Grenzen von Verschlüsselung und IT-Sicherheitssystemen

Verschlüsselung funktioniert. Richtig implementierte, starke Crypto-Systeme sind eines der wenigen Dinge, auf die man sich verlassen kann.

Brave New World

Digitalisierung, Vernetzung und Riskio

• BSI-Kongress: de Maizière beklagt digitale Sorglosigkeit
• Sloppy security hygiene made Sony Pictures ripe for hacking
• Citizenlab-Bericht: Angriffe auf Two-Factor-Authentifikation bei Google-Konten beobachtet
• Waiting for Android’s inevitable security Armageddon
• Even when told not to, Windows 10 just can’t stop talking to Microsoft

Was sind Bedrohungsmodelle

Threat models

Was sind Bedrohungsmodelle

Threat models

• Was möchte ich schützen?
• Vor wem möchte ich es schützen?
• Wie wahrscheinlich ist die Notwendigkeit es zu schützen?
• Was sind die Konsequenzen, wenn der Schutz versagt?
• Wie viel Aufwand, wie viele Umstände möchte ich in Kauf nehmen und worauf möchte ich verzichten, um es zu schützen?

Bedrohungsmodelle

Perspektiven

• von den Geräten oder Daten ausgehend (asset centric)
• aus der Perspektive des Angreifers gedacht (attacker centric)

Bedrohungsmodelle

Güter (Assets)

• Passwörter
• Geld
• Dateien (private Fotos, Videos, Dokument, etc.)
• Chats, Unterhaltungen, Korrespondenzen
• Metadaten
• private Geheimnisse, Betriebsgeheimnisse

Bedrohungsmodelle

Kontrahent*In

• Nachrichtendienste mittels Massenüberwachung (NSA, GCHQ, BND)
• neugierige Kolleg*Innen, Nachbar*Innen, Eltern, Schulkamerad*Innen usw.
• neugierige Sicherheitsbehörden (BKA, Verfassungsschutz)
• Diebe, kriminelle Elemente

Bedrohungsmodelle

Risiken I

• Hacker oder Dieb der versucht Zugriff auf verschlüsselte Daten zu erhalten
• Werbeanbieter liest und analysiert meine Daten (Autonomieverlust)
• Anbieter filtert oder liest deine Tweets, Facebook-Nachrichten, E-Books etc.
• Übernahme/Verlust des Geräts: Smartphone, Laptop, Tablet, E-Book-Reader

Bedrohungsmodelle

Risiken II

• Familienangehöriger installiert Überwachungssoftware auf meinem Gerät
• Hacker oder Sicherheitsbehörde installiert Trojaner auf meinem Gerät
• Hersteller gibt riskante/veraltete Standardeinstellungen vor
• Gerät wird ab Werk bereits mit einer verseuchten Firmware ausgeliefert
• Gesetzgeber verpflichtet Hersteller zur Integration einer Hintertür (back door)

Bedrohungsmodelle

Angriffspotentiale

• Angreifer*In könnte mich zwingen mein Verschlüsselungspasswort herauszugeben (Erpressung)
• Angreifer*In könnte forensische Software zur Analyse meiner verschlüsselten Festplatte/USB-Stick einsetzen
• Angreifer*In könnte eine Schwachstelle im Betriebssystem (Sicherheitslücke), der Hardware, meiner Apps etc. ausnutzen (Exploit)
• Angreifer*In könnte mittels forensischer Software gelöschte Dateien wiederherstellen, die mittlerweile verschlüsselt sind

Equation Group

Schadsoftware-Familie

• »highly sophisticated threat actor« (aktiv seit 2004, ggf. schon 1996)
• technische Angriffsziele
• Festplatten-Steuerungssoftware (Firmware)
• Gruppe von Trojanern; teilweise tiefe Einnistung in Festplatten-Firmware
• Betroffen Festplattenhersteller: Western Digital, Maxtor, Samsung, Toshiba und Seagate
• Hohes Risiko: Malware überlebt eine Formatierung der Festplatte oder Neuinstallation des Betriebssystems
• Hohe Potentiale: Diebstahl von Schlüsseln verschlüsselter Festplatten/Container nach Infektion

Equation Group

Equation Group

Entwicklung und Geschichte

Equation Group

Weltweite Infektion

Equation Group

Vertiefende Informationen

• Equation Group: Q & A (PDF, #EquationAPT, #TheSAS2015)
• Equation-Group: „Höchstentwickelte Hacker der Welt” infizieren u.a. Festplatten-Firmware
• Equation Group: Sicherheitsforscher entdecken mutmaßliche NSA-Schadprogramme
• Spionagesoftware der Superlative entdeckt
• Equation Group: NSA-Linked Malware Discovered in the Wild

Grenzen

Grenzen von Datei- und Festplattenverschlüsselung

• vertrauenswürdiges, offengelegte zeitgemäße Algorithmen
• regelmäßige Audits
• vollständig OpenSource
• unter aktiver (Weiter-)Entwicklung (Patches von Sicherheitslücken, Aufarbeitung technischer Schulden)
• Verfügbarkeit (Betriebssysteme)
• Kommerzieller Hersteller könnte zu Integration einer Hintertür/Schwächung der Umsetzung gezwungen worden sein

Grundregeln und Gegenmaßnahmen

• Update, Updates, Updates
• Backups, Backups, Backups
• Virenscanner (+/-)
• Unplugged: Sensible Daten auf System ohne Netzzugang aufbewahren und verschlüsseln

Fazit

Bedrohungsmodelle als Mittel zur Selbstermächtigung

• Bedrohungsmodelle unterstützen bei der Abwägung von Risiken in Bezug auf Datensicherheit und -schutz
• Bedrohungsmodelle identifizieren schützenswerte Güter (Assets), Angreifer*Innen, Risiken und Angriffspotentiale
• Identifizierte Bedrohungen können besser eingeschätzt werden (Entscheidung für oder gegen Maßnahmen)
• Rationalisierung: Kosten-Nutzen-Abwägung (zu einem bestimmten Grad)

Symmetrische Verschlüsselung (1/4)

https://de.wikipedia.org/wiki/Symmetrisches_Kryptosystem

Gleicher Schlüssel für Verschlüsselung und Entschlüsselung der Nachricht (oder Berechnung beider Schlüssel auseinander)

Video zur Einführung in symmetrische Verschlüsselung (englisch)

Symmetrische Verschlüsselung (2/4)

Die Verschlüsselung hat zwei grundsätzliche Ziele:
Konfusion und Diffusion

• 1.) Konfusion:
  • Zusammenhang zwischen Geheimtext und Schlüssel so komplex wie möglich machen um damit Kryptoanalyse zu erschweren
  • Erreicht wird das z. B. durch nichtlineare Substitutionen von Eingabe und Ausgabe

Symmetrische Verschlüsselung (3/4)

• 2.) Diffusion:
  • Auflösen von statistischen Strukturen des Klartextes
  • statistische Analyse nach Buchstabenhäufigkeit im Chiffretext läuft ins Leere


guter Chiffretext ist nicht von Zufallszahlen und -zeichen zu unterscheiden

Symmetrische Verschlüsselung (4/4)

2 Verfahrenstypen:

• Stromverschlüsselung
• Blockverschlüsselung

Stromverschlüsselung (1/2)

Schema

Stromverschlüsselung (2/2)

https://de.wikipedia.org/wiki/Stromchiffre

• Zeichen des Klartextes werden mit den Zeichen eines Schlüsselstroms verknüpft
• Schlüsselstrom ist als pseudozufällige Zeichenfolge aus dem Schlüssel abgeleitet
• jedes Klartextzeichen kann sofort in ein chiffriertes Ausgabezeichen übersetzen werden
• besonders für Echtzeitübertragungen geeignet, z. B. für Mobilfunk

Blockverschlüsselung (1/3)

Schema

Blockverschlüsselung (2/3)

https://de.wikipedia.org/wiki/Blockchiffre

• Klartext fester Länge (Block) wird – bestimmt durch Schlüssel und Chiffrealgorithmus – in einen Geheimtext fester Länge gewandelt
• mehrere Zeichen (Block) werden in einem Schritt ver- bzw. entschlüsselt, daher schnell
• Blockchiffren können jeweils nur einen einzigen Block verschlüsseln
• daher wird für Texte beliebiger Länge ein krypto­graphi­scher Betriebsmodus definiert, der die Anwendung des Verschlüsselungsalgorithmus auf den Datenstrom (mehrere Blöcke) festlegt

Blockverschlüsselung (3/3)

https://de.wikipedia.org/wiki/Blockchiffre

• modernen Blockchiffren als iterierte Blockchiffren konzipiert:
  • Eingabe wird in mehreren gleich aufgebauten Runden verarbeitet
  • Dazu werden aus dem Schlüssel sogenannte Rundenschlüssel abgeleitet

Video zur Erklärung eines symmetrischen Algorithmus (in englisch)
Das dort erklärte DES gilt allerdings inzwischen als unsicher.

Dateiverschlüsselung

• Wofür? Einzelne Dateien zur Übertragung/bei Kommunikation oder für die Ablage in der Cloud
• Wichtig: Dateien nach dem Verschlüsseln sicher löschen falls nur noch die verschlüsselten Daten vorliegen sollen.

Symmetrische Verschlüsselung mit GPG

Was ist das?

• GPG = offenes und gutes Verschlüsselungsprogramm
• GPG hauptsächlich zur asymmetrischen Verschlüsselung (→E-Mail)
• via Kommandozeile oder entsprechende Oberflächen auch symmetrisch nutzbar

Wie geht das?

• Symmetrische Verschlüsselung
• Schlüssellänge → je länger desto besser

before:use

• Konfigurationsdatei anpassen
• Vorlage

about:use

• Verschlüsselung einzelner Dateien
• nur für Versand von Dateien sinnvoll
• für dauerhafte Nutzung Container bzw. Partition (→ Container-/Festplattenverschlüsselung)

Verschlüsseln

verschlüsselte Datei heißt: geheim.txt.gpg (im selben Verzeichnis)

Entschlüsseln

Data Erasure Software

Linux

• BleachBit
• shred
• wipe
• srm & Co.

					      
$ shred -vn $Durchgänge $Gerät 

$ wipe -q -Q 1 -R /dev/zero -S r -r $PFAD 
$ srm $DATEI 
$ sfill -l -lv $PFAD 
                          
						

Data Erasure Software

MacOSX

• Sicheres Löschen als Systemeinstellung
• rm -p
• diskutil (Sichers Löschen als Option nicht bei SSDs verfügbar)
• shred (brew install coreutils)

Data Erasure Software

Windows - Eraser (Heidi Eraser)

• OpenSource
• unterstützt verschiedene Varianten sicheren Löschens
• Löschanforderungen können geplant werden
• Diskussions-Forum für weitergehende Hilfe
• Bitte Hinweise zu Risiken bei der Verwendung des Teams beachten

Data Erasure Software

Windows - Eraser (Heidi Eraser) - Version 5

Data Erasure Software

Windows - Eraser (Heidi Eraser) - Version 6

Data Erasure Software

Windows: Bleachbit

Data Erasure Software

Sonderfall Solid State Drive (SSD)

• Sicheres Löschen garantiert?
• ATA Secure Erase (SE) und hdparm
• BSI Information: So löschen Sie Daten richtig
• Vollverschlüsselung vor Nutzung!

					      
$ sudo hdparm -I /dev/sda 
$ sudo hdparm --user-master u --security-set-pass GEHEIM /dev/sda 
$ sudo hdparm -I /dev/sda 
$ sudo time hdparm --user-master u --security-erase GEHEIM /dev/sda 
$ sudo hdparm -I /dev/sda 
                          
						

Festplatten-/Containerverschlüsselung

Wofür?

• mehrere Dateien gemeinsam verschlüsseln (z. B. ganze Verzeichnisse oder Verzeichnisbäume)
• Schutz aller Daten gegen (Offline-)Diebstahl (insbesondere bei mobilen Geräten wie Notebooks) oder auch nur neugierige Fremde oder Freunde
• Schutz gegen Datenwiederherstellung nach Verkauf, Entsorgung oder bei Reklamation von Datenträgern.

Festplatten-/Containerverschlüsselung

• 2 Varianten
  • Partitionen oder ganze Festplatten
  • Container, die wie normale Dateien auf dem Rechner liegen (dadurch z. B. einfaches Backup)
• wenn geöffnet sind beide wie normale Laufwerke verwendbar, transparent
• geschlossen keine Infos über gespeicherte Inhalte

TrueCrypt

Infos zum Programm: https://de.wikipedia.org/wiki/TrueCrypt

• Probleme: Nicht mehr aktiv entwickelt
• gefundene Lücken werden nicht mehr geschlossen (aktuell CVE-2015-7358 und CVE-2015-7359)
• Entstehung „technischer Schulden” (keine UEFI/GPT Unterstützung z. B.)
• Sehr eigenwillige Lizenz, die eine Weiterentwicklung schwierig macht
• Originale Website ist nicht mehr verfügbar, allenfalls als Kopie

TrueCrypt

• Aber: Eins der am besten auditierten OSS-Projekte
• Audit der letzten vollständig funktionierende Version (7.1a) ohne schwerwiegende Sicherheitslücken im Crypto-Bereich, trotzdem Lücken in der Implementierung (siehe oben)
• Sehr gute und detaillierte, leider nur englische Dokumentation
• quelloffen (Open Source)
• plattformübergreifend

TrueCrypt

Features:

• Systemverschlüsselung (komplette Platte)
• Partitionen
• Container
• plausible Abstreitbarkeit (plausible deniability)

   

• Alternative? VeraCrypt (weiterentwickelter TrueCrypt-Fork)

TrueCrypt oder VeraCrypt?

Downloads: https://github.com/AuditProject/truecrypt-verified-mirror https://veracrypt.codeplex.com/releases/view/616110

• Dateiquellen für TrueCrypt: Vom Open Crypto Audit Project verifiziert, dem Projekt, das auch den letzten Cryptoaudit für TrueCrypt durchgeführt hat
• Dateiquellen für VeraCrypt: Von den aktuellen Projektseiten zu beziehen, noch ohne Audit
• Beide installierbar aber auch portabel nutzbar, dann Admin-Rechte nötig (Windows)

TrueCrypt/VeraCrypt

Wie funktioniert’s? (1)

• beim Erstellen des Datenträgers werden Masterkeys und weitere Informationen für Ver- und Entschlüsselung der Inhalte des Containers/der Partition/Platte verschlüsselt im Volume Header abgelegt
• für deren Verschlüsselung wird aus dem Passwort oder/und eingesetzten Keyfiles ein Header Key mit PBKDF2 (Password-Based Key Derivation Function 2) abgeleitet

TrueCrypt/VeraCrypt

Wie funktioniert’s? (2)

• als Betriebsmodus kommt XTS zum Einsatz, der aktuelle Quasi-Standard für Daten­träger­ver­schlüs­selung, eingesetzt auch bei BestCrypt, dm-crypt, FreeOTFE, DiskCryptor, FreeBSD geli, OpenBSD softraid disk encryption software und Mac OS X Lion FileVault 2

TrueCrypt/VeraCrypt

Verschlüsselungsalgorithmen

• alle Verfahren waren Finalisten für den Advanced Encryption Standard (AES) des National Institute of Standards and Technology (NIST) der USA in 2000
  • Rijndael/AES (Joan Daemen, Vincent Rijmen), der spätere Gewinner des Ausscheidungsverfahrens
  • Serpent (Ross Anderson, Eli Biham, Lars Knudsen)
  • Towfish (Bruce Schneier, Niels Ferguson, John Kelsey, Doug Whiting, David Wagner und Chris Hall)
• Kaskaden möglich → höhere Sicherheit aber auch längere Zeit zum Ver- und Entschlüsseln

TrueCrypt/VeraCrypt

Hash-Algorithmen

• RIPEMD 160, 1992 im Rahmen des Projekts RACE Integrity Primitives Evaluation (RIPE) der Europäischen Union entwickelt, 1996 erweitert
• SHA-512(SHA-256 zusätzlich bei VeraCrypt), 1993 als Secure Hash Algorithm (SHA) vom NIST vorgeschlagen, 2002 drei weitere Varianten von denen SHA-512 den längsten Hashwert erzeugt.
• Wirlpool, letzte Version von 2003, vom NESSIE (New European Schemes for Signatures, Integrity and Encryption)-Projekt als HASH-Algorithmus empfohlen

Alternativen

Windows

• Bitlocker, Microsoft, ab Windows Vista, vielfach aber nur ab Pro-Version einsetzbar, Closed Source. Bitlocker wurde unlängst durch die Entscheidung Microsofts den sog. Elephant Diffuser zu entfernen geschwächt.
• DiskCryptor, für Partitionen und ganze Platten, OSS
  Infos und Download: https://diskcryptor.net/wiki/Main_Page/de

Alternativen

Mac OS X/Linux/BSD

• Lion’s FileVault 2 Mac OS X, Closed Source
• dm-crypt mit LUKS, via Repository der Distribution
• tcplay, TrueCrypt-compatible, Kommandozeilentool, Dragonfly BSD und Linux
  Infos und Download: https://github.com/bwalex/tc-play

Festplattenverschlüsselung mit dm-crypt und LUKS

• quelloffene Alternative auf Linux-Systemen
• Integration in den Kernel (Betriebssystemkern)
• keine Hidden Volumes
• keine glaubhafte Abstreibarkeit (plausible deniability)

Festplattenverschlüsselung mit dm-crypt und LUKS

Container erstellen

						
$ cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/disk/by-uuid/XXX 
$ cryptsetup luksOpen /dev/disk/by-uuid/XXX mycrypteddev
$ mkfs.ext4 /dev/mapper/mycrypteddev 
$ cryptsetup luksClose /dev/mapper/mycrypteddev 
						
						

Festplattenverschlüsselung mit dm-crypt und LUKS

Container einhängen und aushängen (mount, unmount)

						
$ cryptsetup luksOpen /dev/disk/by-uuid/XXX mycrypteddev 
$ mount -t ext4 /dev/mapper/mycrypteddev /mnt/mount_point 
$ umount /mnt/mount_point  
$ cryptsetup luksClose mycrypteddev