Jörg Schwenk Sicherheit und Kryptographie im Internet Theorie und Praxis 5. Auflage Sicherheit und Kryptographie im Internet Jörg Schwenk Sicherheit und Krypto- graphie im Internet Theorie und Praxis 5., erweiterte und aktualisierte Auflage Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum Bochum, Deutschland ISBN 978-3-658-29259-1 ISBN 978-3-658-29260-7 (eBook) https://doi.org/10.1007/978-3-658-29260-7 Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. © Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2002, 2005, 2010, 2014, 2020 Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlags. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von allgemein beschreibenden Bezeichnungen, Marken, Unternehmensnamen etc. in diesem Werk bedeutet nicht, dass diese frei durch jedermann benutzt werden dürfen. Die Berechtigung zur Benutzung unterliegt, auch ohne gesonderten Hinweis hierzu, den Regeln des Markenrechts. Die Rechte des jeweiligen Zeicheninhabers sind zu beachten. Der Verlag, die Autoren und die Herausgeber gehen davon aus, dass die Angaben und Informationen in diesem Werk zum Zeitpunkt der Veröffentlichung vollständig und korrekt sind. Weder der Verlag, noch die Autoren oder die Herausgeber übernehmen, ausdrücklich oder implizit, Gewähr für den Inhalt des Werkes, etwaige Fehler oder Äußerungen. Der Verlag bleibt im Hinblick auf geografische Zuordnungen und Gebietsbezeichnungen in veröffentlichten Karten und Institutionsadressen neutral. Planung/Lektorat: Iris Ruhmann Springer Vieweg ist ein Imprint der eingetragenen Gesellschaft Springer Fachmedien Wiesbaden GmbH und ist ein Teil von Springer Nature. Die Anschrift der Gesellschaft ist: Abraham-Lincoln-Str. 46, 65189 Wiesbaden, Germany Für meine Eltern, ohne die dieses Buch nie geschrieben worden wӓre. Vorwort In den sechs Jahren seit Erscheinen der 4. Auflage dieses Buches haben zahlreiche Untersuchungen unser Wissen um die Sicherheit kryptographischer Systeme im Inter- net erheblich erweitert. Zudem wurden, nicht zuletzt auch als Reaktion auf erfolgreiche Angriffe, neue Protokolle und Techniken zur Sicherheit im Internet standardisiert – als Beispiel sei hier nur TLS 1.3 genannt, ein völliges Neudesign des wichtigsten aller Sicherheitsprotokolle. Für die hier vorliegende 5. Auflage wurde das Buch daher grund- legend überarbeitet und erweitert; es ist um knapp 200 Seiten gewachsen. Kap. 1 gibt einen kurzen Überblick über die Technologien, die das Internet aus- machen. Vertieft werden Themen wie IP, TCP und HTTP/HTML am Beginn der Kapitel, die sich mit den zugehörigen Sicherheitstechnologien beschäftigen. Den Grundlagen der Kryptographie dagegen sind gleich drei einführende Kapitel gewidmet, die sich den Sicherheitszielen Vertraulichkeit (Kap. 2), Integrität/Authentizi- tät (Kap. 3) und kryptographischen Protokollen (Kap. 4) widmen. Der Schwerpunkt der Darstellung liegt dabei nicht, wie in den meisten Lehrbüchern zur Kryptographie, auf dem inneren Aufbau oder den mathematischen Grundlagen der einzelnen Algorithmen, sondern in ihren Anwendungsszenarien. Ein Beispiel soll dies erläutern: Bei praktischen Angriffen wird nicht die interne Struktur des Verschlüsselungsalgorithmus AES, die Gegenstand vieler Lehrbücher ist, genutzt, sondern der Blockchiffrenmodus, in dem AES als „Black Box“ verwendet wird. Daher liegt der Schwerpunkt der Darstellung bei Blockchiffren auf diesen Modi. Sonderthemen wie Passwörter – die hier erstmals zusammen mit den wichtigsten Angriffen wie Rainbow Tables vorgestellt werden – und Zertifikate wurden in Kap. 4 zu kryptographischen Protokollen mit aufgenommen. In diesem Kapitel werden auch die Bausteine vorgestellt, aus denen sich komplexe Protokolle wie TLS, SSH und IPsec IKE zusammensetzen. In Kap. 5 bis 7 werden wichtige Sicherheitstechnologien vorgestellt, die auf der Netz- zugangsebene angesiedelt sind. Die grӧßte Erweiterung hat hier Kap. 6 zu WLANs erfahren, da zusammen mit dem KRACK-Angriff die Standards WPA2 und WPA3 beschrieben werden. Kap. 8 zu IPsec wurde völlig neu strukturiert; die äußerst komplexen Schlüsselver- einbarungsprotokolle IKEvl und IKEv2 werden genauer beschrieben, zusammen mit VII VIII Vorwort aktuellen Angriffen auf diese Protokolle. Das Kapitel zu IP Multicast ist entfallen, da die dort vorgestellten Ansätze in der Praxis keine Relevanz mehr haben. Aufgrund der Fülle neuen Wissens wurde das alte Kapitel zu TLS in vier neue Kapitel aufgeteilt. Kap. 9 führt in TCP, UDP und HTTP ein und stellt HTTP- Sicherheits- mechanismen vor, die unabhängig von TLS sind. Kap. 10 beschreibt das immer weiter anwachsende TLS-Ökosystem auf der Basis von TLS 1.2, der heute wichtigsten TLS- Version. Kap. 11 fasst die Besonderheiten der anderen Versionen von TLS zusammen – dazu gehört auch eine Einführung in die neueste Version TLS 1.3. In Kap. 12 wird schließlich, auf gut 50 Seiten ein Überblick über die Angriffe auf die verschiedenen TLS-Versionen gegeben, gegliedert nach den jeweiligen Angriffszielen. Das Secure SHell-Protokoll (Kap. 13) und das Kerberos-Protokoll (Kap. 14) werden erstmals in dieser Auflage beschrieben. Kap. 15 widmet sich, nur geringfügig aktualisiert, dem ewigen Thema DNSSEC. Mit Kap. 16 und 17 betreten wir die Welt der kryptographischen Datenformate: PGP- Implementierungen bauen auf OpenPGP auf, S/MIME-Implementierungen auf MIME und CMS. Beide Kapitel wurden grundlegend überarbeitet. Dass die Komplexität dieser Datenformate nicht unproblematisch ist, wird im neuen Kap. 18 gezeigt, in dem die unter dem Schlagwort EFAIL bekannt gewordenen Angriffe zusammengefasst werden. Das ebenfalls neue Kap. 19 rundet die Darstellung der E-Mail-Welt mit POP3 und IMAP und den Anti-Spam-Technologien DKIM, SPF und DMARC ab. Angriffe auf Webanwendungen sind trotz des Einsatzes von TLS möglich. Kap. 20 gibt daher eine kurze Einführung in dieses Thema und stellt moderne Single-Sign- On-Protokolle vor. Die Vorstellung zweier weiterer, universell einsetzbarer krypto- graphischer Datenformate, XML Signature/Encryption und JSON Signature/Encryption, erfolgt in Kap. 21. Eine Diskussion aktueller Herausforderungen schließt das Buch ab. Danksagung Ich mӧchte an dieser Stelle allen danken, die mir dabei halfen, die vielen Themen detailliert darstellen zu können. Ohne die Forschungsarbeit am Lehrstuhl Netz- und Datensicherheit, und die damit einhergehenden intensiven Diskussionen zu ver- wandten Arbeiten und technischen Details von RFCs und Softwareimplementierungen, wären viele Kapitel deutlich kürzer und fachlich weniger tiefgehend ausgefallen. Vor Drucklegung hatte ich das Privileg, die einzelnen Kapitel echten Spezialisten auf dem jeweiligen Gebiet vorlegen zu können. Für die aktuelle Auflage gilt mein Dank daher, in alphabetischer Reihenfolge: Marcus Brinkmann, Dr. Dennis Felsch, Matthias Gierlings, Martin Grothe, Dr. Mario Heiderich, Matthias Horst, Prof. Dr. Tibor Jager, Sebastian Lauer, Dr. Christian Mainka, Robert Merget, Dr. Vladislav Mladenov, Jens Müller, Dr. Marcus Niemietz, Dominik Noss, Damian Poddebniak, Paul Rӧsler, Prof. Dr. Sebastian Schinzel, Prof. Dr. Juraj Somorovsky, Prof. Dr. Douglas Stebila, Tobias Wich und Petra Winkel. Die Grundlagen Vorwort IX für dieses Buch wurden natürlich schon früher gelegt, und daher gilt dieser Dank naturlich auch allen früheren Lehrstuhlmitarbeitern. Nicht zuletzt danke ich meiner Frau Beate, die mir bei der Endredaktion half und wertvolle Überarbeitungsvorschläge machte, und meinen Kindern, die mir die Zeit gaben, an diesem Buch zu arbeiten. Bochum Jörg Schwenk im Mӓrz 2020 Inhaltsverzeichnis 1 Das Internet .................................................... 1 1.1 TCP/IP-Schichtenmodell .................................... 1 1.1.1 Netzzugangsschicht ................................ 3 1.1.2 IP-Schicht ........................................ 4 1.1.3 Transportschicht ................................... 5 1.1.4 Anwendungsschicht ................................ 6 1.2 Bedrohungen im Internet .................................... 7 1.2.1 Passive Angriffe ................................... 7 1.2.2 Aktive Angriffe ................................... 7 1.3 Kryptographie im Internet ................................... 10 2 Kryptographie: Vertraulichkeit .................................... 13 2.1 Notation ................................................. 14 2.2 Symmetrische Verschlüsselung ............................... 14 2.2.1 Blockchiffren ..................................... 16 2.2.2 Stromchiffren ..................................... 19 2.3 Asymmetrische Verschlüsselung .............................. 21 2.4 RSA-Verschlüsselung ...................................... 22 2.4.1 Textbook RSA .................................... 22 2.4.2 PKCS#1 ......................................... 23 2.4.3 OAEP ........................................... 24 2.5 Diffie-Hellman-Schlüsselvereinbarung ......................... 25 2.5.1 Diffie-Hellman-Protokoll ............................ 26 2.5.2 Komplexitätsannahmen ............................. 27 2.6 ElGamal-Verschlüsselung ................................... 31 2.6.1 ElGamal-Verschlüsselung ........................... 32 2.6.2 Key Encapsulation Mechanism (KEM) ................. 33 2.7 Hybride Verschlüsselung von Nachrichten ...................... 33 2.8 Sicherheitsziel Vertraulichkeit ................................ 34 XI XII Inhaltsverzeichnis 3 Kryptographie: Integrität und Authentizität ......................... 39 3.1 Hashfunktionen ........................................... 39 3.1.1 Hashfunktionen in der Praxis ......................... 40 3.1.2 Sicherheit von Hashfunktionen ....................... 41 3.2 Message Authentication Codes und Pseudozufallsfunktionen ....... 44 3.3 Authenticated Encryption ................................... 47 3.4 Digitale Signaturen ........................................ 47 3.4.1 RSA-Signatur ..................................... 49 3.4.2 ElGamal-Signatur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 3.4.3 DSS und DSA .................................... 51 3.5 Sicherheitsziel Integrität .................................... 52 3.6 Sicherheitsziel Vertraulichkeit und Integrität ..................... 53 4 Kryptographische Protokolle ...................................... 55 4.1 Passwörter ............................................... 55 4.1.1 Username/Password-Protokoll ........................ 55 4.1.2 Wörterbuchangriffe ................................ 57 4.1.3 Rainbow Tables ................................... 59 4.2 Authentifikationsprotokolle .................................. 61 4.2.1 One-Time-Password-Protokoll (OTP) .................. 61 4.2.2 Challenge-and-Response-Protokoll .................... 63 4.2.3 Certificate/Verify-Protokoll .......................... 63 4.2.4 Beidseitige Authentifikation .......................... 64 4.3 Schlüsselvereinbarung ...................................... 65 4.3.1 Public-Key-Schlüsselvereinbarung .................... 65 4.3.2 Symmetrische Schlüsselvereinbarung .................. 65 4.4 Authentische Schlüsselvereinbarung ........................... 66 4.5 Angriffe und Sicherheitsmodelle .............................. 67 4.5.1 Sicherheitsmodelle für Protokolle ..................... 67 4.5.2 Generische Angriffe auf Protokolle .................... 68 4.6 Zertifikate ................................................ 69 4.6.1 X.509 ........................................... 69 4.6.2 Public-Key-Infrastruktur (PKI) ....................... 71 4.6.3 Gültigkeit von Zertifikaten ........................... 73 4.6.4 Angriffe auf Zertifikate ............................. 74 5 Point-to-Point-Sicherheit ......................................... 77 5.1 Point-to-Point-Protokoll ..................................... 78 5.2 PPP-Authentifizierung ...................................... 79 5.3 Authentication, Authorization und Accounting (AAA) ............. 79 5.3.1 RADIUS ......................................... 80 5.3.2 Diameter und TACACS+ ............................ 81