zahlen
• hohe Steigerung der Rechenleistung
Beispiel:Signierter Überweisungsauftrag per Internet.
"Unterschreiben" (Signieren) eines elektronischen Dokumentes.
• Integrität:Der Inhalt der Nachricht kann weder zufällig noch absichtlich verfälscht werden.
Elektronische Unterschriften bieten:• Sicherheit:
Der Unterzeichner kann weder Inhalt noch Unterschrift leugnen.
3. Elektronische Unterschriften
• Authentizität:Die Identität des Autors einer Nachricht ist sichergestellt.Niemand außer ihm kann das Dokument mit seiner Unterschrift versehen.Jeder kann Unterschrift prüfen/verifizieren.
Beispiel:Es kommt eine Mail von "Duran Akbulut"...
• Unsignierte Mail -> Kein Vertrauen(HotMail, telnet an SMTP)
• Zukunft?: Signieren allgemein üblich ->Unsignierte Mails nicht anzeigen, warnen
Verwendete Verfahren
•RSA (Rivest, Shamir, Adleman, MIT 1977)
•DSA (Digital Signature Algorithm, NSA für NIST,vergl. ElGamal)
Verwendete Verfahren
•RSA (Rivest, Shamir, Adleman, MIT 1977)
Signieren:(Verschlüsselung mit dem geheimen Schlüssel d)
Verifizieren:
(Entschlüsselung mit öffentlichem Schlüssel eund Vergleich mit Original.)
rem Nd x x y (N,d) sign
rem Ne yx x, y(N,e)ver ?
geheimer Schlüssel öffentlicher Schlüssel
verifizieren
unterschriebenerText
unterschreibenOriginaltext verifizierter Text
Einfache elektronische Unterschriften
Gra
fik a
us „
An
Intr
odu
ctio
n to
Cry
pto
grap
hy“,
Net
wor
k A
ssoc
iate
s, I
nc.
PGP verwendet (kryptographisch sichere)Hashfunktionen:
• Aus Nachricht wird kurze, charakteristische Bitfolgeextrahiert.
• Hashwert/Message Digest, i.Allg. 128 oder 160 Bit.• Nur Hashwert wird signiert.
MD5:
SHA-1:
von Ron Rivest, 1992.128 Bit, bis PGP 2.6.x Standard.Gilt seit 1995 als unsicher (Hans Dobbertin).
von der NSA für NIST, seit 1994 'fehlerbereinigt'.160 Bit, seit PGP 5 Standard für DH/DSS-Keys.
geheimer Schlüsselzum Unterzeichnen
Klartext
Hashfunktion
Message Digest(Textabriss)
Abriss signiert mitgeheimem Schlüssel
Klartext
Elektronische Unterschriften mit Hashfunktion
Unterschrift+
Gra
fik a
us „
An
Intr
odu
ctio
n to
Cry
pto
grap
hy“,
Net
wor
k A
ssoc
iate
s, I
nc.
Bemerkungen: - DSS begrenzt auf 1024 Bit (problematisch bei langer 'Lebensdauer', rechtlich bindenden Signaturen (Signaturgesetz)) - DSS und RSA signieren mit etwa 900 KByte/s @160MHz - DSS Signaturen sind generell 480 Bit (60 Byte) lang - RSA Signaturen sind so lang wie der Schlüssel (2048 Bit = 256 Byte)
[Demonstration: Schreiben und Signieren eines Überweisungsauftrags (ASCII-Output!), Erfolgreiches Verifizieren, Text ändern -> fehlgeschlagenes Verifizieren. Sinn von 'kryptographisch sicheren' Hashfunktionen. MD5 (nahezu) gebrochen -> nicht mehr mit RSA/MD5 signieren.]
• Anfangs ist der eigene Schlüssel der einzig gültige.
? Gehört öfftl. Schlüssel mit Namen "Alice Smith" auch wirklich zur Person Alice Smith?
(Man In The Middle Attack)
4. Schlüsselaustausch/Vertrauensnetzwerke
Problem ist nicht, an öfftl. Schlüssel heranzukommen, sondern die Frage:
• Den öfftl. Schlüssel eines direkten Bekannten erklärt man für gültig, indem man ihn signiert.
Aufbau eines Zertifikates Gra
fik a
us „
An
Intr
odu
ctio
n to
Cry
pto
grap
hy“,
Net
wor
k A
ssoc
iate
s, I
nc.
2. Der Zusammenhang Person<->Schlüssel sicher ist durch
• direkte Übergabe einer Diskette mit dem Schlüssel oder
• direkte Übergabe des Schlüssel-Fingerprints auf Papier, evtl. telefonisch. Schlüsselübergabe kanndann unsicher erfolgen.
• Den öfftl. Schlüssel eines direkten Bekannten erklärt man für gültig, indem man ihn signiert.
Das sollte man nur tun, wenn
1. Die Identität der Person feststeht durch• persönlichen Kontakt oder• Vorzeigen des Personalausweises
Certifying Authorities dennoch möglich und sinnvoll• c't Kryptokampagne auf Messen• Telekom
• Signatur wird veröffentlicht -> andere verlassen sich darauf. (Vertrauensnetz)
Man selbst sollte das nur tun, wenn1. Der öfftl. Schlüssel des Fürsprechers gültig ist.2. Man dem Fürsprecher genug Vertrauen
entgegenbringt, keine falschen Keys zu signieren:• absichtlich/betrügerisch oder• aus Unwissenheit/Unverständnis.
Lars
Gültiger Schlüssel
Ungültiger Schlüssel
Jens Bob Alice c‘tDirekt Bekannte
Eigener Schlüssel
Karsten
Bernd
Indirekt Bekannte
Leser1 Leser3
Leser2
Elvis Presley Michael
kein Vertrauen
wenig Vertrauen
volles Vertrauen
Zusammenfassung
PGP - Pretty Good Privacy1. Geschichte von PGP
• Entstehung• Rechtsstreit
2. Ver- und Entschlüsselung• Schlüssellänge
3. Elektronische Unterschriften• Hashfunktion• RSA/MD5, DSA/SHA-1
4. Schlüsselaustausch, Vertrauensnetz• Vertrauen, Zertifikate• (un)gültige Schlüssel
www.pgpi.com
Quellenverzeichnis
• Entwurf der deutschen Anleitung zu PGPvon Christopher Creutzig
• Handbuch aus dem PGP 6.0.2i-Paketvon Phil Zimmermann u.a.http://www.pgpi.com/cgi/download-wizard.cgi
• FAQs und allgemeine Informationen zu PGPhttp://www.pgpi.com
• PGP TimelineAdam Back (aba@dcs.ex.ac.uk)http://www.dcs.ex.ac.uk/~aba/timeline/
• Applied Cryptography, 2nd editionvon Bruce Schneier
Ende
Recommended