Geschichte und Anwendung des Software-Pakets

Pretty Good Privacy (PGP)

Ein Vortrag von

Lars Rosenboom und

Jens Rosenboom

PGP ist ein Kryptographie-System zur• Verschlüsselung und• Signierung von Dateien;• entwickelt von Phil Zimmermann ab 1990.

Merkmale:• „starke“ Verschlüsselung, die auch von Geheimdiensten

nicht gebrochen werden kann• hybride Verschlüsselung (public key/symmetrisch)• veröffentlichte, verifizierte Algorithmen • Quelltext verfügbar• auf Sicherheitslücken überprüfbar • für Privatanwender kostenlos (www.pgpi.com)• einige eMail-Plugins verfügbar (Hauptanwendung)

1. Was ist PGP?

1991: Gesetzesvorschlag im US-Senat zur Kriminalitätsbekämpfung:

• Verpflichtung zum Einbau von „trap doors“ in Kryptographie-Produkte, dadurch

• Schaffung/Erhaltung von Abhörmöglichkeiten für Regierungsstellen.

Reaktion:• Phil Zimmermann veröffentlicht PGP als freie Software.

Idee:

• Weite Verbreitung von Kryptographie

• Kryptographie-Verbot erschweren

Heute: PGP ist Standard bei privater Verschlüsselung

1.1 Entstehung von PGP

1993: Ermittlungen gegen Phil Zimmermann wegen Export militärischer Güter.

Jedoch:• „Export“ fand von Unbekannten im Internet statt

• Zimmermann hatte in der Anleitung vor dem Export gewarnt

Spendenkampagne für Phil Zimmermann im Internet.

1996: Einstellung des Verfahrens.

Neuere Versionen von PGP:• außerhalb der USA entstanden• oder in Buchform exportiert und eingescannt.

Exportbeschränkungen wurden so umgangen.

1.2 US-Regierung vs. Phil Zimmermann

3DES: dreifach ausgeführter DES (mit verschiedenen Schlüsseln),IBM (ca. 1975)

CAST: symmetrische Verschlüsselung von Carlisle Adams und Stafford Tavares für Nortel (ca. 1997)

DSA : Digital Signature Algorithm, Teil des DSSDSS : Digital Signature Standard, von der NSA für das NIST

entwickelt

IDEA : International Data Encryption Standard von Massey/Lai an der ETH Zürich (1990)

MD5 : Message Digest 5 von Ron Rivestfür RSA Data Security Inc. (1992)

NIST : National Institute of Standards and Technology

RSA : von Rivest, Shamir, Adleman am MIT (1977)

SHA : Secure Hash Algorithm, Teil des DSS

Abkürzungen

Version asymm. Alg. Unterschrift Hashfkt. symm. Algo.1.x RSA RSA MD5 Bass-O-Matic2.x RSA RSA MD5 IDEA5.x ElGamal [RSA] DSA [RSA] SHA [MD5] CAST, IDEA, 3DES6.0 ElGamal [RSA] DSA [RSA] SHA [MD5] CAST, IDEA, 3DES

Bass-O-Matic: Eigenbau, leicht zu knacken

ElGamal und DSA statt RSA: lizenzfrei auch für Firmen

SHA statt MD5: MD5 von Hans Dobbertin geknackt (1995)

CAST: neu aber vielversprechend, lizenzfrei

PGP 5 und 6:

• Vorteile: GUI, kein MD5

• Nachteil: Kompatibilität eingeschränkt

1.3 Versionen und Algorithmen

• RSA (1977) ist nur in den USA patentiert (ein Grund für die Unterscheidung von US- und internationalen PGP-Versionen)

• DSA (der Algorithmus in DSS) ist von der NSA patentiert, aber frei einsetzbar

• IDEA (1990) ist ebenfalls patentiert und für nicht-kommerzielle Anwendung frei

• für CAST ist ein Patent beantragt, die Benutzung soll aber frei bleiben

• DES/3DES (ca. 1975) stammt von IBM und ist nicht patentiert

• MD5 ist frei

• SHA galt als frei, Schnorr beansprucht Patentrechte

1.4 Patent- und Lizenzrechte

2. Ver- und Entschlüsselung

Klartext IDEA

zufälliger Sitzungsschlüssel

öffentlicher Schlüssel

Sitzungsschlüssel mit öffentlichemSchlüssel verschlüsseln

Hybride Verschlüsselung bei PGP

Chiffrat + verschlüsselter Sitzungsschlüssel

Gra

fik a

us „

An

Intr

odu

ctio

n to

Cry

pto

grap

hy“,

Net

wor

k A

ssoc

iate

s, I

nc.

2.1 Schlüssellänge

Jahr Einzelperson Firma Regierung1995 768 1280 15362000 1024 1280 15362005 1280 1536 20482010 1280 1536 20482015 1538 2048 2048

Gegner

Bitlänge sicherer PGP-Schlüssel (Bruce Schneier, Applied Cryptography 2nd edition)

Annahmen:

• Faktorisierung: Special Number Field Sieve-Algo. sei anwendbar auf alle Zahlen

• hohe Steigerung der Rechenleistung

Beispiel:Signierter Überweisungsauftrag per Internet.

"Unterschreiben" (Signieren) eines elektronischen Dokumentes.

• Integrität:Der Inhalt der Nachricht kann weder zufällig noch absichtlich verfälscht werden.

Elektronische Unterschriften bieten:• Sicherheit:

Der Unterzeichner kann weder Inhalt noch Unterschrift leugnen.

3. Elektronische Unterschriften

• Authentizität:Die Identität des Autors einer Nachricht ist sichergestellt.Niemand außer ihm kann das Dokument mit seiner Unterschrift versehen.Jeder kann Unterschrift prüfen/verifizieren.

Beispiel:Es kommt eine Mail von "Duran Akbulut"...

• Unsignierte Mail -> Kein Vertrauen(HotMail, telnet an SMTP)

• Zukunft?: Signieren allgemein üblich ->Unsignierte Mails nicht anzeigen, warnen

Verwendete Verfahren

•RSA (Rivest, Shamir, Adleman, MIT 1977)

•DSA (Digital Signature Algorithm, NSA für NIST,vergl. ElGamal)

Verwendete Verfahren

•RSA (Rivest, Shamir, Adleman, MIT 1977)

Signieren:(Verschlüsselung mit dem geheimen Schlüssel d)

Verifizieren:

(Entschlüsselung mit öffentlichem Schlüssel eund Vergleich mit Original.)

rem Nd x x y (N,d) sign

rem Ne yx x, y(N,e)ver ?

geheimer Schlüssel öffentlicher Schlüssel

verifizieren

unterschriebenerText

unterschreibenOriginaltext verifizierter Text

Einfache elektronische Unterschriften

Gra

fik a

us „

An

Intr

odu

ctio

n to

Cry

pto

grap

hy“,

Net

wor

k A

ssoc

iate

s, I

nc.

PGP verwendet (kryptographisch sichere)Hashfunktionen:

• Aus Nachricht wird kurze, charakteristische Bitfolgeextrahiert.

• Hashwert/Message Digest, i.Allg. 128 oder 160 Bit.• Nur Hashwert wird signiert.

MD5:

SHA-1:

von Ron Rivest, 1992.128 Bit, bis PGP 2.6.x Standard.Gilt seit 1995 als unsicher (Hans Dobbertin).

von der NSA für NIST, seit 1994 'fehlerbereinigt'.160 Bit, seit PGP 5 Standard für DH/DSS-Keys.

geheimer Schlüsselzum Unterzeichnen

Klartext

Hashfunktion

Message Digest(Textabriss)

Abriss signiert mitgeheimem Schlüssel

Klartext

Elektronische Unterschriften mit Hashfunktion

Unterschrift+

Gra

fik a

us „

An

Intr

odu

ctio

n to

Cry

pto

grap

hy“,

Net

wor

k A

ssoc

iate

s, I

nc.

Bemerkungen: - DSS begrenzt auf 1024 Bit (problematisch bei langer 'Lebensdauer', rechtlich bindenden Signaturen (Signaturgesetz)) - DSS und RSA signieren mit etwa 900 KByte/s @160MHz - DSS Signaturen sind generell 480 Bit (60 Byte) lang - RSA Signaturen sind so lang wie der Schlüssel (2048 Bit = 256 Byte)

[Demonstration: Schreiben und Signieren eines Überweisungsauftrags (ASCII-Output!), Erfolgreiches Verifizieren, Text ändern -> fehlgeschlagenes Verifizieren. Sinn von 'kryptographisch sicheren' Hashfunktionen. MD5 (nahezu) gebrochen -> nicht mehr mit RSA/MD5 signieren.]

• Anfangs ist der eigene Schlüssel der einzig gültige.

? Gehört öfftl. Schlüssel mit Namen "Alice Smith" auch wirklich zur Person Alice Smith?

(Man In The Middle Attack)

4. Schlüsselaustausch/Vertrauensnetzwerke

Problem ist nicht, an öfftl. Schlüssel heranzukommen, sondern die Frage:

• Den öfftl. Schlüssel eines direkten Bekannten erklärt man für gültig, indem man ihn signiert.

Aufbau eines Zertifikates Gra

fik a

us „

An

Intr

odu

ctio

n to

Cry

pto

grap

hy“,

Net

wor

k A

ssoc

iate

s, I

nc.

2. Der Zusammenhang Person<->Schlüssel sicher ist durch

• direkte Übergabe einer Diskette mit dem Schlüssel oder

• direkte Übergabe des Schlüssel-Fingerprints auf Papier, evtl. telefonisch. Schlüsselübergabe kanndann unsicher erfolgen.

• Den öfftl. Schlüssel eines direkten Bekannten erklärt man für gültig, indem man ihn signiert.

Das sollte man nur tun, wenn

1. Die Identität der Person feststeht durch• persönlichen Kontakt oder• Vorzeigen des Personalausweises

Certifying Authorities dennoch möglich und sinnvoll• c't Kryptokampagne auf Messen• Telekom

• Signatur wird veröffentlicht -> andere verlassen sich darauf. (Vertrauensnetz)

Man selbst sollte das nur tun, wenn1. Der öfftl. Schlüssel des Fürsprechers gültig ist.2. Man dem Fürsprecher genug Vertrauen

entgegenbringt, keine falschen Keys zu signieren:• absichtlich/betrügerisch oder• aus Unwissenheit/Unverständnis.

Lars

Gültiger Schlüssel

Ungültiger Schlüssel

Jens Bob Alice c‘tDirekt Bekannte

Eigener Schlüssel

Karsten

Bernd

Indirekt Bekannte

Leser1 Leser3

Leser2

Elvis Presley Michael

kein Vertrauen

wenig Vertrauen

volles Vertrauen

Zusammenfassung

PGP - Pretty Good Privacy1. Geschichte von PGP

• Entstehung• Rechtsstreit

2. Ver- und Entschlüsselung• Schlüssellänge

3. Elektronische Unterschriften• Hashfunktion• RSA/MD5, DSA/SHA-1

4. Schlüsselaustausch, Vertrauensnetz• Vertrauen, Zertifikate• (un)gültige Schlüssel

www.pgpi.com

Quellenverzeichnis

• Entwurf der deutschen Anleitung zu PGPvon Christopher Creutzig

• Handbuch aus dem PGP 6.0.2i-Paketvon Phil Zimmermann u.a.http://www.pgpi.com/cgi/download-wizard.cgi

• FAQs und allgemeine Informationen zu PGPhttp://www.pgpi.com

• PGP TimelineAdam Back (aba@dcs.ex.ac.uk)http://www.dcs.ex.ac.uk/~aba/timeline/

• Applied Cryptography, 2nd editionvon Bruce Schneier

Ende