Grundlagen und Einführung

Kryptografie ist die von einem Schlüssel abhängige Umwandlung von „Klartext“ genannten Daten in einen „Geheimtext“ sodass der Klartext aus dem Geheimtext nur unter Verwendung eines geheimen Schlüssels wiedergewonnen werden kann.

Beschreibung

Kryptografie

Griech. krypto (geheim), graph (Schrift)

• Kryptografie behandelt die Kryptografie (encryption) einer Informationen vom Klartext (plain text) in eine nicht verständliche Darstellung (Verschlüsselter Text)
• Kryptografie muss so erfolgen, dass befugte die Information bei einer Entschlüsselung wieder lesen können (decryption)

Kryptografie wir oft zur Authentifizierung eingesetzt

• Dabei werden die verschlüsselten Texte mit gespeicherten Texten verglichen
• Dabei wird verglichen, ob sie gleich sind oder Abweichungen enthalten

Kryptografie ist eine elementare Technologie zum Aufbau sicherer Netzwerke

Wesentliche Technologien

• Diffie Hellmann Schlüsselaustausch
• Hash-Funktionen

Kryptografie ist ein Teilbereich der Kryptologie

• die auch Kryptoanalyse behandelt

Disziplinen der theoretischen Mathematik

• Vertraulichkeit eines Texts garantieren oder brechen

Kryptografie, Chiffrierung, Kryptierung

Von einem Schlüssel abhängige Umwandlung von „Klartext“ genannten Daten in einen „Geheimtext“ (auch „Chiffrat“ oder „Schlüsseltext“ genannt), so dass der Klartext aus dem Geheimtext nur unter Verwendung eines geheimen Schlüssels wiedergewonnen werden kann.

Geheimhaltung

Kryptografie dient zur Geheimhaltung von Nachrichten, beispielsweise um Daten gegen unbefugten Zugriff abzusichern oder um Nachrichten vertraulich zu übermitteln.

• Die Wissenschaft des Verschlüsselns wird als Kryptographie bezeichnet.

Informationssicherheit

Die Informationssicherheit nutzt die Kryptografie, um verwertbare Informationen in eine Form umzuwandeln, die sie für jeden anderen als einen autorisierten Benutzer unbrauchbar macht; dieser Vorgang wird Verschlüsselung genannt. Informationen, die verschlüsselt (unbrauchbar) gemacht wurden, können von einem autorisierten Benutzer, der im Besitz des Kryptographieschlüssels ist, durch den Prozess der Entschlüsselung wieder in ihre ursprüngliche nutzbare Form zurückverwandelt werden. Die Kryptografie wird in der Informationssicherheit eingesetzt, um Informationen vor unbefugter oder versehentlicher Offenlegung zu schützen, während die Informationen übertragen werden (entweder elektronisch oder physisch) und während die Informationen gespeichert werden.

Anwendungen

Die Kryptografie bietet der Informationssicherheit auch andere nützliche Anwendungen, darunter verbesserte Authentifizierungsmethoden, Nachrichten-Digests, digitale Signaturen, Nichtabstreitbarkeit und verschlüsselte Netzwerkkommunikation. Ältere, weniger sichere Anwendungen wie Telnet und File Transfer Protocol (FTP) werden langsam durch sicherere Anwendungen wie Secure Shell (SSH) ersetzt, die eine verschlüsselte Netzwerkkommunikation verwenden. Drahtlose Kommunikation kann mit Protokollen wie WPA/WPA2 oder dem älteren (und weniger sicheren) WEP verschlüsselt werden.

• Die drahtgebundene Kommunikation (wie ITU-T G.hn) ist durch den AES zur Verschlüsselung und X.1035 zur Authentifizierung und zum Schlüsselaustausch gesichert.

Softwareanwendungen wie GnuPG oder PGP können zur Verschlüsselung von Dateien und E-Mails verwendet werden.

Sicherheitsprobleme

Kryptografie kann Sicherheitsprobleme verursachen, wenn sie nicht korrekt implementiert wird. Kryptografische Lösungen müssen mit branchenweit anerkannten Lösungen implementiert werden, die von unabhängigen Kryptografieexperten einer strengen Prüfung unterzogen wurden. Die Länge und Stärke des Verschlüsselungsschlüssels ist ebenfalls ein wichtiger Aspekt. Ein zu schwacher oder zu kurzer Schlüssel führt zu einer schwachen Verschlüsselung.

• Die für die Ver- und Entschlüsselung verwendeten Schlüssel müssen mit der gleichen Strenge geschützt werden wie alle anderen vertraulichen Informationen.

Sie müssen vor unbefugter Offenlegung und Zerstörung geschützt werden und bei Bedarf verfügbar sein. Lösungen für die Public Key Infrastructure (PKI) lösen viele der Probleme, die mit der Schlüsselverwaltung verbunden sind.

Grundlagen

Verschlüsseln

Durch Verschlüsseln wird ursprünglich der „offene Wortlaut“ eines Textes, genannt „Klartext“, in eine unverständliche Zeichenfolge umgewandelt, die als „Geheimtext“ bezeichnet wird.

• Die Fachbegriffe Klartext und Geheimtext sind historisch gewachsen und heutzutage deutlich weiter zu interpretieren.
• Außer Textnachrichten lassen sich auch alle anderen Arten von Information verschlüsseln, beispielsweise Sprachnachrichten, Bilder, Videos oder der Quellcode von Computerprogrammen.
• Die kryptographischen Prinzipien bleiben dabei die gleichen.

Eine besondere und relativ einfache Art der Kryptografie ist die Codierung (auch: Kodierung).

• Hierbei werden in der Regel nicht einzelne Klartextzeichen oder kurze Zeichenkombinationen verschlüsselt, sondern ganze Worte, Satzteile oder ganze Sätze.
• Beispielsweise können wichtige Befehle wie „Angriff im Morgengrauen!“ oder „Rückzug von den Hügeln!“ bestimmten Codewörtern oder unverständlichen Zeichenkombinationen aus Buchstaben, Ziffern oder anderen Geheimzeichen zugeordnet werden.
• Dies geschieht zumeist als tabellarische Liste, beispielsweise in Form von Codebüchern.

Zur Steigerung der kryptographischen Sicherheit von Codes werden die damit erhaltenen Geheimtexte oft einem zweiten Kryptografieschritt unterworfen.

• Dies wird als Überschlüsselung (auch: Überverschlüsselung) bezeichnet.
• Außer geheimen Codes gibt es auch offene Codes, wie den Morsecode und ASCII, die nicht kryptographischen Zwecken dienen und keine Kryptografie darstellen.

Schlüssel

Der entscheidende Parameter bei der Kryptografie ist der „Schlüssel“.

• Die gute Wahl eines Schlüssels und seine Geheimhaltung sind wichtige Voraussetzungen zur Wahrung des Geheimnisses.
• Im Fall der Codierung stellt das Codebuch den Schlüssel dar.
• Im Fall der meisten klassischen und auch einiger moderner Methoden zur Kryptografie ist es ein Passwort (auch: Kennwort, Schlüsselwort, Codewort oder Kodewort, Losung, Losungswort oder Parole von italienisch la parola „das Wort“.

Bei vielen modernen Verfahren, beispielsweise bei der E-Mail-Kryptografie, wird dem Benutzer inzwischen die Wahl eines Schlüssels abgenommen.

• Dieser wird automatisch generiert, ohne dass der Nutzer es bemerkt.
• Hierdurch wird auch der „menschliche Faktor“ eliminiert, nämlich die nicht selten zu sorglose Wahl eines unsicheren, weil zu kurzen und leicht zu erratenden, Passworts.

Entschlüsseln

Der zur Kryptografie umgekehrte Schritt ist die Entschlüsselung.

• Dabei gewinnt der befugte Empfänger den Klartext aus dem Geheimtext zurück.
• Zum Entschlüsseln wird ein geheimer Schlüssel benötigt.
• Bei symmetrischen Kryptografiesverfahren ist dies der gleiche wie für das Verschlüsseln, bei asymmetrischen Verfahren hingegen nicht.

Geht der Schlüssel verloren, dann lässt sich der Geheimtext nicht mehr entschlüsseln

• Gerät der Schlüssel in fremde Hände, dann können auch Dritte den Geheimtext lesen, das Geheimnis ist also nicht länger gewahrt.
• Ein zusammenfassender Begriff für Verschlüsseln und/oder Entschlüsseln ist das Schlüsseln.

Entziffern

Sprachlich zu trennen von der Entschlüsselung ist der Begriff der „Entzifferung“.

• Als Entzifferung wird die Kunst bezeichnet, dem Geheimtext seine geheime Nachricht zu entringen, ohne im Besitz des Schlüssels zu sein.
• Dies ist die Tätigkeit eines Kryptoanalytikers, häufig auch als „Codeknacker“ () bezeichnet.
• Im Idealfall gelingt keine Entzifferung, weil das Kryptografiesverfahren ausreichend „stark“ ist.
• Es wird dann als „unbrechbar“ oder zumindest als „kryptographisch stark“ bezeichnet.
• Im Gegensatz zu einer „starken Kryptografie“ lässt sich eine „schwache Kryptografie“ ohne vorherige Kenntnis des Schlüssels mit vertretbarem Aufwand mithilfe kryptanalytischer Methoden brechen.
• Durch Fortschritte in der Kryptologie kann sich eine vermeintlich starke Kryptografie im Laufe der Zeit als schwach erweisen.
• So galt beispielsweise die „Vigenère-Kryptografie“ über Jahrhunderte hinweg als „Le Chiffre indéchiffrable“ („Die unentzifferbare Kryptografie“).
• Inzwischen weiß man, dass sie das nicht ist.

Kryptanalyse/Kryptoanalyse

Arbeitsgebiet, das sich mit der Entzifferung von Geheimtexten befasst

• Sie ist neben der Kryptographie das zweite Teilgebiet der Kryptologie.
• Die Kryptanalyse dient nicht nur zur unbefugten Entzifferung von Geheimnachrichten, sondern sie befasst sich auch mit „(Un-)Brechbarkeit“ von Kryptografieen, also der Prüfung der Sicherheit von Kryptografiesverfahren gegen unbefugte Entzifferung.

Die meisten Kryptografiesverfahren sind nur pragmatisch sicher, was bedeutet, dass bei ihrer Kryptanalyse keine praktikable Möglichkeit zur Entzifferung gefunden wurde.

• Dabei ist das Vertrauen in die Sicherheit umso mehr gerechtfertigt, je länger ein Verfahren bereits öffentlich bekannt ist und je verbreiteter es in der Anwendung ist, denn umso mehr kann man davon ausgehen, dass viele fähige Kryptologen es unabhängig voneinander untersucht haben und dass eine eventuell vorhandene Schwäche gefunden und veröffentlicht worden wäre (siehe auch Kerckhoffs’ Prinzip).

Es gibt Verfahren, deren Sicherheit unter Annahme der Gültigkeit bestimmter mathematischer Vermutungen beweisbar ist.

• So kann zum Beispiel für das RSA gezeigt werden: Der private Schlüssel eines Benutzers kann aus dessen öffentlichem Schlüssel genau dann effizient berechnet werden, wenn man eine große Zahl (in der Größenordnung von einigen hundert Dezimalstellen) effizient in ihre Primfaktoren zerlegen kann.
• Das einzige Kryptografiesverfahren, dessen Sicherheit wirklich bewiesen und nicht nur auf Vermutungen zurückgeführt wurde, ist das One-Time-Pad.

Beispiel

Caesar-Kryptografie

Als Beispiel einer Kryptografie wird der unten in Kleinbuchstaben stehende Klartext mithilfe eines sehr alten und äußerst simplen Verfahrens, der Caesar-Kryptografie, in einen Geheimtext (hier wie in der Kryptografie üblich in Großbuchstaben) umgewandelt.

• Als geheimer Schlüssel wird hier „C“ benutzt, also der dritte Buchstabe des lateinischen Alphabets.
• Das bedeutet die Ersetzung jedes einzelnen Klartextbuchstabens durch den jeweiligen im Alphabet um drei Stellen verschobenen Buchstaben.
• So wird aus einem „a“ des Klartextes der im Alphabet drei Stellen später stehende Buchstabe „D“ im Geheimtext, aus „b“ wird „E“ und so weiter.

Wenn man über das Ende des Alphabets hinauskommt, beginnt man wieder am Anfang; aus „z“ etwa wird somit „C“:

kommeumachtzehnuhrmitdenplaenenzurkapelle
NRPPHXPDFKWCHKQXKUPLWGHQSODHQHQCXUNDSHOOH

Der mit „NRPPH“ beginnende Geheimtext ist auf den ersten Blick unverständlich.

• Das Verfahren eignet sich somit, um die im Klartext enthaltene Information vor Unbefugten zu verbergen.
• Kennt ein möglicher Angreifer das zugrundeliegende Kryptografiesverfahren nicht, oder gelingt es ihm nicht, den benutzten Schlüssel zu finden, dann bleibt der Geheimtext für ihn ohne Sinn.
• Natürlich ist die hier benutzte Methode, die schon die alten Römer kannten, sehr schwach.
• Einem erfahrenen Codebrecher wird es nicht viel Mühe bereiten, den Geheimtext nach kurzer Zeit zu entziffern, auch ohne vorherige Kenntnis von Schlüssel oder Verfahren.

Im Laufe der Geschichte der Menschheit wurden daher immer stärkere Methoden zur Kryptografie entwickelt

• siehe auch: Geschichte der Kryptographie
• Ein modernes Kryptografieverfahren ist der Advanced Encryption Standard (AES), das zurzeit als unbrechbar gilt.
• Dies wird sich aber in kommenden Jahrzehnten möglicherweise ändern (siehe auch: Kryptoanalytische Angriffe auf AES).

Klassifizierung

Prinzipiell unterscheidet man

• Klassische und moderne symmetrische Kryptografieverfahren
• asymmetrischen Kryptografieverfahren

Erst seit wenigen Jahrzehnten bekannt

Klassische Kryptografieverfahren können nach dem verwendeten Alphabet klassifiziert werden.

Symmetrisch

Symmetrische Kryptografieverfahren verwenden zur Ver- und Entschlüsselung den gleichen Schlüssel

Historischen Verfahren

Bei historischen Verfahren lassen sich zwei Kryptografieklassen unterscheiden

• Bei der ersten werden, wie bei der im Beispiel benutzten Caesar-Kryptografie, die Buchstaben des Klartextes einzeln durch andere Buchstaben ersetzt.
• Mit dem lateinischen Wort substituere (deutsch: „ersetzen“) werden sie als Substitutionsverfahren bezeichnet.
• Im Gegensatz dazu bleibt bei der zweiten Kryptografieklasse, genannt Transposition (von lateinisch: transponere; deutsch: „versetzen“), jeder Buchstabe wie er ist, aber nicht wo er ist.
• Sein Platz im Text wird verändert, die einzelnen Buchstaben des Textes werden sozusagen durcheinandergewürfelt.
• Eine besonders einfache Form einer Transpositions-Kryptografie ist die bei Kindern beliebte „Revertierung“ (von lateinisch: reverse; deutsch: „umkehren“) eines Textes.
• So entsteht beispielsweise aus dem Klartext „GEHEIMNIS“ der Geheimtext „SINMIEHEG“.

Modernen symmetrischen Verfahren

Bei modernen symmetrischen Verfahren werden Stromverschlüsselung und auf einer Blockverschlüsselung basierende Verfahren unterschieden.

• Bei der Stromverschlüsselung werden die Zeichen des Klartextes jeweils einzeln und nacheinander verschlüsselt.
• Bei einer Blockverschlüsselung hingegen wird der Klartext vorab in Blöcke einer bestimmten Größe aufgeteilt.
• Wie dann die Blöcke verschlüsselt werden, bestimmt der Betriebsmodus der Kryptografiesmethode.

Interessanterweise beruhen selbst moderne Blockchiffren, wie beispielsweise das über mehrere Jahrzehnte gegen Ende des 20. Jahrhunderts zum Standard erhobene Kryptografiesverfahren DES (Data Encryption Standard) auf den beiden klassischen Methoden Substitution und Transposition.

• Sie verwenden diese beiden Grundprinzipien in Kombination und beziehen ihre Stärke ganz maßgeblich durch die mehrfache wiederholte Anwendung von solchen Kombinationen nicht selten in Dutzenden von „Runden“.
• So wird, vergleichbar zum wiederholten Kneten von Teig, der Klartext immer stärker verschlüsselt.
• Die Stärke der Kryptografie steigt zumeist mit der Anzahl der verwendeten Runden.

siehe Symmetrisches Kryptosystem

Asymmetrisch

Über Jahrhunderte hinweg war man der Meinung, dass es keine Alternative zur symmetrischen Kryptografie und dem damit verknüpften Schlüsselverteilungsproblem gäbe.

• Erst vor wenigen Jahrzehnten wurde die asymmetrische Kryptografie (Public-key cryptography) erfunden.
• Kennzeichen der asymmetrischen Kryptografie ist, dass zur Kryptografie ein völlig anderer Schlüssel als zur Entschlüsselung benutzt wird.
• Man unterscheidet hier zwischen dem „öffentlichen Schlüssel“, der zum Verschlüsseln benutzt wird, und dem „privaten Schlüssel“ zum Entschlüsseln des Geheimtextes.
• Der private Schlüssel wird niemals weitergegeben oder gar veröffentlicht, der öffentliche Schlüssel hingegen wird dem Kommunikationspartner übergeben oder veröffentlicht.
• Er kann dann von jedermann benutzt werden, um Nachrichten zu verschlüsseln.
• Um diese jedoch entschlüsseln zu können, benötigt man den dazu passenden privaten Schlüssel.
• Nur damit kann die verschlüsselte Nachricht wieder entschlüsselt werden.
• Das heißt, noch nicht einmal der Verschlüssler selbst ist in der Lage, seine eigene Nachricht, die er mit dem öffentlichen Schlüssel der anderen Person verschlüsselt hat, wieder zu entschlüsseln.

Das Verfahren kann übrigens auch „umgekehrt“ verwendet werden, indem eine Person ihren privaten Schlüssel nutzt, um damit eine Information zu verschlüsseln.

• Nun ist jedermann, der Zugriff auf den öffentlichen Schlüssel hat, in der Lage, damit die Nachricht zu entschlüsseln.
• Hier geht es meist nicht um die Geheimhaltung einer Nachricht, sondern beispielsweise um die Authentifizierung einer Person beziehungsweise die digitale Signatur einer Nachricht.
• Jedermann kann leicht überprüfen und erkennen, dass die verschlüsselte Information nur von dieser einen Person stammen kann, denn nur diese besitzt den nötigen privaten Schlüssel.
• Zum Signieren allein genügt es, den Nachrichtentext unverschlüsselt als Klartext zu belassen, und beispielsweise nur eine Prüfsumme davon verschlüsselt anzuhängen.
• Wenn der öffentliche Schlüssel des Autors beim Entschlüsseln eine korrekte Prüfsumme freilegt, ist sowohl der Autor als auch die Unverfälschtheit der Nachricht bestätigt.

Da asymmetrische Verfahren algorithmisch aufwendiger sind als symmetrische und daher in der Ausführung langsamer, werden in der Praxis zumeist Kombinationen aus beiden, sogenannte Hybrid-Verfahren genutzt.

• Dabei wird beispielsweise zuerst ein zufällig generierter individueller Sitzungsschlüssel mithilfe eines asymmetrischen Verfahrens ausgetauscht, und dieser anschließend gemeinsam als Schlüssel für ein symmetrisches Kryptografieverfahren benutzt, wodurch die eigentlich zu kommunizierende Information verschlüsselt wird.

• sieheAsymmetrisches Kryptosystem
• Kryptografie/Glossar

Anwendungen

Nachrichtenübertragung

Eine verschlüsselte Nachricht (z. B. eine E-Mail oder eine Webseite) muss in der Regel über mehrere Stationen übertragen werden.

• Heute handelt es sich dabei meist um einzelne Computersysteme, das heißt, die verschlüsselte Nachricht wird über ein Rechnernetzwerk übertragen.
• Man unterscheidet dabei zwei grundlegend unterschiedliche Übertragungsweisen.
• Bei der Leitungsverschlüsselung wird die Nachricht nur jeweils für den Nachbarrechner verschlüsselt.
• Dieser entschlüsselt die Nachricht, verschlüsselt sie wiederum (mit einem möglicherweise anderen Verfahren) und schickt sie an seinen Nachbarn – und so weiter bis zum Zielrechner.
• Der Vorteil dieses Verfahrens besteht darin, dass sich jeweils nur Nachbarrechner auf ein Kryptografiesverfahren und verwendete Schlüssel einigen müssen.
• Darüber hinaus kann diese Übertragungsweise auf einer sehr niedrigen Protokollebene (etwa bereits in der Übertragungs-Hardware) angesiedelt werden.
• Der Nachteil besteht darin, dass jeder einzelne Rechner auf dem Übertragungsweg vertrauenswürdig und sicher sein muss.
• Bei der Ende-zu-Ende-Kryptografie hingegen wird die Nachricht vom Absender verschlüsselt und in dieser Form unverändert über mehrere Rechner hinweg zum Empfänger übertragen.
• Hier hat keiner der übertragenden Rechner Einsicht in den Klartext der Nachricht.
• Der Nachteil besteht allerdings darin, dass sich der Absender mit jedem möglichen Empfänger auf ein Kryptografiesverfahren und zugehörige(n) Schlüssel einigen muss.

Datenträger

Sensible Daten auf einem Datenträger lassen sich im Wesentlichen auf zwei Wegen vor unbefugtem Zugriff schützen

• man verschlüsselt mit Hilfe von Kryptografiessoftware die gesamte Festplatte oder eine einzelne Partition (Full Disk Encryption, kurz FDE) oder auch nur einen Daten-Container in Form einer einzelnen Datei auf dem Datenträger
• bei der hardwareseitigen Kryptografie (Hardware encryption) übernimmt ein Mikrochip auf dem USB-Laufwerk eine automatische und transparente Kryptografie.
• Die Authentifizierung wird beispielsweise dadurch erreicht, dass das Gerät über eine physische Tastatur verfügt, über die vor der Verwendung ein PIN-Code einzugeben ist.

siehe Festplattenverschlüsselung

Kerckhoffs’ Prinzip

Kerckhoffs’sche Prinzip - Grundsätze moderner Kryptografie

Beschreibung

Kerckhoffs’sche Prinzip oder Kerckhoffs’ Maxime

1883 von Auguste Kerckhoffs formulierter Grundsatz der modernen Kryptografie

Sicherheit eines Kryptografiesverfahren

• DARF NICHT auf der Geheimhaltung der Verfahren beruhen
• Sie MUSS auf der Geheimhaltung des Schlüssels basieren

Grundsatz der modernen Kryptographie

Sicherheit eines Kryptosystems darf nicht von der Geheimhaltung des Algorithmus abhängen

• Die Sicherheit gründet sich auf die Geheimhaltung frei wählbarer Eingangsgrößen des Algorithmus
• Dies sind bei Verschlüsselungsverfahren etwa die geheimen Schlüssel

Security through obscurity

Gegensatz zum Kerckhoffs’schen Prinzip

• Sicherheit durch Geheimhaltung
  • Sicherheit durch Geheimhaltung des Kryptografiealgorithmus
  • zusätzlich zur Geheimhaltung der verwendeten Schlüssel

Grundsätze

Nr	Beschreibung
1	Das System muss im Wesentlichen nicht entzifferbar sein
2	Das System darf keine Geheimhaltung erfordern
3	Es muss leicht zu übermitteln sein und man muss sich die Schlüssel ohne schriftliche Aufzeichnung merken können
4	Das System sollte mit telegrafischer Kommunikation kompatibel sein
5	Das System muss transportabel sein und die Bedienung darf nicht mehr als eine Person erfordern
6	Das System muss einfach anwendbar sein

Ein Chiffriersystem, das diesen Anforderungen entsprach, existierte damals nicht.

Kerckhoffs’sche Prinzip

Konstruktion sicherer Kryptografie-Verfahren

Das Kerckhoffs’sche Prinzip ist der zweite der sechs Grundsätze zur Konstruktion eines sicheren Kryptografiesverfahrens, die Kerckhoffs 1883 in La cryptographie militaire einführt:

• Darf nicht der Geheimhaltung bedürfen und ohne Schaden in Feindeshand fallen können

Das Kerckhoffs’sche Prinzip findet bei den meisten heute verwendeten Kryptografiesalgorithmen Anwendung

Moderne Kryptografie

Das Kerckhoffs’sche Prinzip findet bei den meisten heute verwendeten Kryptografiesalgorithmen Anwendung

Gründe für das Kerckhoffs’sche Prinzip

• Es ist viel schwieriger, einen Algorithmus geheim zu halten als einen Schlüssel.
• Es ist schwieriger, einen kompromittierten Algorithmus durch einen anderen zu ersetzen als einen kompromittierten Schlüssel.
• Geheime Algorithmen können durch Reverse Engineering aus Software- oder Hardware-Implementierungen rekonstruiert werden.
• Fehler in öffentlichen Algorithmen werden leichter entdeckt (vgl. Peer-Review), wenn sich möglichst viele Fachleute damit befassen.
• Es ist leichter, in „geheimen“ Kryptografiesverfahren eine Hintertür zu verstecken.

Anwendung des Kerckhoffs’schen Prinzips

Konsequente Anwendung des Kerckhoffs’schen Prinzips

• Führt dazu, dass sich viele Experten eine Meinung über ein Verfahren bilden können

Dies ist wünschenswert

• Durch die Fülle von Expertenmeinungen kann das Verfahren gründlicher auf potenzielle Schwächen und Sicherheitslücken untersucht werden.

Öffentlichen Ausschreibungsverfahren

• So wurde etwa der Algorithmus AES in einem öffentlichen Ausschreibungsverfahren bestimmt
• Viele Experten haben Vorschläge für neue und möglichst sicheren Verfahren einreichten und untersuchten.

„Open Source geht nicht zulasten der Sicherheit“

Geheime Verfahren

Erfahrung in der Kryptografie

• Viele von ihren Entwicklern geheim gehaltene Verfahren nach oder mit ihrer Offenlegung als schwach erwiesen haben und gebrochen wurden.

Beispiele

• GSM-Algorithmen A5/1 und A5/2
• kryptografische Algorithmen der Zutrittskontrollkarten Mifare Classic und Legic prime
• Kryptografiesverfahren Magenta

Ein geheimer kryptografischer Algorithmus ist jedoch nicht notwendigerweise unsicher.

Axiome der Kryptoanalyse

• Angreifen kennen jedes Deail des Kryptografies - Algorithmus
• Angreifen ist in Besitz des Ver-/Entschlüsselungs - Equipments
• Hardware Maschine oder Sotware-Implementierung
• Angreifer hat Zugriff auf ausreichend plaintext / ciphertext - Paare
• mit dem gleichen (unbekannten Schlüssel) erstellt
• Starke Kryptografie (Strong cipher)
• Der beste Angriff sollte eine brute force - Schlüsselsuche sein

Kerckhoffs’ Prinzip

Kerckhoffs’ Maxime

• 1883 von Auguste Kerckhoffs formulierter Grundsatz der modernen Kryptografie
• Sicherheit eines Kryptografiesverfahrens beruht auf der Geheimhaltung des Schlüssels
• nicht auf der Geheimhaltung des Kryptografiesalgorithmus
• Ein Chiffriersystem, das diesen Anforderungen entsprach, existierte damals nicht
• „Security by Obscurity“
• Sicherheit durch Geheimhaltung des (Kryptografies-)Algorithmus
• möglicherweise zusätzlich zur Geheimhaltung des Schlüssels
• Sechs Grundsätze
• Das System muss im Wesentlichen (…) unentzifferbar sein
• Das System darf keine Geheimhaltung erfordern (…)
• Es muss leicht übermittelbar sein und man muss sich die Schlüssel ohne schriftliche Aufzeichnung merken können (...)
• Das System sollte mit telegraphischer Kommunikation kompatibel sein
• Das System muss transportabel sein und die Bedienung darf nicht mehr als eine Person erfordern
• Das System muss einfach anwendbar sein (…)

Kerckhoffs’sche Prinzip in der moderne Kryptografie

Viele gute Gründe für das Kerckhoffs’sche Prinzip

• Es ist schwieriger
• einen Algorithmus geheim zu halten als einen Schlüssel
• einen kompromittierten Algorithmus auszutauschen, als einen kompromittierten Schlüssel
• Geheime Algorithmen
• Einige „geheimen“ Kryptografiesverfahren haben sich als schwach und unzulänglich erwiesen
• Bei „geheimen“ Kryptografiesverfahren muss mit Hintertüren gerechnet werden
• können durch Reverse-Engineering aus Software- oder Hardware-Implementierungen rekonstruiert werden
• Fehler in öffentlichen Algorithmen
• können im Allgemeinen leichter entdeckt werden wenn sich möglichst viele Fachleute damit befassen

Konsequente Anwendung des Kerckhoffs’schen Prinzips

Viele Experten können sich eine Meinung bilden

• Fülle von Expertenmeinungen
• Verfahren kann gründlich auf potenzielle Schwächen und Sicherheitslücken untersucht werden
• AES wurde in öffentlichem Ausschreibungsverfahren bestimmt
• in dem viele Experten Vorschläge für einen neuen, möglichst sicheren Chiffrieralgorithmus einreichten und untersuchten
• Schlechte Erfahrungen
• Die Erfahrung in der Kryptografie zeigt, dass sich viele von ihren Entwicklern geheim gehaltene Verfahren nach oder mit ihrer Offenlegung als schwach erwiesen haben und gebrochen wurden.
• Beispiele
• sind die GSM-Algorithmen A5/1 und A5/2, kryptographische Algorithmen der Zutrittskontrollkarten Mifare Basic und Legic prime und das Kryptografiesverfahren Magenta.
• Auf der anderen Seite ist ein geheimer kryptographischer Algorithmus nicht notwendigerweise unsicher, wie das Beispiel von RC4 zeigt.
• Anwendung
• Das Kerckhoffs’sche Prinzip findet bei den meisten heute verwendeten Kryptografiesalgorithmen wie DES, AES, RSA Anwendung.

Begriffe

In der Kryptologie dient eine klare Abgrenzung von Begriffen und eine saubere und konsequent verwendete Fachterminologie zur Erleichterung der Arbeit und zur Vermeidung von Missverständnissen.

• Im Gegensatz dazu werden umgangssprachlich nicht selten Ausdrücke falsch benutzt und miteinander verwechselt, was zu unnötigen und leicht vermeidbaren Irritationen führen kann.
• Ein Beispiel ist die unsaubere Verwendung des Begriffs Entschlüsselung, wenn eigentlich Entzifferung gemeint ist.

Begriff	Beschreibung
Alphabet	Eine in der Reihenfolge permutierte geordnete Anordnung von Symbolen, speziell der 26 lateinischen Großbuchstaben (Beispiel: E K M F L G D Q V Z N T O W Y H X U S P A I B R C J)
Brechen eines Geheimtextes	Anderer Ausdruck für Entziffern Eines Kryptografiesverfahrens – Kompromittierung der Sicherheit des Verfahrens, etwa Entwicklung einer Methode zum Entziffern seiner Geheimtexte
Chiffrat	Anderer Ausdruck für Geheimtext
Chiffre	Anderer Ausdruck für Kryptografiesverfahren
Chiffrieren	Anderer Ausdruck für Verschlüsseln
Chiffrierung	Anderer Ausdruck für Kryptografie
Codebuch	Hilfsmittel bei der Codierung
Codeknacker	ugs. Ausdruck für Kryptoanalytiker
Codierung	Zumeist feste Zuordnung von Klartextgruppen zu Geheimtextgruppen
Dechiffrat	Text nach Entschlüsselung
Entschlüsseln	Umwandlung des Geheimtextes in den Klartext mithilfe des Schlüssels
Entziffern	Ermitteln des Klartextes aus dem Geheimtext ohne vorherige Kenntnis des Schlüssels
Geheimtext	Durch Kryptografie aus dem Klartext erzeugter Text
Involutorisch	Kryptografie und Entschlüsselung sind identisch
Klartext	Offener (unverschlüsselter) Wortlaut der Nachricht
Knacken	ugs. Ausdruck für Entziffern
Kryptoanalytiker	Jemand, der Geheimtexte zu entziffern versucht oder kryptografische Verfahren auf ihre Sicherheit untersucht bzw. versucht, diese zu brechen
Kryptogramm	Anderer Ausdruck für Geheimtext
Schlüssel	Geheime Information, die bei der Kryptografie verwendet wird bzw. zur Entschlüsselung benötigt wird
Schlüsseln	Zusammenfassender Begriff für Verschlüsseln und Entschlüsseln
Schlüssler	Person, die Nachrichten ver- oder entschlüsselt
Schlüsselraum	Menge aller möglichen Schlüssel
Schlüsseltext	Anderer Ausdruck für Geheimtext
Schwache Kryptografie	Kryptografie, die entziffert werden kann, also gebrochen ist oder gebrochen werden kann
Starke Kryptografie	Kryptografie, die mit heutigen Kenntnissen und Methoden nicht entziffert werden kann
Verschlüsseln	Umwandlung von Klartext in Geheimtext

Kryptografie/Schlüssellängen

Empfehlungen

Verfahren	Schlüssellänge
Asymmetrische Public-Key-Kryptographie	4096 Bit
Kryptographie mit elliptischen Kurven	512 Bit
Symmetrische Algorithmen	256 Bit

Schlüssellängen müssen regelmäßig angepasst werden

Auswahlkriterien für Algorithmus und Schlüssellänge

• Wert der Informationen
• Dauer des Schutzes

Jahre, die Daten vertraulich bleiben müssen

keylength.com

Keylength.com

Zufallszahlen

Beschreibung

Qualität von Zufallszahlen

Gute Quellen für Zufallszahlen

• Für viele Kryptooperationen unerlässlich
• Das Hauptmerkmal eines guten Zufallszahlengenerators ist die Unvorhersehbarkeit der erzeugten Zahlen
• Dies bedeutet, dass Hardware-Unterstützung für die Erzeugung von Entropie unerlässlich ist

Quantität von Zufallszahlen

Hardware-Zufallszahlengeneratoren

Hardware-Zufallszahlengeneratoren in Betriebssystemen oder eigenständigen Komponenten sammeln Entropie aus verschiedenen Zufallsereignissen

• Zeitpunkts des Auftretens eines Ereignisses als Entropie-Quelle

Die Entropie wird in einem Entropie-Pool zusammengeführt

• Einigen Implementierungen protokollieren die Anzahl der verfügbaren Zufallsbit

Ausfall von Zufallszahlengeneratoren

Versagen von Zufallszahlengeneratoren

Ungenügende Entropie

• Zufallszahlengeneratoren liefern unter Umständen vorhersehbare, nicht zufällige Zahlen
• Insbesondere bei eingebetteten Geräten und virtuellen Maschinen

Fehlen Entropie-Quellen bei eingebetteten Geräten

Uhr

• Boot-Zeit trägt nicht zum anfänglichen RNG-Status bei

Festplatte

• Keine Entropie aus dem Festplattentiming
• Keine Möglichkeit, Entropie zwischen Neustarts zu speichern

Virtuelle Maschinen

Virtuelle Maschinen emulieren Hardwarekomponenten

• Erzeugte Entropie wird oft überschätzt

Zeitquelle

• Kritischste Komponente ist die Zeitquelle

Emulierten Umgebungen liefern unter Umständen falsche Ergebnisse

• https://bettercrypto.org/#bibliography-default-Eng11

Anfälligste Zeit, in der Situationen mit geringer Entropie auftreten, ist in der Regel kurz nach einem Neustart

• Leider erstellen viele Betriebssystem-Installationsprogramme kryptografische Schlüssel kurz nach einem Neustart
• https://bettercrypto.org/#bibliography-default-HDWH12

Weiteres Problem

• OpenSSL lässt seinen internen Zufallsgenerator nur selten vom Hardware-Zufallszahlengenerator des Betriebssystems seeden
• Dies kann dazu führen, dass ein Daemon, der zu einem Zeitpunkt gestartet wird, an dem die Entropie niedrig ist, diese niedrige Entropie über Stunden beibehält, was zu vorhersehbaren Sitzungsschlüsseln führt
• https://bettercrypto.org/#bibliography-default-HDWH12

Empfehlung

• Systeme, bei denen während der Lebensdauer der Schlüssel mit Situationen geringer Entropie zu rechnen ist, sollten RSA-Schlüssel gegenüber DSA-Schlüsseln bevorzugen
• Bei DSA kann es zu wiederholten ephemeren Schlüsseln kommen, wenn die Entropie zu dem Zeitpunkt, zu dem die Schlüssel zum Signieren verwendet werden, unzureichend ist.
• Ein Angreifer, der einen in einer solchen Signatur verwendeten ephemeren privaten Schlüssel erraten kann, kann den geheimen DSA-Schlüssel kompromittieren.
• Bei RSA kann dies zur Entdeckung von verschlüsseltem Klartext oder gefälschten Signaturen führen, nicht aber zur Kompromittierung des geheimen Schlüssels.
• https://bettercrypto.org/#bibliography-default-HDWH12

Kryptokonzept

CON.1 Kryptokonzept - Konzepte und Vorgehensweisen

Beschreibung

Einleitung

Kryptografie ist ein Mittel, um die Informationssicherheit in den Schutzzielen Vertraulichkeit, Integrität und Authentizität zu gewährleisten.

• Mithilfe von kryptografischen Verfahren werden Informationen verschlüsselt, sodass deren Inhalt ohne den zugehörigen Schlüssel nicht lesbar ist.
• Dabei können symmetrische Verfahren, d.h. es wird derselbe Schlüssel zum Verschlüsseln und Entschlüsseln verwendet, sowie asymmetrische Verfahren, d.h. es wird ein Schlüssel zum Verschlüsseln und ein anderer Schlüssel zum Entschlüsseln verwendet, eingesetzt werden.

In einer heterogenen Umgebung können dabei lokal gespeicherte Daten und auch die zu übertragenden Daten einer Institution wirkungsvoll durch kryptografische Verfahren und Techniken geschützt werden.

Ferner werden weitergehende Maßnahmen auf organisatorischer und prozessualer Ebene benötigt.

• Der alleinige technische Einsatz von kryptografischen Verfahren genügt nicht, um die Vertraulichkeit, Integrität und Authentizität der verschlüsselten Informationen zu gewährleisten.

Die Gesamtheit der eingesetzten kryptografischen Verfahren und damit verbundenen Maßnahmen wird im Rahmen eines Kryptokonzeptes gebündelt betrachtet.

• Nur durch eine ganzheitliche Betrachtung der Thematik wird ein effektiver Schutz durch Kryptografie ermöglicht.

Eine Besonderheit stellen Kryptomodule dar, die für kryptografische Verfahren bei erhöhtem Schutzbedarf eingesetzt werden können.

• Mit einem Kryptomodul ist ein Produkt gemeint, das die im Kryptokonzept dargelegte Sicherheitsfunktion bietet.
• Ein solches Produkt kann dabei aus Hardware, Software, Firmware oder aus einer Kombination daraus bestehen.
• Hinzu kommen noch notwendige Bauteile wie Speicher, Prozessoren, Busse und die Stromversorgung, um die Kryptoprozesse umzusetzen.
• Ein Kryptomodul kann in unterschiedlichen IT- oder Telekommunikationssystemen verwendet werden, um sensible Daten bzw. Informationen zu schützen.

Zielsetzung

Dieser Baustein beschreibt

• Wie ein Kryptokonzept erstellt werden kann
• Wie Informationen in Institutionen kryptografisch abgesichert werden können

Abgrenzung und Modellierung

Baustein CON.1 Kryptokonzept ist für den Informationsverbund einmal anzuwenden

• In diesem Baustein werden allgemeine Anforderungen, organisatorische Rahmenbedingungen und prozessuale Abläufe für kryptografische Produkte und Verfahren behandelt.
• Die mit dem Betrieb von Kryptomodulen zusammenhängenden Kern-IT-Aufgaben werden hier nicht thematisiert.
• Dafür müssen die Anforderungen der Bausteine aus der Schicht OPS.1.1 Kern-IT-Betrieb erfüllt werden.

Wie auf Anwendungsebene (z. B. Verschlüsselung oder Hashen von Passwörtern in einer Datenbank), einzelne IT-Systeme (z. B. Laptops) oder Kommunikationsverbindungen kryptografisch abgesichert werden können, ist ebenfalls nicht Gegenstand dieses Bausteins.

• Diese Themen werden in den entsprechenden Bausteinen der Schichten APP Anwendungen, SYS IT-Systeme und NET Netze und Kommunikation behandelt.

Gefährdungslage

Gefährdung	Beschreibung
Unzureichendes Schlüsselmanagement bei Verschlüsselung	Durch ein unzureichendes Schlüsselmanagement könnten Angreifer auf verschlüsselte Daten zugreifen. So kann es etwa sein, dass sich aufgrund fehlender Regelungen verschlüsselte Informationen mitsamt den dazugehörigen Schlüsseln auf demselben Datenträger befinden oder über denselben Kommunikationskanal (unverschlüsselt) übertragen werden. Dadurch kann bei symmetrischen Verfahren jeder, der auf den Datenträger oder den Kommunikationskanal zugreifen kann, die Informationen entschlüsseln, wenn das eingesetzte Verschlüsselungsverfahren bekannt ist.
Verstoß gegen rechtliche Rahmenbedingungen beim Einsatz von kryptografischen Verfahren	Wenn Institutionen kryptografische Verfahren und Produkte einsetzen, müssen sie dabei diverse gesetzliche Rahmenbedingungen beachten. In einigen Ländern dürfen etwa kryptografische Verfahren nicht ohne staatliche Genehmigung eingesetzt werden. Das kann dazu führen, dass Empfänger im Ausland verschlüsselte Datensätze nicht lesen können, da sie die benötigten kryptografischen Produkte nicht einsetzen dürfen und sich dabei vielleicht sogar strafbar machen. Außerdem ist in vielen Ländern auch der Einsatz von Produkten mit starker Kryptografie erheblich eingeschränkt. Das kann dazu verleiten, schützenswerte Daten unverschlüsselt zu lassen oder mit unsicheren Verfahren zu schützen. Dadurch sind einerseits leicht Angriffe möglich, andererseits kann auch gegen nationales Recht verstoßen werden. So können etwa Datenschutzgesetze vorschreiben, dass adäquate kryptografische Verfahren eingesetzt werden müssen, um personenbezogene Daten zu schützen.
Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten	Setzt eine Institution beispielsweise Kryptomodule ein, die zu kompliziert zu bedienen sind, könnten die Benutzer aus Bequemlichkeit oder aus pragmatischen Gründen darauf verzichten und stattdessen die Informationen im Klartext übertragen. Dadurch können die übertragenen Informationen von Angreifern abgehört werden. Auch kann eine Fehlbedienung von Kryptomodulen dazu führen, dass vertrauliche Informationen von Angreifern abgegriffen werden, etwa wenn diese im Klartext übertragen werden, weil versehentlich der Klartext-Modus aktiviert wurde.
Software-Schwachstellen oder -Fehler in Kryptomodulen	Software-Schwachstellen oder -Fehler in Kryptomodulen beeinträchtigen die Sicherheit der eingesetzten kryptografischen Verfahren. Sie können etwa dazu führen, dass die damit geschützten Informationen mitgelesen werden. Darüber hinaus ist es möglich, dass Angreifer die Kryptomodule manipulieren, z. B. über Schadsoftware. So können institutionskritische Daten abfließen oder auch ganze Produktionsprozesse stillstehen, weil sich Daten nicht mehr entschlüsseln lassen.
Ausfall eines Kryptomoduls	Kryptomodule können durch technische Defekte, Stromausfälle oder absichtliche Zerstörung ausfallen. Dadurch könnten bereits verschlüsselte Daten nicht mehr entschlüsselt werden, solange das erforderliche Kryptomodul nicht mehr verfügbar ist. So können ganze Prozessketten stillstehen, z. B. wenn weitere IT-Anwendungen auf die Daten angewiesen sind.
Unsichere kryptografische Algorithmen oder Produkte	Unsichere oder veraltete kryptografische Algorithmen lassen sich von einem Angreifer mit vertretbaren Ressourcen brechen. Bei Verschlüsselungsalgorithmen bedeutet dies, dass es ihm gelingt, aus dem verschlüsselten Text den ursprünglichen Klartext zu ermitteln, ohne dass er zusätzliche Informationen hat, wie z. B. den verwendeten kryptografischen Schlüssel. Werden unsichere kryptografische Algorithmen eingesetzt, können Angreifer den kryptografischen Schutz unterlaufen und somit auf schützenswerte Informationen der Institution zugreifen. Selbst, wenn in einer Institution ausschließlich sichere (z. B. zertifizierte) Produkte eingesetzt werden, kann die Kommunikation trotzdem unsicher werden. Das ist etwa dann der Fall, wenn der Kommunikationspartner kryptografische Verfahren benutzt, die nicht dem Stand der Technik entsprechen.
Fehler in verschlüsselten Daten oder kryptografischen Schlüsseln	Werden Informationen verschlüsselt und die Chiffrate im Anschluss verändert, lassen sich die verschlüsselten Informationen eventuell nicht mehr korrekt entschlüsseln. Je nach Betriebsart der Verschlüsselungsroutinen kann dies bedeuten, dass nur wenige Bytes oder auch sämtliche Daten falsch entschlüsselt werden. Ist keine Datensicherung vorhanden, sind solche Daten verloren. Noch kritischer kann sich ein Fehler in den verwendeten kryptografischen Schlüsseln auswirken. Schon die Änderung eines einzigen Bits eines kryptografischen Schlüssels führt dazu, dass sämtliche damit verschlüsselten Daten nicht mehr entschlüsselt werden können.
Unautorisierte Nutzung eines Kryptomoduls	Gelingt es einem Angreifer, ein Kryptomodul unautorisiert zu benutzen, kann er kritische Sicherheitsparameter manipulieren. Somit bieten die kryptografischen Verfahren keine ausreichende Sicherheit mehr. Weiterhin kann ein Angreifer das Kryptomodul so manipulieren, dass es zwar auf den ersten Blick korrekt arbeitet, sich jedoch tatsächlich in einem unsicheren Zustand befindet. Dadurch bleibt der Angreifer längere Zeit unentdeckt und kann auf zahlreiche institutionskritische Informationen zugreifen.
Kompromittierung kryptografischer Schlüssel	Die Sicherheit kryptografischer Verfahren hängt entscheidend davon ab, wie vertraulich die verwendeten kryptografischen Schlüssel bleiben. Daher wird ein potenzieller Angreifer in der Regel versuchen, die verwendeten Schlüssel zu ermitteln. Das könnte ihm z. B. gelingen, indem er flüchtige Speicher ausliest oder ungeschützte Schlüssel findet, die beispielsweise in einer Datensicherung hinterlegt sind. Kennt er den verwendeten Schlüssel und das eingesetzte Kryptoverfahren, kann er die Daten relativ leicht entschlüsseln.
Gefälschte Zertifikate	Zertifikate dienen dazu, einen öffentlichen kryptografischen Schlüssel an eine Person, ein IT-System oder eine Institution zu binden. Diese Bindung des Schlüssels wird wiederum kryptografisch mittels einer digitalen Signatur häufig von einer vertrauenswürdigen dritten Stelle abgesichert. Diese Zertifikate werden dann von Dritten benutzt, um digitale Signaturen der im Zertifikat ausgewiesenen Person, des IT-Systems oder der Institution zu prüfen. Alternativ kann der im Zertifikat hinterlegte Schlüssel für ein asymmetrisches Verschlüsselungsverfahren benutzt werden, um die Kommunikation mit dem Zertifikatsinhaber zu verschlüsseln. Ist ein solches Zertifikat gefälscht, dann werden digitale Signaturen fälschlicherweise als korrekt geprüft und der Person, dem IT-System oder der Institution im Zertifikat zugeordnet. Oder es werden Daten mit einem möglicherweise unsicheren Schlüssel verschlüsselt und versandt.

Anforderungen

Zuständigkeiten

Grundsätzlich ist der Informationssicherheitsbeauftragte (ISB) dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden.

• Zusätzlich kann es noch andere Rollen geben, die weitere Zuständigkeiten bei der Umsetzung von Anforderungen haben.
• Diese sind dann jeweils explizit in eckigen Klammern in der Überschrift der jeweiligen Anforderungen aufgeführt.

Grundsätzlich zuständig

• Informationssicherheitsbeauftragter (ISB)

Weitere Zuständigkeiten

• Fachverantwortliche
• IT-Betrieb
• Vorgesetzte

Basis-Anforderungen

Basis-Anforderungen MÜSSEN vorrangig erfüllt werden

Anforderung	Beschreibung
A1	Auswahl geeigneter kryptografischer Verfahren
A2	Datensicherung bei Einsatz kryptografischer Verfahren

A1 Auswahl geeigneter kryptografischer Verfahren [Fachverantwortliche] (B)

Es MÜSSEN geeignete kryptografische Verfahren ausgewählt werden.

• Dabei MUSS sichergestellt sein, dass etablierte Algorithmen verwendet werden, die von der Fachwelt intensiv untersucht wurden und von denen keine Sicherheitslücken bekannt sind.
• Ebenso MÜSSEN aktuell empfohlene Schlüssellängen verwendet werden.

A2 Datensicherung bei Einsatz kryptografischer Verfahren [IT-Betrieb] (B)

In Datensicherungen MÜSSEN kryptografische Schlüssel vom IT-Betrieb derart gespeichert bzw. aufbewahrt werden, dass Unbefugte nicht darauf zugreifen können.

• Langlebige kryptografische Schlüssel MÜSSEN außerhalb der eingesetzten IT-Systeme aufbewahrt werden.

Bei einer Langzeitspeicherung verschlüsselter Daten SOLLTE regelmäßig geprüft werden, ob die verwendeten kryptografischen Algorithmen und die Schlüssellängen noch dem Stand der Technik entsprechen.

• Der IT-Betrieb MUSS sicherstellen, dass auf verschlüsselt gespeicherte Daten auch nach längeren Zeiträumen noch zugegriffen werden kann.
• Verwendete Kryptoprodukte SOLLTEN archiviert werden.
• Die Konfigurationsdaten von Kryptoprodukten SOLLTEN gesichert werden.

Standard-Anforderungen

Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik für den Baustein CON.1 Kryptokonzept.

• Sie SOLLTEN grundsätzlich erfüllt werden.

Basis-Anforderungen MÜSSEN vorrangig erfüllt werden

Anforderung	Beschreibung
A03	Verschlüsselung der Kommunikationsverbindungen
A04	Geeignetes Schlüsselmanagement
A05	Sicheres Löschen und Vernichten von kryptografischen Schlüsseln	IT-Betrieb
A06	Bedarfserhebung für kryptografische Verfahren und Produkte	IT-Betrieb, Fachverantwortliche

A3 Verschlüsselung der Kommunikationsverbindungen

Es SOLLTE geprüft werden, ob mit vertretbarem Aufwand eine Verschlüsselung der Kommunikationsverbindungen möglich und praktikabel ist.

• Ist dies der Fall, SOLLTEN Kommunikationsverbindungen geeignet verschlüsselt werden.

A4 Geeignetes Schlüsselmanagement

Kryptografische Schlüssel SOLLTEN immer mit geeigneten Schlüsselgeneratoren und in einer sicheren Umgebung erzeugt werden.

• Ein Schlüssel SOLLTE möglichst nur einem Einsatzzweck dienen.

Insbesondere SOLLTEN für die Verschlüsselung und Signaturbildung unterschiedliche Schlüssel benutzt werden.

• Der Austausch von kyptografischen Schlüsseln SOLLTE mit einem als sicher geltenden Verfahren durchgeführt werden.

Wenn Schlüssel verwendet werden, SOLLTE die authentische Herkunft und die Integrität der Schlüsseldaten überprüft werden.

Alle kryptografischen Schlüssel SOLLTEN hinreichend häufig gewechselt werden.

• Es SOLLTE eine festgelegte Vorgehensweise für den Fall geben, dass ein Schlüssel offengelegt wurde.
• Alle erzeugten kryptografischen Schlüssel SOLLTEN sicher aufbewahrt und verwaltet werden.

A5 Sicheres Löschen und Vernichten von kryptografischen Schlüsseln [IT-Betrieb]

Nicht mehr benötigte Schlüssel und Zertifikate SOLLTEN sicher gelöscht bzw. vernichtet werden.

A6 Bedarfserhebung für kryptografische Verfahren und Produkte [IT-Betrieb, Fachverantwortliche]

Es SOLLTE festgelegt werden, für welche Geschäftsprozesse oder Fachverfahren kryptografische Verfahren eingesetzt werden sollen.

• Danach SOLLTEN die Anwendungen, IT-Systeme und Kommunikationsverbindungen identifiziert werden, die notwendig sind, um die Aufgaben zu erfüllen.

Diese SOLLTEN durch den IT-Betrieb geeignet kryptografisch abgesichert werden.

Anforderungen bei erhöhtem Schutzbedarf

Exemplarische Vorschläge

• Anforderungen, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen
• SOLLTEN bei ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden
• Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse

Anforderung	Beschreibung	Zuständigkeit
A07	Erstellung einer Sicherheitsrichtlinie für den Einsatz kryptografischer Verfahren und Produkte
A08	Erhebung der Einflussfaktoren für kryptografische Verfahren und Produkte
A09	Auswahl eines geeigneten kryptografischen Produkts	IT-Betrieb, Fachverantwortliche
A10	A10 Entwicklung eines Kryptokonzepts
A11
A12
A13
A14
A15
A16
A17
A18

A7 Erstellung einer Sicherheitsrichtlinie für den Einsatz kryptografischer Verfahren und Produkte (H)

Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution SOLLTE eine spezifische Richtlinie für den Einsatz von Kryptoprodukten erstellt werden.

• In der Sicherheitsrichtlinie SOLLTE geregelt werden, wer für den sicheren Betrieb der kryptografischen Produkte zuständig ist.
• Für die benutzten Kryptoprodukte SOLLTE es Vertretungsregelungen geben.

Auch SOLLTEN notwendige Schulungs- und Sensibilisierungsmaßnahmen für Benutzer sowie Verhaltensregeln und Meldewege bei Problemen oder Sicherheitsvorfällen festgelegt werden.

• Weiter SOLLTE die Richtlinie definieren, wie sichergestellt wird, dass Kryptomodule sicher konfiguriert, korrekt eingesetzt und regelmäßig gewartet werden.

Die Richtlinie SOLLTE allen relevanten Mitarbeitern bekannt und grundlegend für ihre Arbeit sein.

Wird die Richtlinie verändert oder wird von ihr abgewichen, SOLLTE dies mit dem ISB abgestimmt und dokumentiert werden.

• Es SOLLTE regelmäßig überprüft werden, ob die Richtlinie noch korrekt umgesetzt wird.
• Die Ergebnisse SOLLTEN sinnvoll dokumentiert werden.

A8 Erhebung der Einflussfaktoren für kryptografische Verfahren und Produkte (H)

Bevor entschieden werden kann, welche kryptografischen Verfahren und Produkte bei erhöhtem Schutzbedarf eingesetzt werden, SOLLTEN unter anderem folgende Einflussfaktoren ermittelt werden

• Sicherheitsaspekte (siehe ==== A6 Bedarfserhebung für kryptografische Verfahren und Produkte), ====
• technische Aspekte,
• personelle und organisatorische Aspekte,
• wirtschaftliche Aspekte,
• Lebensdauer von kryptografischen Verfahren und der eingesetzten Schlüssellängen,
• Zulassung von kryptografischen Produkten sowie
• gesetzliche Rahmenbedingungen.

A9 Auswahl eines geeigneten kryptografischen Produkts [IT-Betrieb, Fachverantwortliche] (H)

Bevor ein kryptografisches Produkt ausgewählt wird, SOLLTE die Institution festlegen, welche Anforderungen das Produkt erfüllen muss.

• Dabei SOLLTEN Aspekte wie Funktionsumfang, Interoperabilität, Wirtschaftlichkeit sowie Fehlbedienungs- und Fehlfunktionssicherheit betrachtet werden.
• Es SOLLTE geprüft werden, ob zertifizierte Produkte vorrangig eingesetzt werden sollen.
• Auch die zukünftigen Einsatzorte SOLLTEN bei der Auswahl beachtet werden, da es z. B. Export- und Importbeschränkungen für kryptografische Produkte gibt.

Auf Produkte mit unkontrollierbarer Schlüsselablage SOLLTE generell verzichtet werden.

A10 Entwicklung eines Kryptokonzepts

Es SOLLTE ein Kryptokonzept entwickelt werden, das in das Sicherheitskonzept der Institution integriert wird.

• Im Konzept SOLLTEN alle technischen und organisatorischen Vorgaben für die eingesetzten kryptografischen Produkte beschrieben werden.
• Auch SOLLTEN alle relevanten Anwendungen, IT-Systeme und Kommunikationsverbindungen aufgeführt sein.
• Das erstellte Kryptokonzept SOLLTE regelmäßig aktualisiert werden.

A11 Sichere Konfiguration der Kryptomodule [IT-Betrieb] (H)

Kryptomodule SOLLTEN sicher installiert und konfiguriert werden.

• Alle voreingestellten Schlüssel SOLLTEN geändert werden.
• Anschließend SOLLTE getestet werden, ob die Kryptomodule korrekt funktionieren und vom Benutzer auch bedient werden können.

Weiterhin SOLLTEN die Anforderungen an die Einsatzumgebung festgelegt werden.

• Wenn ein ITSystem geändert wird, SOLLTE getestet werden, ob die eingesetzten kryptografischen Verfahren noch greifen.
• Die Konfiguration der Kryptomodule SOLLTE dokumentiert und regelmäßig überprüft werden.

A12 Sichere Rollenteilung beim Einsatz von Kryptomodulen [IT-Betrieb] (H)

Bei der Konfiguration eines Kryptomoduls SOLLTEN Benutzerrollen festgelegt werden.

• Es SOLLTE mit Zugriffskontroll- und Authentisierungsmechanismen verifiziert werden, ob ein Mitarbeiter den gewünschten Dienst auch tatsächlich benutzen darf.
• Das Kryptomodul SOLLTE so konfiguriert sein, dass bei jedem Rollenwechsel oder bei Inaktivität nach einer bestimmten Zeitdauer die Authentisierungsinformationen erneut eingegeben werden müssen.

A13 Anforderungen an die Betriebssystem-Sicherheit beim Einsatz von Kryptomodulen (H)

Das Zusammenwirken von Betriebssystem und Kryptomodulen SOLLTE gewährleisten, dass • die installierten Kryptomodule nicht unbemerkt abgeschaltet oder umgangen werden können, • die angewandten oder gespeicherten Schlüssel nicht kompromittiert werden können, • die zu schützenden Daten nur mit Wissen und unter Kontrolle des Benutzers auch unverschlüsselt auf Datenträgern abgespeichert werden bzw. das informationsverarbeitende System verlassen können sowie • Manipulationsversuche am Kryptomodul erkannt werden.

A14 Schulung von Benutzern und Administratoren [Vorgesetzte,Fachverantwortliche, IT-Betrieb] (H)

Es SOLLTE Schulungen geben, in denen Benutzern und Administratoren der Umgang mit den für sie relevanten Kryptomodulen vermittelt wird.

• Den Benutzern SOLLTE genau erläutert werden, was die spezifischen Sicherheitseinstellungen von Kryptomodulen bedeuten und warum sie wichtig sind.

Außerdem SOLLTEN sie auf die Gefahren hingewiesen werden, die drohen, wenn diese Sicherheitseinstellungen aus Bequemlichkeit umgangen oder deaktiviert werden.

• Die Schulungsinhalte SOLLTEN immer den jeweiligen Einsatzszenarien entsprechend angepasst werden.

Die Administratoren SOLLTEN zudem gezielt dazu geschult werden, wie die Kryptomodule zu administrieren sind.

• Auch SOLLTEN sie einen Überblick über kryptografische Grundbegriffe erhalten.

A15 Reaktion auf praktische Schwächung eines Kryptoverfahrens (H)

Es SOLLTE ein Prozess etabliert werden, der im Falle eines geschwächten kryptografischen Verfahrens herangezogen werden kann.

• Dabei SOLLTE sichergestellt werden, dass das geschwächte kryptografische Verfahren abgesichert werden kann oder durch eine geeignete Alternative abgelöst wird.

A16 Physische Absicherung von Kryptomodulen [IT-Betrieb] (H)

Der IT-Betrieb SOLLTE sicherstellen, dass nicht unautorisiert physisch auf Modulinhalte des Kryptomoduls zugegriffen wird.

• Hard- und Softwareprodukte, die als Kryptomodule eingesetzt werden, SOLLTEN einen Selbsttest durchführen können.

A17 Abstrahlsicherheit [IT-Betrieb] (H)

Es SOLLTE untersucht werden, ob zusätzliche Maßnahmen hinsichtlich der Abstrahlsicherheit notwendig sind.

• Dies SOLLTE insbesondere dann geschehen, wenn staatliche Verschlusssachen (VS) der Geheimhaltungsgrade VS-VERTRAULICH und höher verarbeitet werden.

A18 Kryptografische Ersatzmodule [IT-Betrieb] (H)

Es SOLLTEN Ersatzkryptomodule vorrätig sein.

Best Practice

Schlüssellängen

Empfehlungen

Verfahren	Schlüssellänge
Asymmetrische Public-Key-Kryptographie	4096 Bit
Kryptographie mit elliptischen Kurven	512 Bit
Symmetrische Algorithmen	256 Bit

Schlüssellängen müssen regelmäßig angepasst werden

Auswahlkriterien für Algorithmus und Schlüssellänge

• Wert der Informationen
• Dauer des Schutzes

Jahre, die Daten vertraulich bleiben müssen

keylength.com

Keylength.com

Secure Shell

Umgang mit Schlüsselmaterial

Schlüsselmaterial identifiziert die kryptografischen Geheimnisse, aus denen ein Schlüssel besteht.

Sämtliches Schlüsselmaterial muss als RESTRICTED-Daten behandelt werden

• Nur Personen mit spezieller Ausbildung und dem Bedarf an Wissen sollten Zugang zu Schlüsselmaterial haben.
• Das Schlüsselmaterial muss bei der Übertragung verschlüsselt werden.
• Schlüsselmaterial kann im Klartext gespeichert werden, aber nur mit einer angemessenen Zugangskontrolle (begrenzter Zugang).

Dazu gehören

Keys	Beschreibung
Server Keys	/etc/ssh/ssh_host_*key
Client Keys	/.ssh/id_{rsa,dsa,ecdsa,ed25519} ~/.ssh/identity

Chiffren und Algorithmen

Wahl der Chiffren und Algorithmen

Aktuelle OpenSSH-Server und -Client unterstützen CHACHA20

• Wenn CHACHA20 (OpenSSH 6.5+) nicht verfügbar ist
• AES-GCM (OpenSSH 6.1+) und jeder andere Algorithmus, der EtM (Encrypt then MAC) verwendet legt die Paketlänge offen - was dem Angreifer einige Informationen liefert.
• NIST-Kurven (ecdh-sha2-nistp512,ecdh-sha2-nistp384,ecdh-sha2-nistp256) sind aus Kompatibilitätsgründen aufgeführt, aber die Verwendung von Kurve25519 wird generell bevorzugt.

SSH protocol 2

• DH
• ECDH key-exchange
• forward secrecy

Group sizes

• Security/Guidelines/Key_Management

Die verschiedenen Algorithmen, die von einer bestimmten OpenSSH-Version unterstützt werden, lassen sich mit den folgenden Befehlen auflisten

$ ssh -Q cipher
$ ssh -Q cipher-auth
$ ssh -Q mac
$ ssh -Q kex
$ ssh -Q key

Anmelde-Latenz

Client-Schlüsselgröße und Anmelde-Latenz

Ermitteln der Auswirkungen der Verwendung größerer Schlüssel auf die Leistung.

• z.B. RSA 4096 Bytes Schlüssel - auf der Client-Seite

Tests

Idle, i7 4500 intel CPU

• OpenSSH_6.7p1
• OpenSSL 1.0.1l
• ed25519 server keys

Der folgende Befehl wird 10 Mal ausgeführt

time ssh localhost -i .ssh/id_thekey exit

Ergebnisse

Client key	Minimum	Maximum	Average
RSA 4096	120ms	145ms	127ms
RSA 2048	120ms	129ms	127ms
ed25519	117ms	138ms	120ms

Zusammenfassung

• Latenzunterschiede sind nicht signifikant
• Sie beeinträchtigen die Leistung nicht wesentlich

Konfiguration

SSH/Kryptografie/Konfiguration

GnuPG

Kryptografie/GnuPG

Apache

Note that any cipher suite starting with EECDH can be omitted, if in doubt. (Compared to the theory section, EECDH in Apache and ECDHE in OpenSSL are synonyms [4])

Tested with Versions

• Apache 2.2.22, Debian Wheezy with OpenSSL 1.0.1e
• Apache 2.4.6, Debian Jessie with OpenSSL 1.0.1e
• Apache 2.4.10, Debian Jessie 8.2 with OpenSSL 1.0.1k
• Apache 2.4.7, Ubuntu 14.04.2 Trusty with OpenSSL 1.0.1f
• Apache 2.4.6, CentOS Linux 7 (Core) with OpenSSL 1.0.1e
• Apache 2.4.18, Ubuntu 16.04.3 LTS with OpenSSL 1.0.2g

Settings

Enabled modules SSL and Headers are required.

SSL configuration for an Apache vhost

SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
#SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt
#SSLCACertificateFile /etc/apache2/ssl.crt/ca-bundle.crt
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCompression off
Header always set Strict-Transport-Security "max-age=15768000"
# Strict-Transport-Security: "max-age=15768000 ; includeSubDomains"
Header always set Public-Key-Pins "pin-sha256=\"YOUR_HASH=\"; pin-sha256=\"YOUR_BACKUP_HASH=\"; max-age=7776000; report-uri=\"https://YOUR.REPORT.URL\""
SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA'

	Add six earth month HSTS header for all users…​
	If you want to protect all subdomains, use the following header. ALL subdomains HAVE TO support HTTPS if you use this!
	CALL subdomains HAVE TO support HTTPS if you use this! At least use one Backup-Key and/or add whole CA, think of Cert-Updates!

Additional settings

You might want to redirect everything to https:// if possible. In Apache you can do this with the following setting inside of a VirtualHost environment:

https auto-redirect vhost

<VirtualHost *:80>
    Redirect permanent / https://SERVER_NAME/
</VirtualHost>

References

Apache2 Docs on SSL and TLS

How to test

See appendix Tools

lighttpd

Tested with Versions

• lighttpd/1.4.31-4 with OpenSSL 1.0.1e on Debian Wheezy
• lighttpd/1.4.33 with OpenSSL 0.9.8o on Debian Squeeze (note that TLSv1.2 does not work in openssl 0.9.8 thus not all ciphers actually work)
• lighttpd/1.4.28-2 with OpenSSL 0.9.8o on Debian Squeeze (note that TLSv1.2 does not work in openssl 0.9.8 thus not all ciphers actually work)
• lighttpd/1.4.31, Ubuntu 14.04.2 Trusty with Openssl 1.0.1f

Settings

SSL configuration for lighttpd

$SERVER["socket"] == "0.0.0.0:443" {
    ssl.engine = "enable"
    ssl.use-sslv2 = "disable"
    ssl.use-sslv3 = "disable"
    ssl.pemfile = "/etc/lighttpd/server.pem"
    ssl.ca-file = "/etc/ssl/certs/server.crt"
    ssl.cipher-list = "EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA"
    ssl.honor-cipher-order = "enable"
    setenv.add-response-header   = ( "Strict-Transport-Security" => "max-age=15768000") # six months
     # use this only if all subdomains support HTTPS!
     # setenv.add-response-header   = ( "Strict-Transport-Security" => "max-age=15768000; includeSubDomains")
}

Starting with lighttpd version 1.4.29 Diffie-Hellman and Elliptic-Curve Diffie-Hellman key agreement protocols are supported. By default, elliptic curve "prime256v1" (also "secp256r1") will be used, if no other is given. To select special curves, it is possible to set them using the configuration options ssl.dh-file and ssl.ec-curve.

SSL EC/DH configuration for lighttpd

 # use group16 dh parameters
ssl.dh-file = "/etc/lighttpd/ssl/dh4096.pem"
ssl.ec-curve = "secp384r1"

Please read section A note on Diffie Hellman Key Exchanges for more information on Diffie Hellman key exchange and elliptic curves.

Additional settings

As for any other webserver, you might want to automatically redirect http:// traffic toward https://. It is also recommended to set the environment variable HTTPS, so the PHP applications run by the webserver can easily detect that HTTPS is in use.

https auto-redirect configuration

$HTTP["scheme"] == "http" {
     # capture vhost name with regex condition -> %0 in redirect pattern
     # must be the most inner block to the redirect rule
    $HTTP["host"] =~ ".*" {
        url.redirect = (".*" => "https://%0$0")
    }
     # Set the environment variable properly
    setenv.add-environment = (
        "HTTPS" => "on"
    )
}

Additional information

The config option honor-cipher-order is available since 1.4.30, the supported ciphers depend on the used OpenSSL-version (at runtime). ECDHE has to be available in OpenSSL at compile-time, which should be default. SSL compression should by deactivated by default at compile-time (if not, it’s active). Support for other SSL-libraries like GnuTLS will be available in the upcoming 2.x branch, which is currently under development.

References

• How to redirect HTTP requests to HTTPS
• Lighttpd Docs: Secure HTTP
• Release 1.4.30 (How to mitigate BEAST attack)
• Lightpd issue: SSL Compression disabled by default

How to test

See appendix Tools

nginx

Tested with Version

• 1.4.4 with OpenSSL 1.0.1e on OS X Server 10.8.5
• 1.2.1-2.2+wheezy2 with OpenSSL 1.0.1e on Debian Wheezy
• 1.4.4 with OpenSSL 1.0.1e on Debian Wheezy
• 1.2.1-2.2 bpo60+2 with OpenSSL 0.9.8o on Debian Squeeze (note that TLSv1.2 does not work in openssl 0.9.8 thus not all ciphers actually work)
• 1.4.6 with OpenSSL 1.0.1f on Ubuntu 14.04.2 LTS

Settings

SSL settings for nginx

ssl on;
ssl_certificate cert.pem;
ssl_certificate_key cert.key;
ssl_session_timeout 5m;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # not possible to do exclusive
ssl_ciphers 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA';
add_header Strict-Transport-Security "max-age=15768000"; # six months
 # add_header Strict-Transport-Security "max-age=15768000; includeSubDomains";

Use this only if all subdomains support HTTPS!

If you absolutely want to specify your own DH parameters, you can specify them via ssl_dhparam file. However, we advise you to read section A note on Diffie Hellman Key Exchanges and stay with the standard IKE/IETF parameters (as long as they are >1024 bits).

Additional settings

If you decide to trust NIST’s ECC curve recommendation, you can add the following line to nginx’s configuration file to select special curves:

SSL EC/DH settings for nginx

ssl_ecdh_curve secp384r1;

You might want to redirect everything to https:// if possible. In Nginx you can do this with the following setting:

https auto-redirect in nginx

return 301 https://$server_name$request_uri;

The variable $server_name refers to the first server_name entry in your config file. If you specify more than one server_name only the first will be taken. Please be sure to not use the $host variable here because it contains data controlled by the user.

References

• Module ngx_http_ssl_module
• Configuring HTTPS servers

How to test

See appendix Tools

Cherokee

Tested with Version

• Cherokee/1.2.104 on Debian Wheezy with OpenSSL 1.0.1e 11 Feb 2013

Settings

The configuration of the cherokee webserver is performed by an admin interface available via the web. It then writes the configuration to /etc/cherokee/cherokee.conf, the important lines of such a configuration file can be found at the end of this section.

• General Settings
  • Network
    • SSL/TLS back-end: OpenSSL/libssl
  • Ports to listen
    • Port: 443, TLS: TLS/SSL port
• Virtual Servers, For each vServer on tab Security:
  • Required SSL/TLS Values: Fill in the correct paths for Certificate and Certificate key
• Advanced Options
  • Ciphers:
    EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA
    • Server Preference: Prefer
    • Compression: Disabled
• Advanced: TLS
  • SSL version 2 and SSL version 3: No
  • TLS version 1, TLS version 1.1 and TLS version 1.2: Yes

Additional settings

For each vServer on the Security tab it is possible to set the Diffie Hellman length to up to 4096 bits. We recommend to use >1024 bits. More information about Diffie-Hellman and which curves are recommended can be found in section A note on Diffie Hellman Key Exchanges. In Advanced: TLS it is possible to set the path to a Diffie Hellman parameters file for 512, 1024, 2048 and 4096 bits. HSTS can be configured on host-basis in section vServers / Security / HTTP Strict Transport Security (HSTS):* Enable HSTS: Accept

• HSTS Max-Age: 15768000
• Include Subdomains: depends on your setup

To redirect HTTP to HTTPS, configure a new rule per Virtual Server in the Behavior tab. The rule is SSL/TLS combined with a NOT operator. As Handler define Redirection and use /(.*)$ as Regular Expression and +https://$\{host}/$1+ as Substitution.

SSL configuration for cherokee

server!bind!2!port = 443
server!bind!2!tls = 1
server!tls = libssl
vserver!1!hsts = 1
vserver!1!hsts!max_age = 15768000
vserver!1!hsts!subdomains = 1
vserver!1!rule!5!handler = redir
vserver!1!rule!5!handler!rewrite!10!regex = /(.*)$
vserver!1!rule!5!handler!rewrite!10!show = 1
vserver!1!rule!5!handler!rewrite!10!substring = https://${host}/$1
vserver!1!rule!5!handler!type = just_about
vserver!1!rule!5!match = not
vserver!1!rule!5!match!right = tls
vserver!1!ssl_certificate_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
vserver!1!ssl_certificate_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
vserver!1!ssl_cipher_server_preference = 1
vserver!1!ssl_ciphers = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA
vserver!1!ssl_compression = 0
vserver!1!ssl_dh_length = 2048

References

• Cookbook: SSL, TLS and certificates
• Cookbook: Redirecting all traffic from HTTP to HTTPS

How to test

See appendix Tools

MS IIS

To configure SSL/TLS on Windows Server IIS Crypto can be used. Simply start the Programm, no installation required. The tool changes the registry keys described below. A restart is required for the changes to take effect. "IIS Crypto Tool" Instead of using the IIS Crypto Tool the configuration can be set using the Windows Registry. The following Registry keys apply to the newer Versions of Windows (Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 and Windows Server 2012 R2). For detailed information about the older versions see the Microsoft knowledgebase article How to restrict the use of certain cryptographic algorithms and protocols in Schannel.dll.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]

Tested with Version

• Windows Server 2008
• Windows Server 2008 R2
• Windows Server 2012
• Windows Server 2012 R2
• Windows Vista and Internet Explorer 7 and upwards
• Windows 7 and Internet Explorer 8 and upwards
• Windows 8 and Internet Explorer 10 and upwards
• Windows 8.1 and Internet Explorer 11

Settings

When trying to avoid RC4 (RC4 biases) as well as CBC (BEAST-Attack) by using GCM and to support perfect forward secrecy, Microsoft SChannel (SSL/TLS, Auth,.. Stack) supports ECDSA but lacks support for RSA signatures (see ECC suite B doubts). Since one is stuck with ECDSA, an elliptic curve certificate needs to be used. The configuration of cipher suites MS IIS will use, can be configured in one of the following ways:# Group Policy: Prioritizing Schannel Cipher Suites

1. Registry: How to restrict the use of certain cryptographic algorithms and protocols in Schannel.dll
2. IIS Crypto
3. Powershell

Table Client support shows the process of turning on one algorithm after another and the effect on the supported clients tested using https://www.ssllabs.com. SSL 3.0, SSL 2.0 and MD5 are turned off. TLS 1.0 and TLS 1.2 are turned on. Table 1. Client support

Cipher Suite	Client
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256+	only IE 10,11, OpenSSL 1.0.1e
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256+	Chrome 30, Opera 17, Safari 6+
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA+	FF 10-24, IE 8+, Safari 5, Java 7

Table Client support shows the algorithms from strongest to weakest and why they need to be added in this order. For example insisting on SHA-2 algorithms (only first two lines) would eliminate all versions of Firefox, so the last line is needed to support this browser, but should be placed at the bottom, so capable browsers will choose the stronger SHA-2 algorithms. TLS_RSA_WITH_RC4_128_SHA or equivalent should also be added if MS Terminal Server Connection is used (make sure to use this only in a trusted environment). This suite will not be used for SSL, since we do not use a RSA Key.

Clients not supported:

1. Java 6
2. WinXP
3. Bing

Additional settings

It’s recommended to use ´Strict-Transport-Security: max-age=15768000` for detailed information visit the Microsoft knowledgebase article in custom Headers. You might want to redirect everything to https:// if possible. In IIS you can do this with the following setting by Powershell: Set-WebConfiguration -Location "$WebSiteName/$WebApplicationName" `

   -Filter 'system.webserver/security/access' `
   -Value "SslRequireCert"

Justification for special settings (if needed)

References

• How to restrict the use of certain cryptographic algorithms and protocols in Schannel.dll
• How to disable PCT 1.0, SSL 2.0, SSL 3.0, or TLS 1.0 in Internet Information Services

How to test

See appendix Tools

Mailserver

Mailserver

This section documents the most common mail servers. Mail servers may usually be grouped into three categories:

• Mail Submission Agent (MSA)
• Mail Transfer Agent (MTA) / Mail Exchanger (MX)
• Mail Delivery Agent (MDA)

An email client (mail user agent, MUA) submits mail to the MSA. This is usually been done using the Simple Mail Transfer Protocol (SMTP). Afterwards, the mail is transmitted by the MTA over the Internet to the MTA of the receiver. This happens again via SMTP. Finally, the mail client of the receiver will fetch mail from an MDA usually via the Internet Message Access Protocol (IMAP) or the Post Office Protocol (POP). As MSAs and MTAs both use SMTP as transfer protocols, both functionalities may often be implemented with the same software. On the other hand, MDA software might or might not implement both IMAP and POP.

TLS usage in mail server protocols

Email protocols support TLS in two different ways. It may be added as a protocol wrapper on a different port. This method is referred to as Implicit TLS or as protocol variants SMTPS, IMAPS and POP3S. The other method is to establish a cleartext session first and switch to TLS afterwards by issuing the STARTTLS command. SMTP between MTAs usually makes use of opportunistic TLS. This means that an MTA will accept TLS connections when asked for it but will not require it. MTAs should always try opportunistic TLS handshakes outgoing and always accept incoming opportunistic TLS.

Recommended configuration

We recommend to use the following settings for Mail Transfer Agents:* correctly setup MX, A and PTR RRs without using CNAMEs at all

• the hostname used as HELO/EHLO in outgoing mail shall match the PTR RR
• enable opportunistic TLS, using the STARTTLS mechanism on port 25
• Implicit TLS on port 465 may be offered additionally
• use server and client certificates (most server certificates are client certificates as well)
• either the common name or at least an alternate subject name of the certificate shall match the PTR RR (client mode) or the MX RR (server mode)
• do not use self signed certificates
• accept all cipher suites, as the alternative would be to fall back to cleartext transmission
• an execption to the last sentence is that MTAs MUST NOT enable SSLv2 protocol support, due to the DROWN attack.

For MSA operation we recommend:* listen on submission port 587 with mandatory STARTTLS

• optionally listen on port 465 with Implicit TLS
• enforce SMTP AUTH even for local networks
• ensure that SMTP AUTH is not allowed on unencrypted connections
• only use the recommended cipher suites if all connecting MUAs support them

For MDA operation we recommend:* listen on the protocol port (143 for IMAP, 110 for POP3) with mandatory STARTTLS

• optionally listen on Implicit TLS ports (993 for IMAPS, 995 for POP3S)
• enforce authentication even for local networks
• make sure that authentication is not allowed on unencrypted connections
• use the recommended cipher suites if all connecting MUAs support them
• turn off SSLv2 (see: DROWN attack)

Dovecot

Tested with Versions

Table 4. Tested Dovecot Versions

Program Version	OS/Distribution/Version	Comment
2.1.7	Debian Wheezy	without ssl_prefer_server_ciphers
2.2.9	Debian Jessie
2.2.13	Debian 8.2 Jessie
2.0.19apple1	OS X Server 10.8.5	without ssl_prefer_server_ciphers
2.2.9	Ubuntu 14.04 Trusty
2.2.31	Ubuntu 16.04.3 LTS

Settings

Dovecot SSL Configuration

# SSL protocols to use, disable SSL, use TLS only
ssl_protocols = !SSLv3 !SSLv2
# SSL ciphers to use
ssl_cipher_list = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA
# Prefer the server's order of ciphers over client's. (Dovecot >=2.2.6 Required)
ssl_prefer_server_ciphers = yes
# Diffie-Hellman parameters length (Default is 1024, Dovecot >=2.2.7 Required)
# ToDo: for ReGenerating DH-Parameters:
# manually delete /var/lib/dovecot/ssl-parameters.dat and restart
# Dovecot to regenerate /var/lib/dovecot/ssl-parameters.dat
ssl_dh_parameters_length = 2048
# Disable Compression (Dovecot >= 2.2.14 Required)
# ssl_options = no_compression

Dovecot 2.0, 2.1: Almost as good as dovecot 2.2. Dovecot does not ignore unknown configuration parameters. Does not support ssl_prefer_server_ciphers.

Limitations

Dovecot <2.2.14 does not support disabling TLS compression.

• In >2.2.14 [6] use: ssl_options = no_compression

Dovecot <2.2.7 uses fixed DH parameters.

• In >2.2.7 [7] greater DH-Parameters are supported: ssl_dh_parameters_length = 2048.

References

• https://wiki2.dovecot.org/SSL

How to test

$ openssl s_client -crlf -connect example.com:993
$ openssl s_client -crlf -connect example.com:995
$ openssl s_client -crlf -starttls imap -connect example.com:143
$ openssl s_client -crlf -starttls pop3 -connect example.com:110

SSLyze offers scanning for common vulnerabilities and displays Protocols and Cipher-Suites.

$ sslyze.exe --regular example.com:993
$ sslyze.exe --regular example.com:995
$ sslyze.exe --regular --starttls=imap example.com:143
$ sslyze.exe --regular --starttls=pop3 example.com:110

Postfix

Tested with Versions

Tested Postfix Versions

Program Version	OS/Distribution/Version	Comment
2.9.6	Debian Wheezy	with OpenSSL 1.0.1e
2.11.0	Ubuntu 14.04.02	with OpenSSL 1.0.1f
3.1.0	Ubuntu 16.04.3 LTS

Settings

Postfix has five internal lists of ciphers, and the possibility to switch between those with smtpd_tls_ciphers. However, we leave this at its default value for server to server connections, as many mail servers only support outdated protocols and ciphers. We consider bad encryption still better than plain text transmission. For connections to MUAs, TLS is mandatory and the ciphersuite is modified.

MX and SMTP client configuration:

As discussed in section [smtp_general], because of opportunistic encryption we do not restrict the list of ciphers or protocols for communication with other mail servers to avoid transmission in plain text. There are still some steps needed to enable TLS, all in main.cf:

Opportunistic TLS in Postfix

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
# log TLS connection info
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1
# enable opportunistic TLS support in the SMTP server and client
smtpd_tls_security_level = may
smtp_tls_security_level = may
# if you have authentication enabled, only offer it after STARTTLS
smtpd_tls_auth_only = yes
tls_ssl_options = NO_COMPRESSION

MSA

For the MSA smtpd process which communicates with mail clients, we first define the ciphers that are acceptable for the “mandatory” security level, again in main.cf:

MSA TLS configuration in Postfix

smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3
lmtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers=high
tls_high_cipherlist=EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA

Then, we configure the MSA smtpd in master.cf with two additional options that are only used for this instance of smtpd:

MSA smtpd service configuration in Postfix

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (no)    (never) (100)
# ==========================================================================
# ...
submission inet n       -       -       -       -       smtpd
   -o smtpd_tls_security_level=encrypt
   -o tls_preempt_cipherlist=yes
# ...

For those users who want to use EECDH key exchange, it is possible to customize this via: The default value since Postfix 2.8 is “strong”.

EECDH customization in Postfix

smtpd_tls_eecdh_grade = ultra

Limitations

tls_ssl_options is supported from Postfix 2.11 onwards.

• You can leave the statement in the configuration for older versions, it will be ignored.

tls_preempt_cipherlist is supported from Postfix 2.8 onwards.

• Again, you can leave the statement in for older versions.

References

• Refer to https://www.postfix.org/TLS_README.html for an in-depth discussion.

Additional settings

Postfix has two sets of built-in DH parameters that can be overridden with the smtpd_tls_dh512_param_file and smtpd_tls_dh1024_param_file options. The “dh512” parameters are used for export ciphers, while the “dh1024” ones are used for all other ciphers. The “bit length” in those parameter names is just a name, so one could use stronger parameter sets; it should be possible to e.g. use the IKE Group14 parameters (see section [DH] without much interoperability risk, but we have not tested this yet.

How to test

You can check the effect of the settings with the following command:

$ zegrep "TLS connection established from.*with cipher" /var/log/mail.log | awk '{printf("%s %s %s %s\n", $12, $13, $14, $15)}' | sort | uniq -c | sort -n
     1 SSLv3 with cipher DHE-RSA-AES256-SHA
    23 TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384
    60 TLSv1 with cipher ECDHE-RSA-AES256-SHA
   270 TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384
   335 TLSv1 with cipher DHE-RSA-AES256-SHA
$ openssl s_client -starttls smtp -crlf -connect example.com:25

Proxy

Proxy Solutions

Within enterprise networks and corporations with increased levels of paranoia or at least some defined security requirements it is common not to allow direct connections to the public internet. For this reason proxy solutions are deployed on corporate networks to intercept and scan the traffic for potential threats within sessions. For encrypted traffic there are four options:* Block the connection because it cannot be scanned for threats.

• Bypass the threat-mitigation and pass the encrypted session to the client, which results in a situation where malicious content is transferred directly to the client without visibility to the security system.
• Intercept (i.e. terminate) the session at the proxy, scan there and re-encrypt the session towards the client (effectively MITM).
• Deploy special Certificate Authorities to enable Deep Packet Inspection on the wire.

While the latest solution might be the most "up to date", it arises a new front in the context of this paper, because the most secure part of a client’s connection could only be within the corporate network, if the proxy-server handles the connection to the destination server in an insecure manner. Conclusion: Don’t forget to check your proxy solutions SSL-capabilities. Also do so for your reverse proxies!

Bluecoat / Symantec

Blue Coat Systems was a well-known manufacturer of enterprise proxy appliances. In 2016 it was acquired by Symantec. The products are now known as Symantec ProxySG and Advanced Secure Gateway (ASG). The description below is for the original Blue Coat SG Operating System (SGOS). BlueCoat Proxy SG Appliances can be used as forward and reverse proxies. The reverse proxy feature is rather under-developed, and while it is possible and supported, there only seems to be limited use of this feature "in the wild" - nonetheless there are a few cipher suites to choose from, when enabling SSL features.

Tested with Versions

Proxy Appliance	SGOS 6.5.x	Blue Coat, now Symantec

Only allow TLS 1.0,1.1 and 1.2 protocols

$conf t
$(config)ssl
$(config ssl)edit ssl-device-profile default
$(config device-profile default)protocol tlsv1 tlsv1.1 tlsv1.2
 ok

Select your accepted cipher-suites

$conf t
Enter configuration commands, one per line.  End with CTRL-Z.
$(config)proxy-services
$(config proxy-services)edit ReverseProxyHighCipher
$(config ReverseProxyHighCipher)attribute cipher-suite
Cipher#  Use        Description        Strength
-------  ---   -----------------------   --------
     1  yes            AES128-SHA256      High
     2  yes            AES256-SHA256      High
     3  yes               AES128-SHA    Medium
     4  yes               AES256-SHA      High
     5  yes       DHE-RSA-AES128-SHA      High
     6  yes       DHE-RSA-AES256-SHA      High
              [...]
    13  yes          EXP-RC2-CBC-MD5    Export
Select cipher numbers to use, separated by commas: 2,5,6
 ok

The same protocols are available for forward proxy settings and should be adjusted accordingly: In your local policy file add the following section: <ssl>

   DENY server.connection.negotiated_ssl_version=(SSLV2, SSLV3)

Disabling protocols and ciphers in a forward proxy environment could lead to unexpected results on certain (misconfigured?) webservers (i.e. ones accepting only SSLv2/3 protocol connections)

HAProxy

See https://www.haproxy.org/ See https://timtaubert.de/blog/2014/11/the-sad-state-of-server-side-tls-session-resumption-implementations/ See https://cbonte.github.io/haproxy-dconv/configuration-1.5.html#5.1-npn See https://cbonte.github.io/haproxy-dconv/configuration-1.5.html#3.2-tune.ssl.cachesize See https://kura.io/2014/07/02/haproxy-ocsp-stapling/ See https://kura.io/2015/01/27/hpkp-http-public-key-pinning-with-haproxy/ HAProxy can be used as loadbalancer and proxy for TCP and HTTP-based applications. Since version 1.5 it supports SSL and IPv6.

Tested with Versions

HAProxy 1.5.11 with OpenSSL 1.0.1e on Debian Wheezy

Settings

global configuration

global

   ssl-default-bind-ciphers EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
   ssl-default-bind-options no-sslv3 no-tls-tickets #disable SSLv3
   tune.ssl.default-dh-param 2048 #tune DH to 2048

frontend configuration

frontend public

   bind *:80
   bind *:443 ssl crt server.pem
   mode http
   redirect scheme https code 301 if !{ ssl_fc } # redirect HTTP to HTTPS

backend configuration

backend backend

   mode http
   server server 192.168.1.1:80 check
   http-request set-header X-Forwarded-Port %[dst_port]
   http-request add-header X-Forwarded-Proto https if { ssl_fc }
   rspadd Strict-Transport-Security:\ max-age=15768000;\ includeSubDomains #enable HSTS header for this backend

Additional Settings

Enable NPN Support:

   bind *:443 ssl crt server.pem npn "http/1.1,http/1.0"

Append the npn command in the frontend configuration of HAProxy.

Enable OCSP stapling:

HAProxy supports since version 1.5.0 OCSP stapling. To enable it you have to generate the OCSP singing file in the same folder, with the same name as your certificate file plus the extension .ocsp. (e.g. your certificate file is named server.crt then the OCSP file have to be named server.crt.oscp)To generate the OCSP file use these commands: $ openssl x509 -in your.certificate.crt -noout -ocsp_uri # <- get your ocsp uri $ openssl ocsp -noverify -issuer ca.root.cert.crt -cert your.certificate.crt -url "YOUR OCSP URI" -respout your.certificate.crt.ocsp Reload HAProxy and now OCSP stapling should be enabled.Note: This OCSP signature file is only valid for a limited time. The simplest way of updating this file is by using cron.daily or something similar.

Enable HPKP:

Get certificate informations: $ openssl x509 -in server.crt -pubkey -noout | openssl rsa -pubin -outform der | openssl dgst -sha256 -binary | base64 Then you append the returned string in the HAProxy configuration. Add the following line to the backend configuration: rspadd Public-Key-Pins:\ pin-sha256="YOUR_KEY";\ max-age=15768000;\ includeSubDomains Reload HAProxy and HPKP should now be enabled.Note: Keep in mind to generate a backup key in case of problems with your primary key file.

How to test

See appendix Tools

Pound

Tested with Versions

Pound 2.6 See http://www.apsis.ch/pound See https://help.ubuntu.com/community/Pound

Settings

HTTPS Listener in Pound

# HTTP Listener, redirects to HTTPS
ListenHTTP
   Address 10.10.0.10
   Port    80
   Service
       Redirect "https://some.site.tld"
   End
End
## HTTPS Listener
ListenHTTPS
   Address      10.10.0.10
   Port         443
   AddHeader    "Front-End-Https: on"
   Cert         "/path/to/your/cert.pem"
    ## See 'man ciphers'.
   Ciphers "TLSv1.2:TLSv1.1:!SSLv3:!SSLv2:EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA"
   Service
       BackEnd
           Address 10.20.0.10
           Port 80
       End
   End
End

stunnel

Tested with Versions

• stunnel 4.53-1.1ubuntu1 on Ubuntu 14.04 Trusty with OpenSSL 1.0.1f, without disabling Secure Client-Initiated Renegotiation
• stunnel 5.02-1 on Ubuntu 14.04 Trusty with OpenSSL 1.0.1f
• stunnel 4.53-1.1 on Debian Wheezy with OpenSSL 1.0.1e, without disabling Secure Client-Initiated Renegotiation

Settings

HTTPS Listener in stunnel

ciphers = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
curve = secp384r1
options = NO_SSLv2
options = NO_SSLv3
options = cipher_server_preference
; Secure Client-Initiated Renegotiation can only be disabled wit stunnel >= 4.54
;renegotiation = no

Additional information

Secure Client-Initiated Renegotiation can only be disabled for stunnel versions >= 4.54, when the renegotiation parameter has been added (See changelog).

References

stunnel documentation: https://www.stunnel.org/static/stunnel.html stunnel changelog: https://www.stunnel.org/sdf_ChangeLog.html

How to test

See appendix Tools

VPN

Virtual Private Networks

Virtual Private Networks (VPN) provide means of connecting private networks over external / public transport networks. Since we do not control the transport networks we have to to take care about data integrity and privacy.

Some providers also offer VPNs for connecting company networks via MPLS or simular technologies. The provider promises you that nobody else has access to your data trnfserred over their lines. You have to decide if this promise does fit to your information security requirements.

Basically there are two ways to ensure the privacy and integrity of the data sent via external lines. First you could utilize the built-in security of the Internet Protocol (IPsec). The other way are specific applications that encrypt the data before sending it over the line. IPsec is an Internet standard (TODO RFC 6071). This guarantees the interoperability between implementations of different vendors. You can establish a secure connection with your customer or your supplier. On the other hand VPN applications mostly utilize TLS to secury the communication between the partners. TODO: Descision criteria IPsec vs. VPN application.

IPsec

IPsec is the Internet standard to encrypt the transport of data between private networks.

Technology

We describe only the use the Internet Key Exchange (IKE) version 2 in this dodument. IKEv1 has some usage and security problems and should not be used any more. (TODO: reference).

Authentication

IPsec authentication should optimally be performed via RSA signatures, with a key size of 2048 bits or more. Configuring only the trusted CA that issued the peer certificate provides for additional protection against fake certificates. If you need to use Pre-Shared Key (PSK) authentication:* Choose a random, long enough PSK (see below)

• Use a separate PSK for any IPsec connection
• Change the PSKs regularly
• Think aboute a secure way to exchange the PSK. Sending an SMS it not secure.

The size of the PSK should not be shorter than the output size of the hash algorithm used in IKE.footnote[It is used in a HMAC, see RFC2104 and the discussion starting in TODO: verify http://www.vpnc.org/ietf-ipsec/02.ipsec/msg00268.html.]. For a key composed only of upper- and lowercase letters, numbers, and two additional characters[9], table #tab:IPSEC_psk_len gives the minimum lengths in characters.

Cryptographic Suites

IPSEC Cryptographic Suites are pre-defined settings for all the items of a configuration; they try to provide a balanced security level and make setting up VPNs easier. [10] When using any of those suites, make sure to enable “Perfect Forward Secrecy“ for Phase 2, as this is not specified in the suites. The equivalents to the recommended ciphers suites in section Recommended cipher suites are shown in table #tab:IPSEC_suites.

Phase 1

TODO: Phase 1 and 2 are phrases from IKEv1. Re-write for IKEv2. Alternatively to the pre-defined cipher suites, you can define your own, as described in this and the next section. Phase 1 is the mutual authentication and key exchange phase; table #tab:IPSEC_ph1_params shows the parameters. Use only “main mode“, as “aggressive mode“ has known security vulnerabilities [11].

Phase 2

Phase 2 is where the parameters that protect the actual data are negotiated; recommended parameters are shown in table #tab:IPSEC_ph2_params.

References

• Fergusen, N. and Schneier, B.: A Cryptographic Evaluation of IPsec: https://www.schneier.com/paper-ipsec.pdf

Check Point Next Generation Firewall

Tested with Versions

Table 9. Tested CheckPoint Versions

Program Version	OS/Distribution/Version	Comment
R77	Secure Platform

Settings

Please see section IPsec for guidance on parameter choice. In this section, we will configure a strong setup according to Configuration A. This is based on the concept of a VPN Community, which has all the settings for the gateways that are included in that community. Communities can be found in the IPSEC VPN tab of SmartDashboard. "VPN Community encryption properties" [fig:checkpoint_1] Either choose one of the encryption suites in the properties dialog (figure [checkpoint_1], or proceed to Custom Encryption..., where you can set encryption and hash for Phase 1 and 2 (figure [checkpoint_2]. "Custom Encryption Suite Properties" [checkpoint_2] The Diffie-Hellman groups and Perfect Forward Secrecy Settings can be found under Advanced Settings / Advanced VPN Properties (figure [checkpoint_3]. "Advanced VPN Properties" [checkpoint_3]

Additional settings

For remote Dynamic IP Gateways, the settings are not taken from the community, but set in the Global Properties dialog under Remote Access / VPN Authentication and Encryption. Via the Edit... button, you can configure sets of algorithms that all gateways support (figure [checkpoint_4]). "Remote Access Encryption Properties" [checkpoint_4] Please note that these settings restrict the available algorithms for all gateways, and also influence the VPN client connections.

References

• Check Point VPN R77 Administration Guide (may require a UserCenter account to access)

TLS Based Applications

OpenVPN

Tested with Versions

Table 10. Tested OpenVPN Versions

Program Version	OS/Distribution/Version	Comment
2.3.10	Ubuntu Xenial 16.04.1 LTS	linked against openssl (libssl.so.1.0.0)
2.3.2	Debian Wheezy (backports)	linked against openssl (libssl.so.1.0.0)
2.2.1	Debian Wheezy	linked against openssl (libssl.so.1.0.0)
2.3.2	Windows

Settings

General

We describe a configuration with certificate-based authentication; see below for details on the easyrsa tool to help you with that. OpenVPN uses TLS only for authentication and key exchange. The bulk traffic is then encrypted and authenticated with the OpenVPN protocol using those keys. Note that while the tls-cipher option takes a list of ciphers that is then negotiated as usual with TLS, the cipher and auth options both take a single argument that must match on client and server. OpenVPN duplexes the tunnel into a data and a control channel. The control channel is a usual TLS connection, the data channel currently uses encrypt-then-mac CBC, see https://github.com/BetterCrypto/Applied-Crypto-Hardening/pull/91#issuecomment-75365286

Server Configuration

Client Configuration

Client and server have to use compatible configurations, otherwise they can’t communicate. The cipher and auth directives have to be identical.

Justification for special settings

OpenVPN 2.3.1 changed the values that the tls-cipher option expects from OpenSSL to IANA cipher names. That means from that version on you will get Deprecated TLS cipher name warnings for the configurations above. You cannot use the selection strings from section Recommended cipher suites directly from 2.3.1 on, which is why we give an explicit cipher list here. In addition, there is a 256 character limit on configuration file line lengths; that limits the size of cipher suites, so we dropped all ECDHE suites. The configuration shown above is compatible with all tested versions.

References

• OpenVPN Documentation: Security Overview https://openvpn.net/index.php/open-source/documentation/security-overview.html

Additional settings

Key renegotiation interval

The default for renegotiation of encryption keys is one hour (reneg-sec 3600). If you transfer huge amounts of data over your tunnel, you might consider configuring a shorter interval, or switch to a byte- or packet-based interval (reneg-bytes or reneg-pkts).

Insecure ciphers

Sweet32[12] is an attack on 64-bit block ciphers, such as 3DES and Blowfish in OpenVPN. The following ciphers are affected, and should no longer be used:* BF-*

• DES* (including 3DES variants)
• RC2-*

The following ciphers are not affected:* AES-*

• CAMELLIA-*
• SEED-*

According to mitigation section on Sweet32 website[13] users users should change the cipher from the DES or Blowfish to AES (cipher AES-128-CBC). If cipher change is not possible users can mitigate the attack by forcing frequent rekeying (reneg-bytes 64000000).

Fixing “easy-rsa”

When installing an OpenVPN server instance, you are probably using easy-rsa to generate keys and certificates. The file vars in the easyrsa installation directory has a number of settings that should be changed to secure values: This will enhance the security of the key generation by using RSA keys with a length of 4096 bits, and set a lifetime of one year for the server/client certificates and five years for the CA certificate.

4096 bits is only an example of how to do this with easy-rsa. See also section Keylengths for a discussion on keylengths.

In addition, edit the pkitool script and replace all occurrences of sha1 with sha256, to sign the certificates with SHA256.

Limitations

Note that the ciphersuites shown by openvpn --show-tls are known, but not necessarily supported [14]. Which cipher suite is actually used can be seen in the logs: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-CAMELLIA256-SHA, 2048 bit RSA

PPTP

PPTP is considered insecure, Microsoft recommends to _use a more secure VPN tunnel_[15]. There is a cloud service that cracks the underlying MS-CHAPv2 authentication protocol for the price of USD 200[16], and given the resulting MD4 hash, all PPTP traffic for a user can be decrypted.

Cisco ASA

The following settings reflect our recommendations as best as possible on the Cisco ASA platform. These are - of course - just settings regarding SSL/TLS (i.e. Cisco AnyConnect) and IPsec. For further security settings regarding this platform the appropriate Cisco guides should be followed.

Tested with Versions

Table 11. Tested Cisco ASA Versions

Program Version	OS/Distribution/Version	Comment
9.1(3)	X-series model

Settings

crypto ipsec ikev2 ipsec-proposal AES-Fallback

protocol esp encryption aes-256 aes-192 aes
protocol esp integrity sha-512 sha-384 sha-256

crypto ipsec ikev2 ipsec-proposal AES-GCM-Fallback

protocol esp encryption aes-gcm-256 aes-gcm-192 aes-gcm
protocol esp integrity sha-512 sha-384 sha-256

crypto ipsec ikev2 ipsec-proposal AES128-GCM

protocol esp encryption aes-gcm
protocol esp integrity sha-512

crypto ipsec ikev2 ipsec-proposal AES192-GCM

protocol esp encryption aes-gcm-192
protocol esp integrity sha-512

crypto ipsec ikev2 ipsec-proposal AES256-GCM

protocol esp encryption aes-gcm-256
protocol esp integrity sha-512

crypto ipsec ikev2 ipsec-proposal AES

protocol esp encryption aes
protocol esp integrity sha-1 md5

crypto ipsec ikev2 ipsec-proposal AES192

protocol esp encryption aes-192
protocol esp integrity sha-1 md5

crypto ipsec ikev2 ipsec-proposal AES256

protocol esp encryption aes-256
protocol esp integrity sha-1 md5

crypto ipsec ikev2 sa-strength-enforcement crypto ipsec security-association pmtu-aging infinite crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group14 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev2 ipsec-proposal AES256-GCM AES192-GCM AES128-GCM AES-GCM-Fallback AES-Fallback crypto map Outside-DMZ_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map Outside-DMZ_map interface Outside-DMZ crypto ikev2 policy 1

encryption aes-gcm-256
integrity null
group 14
prf sha512 sha384 sha256 sha
lifetime seconds 86400

crypto ikev2 policy 2

encryption aes-gcm-256 aes-gcm-192 aes-gcm
integrity null
group 14
prf sha512 sha384 sha256 sha
lifetime seconds 86400

crypto ikev2 policy 3

encryption aes-256 aes-192 aes
integrity sha512 sha384 sha256
group 14
prf sha512 sha384 sha256 sha
lifetime seconds 86400

crypto ikev2 policy 4

encryption aes-256 aes-192 aes
integrity sha512 sha384 sha256 sha
group 14
prf sha512 sha384 sha256 sha
lifetime seconds 86400

crypto ikev2 enable Outside-DMZ client-services port 443 crypto ikev2 remote-access trustpoint ASDM_TrustPoint0 ssl server-version tlsv1-only ssl client-version tlsv1-only ssl encryption dhe-aes256-sha1 dhe-aes128-sha1 aes256-sha1 aes128-sha1 ssl trust-point ASDM_TrustPoint0 Outside-DMZ

Justification for special settings

New IPsec policies have been defined which do not make use of ciphers that may be cause for concern. Policies have a "Fallback" option to support legacy devices. 3DES has been completely disabled as such Windows XP AnyConnect Clients will no longer be able to connect. The Cisco ASA platform does not currently support RSA Keys above 2048bits. Legacy ASA models (e.g. 5505, 5510, 5520, 5540, 5550) do not offer the possibility to configure for SHA256/SHA384/SHA512 nor AES-GCM for IKEv2 proposals.

References

• http://www.cisco.com/en/US/docs/security/asa/roadmap/asaroadmap.html
• http://www.cisco.com/web/about/security/intelligence/nextgen_crypto.html

Openswan

Tested with Version

Table 12. Tested OpenS/WAN Versions

Program Version	OS/Distribution/Version	Comment
2.6.39	Gentoo

Settings

The available algorithms depend on your kernel configuration (when using protostack=netkey) and/or build-time options.

To list the supported algorithms $ ipsec auto --status | less and look for ’algorithm ESP/IKE’ at the beginning. aggrmode=no

# ike format: cipher-hash;dhgroup
# recommended ciphers:
# - aes
# recommended hashes:
# - sha2_256 with at least 43 byte PSK
# - sha2_512 with at least 86 byte PSK
# recommended dhgroups:
# - modp2048 = DH14
# - modp3072 = DH15
# - modp4096 = DH16
# - modp6144 = DH17
# - modp8192 = DH18

ike=aes-sha2_256;modp2048 type=tunnel phase2=esp

# esp format: cipher-hash;dhgroup
# recommended ciphers configuration A:
# - aes_gcm_c-256 = AES_GCM_16
# - aes_ctr-256
# - aes_ccm_c-256 = AES_CCM_16
# - aes-256
# additional ciphers configuration B:
# - camellia-256
# - aes-128
# - camellia-128
# recommended hashes configuration A:
# - sha2-256
# - sha2-384
# - sha2-512
# - null (only with GCM/CCM ciphers)
# additional hashes configuration B:
# - sha1
# recommended dhgroups: same as above

phase2alg=aes_gcm_c-256-sha2_256;modp2048 salifetime=8h pfs=yes auto=ignore

How to test

Start the vpn and using $ ipsec auto --status | less and look for ’IKE algorithms wanted/found’ and ’ESP algorithms wanted/loaded’.

References

• https://www.openswan.org/

tinc

Tested with Versions

Table 13. Tested tinc Versions

Program Version	OS/Distribution/Version	Comment
1.0.23	Gentoo	linked against OpenSSL 1.0.1e
1.0.23	Sabayon	linked against OpenSSL 1.0.1e

Defaults

tinc uses 2048 bit RSA keys, Blowfish-CBC, and SHA1 as default settings and suggests the usage of CBC mode ciphers. Any key length up to 8192 is supported and it does not need to be a power of two. OpenSSL Ciphers and Digests are supported by tinc.

Settings

Generate keys with $ tincd -n NETNAME -K8192 Old keys will not be deleted (but disabled), you have to delete them manually. Add the following lines to your tinc.conf on all machines

References

• tincd(8) man page
• tinc.conf(5) man page
• tinc mailinglist http://www.tinc-vpn.org/pipermail/tinc/2014-January/003538.html

Datenbank

MySQL

Tested with Versions

• MySQL 5.5 on Debian Wheezy
• MySQL 5.7.20 on Ubuntu 16.04.3

Settings

References

MySQL Documentation on Configuring MySQL to Use Encrypted Connections.

How to test

After restarting the server run the following query to see if the ssl settings are correct: show variables like '%ssl%';

PostgreSQL

Tested with Versions

• Debian Wheezy and PostgreSQL 9.1
• Linux Mint 14 nadia / Ubuntu 12.10 quantal with PostgreSQL 9.1+136 and OpenSSL 1.0.1c

Settings

To start in SSL mode the server.crt and server.key must exist in the servers data directory $PGDATA.

• Starting with version 9.2, you have the possibility to set the path manually

References

It’s recommended to read Security and Authentication in the manual.

• PostgreSQL Documentation on Secure TCP/IP Connections with SSL.
• PostgreSQL Documentation on Client Authentication.

How to test

To test your ssl settings, run psql with the sslmode parameter:

$ psql "sslmode=require host=postgres-server dbname=database" your-username