Kryptografie/Chiffrier Suits: Unterschied zwischen den Versionen

Aus Foxwiki
 
(85 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Überblick ==
== Chiffrier Suits ==
; Hintergrundinformationen
; Sammlung von Kryptografieverfahren
Warum in [https://bettercrypto.org/#practicalsettings| practicalsettings] ''cipher string B'' empfohlen wird.
* Erläuterung der Struktur von Chiffrierzeichenketten in Abschnitt [https://bettercrypto.org/#architecture [Architektur]] (Architektur) * Definieren PFS in [https://bettercrypto.org/#pfs [pfs]].
* Erläuterung der ''Cipher String A'' und ''Cipher String B'' im Abschnitt [https://bettercrypto.org/#recommendedciphers Empfohlene Chiffriersuiten]


; Cipher Strings
=== Komponenten ===
* Die Frage, warum bestimmte Einstellungen gewählt wurden, bleibt jedoch bestehen.
; Standardisierte Algorithmen
* Um diesen Teil zu beantworten, müssen wir uns die empfohlenen Schlüssellängen, die Probleme bestimmter Algorithmen und Hash-Funktionen sowie andere kryptografische Parameter ansehen.
* Schlüsselaustausch
* Wie eingangs im Abschnitt [https://bettercrypto.org/#relatedPublications [relatedPublications]] erwähnt, gehen die Berichte von ENISA ([https://bettercrypto.org/#bibliography-default-ENISA2013 ENISA und Vincent Rijmen, Nigel P. Smart, Bogdan warinschi, Gaven Watson, 2013]), ECRYPT 2 ([https://bettercrypto.org/#bibliography-default-ii2011ecrypt II & SYM, 2012]) und BSI ([https://bettercrypto.org/#bibliography-default-TR02102 für Sicherheit in der Informationstechnik (BSI), 2018]) viel mehr auf diese Themen ein und sollten zusätzlich konsultiert werden.
* Kryptografiealgorithmen (Chiffren)  
 
; Themen
* Zufallszahlengeneratoren (Abschnitt [https://bettercrypto.org/#rngs Zufallszahlengeneratoren]),
* Keylängen (Abschnitt [https://bettercrypto.org/#keylengths Keylengths]),
* ECC (Abschnitt [https://bettercrypto.org/#EllipticCurveCryptography A note on Elliptic Curve Cryptography]), ein Warnhinweis zu SHA-1 (Abschnitt [https://bettercrypto.org/#sha A note on SHA-1])
* Diffie-Hellman-Schlüsselaustausch (Abschnitt [https://bettercrypto.org/#dh A note on Diffie Hellman Key Exchanges]).
 
; All dies ist wichtig, um zu verstehen, warum bestimmte Entscheidungen für ''Cipher String A und B'' getroffen wurden
* Für die meisten Systemadministratoren ist jedoch die Frage der Kompatibilität eine der dringendsten.
* Die Freiheit, mit jedem beliebigen Client kompatibel zu sein (auch mit veralteten Betriebssystemen), verringert natürlich die Sicherheit unserer Chiffrierzeichenfolgen.
* Wir behandeln diese Themen im Abschnitt [https://bettercrypto.org/#compatibility TODO].
* Alle diese Abschnitte ermöglichen es einem Systemadministrator, seine oder ihre Bedürfnisse nach starker Verschlüsselung mit Benutzerfreundlichkeit und Kompatibilität in Einklang zu bringen.
 
; Themen
* PKIs (Abschnitt [https://bettercrypto.org/#pkis Public Key Infrastructures]),
* Zertifizierungsstellen und über
* Härtung einer PKI
* Die letztgenannten Themen verdienen ein eigenes Buch.
* Daher kann dieser Leitfaden nur einige aktuelle Themen in diesem Bereich erwähnen.
 
== Chiffriersuiten ==
=== Überblick ===
==== Begriffe ====
; Chiffriersuite
Eine Chiffriersuite ist eine standardisierte Sammlung, die authentifizierte Verschlüsselungsverfahren bietet
* Algorithmen für den Schlüsselaustausch
* Verschlüsselungsalgorithmen (Chiffren) und
* Algorithmus für Nachrichtenauthentifizierungscodes (MAC)  
* Algorithmus für Nachrichtenauthentifizierungscodes (MAC)  
* Authentifizierung 
* Authentifizierte Kryptografie mit zugehörigen Daten (AEAD)


; Komponenten
=== Aufbau einer Chiffrierzeichenfolge ===
# Schlüsselaustauschprotokoll 
{| class="wikitable"
# Authentifizierung 
|-
# Chiffre 
| DHE  
# Nachrichten-Authentifizierungs-Code (MAC) 
| RSA  
# Authentifizierte Verschlüsselung mit zugehörigen Daten (AEAD)
| AES256
 
| SHA256
=== Zusammensetzung einer typischen Chiffrierzeichenfolge ===
{|border="2" cellspacing="0" cellpadding="5" style="border-collapse:collapse;"
| style="background-color:#aaffcc;" | DHE
| style="background-color:#aaddcc;" | RSA
| style="background-color:#aaeecc;" | AES256
| style="background-color:#aaffbb;" | SHA256
|}
|}


=== Nomenklatur ===
=== Nomenklatur ===
; Gängige Benennungsschemata für Chiffrierstrings
; Benennungsschemata für Chiffrezeichenfolgen
* IANA-Namen (siehe Anhang [https://bettercrypto.org/#links Links]) und
* IANA-Namen
* die bekannteren OpenSSL-Namen
* OpenSSL-Namen


Hier werden OpenSSL-Namen verwenden, es sei denn, ein bestimmter Dienst verwendet IANA-Namen
=== Forward Secrecy ===
; Vertraulichkeit auch dann gewährleisten, wenn der Serverschlüssel kompromittiert wurde


=== Forward Secrecy ===
{{:Perfect Forward Secrecy}}
Eigenschaft einer [[Verschlüsselung]], die Vertraulichkeit auch dann zu gewährleistet, wenn der Serverschlüssel kompromittiert wurde


siehe [[Perfect Forward Secrecy]]
== Cipher Strings ==
; Wann sollten welche Einstellungen gewählt werden?
* Schlüssellängen
* Algorithmen
* Hash-Funktionen
* Andere kryptografische Parameter


== Empfohlene Chiffriersuiten ==
; Entscheidungen
; Systemadministratoren treffen Entscheidungen
# Sicherheit der Kommunikation
# Sicherheit der Kommunikation
# Hohen Sicherheit der Cipher-Suite bei gleichzeitigem
# Hohen Sicherheit der Cipher-Suite bei  
# Ausschluss einiger Benutzer
#* Ausschluss einiger Benutzer
# Unterstützung möglichst vieler Benutzer  
#* Unterstützung möglichst vieler Benutzer  


; Qualys SSL Labs
; Qualys SSL Labs
* [https://www.ssllabs.com/ Qualys SSL Labs]
Werkzeug zum Test der Einrichtung und Kompatibilität des Webservers
* gibt Administratoren und Sicherheitsingenieuren ein Werkzeug an die Hand
: https://www.ssllabs.com
* Einrichtung testen und die Kompatibilität mit Clients vergleichen können


; Achtung
; Achtung
: Die hier gewählten Einstellungen sind nur beispielhaft und MÜSSEN angepasst werden!
: '''Hier gewählte Einstellungen sind nur beispielhaft und MÜSSEN angepasst werden!'''


; Chiffriersuiten auszuwählen und überprüfen
; Chiffriersuiten auszuwählen und überprüfen
Zeile 84: Zeile 53:
* basierend auf den Anweisungen im Abschnitt [[https://bettercrypto.org/#ChoosingYourOwnCipherSuites ChoosingYourOwnCipherSuites]]
* basierend auf den Anweisungen im Abschnitt [[https://bettercrypto.org/#ChoosingYourOwnCipherSuites ChoosingYourOwnCipherSuites]]


=== Starke Chiffren, weniger Clients ===
=== Starke Chiffren ===
; Starken Chiffriersuiten
; Starken Chiffriersuiten = Weniger Clients
* Zum Zeitpunkt der Erstellung dieses Dokuments empfehlen wir die Verwendung der folgenden Reihe von starken Chiffriersuiten


; Umgebung
; Umgebung
* nicht viele verschiedenen Clients
* Lokales Netzwerk
* Kompatibilität kein großes Problem
* Einheitliche Client-Infrastruktur
 
* Maschine-zu-Maschine-Kommunikation
; Beispiel
* für eine solche Umgebung wäre die
* Maschine-zu-Maschine-Kommunikation oder der
* Einsatz in Unternehmen
* wo die zu verwendende Software ohne Einschränkungen definiert werden kann


; We arrived at this set of cipher suites by selecting
; Cipher suites
* TLS 1.2
* TLS 1.2
* Perfect forward secrecy / ephemeral Diffie Hellman
* Perfect forward secrecy / ephemeral Diffie Hellman
Zeile 104: Zeile 67:
* GCM as Authenticated Encryption scheme
* GCM as Authenticated Encryption scheme


; This results in the OpenSSL string
; OpenSSL string
: <tt>EDH+aRSA+AES256:EECDH+aRSA+AES256:!SSLv3</tt>
: <tt>EDH+aRSA+AES256:EECDH+aRSA+AES256:!SSLv3</tt>


Zeile 152: Zeile 115:


; Compatibility
; Compatibility
Zum Zeitpunkt der Erstellung dieses Dokuments waren nur Win 7 und Win 8.1 Crypto Stack, OpenSSL >= 1.0.1e, Safari 6 / iOS 6.0.1 und Safari 7 / OS X 10.9 von diesem Cipher String abgedeckt.
Zeitweise waren von diesem Cipher String nur abgedeckt
* Win 7  
* Win 8.1 Crypto Stack,  
* OpenSSL >= 1.0.1e,  
* Safari 6 / iOS 6.0.1 und Safari 7 / OS X 10.9


=== Schwächere Chiffren, aber bessere Kompatibilität ===
=== Schwächere Chiffren ===
In diesem Abschnitt schlagen wir einen etwas schwächeren Satz von Chiffriersuiten vor.
; Schwächere Chiffren = bessere Kompatibilität
* Zum Beispiel gibt es bekannte Schwachstellen für die SHA-1-Hash-Funktion, die in diesem Satz enthalten ist.  
* Zum Beispiel gibt es bekannte Schwachstellen für die SHA-1-Hash-Funktion, die in diesem Satz enthalten ist.  
* Der Vorteil dieses Satzes von Chiffriersuiten ist nicht nur die bessere Kompatibilität mit einer breiten Palette von Clients, sondern auch die geringere Rechenlast für die Bereitstellungshardware.


Alle Beispiele in dieser Veröffentlichung verwenden Konfiguration B.
; Vorteil
Wir haben diesen Satz von Cipher Suites durch Auswahl von:
* bessere Kompatibilität mit einer breiten Palette von Clients
* TLS 1.2, TLS 1.1, TLS 1.0
* geringere Rechenlast für die Bereitstellungshardware
* Erlauben von SHA-1 (siehe die Kommentare zu SHA-1 im Abschnitt [https://bettercrypto.org/#SHA [SHA]])
 
; Nachteil
 
; Cipher Suites
* TLS 1.2
* TLS 1.1
* TLS 1.0
* Erlauben von '''[[SHA-1]]'''


; OpenSSL-Zeichenkette
; OpenSSL-Zeichenkette
Zeile 324: Zeile 297:


;Kompatibilität
;Kompatibilität
: Beachten Sie, dass diese Cipher Suites nicht mit dem Crypto Stack von Windows XP funktionieren (z.B. IE, Outlook),
: Beachten Sie, dass diese Cipher Suites nicht mit dem Crypto Stack von Windows XP funktionieren (z.&nbsp;B.&nbsp;IE, Outlook),


; Erläuterung
; Erläuterung
Zeile 330: Zeile 303:
* Kurz gesagt, es ist praktisch unmöglich, eine einzige perfekte Chiffrierkette zu finden, und es muss ein Kompromiss zwischen Kompatibilität und Sicherheit gefunden werden.  
* Kurz gesagt, es ist praktisch unmöglich, eine einzige perfekte Chiffrierkette zu finden, und es muss ein Kompromiss zwischen Kompatibilität und Sicherheit gefunden werden.  
* Auf der einen Seite gibt es obligatorische und optionale Chiffren, die in einigen RFCs definiert sind, auf der anderen Seite gibt es Clients und Server, die nur Teilmengen der Spezifikation implementieren.
* Auf der einen Seite gibt es obligatorische und optionale Chiffren, die in einigen RFCs definiert sind, auf der anderen Seite gibt es Clients und Server, die nur Teilmengen der Spezifikation implementieren.
: Die Autoren wollten starke Chiffren, vorwärts gerichtete Geheimhaltung [[https://bettercrypto.org/#_footnotedef_25 25]] und die bestmögliche Kompatibilität mit den Clients, während sie gleichzeitig einen Chiffrierstring sicherstellen wollten, der auf älteren Installationen (z. B. OpenSSL 0.9.8) verwendet werden kann.
: Die Autoren wollten starke Chiffren, vorwärts gerichtete Geheimhaltung [[https://bettercrypto.org/#_footnotedef_25 25]] und die bestmögliche Kompatibilität mit den Clients, während sie gleichzeitig einen Chiffrierstring sicherstellen wollten, der auf älteren Installationen (z.&nbsp;B.&nbsp;OpenSSL 0.9.8) verwendet werden kann.


; Out of the box
; Out of the box
Die von uns empfohlenen Chiffrierzeichenfolgen sind für die Verwendung durch Kopieren und Einfügen gedacht und müssen "out of the box" funktionieren.
Die von uns empfohlenen Chiffrierzeichenfolgen sind für die Verwendung durch Kopieren und Einfügen gedacht und müssen "out of the box" funktionieren.
* TLSv1.2 wird gegenüber TLSv1.0 bevorzugt (und bietet dennoch eine brauchbare Chiffrierkette für TLSv1.0-Server).
* TLSv1.2 wird gegenüber TLSv1.0 bevorzugt (und bietet dennoch eine brauchbare Chiffrierkette für TLSv1.0-Server).
* AES256 und CAMELLIA256 gelten derzeit als sehr starke Verschlüsselungen.
* AES256 und CAMELLIA256 gelten derzeit als sehr starke Kryptografieen.
* AES128 und CAMELLIA128 gelten derzeit als starke Verschlüsselungen.
* AES128 und CAMELLIA128 gelten derzeit als starke Kryptografieen.
* DHE oder ECDHE für Vorwärtsgeheimnis
* DHE oder ECDHE für Vorwärtsgeheimnis
* RSA, da dies für die meisten heutigen Konfigurationen geeignet ist
* RSA, da dies für die meisten heutigen Konfigurationen geeignet ist
* AES256-SHA als letzter Ausweg: Mit dieser Chiffre am Ende funktionieren sogar Serversysteme mit sehr alten OpenSSL-Versionen (Version 0.9.8 bietet zum Beispiel keine Unterstützung für ECC und TLSv1.1 oder höher).  
* AES256-SHA als letzter Ausweg: Mit dieser Chiffre am Ende funktionieren sogar Serversysteme mit sehr alten OpenSSL-Versionen (Version 0.9.8 bietet zum Beispiel keine Unterstützung für ECC und TLSv1.1 oder höher).  
* Beachten Sie jedoch, dass diese Cipher-Suite keine Vorwärtsverschlüsselung bietet.  
* Beachten Sie jedoch, dass diese Cipher-Suite keine Vorwärtsverschlüsselung bietet.  
* Sie soll die gleiche Client-Abdeckung bieten (z.B. Unterstützung der Microsoft Krypto-Bibliotheken) auf älteren Systemen.
* Sie soll die gleiche Client-Abdeckung bieten (z.&nbsp;B.&nbsp;Unterstützung der Microsoft Krypto-Bibliotheken) auf älteren Systemen.


== Random Number Generators ==
== Weblinks ==
[[Random Number Generator]]
# https://bettercrypto.org


== Schlüssellängen ==
; ENISA-Berichte
[[Verschlüsselung:Schlüssellängen]]
Gehen viel mehr auf diese Themen ein und sollten zusätzlich konsultiert werden
* [https://bettercrypto.org/#bibliography-default-ENISA2013 ENISA und Vincent Rijmen, Nigel P. Smart, Bogdan warinschi, Gaven Watson, 2013]
* ECRYPT 2 ([https://bettercrypto.org/#bibliography-default-ii2011ecrypt II & SYM, 2012])
* BSI ([https://bettercrypto.org/#bibliography-default-TR02102 für Sicherheit in der Informationstechnik (BSI), 2018])


== Hinweise ==
; Themen
=== 3DES ===
* [[Zufallszahlengeneratoren]]
Wir möchten anmerken, dass 3DES theoretisch 168 Bits Sicherheit bietet, jedoch basierend auf der NIST Special Publication 800-57 [[https://bettercrypto.org/#_footnotedef_26 26]].
* [[Keylängen]]
Aufgrund mehrerer [https://en.wikipedia.org/wiki/Triple_DES#Security Sicherheitsprobleme] sollte die effektive Schlüssellänge mit 80 Bit angesetzt werden.
* ECC (Abschnitt [https://bettercrypto.org/#EllipticCurveCryptography A note on Elliptic Curve Cryptography]), ein Warnhinweis zu SHA-1 (Abschnitt [https://bettercrypto.org/#sha A note on SHA-1])
* Das NIST [https://csrc.nist.gov/news/2017/update-to-current-use-and-deprecation-of-tdea empfiehlt], 3DES nicht mehr zu verwenden und so bald wie möglich auf AES umzusteigen.
* Diffie-Hellman (Abschnitt [https://bettercrypto.org/#dh A note on Diffie Hellman Key Exchanges]).  


=== Elliptische Kurven Kryptographie ===
; All dies ist wichtig, um zu verstehen, warum bestimmte Entscheidungen für ''Cipher String A und B'' getroffen wurden
Jeder weiß, was eine Kurve ist, bis er genug Mathematik studiert hat
* Für die meisten Systemadministratoren ist jedoch die Frage der Kompatibilität eine der dringendsten.  
Mathematik studiert hat, um durch die unzähligen Ausnahmen verwirrt zu werden
* Die Freiheit, mit jedem beliebigen Client kompatibel zu sein (auch mit veralteten Betriebssystemen), verringert natürlich die Sicherheit unserer Chiffrierzeichenfolgen.  
möglicher Ausnahmen zu verwirren.
* Wir behandeln diese Themen im Abschnitt [https://bettercrypto.org/#compatibility TODO].  
Die Elliptische-Kurven-Kryptographie (ab jetzt einfach ECC genannt) ist ein Zweig der Kryptographie, der Mitte der 1980er Jahre entstand.
* Alle diese Abschnitte ermöglichen es einem Systemadministrator, seine oder ihre Bedürfnisse nach starker Kryptografie mit Benutzerfreundlichkeit und Kompatibilität in Einklang zu bringen.
* Die Sicherheit des RSA-Algorithmus beruht auf der Annahme, dass die Faktorisierung großer Zahlen nicht möglich ist.
* Auch die Sicherheit von ECC, DH und DSA basiert auf dem Problem des diskreten Logarithmus ([https://bettercrypto.org/#bibliography-default-Wikipedia:Discrete i_wikipedia_Diskreter Logarithmusm_, 2013]).  
* Den diskreten Logarithmus einer elliptischen Kurve von ihrem öffentlichen Basispunkt aus zu finden, gilt als undurchführbar.
* Dies ist bekannt als das Elliptic Curve Discrete Logarithm Problem (ECDLP).
* ECC und die zugrundeliegenden mathematischen Grundlagen sind nicht leicht zu verstehen - zum Glück gibt es einige gute Einführungen in das Thema. [[https://bettercrypto.org/#_footnotedef_27 27]] [[https://bettercrypto.org/#_footnotedef_28 28]] [[https://bettercrypto.org/#_footnotedef_29 29]].
ECC bietet im Vergleich zu traditionellen asymmetrischen Algorithmen eine viel höhere Sicherheit bei weniger rechenintensiven Operationen (siehe Abschnitt [https://bettercrypto.org/#keylengths Schlüssellängen]).
* Die Sicherheit von ECC hängt von den elliptischen Kurven und Kurvenpunkten ab, die als Parameter für den jeweiligen Algorithmus gewählt werden.  
* Schon lange vor dem NSA-Leak-Skandal gab es viele Diskussionen über diese Parameter und ihre mögliche Umgehung.
* Ein Teil der Diskussion betraf empfohlene Kurven und Kurvenpunkte, die von verschiedenen Standardisierungsgremien wie dem National Institute of Standards and Technology (NIST) [[https://bettercrypto.org/#_footnotedef_30 30]] ausgewählt und später in den meisten gängigen Krypto-Bibliotheken implementiert wurden.  
* Diese Parameter wurden von Kryptographen wiederholt in Frage gestellt ([https://bettercrypto.org/#bibliography-default-BL13 Bernstein & Lange, 2013]).
Zum Zeitpunkt der Erstellung dieses Dokuments wird an der Sicherheit verschiedener ECC-Parameter geforscht ([https://bettercrypto.org/#bibliography-default-DJBSC SafeCurves: choosing safe curves for elliptic-curve cryptography, 2013]).
* Die meiste Software, die so konfiguriert ist, dass sie sich auf ECC verlässt (sei es ein Client oder ein Server), ist nicht in der Lage, bestimmte Kurven zu fördern oder auf eine schwarze Liste zu setzen.
* Die Autoren hoffen, dass eine solche Funktionalität bald weit verbreitet sein wird.
* Die Autoren dieses Papiers geben Konfigurationen und Empfehlungen mit und ohne ECC an - der Leser kann sich für die Einstellungen entscheiden, die er für seine Umgebung am besten geeignet findet.
* Die Autoren werden diese Entscheidung nicht für den Leser treffen.


; Warnung
; Themen
: Man sollte sich mit ECC, verschiedenen Kurven und Parametern vertraut machen, wenn man sich für ECC-Konfigurationen entscheidet.
* [[PKI|Public Key Infrastructures]]
* Da es viele Diskussionen über die Sicherheit von ECC gibt, können fehlerhafte Einstellungen die Sicherheit des gesamten Systems gefährden!
 
=== SHA-1 ===
In den letzten Jahren wurden mehrere Schwachstellen von SHA-1 aufgezeigt.
* Insbesondere können Kollisionen bei SHA-1 mit 263 Operationen gefunden werden, und neuere Ergebnisse deuten sogar auf eine geringere Komplexität hin.
* ECRYPT II und NIST empfehlen daher, SHA-1 nicht für die Erzeugung digitaler Signaturen und für andere Anwendungen zu verwenden, die Kollisionssicherheit erfordern.
* Die Verwendung von SHA-1 bei der Nachrichtenauthentifizierung, z. B. HMAC, ist nicht unmittelbar gefährdet.
Wir empfehlen die Verwendung von SHA-2, wann immer verfügbar.
* Da SHA-2 von älteren Versionen von TLS nicht unterstützt wird, kann SHA-1 für die Nachrichtenauthentifizierung verwendet werden, wenn eine höhere Kompatibilität mit einer größeren Anzahl von Clients erforderlich ist.
Unsere Konfigurationen A und B spiegeln dies wider.
* Während die Konfiguration A kein SHA-1 enthält, ist die Konfiguration B kompatibel mit einer größeren Anzahl von Clients.
 
=== Diffie Hellman Key Exchanges ===
[[Diffie Hellman Key Exchanges]]
 
== Public Key Infrastructures ==
[[Public Key Infrastructure]]
 
== TLS and its support mechanisms ==
[[TLS]]


== Weblinks ==
== Siehe auch ==
# https://bettercrypto.org
# [[3DES]]
# [[Elliptische Kurven Kryptographie]]
# [[SHA-1]]
# [[Diffie Hellman Key Exchanges]]
# [[Random Number Generator]]
# [[Kryptografie/Schlüssellängen]]
# [[Public Key Infrastructure]]
# [[TLS]]


[[Kategorie:Verschlüsselung]]
[[Kategorie:Kryptografie/Algorithmus]]

Aktuelle Version vom 21. April 2024, 09:24 Uhr

Chiffrier Suits

Sammlung von Kryptografieverfahren

Komponenten

Standardisierte Algorithmen
  • Schlüsselaustausch
  • Kryptografiealgorithmen (Chiffren)
  • Algorithmus für Nachrichtenauthentifizierungscodes (MAC)
  • Authentifizierung
  • Authentifizierte Kryptografie mit zugehörigen Daten (AEAD)

Aufbau einer Chiffrierzeichenfolge

DHE RSA AES256 SHA256

Nomenklatur

Benennungsschemata für Chiffrezeichenfolgen
  • IANA-Namen
  • OpenSSL-Namen

Forward Secrecy

Vertraulichkeit auch dann gewährleisten, wenn der Serverschlüssel kompromittiert wurde

Perfect Forward Secrecy - Eigenschaft einer Kryptografie, die Vertraulichkeit auch dann zu gewährleistet, wenn der Serverschlüssel kompromittiert wurde

Beschreibung

Perfect Forward Secrecy (PFS) oder Forward Secrecy
  • perfekte vorwärts gerichtete Geheimhaltung
  • In der Kryptographie eine Eigenschaft bestimmter Schlüsselaustauschprotokolle
  • Eigenschaft einer Cipher Suite
  • Vertraulichkeit gewährleistet, wenn Serverschlüssel kompromittiert wurde
Aufgezeichneter Datenverkehr
  • kann nicht entschlüsselt werden
  • auch, falls ein Angreifer in den Besitz des Serverschlüssels gelangt ist
Ziel

Gemeinsamen Sitzungsschlüssel so vereinbaren

  • dass dieser von einem Dritten auch dann nicht rekonstruiert werden kann, wenn einer der beiden Langzeitschlüssel später einmal kompromittiert werden sollte
Folgenlosigkeit und break-backward protection
  • aufgezeichnete, verschlüsselte Kommunikation auch bei Kenntnis des Langzeitschlüssels nicht nachträglich entschlüsselt werden
  • Gelegentlich wird diese Eigenschaft auch unter dem Schlagwort Folgenlosigkeit behandelt, da ein späteres Aufdecken des Langzeitschlüssels folgenlos für die Sicherheit aller früheren Sitzungen bleibt
  • Diese Eigenschaft betont auch die alternative englische Bezeichnung break-backward protection

Hintergrund

Prinzipiell kann jeder Schlüssel aufgedeckt werden
  • Aufwendige Analyseverfahren
  • Ausspähung
  • Diebstahl
  • Bestechung
  • Erpressung
  • Nachlässigkeit
  • Brute-Force
Sitzungsschlüssel
  • Deswegen werden Sitzungsschlüssel verwendet, die in kurzen Abständen immer wieder neu ausgehandelt werden
  • Ein Angreifer, dem ein derartiger Sitzungsschlüssel bekannt wird, kann deshalb nur den Teil der Kommunikation entschlüsseln, der mit diesem Sitzungsschlüssel verschlüsselt worden war.
Langzeitschlüssel
  • Allerdings sind sämtliche Sitzungsschlüssel der Gefahr ausgesetzt, dass derjenige Langzeitschlüssel kompromittiert wird, der für die gesicherte Übertragung der Sitzungsschlüssel verwendet wird.
  • Durch die Kenntnis dieses Langzeitschlüssels könnte ein möglicher Angreifer sämtlichen Datenverkehr entschlüsseln, insbesondere auch die Übertragung der Sitzungsschlüssel und somit Zugriff auf den gesamten früheren Datenverkehr erhalten.
Perfect Forward Secrecy

Dies wird durch Perfect Forward Secrecy unterbunden

  • Angreifer können trotz Kenntnis des Langzeitschlüssels keinerlei Rückschlüsse auf die ausgehandelten Sitzungsschlüssel ziehen
  • Bei TLS wird dies dadurch erreicht, dass der Langzeitschlüssel zu einem Signaturverfahren gehört und nur benutzt wird, um Kurzzeitschlüssel zu signieren
  • Mit diesen wird jeweils durch einen Diffie-Hellman ein Sitzungsschlüssel ausgehandelt
  • Wird ein Server kompromittiert, erfährt der Angreifer nur den langfristigen Signaturschlüssel und die Sitzungsschlüssel gerade aktiver Verbindungen.
  • Die Sitzungsschlüssel zurückliegender Verbindungen sind bereits gelöscht und lassen sich nicht mehr rekonstruieren.

Praxis

Standardverfahren

Bei den heutigen Standardverfahren, bei denen zusammen mit symmetrischen Sitzungsschlüsseln (session key) auch asymmetrische Master-Keys eingesetzt werden, müssen auch die sehr viel langlebigeren Hauptschlüssel (master keys) eines Kommunikationskanals PFS-fähig sein.

  • Die Kenntnis eines oder beider privater Schlüssel der Kommunikationsendpunkte darf Angreifern das Aufdecken der Sitzungsschlüssel nicht erleichtern.
Nachteil

Ein Nachteil von Perfect Forward Secrecy ist der deutlich höhere Aufwand zur Generierung von Sitzungsschlüsseln und die dadurch geringere Verarbeitungsgeschwindigkeit.

  • Aus diesem Grunde kann es bei manchen Kryptografieverfahren (z. B. IPsec) deaktiviert werden.
Empfehlung

Im April 2019 empfahl das deutsche Bundesamt für Sicherheit in der Informationstechnik in seinen Sicherheitsanforderungen für den Einsatz von TLS bei der Übertragung von Daten die Version TLS 1.2 oder TLS 1.3 in Kombination mit Perfect Forward Secrecy zu nutzen.

Unterstützung
  • Von den großen internationalen IT-Unternehmen war Google das Erste, das den Standard unterstützte.
  • Mittlerweile wenden auch Facebook, YouTube und andere dieses Verfahren an.
  • Nach Angabe des Trustworthy Internet Movement vom Januar 2015 waren damals ca. 20,9 Prozent aller Webseiten, die eine TLS-Kryptografie nutzen, dazu konfiguriert, Cipher Suites zu verwenden, die Perfect Forward Secrecy mit modernen Browsern unterstützten.

Dokumentation

RFC

  • RFC 2409, Beispiel bei The Internet Key Exchange (IKE)
  • RFC 2412, Beispiel bei IPsec
  • RFC 4650

Man-Page

Info-Pages

Siehe auch

Links

Projekt

Weblinks

  1. Netcraft: SSL: Intercepted today, decrypted tomorrow
  2. Vorwärtsgeheimnis (Wikipedia)
  3. Pushing for Perfect Forward Secrecy, an Important Web Privacy Protection (EFF)
  4. SSL: Heute abgefangen, morgen entschlüsselt (Netcraft)

Cipher Strings

Wann sollten welche Einstellungen gewählt werden?
  • Schlüssellängen
  • Algorithmen
  • Hash-Funktionen
  • Andere kryptografische Parameter
Entscheidungen
  1. Sicherheit der Kommunikation
  2. Hohen Sicherheit der Cipher-Suite bei
    • Ausschluss einiger Benutzer
    • Unterstützung möglichst vieler Benutzer
Qualys SSL Labs

Werkzeug zum Test der Einrichtung und Kompatibilität des Webservers

https://www.ssllabs.com
Achtung
Hier gewählte Einstellungen sind nur beispielhaft und MÜSSEN angepasst werden!
Chiffriersuiten auszuwählen und überprüfen

Starke Chiffren

Starken Chiffriersuiten = Weniger Clients
Umgebung
  • Lokales Netzwerk
  • Einheitliche Client-Infrastruktur
  • Maschine-zu-Maschine-Kommunikation
Cipher suites
  • TLS 1.2
  • Perfect forward secrecy / ephemeral Diffie Hellman
  • strong MACs (SHA-2) or
  • GCM as Authenticated Encryption scheme
OpenSSL string
EDH+aRSA+AES256:EECDH+aRSA+AES256:!SSLv3
Configuration A ciphers
ID OpenSSL Name Version KeyEx Auth Cipher MAC
0x009F DHE-RSA-AES256-GCM-SHA384 TLSv1.2 DH RSA AESGCM(256) AEAD
0x006B DHE-RSA-AES256-SHA256 TLSv1.2 DH RSA AES(256) (CBC) SHA256
0xC030 ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 ECDH RSA AESGCM(256) AEAD
0xC028 ECDHE-RSA-AES256-SHA384 TLSv1.2 ECDH RSA AES(256) (CBC) SHA384
Compatibility

Zeitweise waren von diesem Cipher String nur abgedeckt

  • Win 7
  • Win 8.1 Crypto Stack,
  • OpenSSL >= 1.0.1e,
  • Safari 6 / iOS 6.0.1 und Safari 7 / OS X 10.9

Schwächere Chiffren

Schwächere Chiffren = bessere Kompatibilität
  • Zum Beispiel gibt es bekannte Schwachstellen für die SHA-1-Hash-Funktion, die in diesem Satz enthalten ist.
Vorteil
  • bessere Kompatibilität mit einer breiten Palette von Clients
  • geringere Rechenlast für die Bereitstellungshardware
Nachteil
Cipher Suites
  • TLS 1.2
  • TLS 1.1
  • TLS 1.0
  • Erlauben von SHA-1
OpenSSL-Zeichenkette
EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA'
Konfiguration B-Chiffren
ID OpenSSL Name Version KeyEx Auth Cipher MAC
0x009F DHE-RSA-AES256-GCM-SHA384 TLSv1.2 DH RSA AESGCM(256) AEAD
0x006B DHE-RSA-AES256-SHA256 TLSv1.2 DH RSA AES(256) SHA256
0xC030 ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 ECDH RSA AESGCM(256) AEAD
0xC028 ECDHE-RSA-AES256-SHA384 TLSv1.2 ECDH RSA AES(256) SHA384
0x009E DHE-RSA-AES128-GCM-SHA256 TLSv1.2 DH RSA AESGCM(128) AEAD
0x0067 DHE-RSA-AES128-SHA256 TLSv1.2 DH RSA AES(128) SHA256
0xC02F ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 ECDH RSA AESGCM(128) AEAD
0xC027 ECDHE-RSA-AES128-SHA256 TLSv1.2 ECDH RSA AES(128) SHA256
0x0088 DHE-RSA-CAMELLIA256-SHA SSLv3 DH RSA Camellia(256) SHA1
0x0039 DHE-RSA-AES256-SHA SSLv3 DH RSA AES(256) SHA1
0xC014 ECDHE-RSA-AES256-SHA SSLv3 ECDH RSA AES(256) SHA1
0x0045 DHE-RSA-CAMELLIA128-SHA SSLv3 DH RSA Camellia(128) SHA1
0x0033 DHE-RSA-AES128-SHA SSLv3 DH RSA AES(128) SHA1
0xC013 ECDHE-RSA-AES128-SHA SSLv3 ECDH RSA AES(128) SHA1
0x0084 CAMELLIA256-SHA SSLv3 RSA RSA Camellia(256) SHA1
0x0035 AES256-SHA SSLv3 RSA RSA AES(256) SHA1
0x0041 CAMELLIA128-SHA SSLv3 RSA RSA Camellia(128) SHA1
0x002F AES128-SHA SSLv3 RSA RSA AES(128) SHA1
Kompatibilität
Beachten Sie, dass diese Cipher Suites nicht mit dem Crypto Stack von Windows XP funktionieren (z. B. IE, Outlook),
Erläuterung
Für eine ausführliche Erklärung der gewählten Chiffriersuiten siehe [ChoosingYourOwnCipherSuites].
  • Kurz gesagt, es ist praktisch unmöglich, eine einzige perfekte Chiffrierkette zu finden, und es muss ein Kompromiss zwischen Kompatibilität und Sicherheit gefunden werden.
  • Auf der einen Seite gibt es obligatorische und optionale Chiffren, die in einigen RFCs definiert sind, auf der anderen Seite gibt es Clients und Server, die nur Teilmengen der Spezifikation implementieren.
Die Autoren wollten starke Chiffren, vorwärts gerichtete Geheimhaltung [25] und die bestmögliche Kompatibilität mit den Clients, während sie gleichzeitig einen Chiffrierstring sicherstellen wollten, der auf älteren Installationen (z. B. OpenSSL 0.9.8) verwendet werden kann.
Out of the box

Die von uns empfohlenen Chiffrierzeichenfolgen sind für die Verwendung durch Kopieren und Einfügen gedacht und müssen "out of the box" funktionieren.

  • TLSv1.2 wird gegenüber TLSv1.0 bevorzugt (und bietet dennoch eine brauchbare Chiffrierkette für TLSv1.0-Server).
  • AES256 und CAMELLIA256 gelten derzeit als sehr starke Kryptografieen.
  • AES128 und CAMELLIA128 gelten derzeit als starke Kryptografieen.
  • DHE oder ECDHE für Vorwärtsgeheimnis
  • RSA, da dies für die meisten heutigen Konfigurationen geeignet ist
  • AES256-SHA als letzter Ausweg: Mit dieser Chiffre am Ende funktionieren sogar Serversysteme mit sehr alten OpenSSL-Versionen (Version 0.9.8 bietet zum Beispiel keine Unterstützung für ECC und TLSv1.1 oder höher).
  • Beachten Sie jedoch, dass diese Cipher-Suite keine Vorwärtsverschlüsselung bietet.
  • Sie soll die gleiche Client-Abdeckung bieten (z. B. Unterstützung der Microsoft Krypto-Bibliotheken) auf älteren Systemen.

Weblinks

  1. https://bettercrypto.org
ENISA-Berichte

Gehen viel mehr auf diese Themen ein und sollten zusätzlich konsultiert werden

Themen
All dies ist wichtig, um zu verstehen, warum bestimmte Entscheidungen für Cipher String A und B getroffen wurden
  • Für die meisten Systemadministratoren ist jedoch die Frage der Kompatibilität eine der dringendsten.
  • Die Freiheit, mit jedem beliebigen Client kompatibel zu sein (auch mit veralteten Betriebssystemen), verringert natürlich die Sicherheit unserer Chiffrierzeichenfolgen.
  • Wir behandeln diese Themen im Abschnitt TODO.
  • Alle diese Abschnitte ermöglichen es einem Systemadministrator, seine oder ihre Bedürfnisse nach starker Kryptografie mit Benutzerfreundlichkeit und Kompatibilität in Einklang zu bringen.
Themen

Siehe auch

  1. 3DES
  2. Elliptische Kurven Kryptographie
  3. SHA-1
  4. Diffie Hellman Key Exchanges
  5. Random Number Generator
  6. Kryptografie/Schlüssellängen
  7. Public Key Infrastructure
  8. TLS