Authentifizierung

Lernziele

• Slides Authentifizierung
• Märchen: Der Wolf und die sieben Geisslein

Ganz allgemein bedeutet authentifizieren: zu prüfen, ob eine Behauptung zutrifft. Zum Beispiel wird geprüft, ob ein Kunstwerk hinsichtlich der behaupteten Identität, des behaupteten Alters oder der behaupteten Herkunft authentisch, das heisst echt ist(1). Im Bereich der Computerwissenschaften – unserem Bereich – geht es fast immer um die Prüfung der Identität oder Berechtigung einer Person.

Wie geht das? Wie prüfen wir, ob die Person „auf der anderen Seite“ auch die ist, die sie zu sein behauptet? Diese Frage war auch für die sieben Geisslein im Märchen der Gebrüder Grimm relevant. Dass es sich bei dem Wesen hinter der Tür nicht um ihre Geissen-Mutter, sondern um den Wolf handelte, erkannten Sie zunächst an biometrischen Daten: Stimme und Pfoten-Farbe. Der einigermassen schlaue Wolf schaffte es aber, mit Täuschungsmanövern beide Prüfungen zu bestehen, sodass die Geisslein ihm die Türe öffneten.

In der realen Welt, in der wir uns mit unseren Körpern begegnen, sind solche Täuschungen nicht so einfach: Menschen, die wir kennen, erkennen wir ziemlich gut an Stimme, Aussehen und Verhalten. Es wäre schwierig, jemandem glaubhaft zu machen, z. B. seine Schwester oder sein Bruder zu sein. Wenn wir uns aber als unbekannte Personen vorstellen, könnten wir leicht behaupten, jemand anderes zu sein. Deshalb ist es in manchen Situationen erforderlich, dass wir uns (zum Beispiel mit einer Identitätskarte) ausweisen: So kann die Behauptung „Ich bin X“ authentifiziert werden.

Auch in der virtuellen Welt, in der wir uns über Bildschirme und/oder Lautsprecher begegnen, werden Täuschungen einfacher. Vor allem dann, wenn keine Bilder oder Töne vorliegen. Woher weiss ich, dass die Person, mit der ich gerade im Chat schreibe, wirklich diese Person ist? Ob nicht jemand anderes gerade das Smartphone oder den Laptop am anderen Ende bedient?

Auf vielen Webseiten und Plattformen reicht die Angabe eines korrekten Passworts, um zu „beweisen“, dass man eine bestimmte Person oder ein bestimmter Benutzer ist (2). Wer es schafft, an mein Passwort zu kommen, kann auf der jeweiligen Webseite auf mein Benutzerkonto und alle dort vorhandenen Informationen zugreifen. Eine Authentifizierung, die nur auf ein Passwort schaut, gilt daher als relativ unsicher. Dazu mehr weiter unten.

• (1) Jemand könnte mit einem Gemälde daher kommen und sagen: „Seht her: Dieses Bild ist von Vincent van Gogh!“ – Nun gibt es einige Möglichkeiten, seine Behauptung zu prüfen. Wird festgestellt, dass das Bild tatsächlich (bzw. sehr wahrscheinlich) von Van Gogh ist, ist es als Van-Gogh-Bild authentifiziert. Vielleicht wird auch festgestellt, dass es bloss eine Kopie, nicht echt, nicht authentisch ist.
• (2) („Benutzer/Benutzerin“ und „Person“ meinen etwas völlig Unterschiedliches. Das wird auch dadurch klar, dass eine Person mehrere Benutzer sein kann und theoretisch für jedes Konto andere Namen und E-Mail-Adressen angeben könnte. Oft aber sind die Informationen, die zu einem Benutzer gespeichert sind, sehr zahlreich und deckungsgleich mit den Informationen über die Person, zu der das Benutzerkonto gehört.)

Ziele:

• 'richtiges' Python installieren
• Python-Module mit pip installieren können
• Mit Brute Force Passwörter hacken

In dieser Aufgabe geht es darum, geheime Passwörter mithilfe der Brute-Force Methode zu hacken, über welche man Zugriff auf geheime Nachrichten (Achtung: Flachwitz Alarm!) erhält. Insgesamt gibt es mind. fünf solcher Passwörter / Nachrichten, die man hacken kann. Beachte, dass alle Passwörter ausschliesslich die Grossbuchstaben 'ABCDEFGHIJKLMNOPQRSTUVWXYZ' verwenden. Es gibt also keine Kleinbuchstaben, Umlaute, Leerzeichen, Zahlen, Sonderzeichen, …

Für diese Aufgabe gibt es zwei Versionen:

1. Online-Hack: Hier wird eine Website gehackt, die auf einem Schulserver läuft. Achtung: Man hat nur Zugriff über das Netzwerk der Schule, also nicht von zuhause.
2. Offline-Hack Die (verschlüsselten) Daten, die gehackt werden sollen, werden auf den Computer heruntergeladen, es ist also kein Zugriff auf eine Website nötig. Daher kann man diesen Hack von überall aus machen.

Wähle eine der beiden Optionen (online oder offline) und löse die Aufgaben weiter unten. Für jede Option gibt es ein Template mit vordefiniertem Code, den man verwenden soll. Lasse dich von diesem Code nicht einschüchtern: Du musst diesen nur anwenden aber nicht verstehen.

https://if.ksr.ch/sca/hackme/

• Benötigt Python-Modul Selenium: pip install selenium
• Benötigt aktuelle Version von Google Chrome
• Erklärung:
  • Jedes Mal, wenn man auf der Website ein Passwort eingibt und den Button drückt, wird im JavaScript-File die Funktion check_pw(...) ausgeführt, die überprüft, ob das eingegebene Passwort korrekt ist oder nicht. Die Funktion gibt zwei Werte zurück:
    • Code: $201$ falls korrekt, $401$ falls falsch
    • Message
  • Der Code unten verbindet sich mit der Website und ruft die Funktion check_pw(...) auf und erhält den Code und die Message zurück.

Code

### requires: `pip install selenium`
 
### DON'T CHANGE CODE FROM HERE ...
from selenium import webdriver
from selenium.webdriver.common.by import By
 
# url to website
url_website = "https://if.ksr.ch/sca/hackme/"
 
# Open the webpage
driver = webdriver.Chrome()
driver.get(url_website)
 
# Enter text and click button -> not relevant for our hack
input_field = driver.find_element(By.ID,"textInput") # find the input box ...
input_field.send_keys("guess pw here") # ... and insert text
button = driver.find_element(By.ID,"btnSend") # find the button ...
button.click() # ... and click it
 
### ... UNTIL HERE
### WRITE YOUR CODE BETWEEN HERE ...
 
pw = "MY GUESS" # variable containing password
code,message = driver.execute_script(f'return check_pw("{pw}")') # try password on website, returns code and message
 
### ... AND HERE. DON'T CHANGE LAST LINE:
driver.quit() # Close the browser

• Benötigt Python-Modul PyCryptoDome: pip install pycryptodome
• Erklärung: Die Python-Funktion check_pw(...) überprüft ein Passwort und erhält einen Code und eine Message (gleich wie bei Online-Version oben) zurück.

Code

### requires: pip install pycryptodome
 
### DON'T CHANGE CODE FROM HERE ...
from Crypto.Cipher import AES
from Crypto.Util.Padding import pad, unpad
import hashlib
 
encoding = 'utf-8' # 'latin-1'
 
data_encrypted = [
    {
        "pw_hashed" : "4ae81572f06e1b88fd5ced7a1a000945432e83e1551e6f721ee9c00b8cc33260",
        "message_encrypted" : b'\xa5\x8a\xb6i\xfb\xe4\x1c\xeeN [\xcb\xb8\xe9\x85-'
    },
    {
        "pw_hashed" : "ccc09a134cf88bae7be3f6d62cf24b9476a044c375a76d53b78eef18ea772f5f",
        "message_encrypted" : b'\x98I\x10\xb3\xbaW\x03V\x9e\x96;\xb0\xb2#\xc7\x04AA\xf4S\xf9H\x10\xf6\x9c\x8e\xd3jf\xfa\x17\xa1\xba\xb5\xae\xc5\n\xc0\xd4\xc8\x02,U\x10\xc2\xd62\xbe\xa6!l\x82\x82Hs\xde\xb7\x97\xf6\x0c\xa6\x85\xf2\xd0'
    },
    {
        "pw_hashed" : "516a8d1c497179956af1feddc603960155d26aad82fa8c184dd27a14fc59da82",
        "message_encrypted" : b'\x89\xd55H\xb3\xab\x0b\x99\x19oW\x00\xfd\xc9*\xdc`\xb2\xb0N\xf7+m\xce\x8c\xf7\xd7k\xc5\x01\xec\xbf+f\x94\xd0\xb1\x04\xcd\xd2$Z\xf6\xdf\xee\xca\xa5V\xf6b\xce\n\x1f\xbc\x1c\xe4\x00zi\xe8:\xcb\x000'
    },
    {
        "pw_hashed" : "1f40dc75353dade02cab2a64cc014d058bc16b3eec3b52b723dc1db5cfdc7875",
        "message_encrypted" : b'\x0c\xe0hb%\xe9E\xdb\x97\x10I\x17\xc2\xdbH4\x03\xf3M\xb20_\xa3\x13\xbd\x87\xd5\xe0\xc8\xcb\xab+\x89\r\x938@2\x0b.{t\x1a3\x85u\x14\xd3'
    },
    {
        "pw_hashed" : "cb059e3e1d77a76665eaaeb7d289f54936ecb301a5ede2a0ac887c204b7bd4e4",
        "message_encrypted" : b'\x0fr\xbd~\x0b C\xd1\xdc\x83y\x0e\xf5Im\xf3U\x94\x7f\xd6\x8e\xde\xb6\xf5\x97\xf6\x06\x16\xd8o\xc4Q<F\x05:)\xe6\xf0\x1b\xb3\xe2b\xe0\xcf\xb4\x84Z\x11\x8f>\x12[k%\xcf\xb2\x14\xea)Zi/e\x1buX?\xc4\x0e\xf9\\\xf9\xa5\xfb\x1e5\xecPi\xe8\x89Ty63`4\x89\x87\x08\x9b\xccj\xcd1y/\xc5\xdc#\x1fS\xa8\xe99\x07\x85\xda\xf5:\xd5'
    }
]
 
def normalize_key(key):
    if len(key) < 16:
        key = key + (16-len(key)) * "a"
    elif len(key) < 64:
        key = key + (16-len(key)) * "a"
    else:
        key = key[:64]
    return key
 
def encrypt(key: str, message: str):
    key = normalize_key(key).encode(encoding)
    cipher = AES.new(key, AES.MODE_ECB)  # Using ECB mode
    padded_message = pad(message.encode(encoding), AES.block_size)  # Pad message
    encrypted_message = cipher.encrypt(padded_message)  # Encrypt the data
    return encrypted_message
 
def decrypt(key: str, message: bytes):
    key = normalize_key(key).encode(encoding)
    cipher = AES.new(key, AES.MODE_ECB)  # Using ECB mode
    decrypted_message = cipher.decrypt(message)
    decrypted_unpadded_message = unpad(decrypted_message, AES.block_size)
    return decrypted_unpadded_message.decode(encoding)  # Decode bytes to string
 
def hashme(s):
    return hashlib.sha256(s.encode(encoding)).hexdigest()
 
def check_pw(pw):
    for data in data_encrypted:
        if hashme(pw) == data['pw_hashed']:
            return 201,decrypt(pw,data["message_encrypted"])
    return 401,None
 
### ... UNTIL HERE
##############################################
### WRITE YOUR CODE BELOW:
 
code, message = check_pw("WRONGPASSWORD")
print(code)
print(message)

• Dossier Programmieren aus 1M
• Verwende KI als Tutor (z.B. ChatGPT, Bing-Chat, …)

Ziel: richtiges Python & VSCode einrichten

1. Richte Python & VSCode ein
2. Entscheide dich für eine Hack-Variante („Online“ oder „Offline“) …
3. … und installiere das benötigte Modul (siehe oben, welches Modul benötigt wird).
4. Optional aber empfohlen: Finde heraus, wie man Jupyter-Notebooks verwendent. Mit diesen kann man Code und Text miteinander kombinieren.

1. Lade das passende Template oben herunter / kopiere es in ein Python oder Jupyter-Notebook File und führe es aus.
2. Finde das erste Passwort durch ausprobieren heraus: Passwort 1: ein einziger Grossbuchstabe
3. Schreibe nun den Code, der das zweite Passwort hackt: Passwort 2: drei zufällige Grossbuchstaben

Das folgende Dokument enthält kapp $10000$ der am meisten verwendeten deutschen Wörtern: woerter_top10000de_upper.txt.zip (muss zuerst entzippt werden!)

1. Finde heraus, wie man in Python ein Text-File einliest und Zeile für Zeile durchgeht. Verwende dazu KI als Tutor.
2. Hacke damit Passwort 3: Besteht aus einem Wort (nur Grossbuchstaben) aus der Liste oben.

Hacke die verbleibenden Passwörter:

• Passwort 4: besteht aus mehr also drei zufälligen Grossbuchstaben.
• Knacke Passwort 4 mithilfe einer rekursiven Funktion. Recherchiere selbst, was dies bedeutet.
• Passwort 5: besteht auf zwei aneinandergereihten Wörtern aus der Liste von oben

Andere Aufgaben:

• Mache eine Laufzeitanalyse: Mithilfe des time Moduls (import time, kein pip nötig) kann man bestimmen, wie lange die Ausführung eines Codes dauert. Wie lange dauert es im schlechtesten Fall, um ein Passwort mit $1,2,3,4,5,\ldots$ Zufallszeichen (Grossbuchstaben) zu bestimmen?
• Versuche, einen (oder beide) der Codes, die für diese Aufgaben zur Verfügung gestellt werden, zu verstehen.