In der Welt der Computernetzwerke und der Informationssicherheit gibt es viele Begriffe und Algorithmen, mit denen IT-Experten konfrontiert sind. Eine davon ist CBC (Cipher Block Chaining) – der Betriebsmodus eines symmetrischen Verschlüsselungsalgorithmus. AES (Advanced Encryption Standard) ist ein symmetrischer Verschlüsselungsalgorithmus, der derzeit am beliebtesten und sichersten ist. HMAC (Hash-Based Message Authentication Code) ist ein Hash– und Datenintegritätsprüfungsalgorithmus. SHA1 (Secure Hash Algorithm 1) ist eine kryptografische Hash–Funktion, die häufig zur Überprüfung der Datenintegrität verwendet wird.
Auf MikroTik, einer hochleistungsfähigen Routing- und Netzwerksicherheitsplattform, spielen diese Algorithmen eine wichtige Rolle bei der Gewährleistung der Netzwerksicherheit und des Informationsaustausches. Wenn Sie diese Begriffe und Algorithmen kennen und verstehen, können Netzwerkadministratoren die Sicherheit ihrer Infrastruktur verbessern.
Die CBC-Verschlüsselung ist eine der Betriebsarten von Verschlüsselungsalgorithmen. Dieser Modus bietet die Authentifizierung und den Schutz von Daten vor Änderungen mithilfe eines Initialisierungsvektors. AES ist ein symmetrischer Verschlüsselungsalgorithmus, der Datenblöcke fester Länge und einen Schlüssel zum Verschlüsseln und Entschlüsseln von Informationen verwendet. Mit HMAC können Sie Authentifizierungscodes basierend auf einer Hash-Funktion erstellen, die zur Überprüfung der Datenintegrität verwendet werden können. SHA1 ist eine kryptografische Hash-Funktion, die eine Garantie für die Datenintegrität und ein hohes Maß an Zuverlässigkeit bietet.
Die Verwendung dieser Algorithmen auf MikroTik ermöglicht es, ein sicheres und sicheres Netzwerk mit Informationsschutz zu schaffen und einen sicheren Datenaustausch zu gewährleisten. Das Wissen und die Fähigkeit, diese Algorithmen anzuwenden, ist ein wesentlicher Bestandteil der Arbeit eines Netzwerkadministrators und trägt dazu bei, dass die Kommunikation zuverlässig und sicher ist.
Kapitel 1: CBC - Verschlüsselungsmodus für Blockalgorithmen
Die Verschlüsselung im CBC-Modus erfolgt wie folgt:
- Die Nachricht wird in Datenblöcke derselben Länge aufgeteilt.
- Jeder Datenblock durchläuft als erster Schritt den XOR-Kombinationsprozess mit dem vorherigen verschlüsselten Datenblock. Wenn dies der erste Block ist, wird seine XOR-Kombination mit dem Initialisierungsvektor (IV) ausgeführt.
- Das resultierende Ergebnis wird an den Eingang eines Verschlüsselungsalgorithmus (z. B. AES) gesendet, der einen verschlüsselten Datenblock zurückgibt.
- Der verschlüsselte Datenblock wird an den nächsten Block gesendet, der alle Schritte der Schleife wiederholt.
- Nach Abschluss der Verschlüsselung aller Datenblöcke werden die resultierenden Ergebnisse zusammengeführt und als verschlüsselte Nachricht zurückgegeben.
Die Entschlüsselung im CBC-Modus erfolgt in umgekehrter Reihenfolge:
- Eine verschlüsselte Nachricht wird in Datenblöcke derselben Länge aufgeteilt.
- Jeder Datenblock wird als erster Schritt durch einen Verschlüsselungsalgorithmus (z. B. AES) entschlüsselt.
- Der entschlüsselte Datenblock durchläuft einen XOR-Kombinationsprozess mit dem vorherigen verschlüsselten Datenblock. Wenn dies der erste Block ist, wird seine XOR-Kombination mit dem Initialisierungsvektor (IV) ausgeführt.
- Das resultierende Ergebnis wird zusammengeführt und als entschlüsselte Nachricht zurückgegeben.
Der CBC-Modus ist ein zuverlässiger Schutz für Informationen, wenn Blockverschlüsselungsalgorithmen verwendet werden. Es bietet Datenschutz, Integrität und Erkennung von Änderungen an verschlüsselten Nachrichten. In MikroTik wird der CBC-Modus in Verbindung mit anderen Algorithmen wie AES, HMAC und SHA1 verwendet, um die Datensicherheit und den Schutz von Netzwerkverbindungen zu gewährleisten.
Was ist CBC?
Im CBC-Modus wird jeder Datenblock separat mit einem speziellen Initialisierungsvektor (IV) verschlüsselt, und dann wird die XOR-Operation auf den verschlüsselten Block und den nächsten Klartextblock angewendet, bevor er verschlüsselt wird. Somit hängt jeder Block vom vorherigen ab, was eine Form der "Kette" bietet.
Durch die Verwendung des XOR-Vorgangs verhindert der CBC-Modus, dass die ursprünglichen Daten aus einem verschlüsselten Stream einfach wiederhergestellt werden, selbst wenn doppelte Blöcke in der Eingabe vorhanden sind. Der CBC-Modus bietet jedoch keine Datenauthentifizierung und keinen Schutz vor Informationsänderungen.
Um den CBC-Modus in MikroTik zu verwenden, müssen Sie die entsprechende Einstellung in den Verschlüsselungseinstellungen oder dem Token angeben, bevor Sie AES als Verschlüsselungsalgorithmus auswählen.
Wie funktioniert CBC?
Die Daten im CBC-Modus werden in Blöcken gleicher Größe verschlüsselt und als Kette dargestellt, wobei jeder verschlüsselte Block vom vorherigen verschlüsselten Block abhängt. Für den ersten Block wird der vorherige Block als zufälliger Vektor betrachtet und als Initialisierungsvektor (IV) bezeichnet.
Der Verschlüsselungsprozess im CBC-Modus beginnt mit der Anwendung des XOR-Vorgangs auf den ersten Datenblock und IV. Das Ergebnis wird dann mit einem geheimen Schlüssel verschlüsselt. Der verschlüsselte Block wird zur Eingabe für die XOR-Operation mit dem nächsten Datenblock. Dieser Vorgang wird für jeden Datenblock wiederholt.
Die Entschlüsselung der Daten im CBC-Modus erfolgt in umgekehrter Reihenfolge. Verschlüsselte Datenblöcke werden mit einem geheimen Schlüssel entschlüsselt und dann einer XOR-Operation mit dem vorherigen verschlüsselten Block unterzogen. Das Ergebnis ist ein entschlüsselter Block der Quelldaten.
Die Verwendung des CBC-Modus erhöht die Verschlüsselungssicherheit, da die Eingabe jedes Blocks vom vorherigen Block des Initialisierungsvektors abhängt, was es schwierig macht, die ursprünglichen Daten wiederherzustellen, ohne den richtigen Schlüssel zu kennen.
Anmerkung: Der CBC-Modus kann einem Ausstiegsangriff ausgesetzt sein (Angriffsverfahren durch Variieren der Ausführungszeit des Algorithmus). Daher wird empfohlen, zusätzliche Sicherheitsmaßnahmen wie HMAC (Hash-based Message Authentication Code) oder SHA1 (Secure Hash Algorithm 1) zu verwenden.
Anwendung von CBC auf MikroTik
Im CBC-Modus wird jeder Klartextblock vor der Verschlüsselung mit dem vorherigen verschlüsselten Block addiert. Wenn Sie also ein einzelnes Bit im Klartext ändern, ändert sich der gesamte Block des verschlüsselten Textes. Diese Eigenschaft von CBC macht es störungsresistent, da Fehler bei der Datenübertragung nicht unbemerkt bleiben und die Entschlüsselung des restlichen Teils der Nachricht nicht beeinflussen.
CBC verwendet einen Initialisierungsvektor (IV), der dem ersten Klartextblock hinzugefügt wird. IV wird zufällig ausgewählt und muss dem Absender und dem Empfänger gemeinsam sein.
Die CBC-Konfiguration auf MikroTik erfolgt über den Befehl /ip ipsec proposal set. Sie müssen den gewünschten Namen angeben und die entsprechenden Verschlüsselungsoptionen auswählen. Um den CBC-Modus zu verwenden, müssen Sie einen Wert angeben cbc-* anstatt ctr-* im Feld enc-algorithms.
Beispiel für den CBC-Konfigurationsbefehl in Proposal:
/ip ipsec proposal set [ find default=yes ] name=cbc-proposal enc-algorithms=aes-256 strong enc-algorithms=aes-128 strong
Um die Einstellungen für den CBC-Proposal-Modus anzuwenden, müssen Sie ihn in den ipsec-Einstellungen im Feld proposal oder Tunnel angeben, je nachdem, auf welcher Ebene CBC verwendet werden soll. Sie müssen das erstellte Proposal für die Verschlüsselung auswählen.
Kapitel 2: AES - symmetrischer Verschlüsselungsalgorithmus
Die Grundidee von AES besteht darin, dass es eine Schlüsselverteilung und Substitution verwendet, um Verschlüsselungstext aus dem Quellcode zu erstellen. AES unterstützt Schlüssel unterschiedlicher Länge (128, 192 und 256 Bit) und verschiedene Betriebsmodi wie Electronic Codebook (ECB), Cipher Block Chaining (CBC) und andere.
Der CBC-Betriebsmodus (Cipher Block Chaining) ist einer der gängigsten Betriebsmodi von AES. Im CBC-Modus wird jeder Quelltextblock vor der Verschlüsselung mit dem Verschlüsselungstext des vorherigen Blocks gemischt. Dies macht die Verschlüsselung widerstandsfähiger gegen verschiedene Angriffe und schützt vor identischen Quelltextblöcken im Chiffrotext.
Um die Datenintegrität zu gewährleisten und die Integrität der Verschlüsselung zu überprüfen, wird häufig der HMAC (Hash-Based Message Authentication Code) -Algorithmus in Verbindung mit AES verwendet. HMAC verwendet eine Hash-Funktion (z. B. SHA1), um den Authentifizierungscode einer Nachricht zu generieren. Wenn Sie eine Nachricht erhalten, können Sie ihre Integrität überprüfen, indem Sie die HMAC-Werte vergleichen.
Was ist AES?
Derzeit ist AES einer der am häufigsten verwendeten und zuverlässigsten Verschlüsselungsalgorithmen, der in einer Vielzahl von Bereichen, einschließlich Datenschutz, sicherer Kommunikation und Datenspeicherung, weit verbreitet ist.
AES basiert auf Blockverschlüsselung, dh es verschlüsselt Daten in Blöcken mit fester Größe. Die Blockgröße in AES beträgt 128 Bit. Es unterstützt auch drei verschiedene Schlüsselvarianten: AES-128, AES-192 und AES-256, wobei die Zahl die Schlüssellänge in Bits angibt.
Die Hauptkraft von AES liegt in seiner Fähigkeit, Daten durch Umwandlung in eine unvorhersehbare und nicht wiederherstellbare Form zu sichern. Dies geschieht, indem der Verschlüsselungsschlüssel während des Verschlüsselungs- und Entschlüsselungsprozesses mit Datenblöcken kombiniert wird.
AES bietet eine hohe Datensicherheit durch die Verwendung nichtlinearer mathematischer Operationen und die erneute Anwendung von Verschlüsselungsvorgängen für jeden Datenblock.
In MikroTik wird AES verwendet, um den Datenverkehr im Netzwerk zu verschlüsseln und zu schützen. Beispielsweise kann AES verwendet werden, um die Konfiguration eines Routers oder Access Points zu schützen und sichere VPN-Tunnel zu erstellen.
Wie funktioniert AES?
Verschlüsselung: Zu Beginn des Prozesses werden die Daten in Blöcke mit fester Größe aufgeteilt. Jeder Block wird dann unabhängig voneinander mit einem Plug-in (Verschlüsselungsschlüssel) verarbeitet. Jeder Block wird nacheinander mehreren Schleifen unterzogen, die das Ersetzen und Permutation von Bytes, das Mischen von Spalten und Verschiebungen beinhalten. Dies schafft kryptografische Beständigkeit und sorgt für eine gute Diffusion und Konfusion der Daten.
Schlüsselzeitplan: Der Verschlüsselungsschlüssel durchläuft eine Reihe von Transformationen, die für jede Verschlüsselungsrunde zusätzliche Schlüssel erzeugen. Die Anzahl der Runden hängt von der Größe des Schlüssels ab: 10 Runden für einen 128-Bit-Schlüssel, 12 Runden für einen 160-Bit-Schlüssel und 14 Runden für 192- und 256-Bit-Schlüssel.
Entschlüsselung: Der Entschlüsselungsprozess wird durch konsequentes Anwenden von umgekehrten Verschlüsselungsvorgängen auf verschlüsselte Blöcke und die Verwendung der entsprechenden umgekehrten Schlüssel durchgeführt. Auf diese Weise können Sie die ursprünglichen Daten abrufen, ohne Informationen zu verlieren.
AES gilt als einer der zuverlässigsten Verschlüsselungsalgorithmen und wird in verschiedenen Bereichen wie dem Schutz von Daten im Netzwerk, dem Speichern von Informationen und dem Schutz der Privatsphäre in digitalen Systemen weit verbreitet eingesetzt.
Anwendung von AES auf MikroTik
Mit AES können Informationen, die zwischen MikroTik-Geräten übertragen werden, verschlüsselt und entschlüsselt werden. Alle Daten, die durch MikroTik-Router oder -Switches übertragen werden, können mit diesem Algorithmus geschützt werden.
Um AES auf MikroTik anwenden zu können, muss die Verschlüsselung auf den entsprechenden Schnittstellen oder Diensten konfiguriert werden. Sie können einen der Verschlüsselungsmodi wie CBC (Cipher Block Chaining) wählen, der eine Blockkette verwendet, um eine verschlüsselte Sequenz zu bilden.
Wenn Sie AES im CBC-Modus verwenden, wird jeder Datenblock separat verschlüsselt. Dies bietet einen stärkeren Datenschutz, da Änderungen an einem einzelnen Block die Entschlüsselung nachfolgender Blöcke nicht beeinflussen.
Es ist wichtig zu beachten, dass die Sicherheit der AES-Verschlüsselung von der korrekten Konfiguration der Schlüssel und Einstellungen abhängt. Es wird empfohlen, lange Schlüssel zu verwenden und die Schlüssel regelmäßig zu wechseln, um die Sicherheit zu erhöhen.
Die Verwendung des AES-Algorithmus auf MikroTik ermöglicht es, die Vertraulichkeit und Integrität der Daten zu gewährleisten und das Netzwerk vor unbefugtem Zugriff zu schützen.
