Usability Challenges of PKI Vom Fachbereich Informatik der Technischen Universit¨at Darmstadt genehmigte Dissertation zur Erlangung des akademischen Grades Doctor rerum naturalium (Dr. rer. nat.) von Dipl.-Math. Tobias Straub aus T¨ubingen Referenten: Prof. Dr. J. Buchmann (TU Darmstadt) Prof. Dr. G. M¨uller (Universit¨at Freiburg) Tag der Einreichung: 13. Dezember 2005 Tag der m¨undlichen Pr¨ufung: 24. Januar 2006 Darmstadt, 2005 Hochschulkennziffer: D 17 To Judith Das sch¨onste Gl¨uck des denkenden Menschen ist, das Erforschliche erforscht zu haben und das Unerforschliche zu verehren. – Johann Wolfgang von Goethe Acknowledgements First and foremost, I am greatly indebted to Prof. Dr. Johannes Buchmann for proposing the research topic of this dissertation, offering me a scholarship of the Graduiertenkolleg e-Commerce, and promoting and encouraging me while I was working on this thesis. I would also like to thank Prof. Dr. G¨unter M¨uller for accepting the task of the second referee. I had the opportunity to work in a very friendly and inspiring atmosphere at TU Darmstadt. I am grateful to all my colleagues, especially my room- mate Vangelis Karatsiolis for everlasting discussions and to Marita Skrobic and Ralf-Philipp Weinmann for their kindness and support. It was a plea- sure for me to co-author papers with Harald Baier, Manuel Hartl, Andreas Heinemann, Johannes Ranke, Kai Richter, Volker Roth, and Markus Rup- pert. Thanks a lot to the people who proof-read drafts of this thesis: Manuel Hartl, Andreas Heinemann, Carola Klink, and Ulrich Vollmer. I would also like to thank my family for making possible my academic education and permanently sustaining me. Finally, I thank Judith for her love and patience during the long course of this project. This dissertation is dedicated to her. Zusammenfassung Benutzbarkeit ist kritisch f¨ur das Funktionieren von Sicherheitsmechanis- men. Dies gilt im Besonderen f¨ur Verfahren basierend auf Public-Key- Infrastrukturen (PKI). Gerade letztere besitzen eine hohe Komplexit¨at und erwiesen sich daher in der Praxis als Quelle von Bedienfehlern, die schnell zu Sicherheitsl¨ucken f¨uhren k¨onnen. Umgekehrt bremsen aber auch Be- nutzbarkeitsprobleme die Nutzung und Verbreitung von PKI-f¨ahigen An- wendungen und Diensten. Gegenstand der vorliegenden Arbeit ist die Darstellung der spezifischen Herausforderungen von PKI-Technologie in Bezug auf Benutzbarkeit sowie das Aufzeigen von L¨osungsans¨atzen. Dazu wird ein allgemeines Schichten- modell zur Verbesserung der Benutzbarkeit von Sicherheitsanwendungen sowie ein generisches Werkzeug zur Analyse beliebiger PKI-f¨ahiger Soft- ware eingef¨uhrt. Die Arbeit zeigt sodann beispielhaft mehrere Anwendungen dieser Konzepte auf: Neben technischen Maßnahmen der IT-Sicherheit kommt gerade der Sen- sibilisierung und Schulung von Anwendern eine große Bedeutung zu, denn viele Sicherheitsprobleme lassen sich auf menschliche Irrt¨umer oder Nach- l¨assigkeit zur¨uckf¨uhren. Wir entwickeln daher ein neues Konzept f¨ur Secu- rity Awareness-Kampagnen, die durch gezieltes Einbeziehen der Benutzer langfristige und nachhaltige Verhaltens¨anderungen bewirken sollen. Das Delegieren von sicherheitskritischen Aufgaben ist eine M¨oglichkeit, Benutzbarkeitsproblemen zu begegnen. Hier wird speziell PKI Outsourcing, d.h. der Betrieb eines Trustcenters durch einen Dienstleister, untersucht. In diesem Fall ist besonders die Sicherheit beim Certificate Enrolment zu gew¨ahrleisten. Wir zeigen eine Sicherheitsl¨ucke des Standardprotokolls auf und beheben diese mit Hilfe von verteilten digitalen Signaturen, die ein Vieraugenprinzip kryptografisch umsetzen. Unser Protokoll ben¨otigt eine verteilte Schl¨usselerzeugung zwischen zwei Parteien. Wir stellen dazu einen neuen, effizienten und beweisbar sicheren Algorithmus f¨ur RSA vor. Die meisten Emailprogramme unterst¨utzen bereits Verschl¨usselung und digitale Signaturen, doch diese Funktionen werden kaum genutzt. Grund daf¨ur ist die ung¨unstige Kosten-Nutzen-Relation f¨ur den Anwender. Wir zeigen, wie sich diese verbessern l¨asst. Dies geschieht durch den Einsatz op- portunistischer Sicherheit, welche Public-Key-Kryptografie ohne Zertifikate und den damit verbundenen Aufwand realisiert. Ein Problem von PKI-basierten Authentifikationsverfahren ist, dass aus Sicherheitsgr¨unden kryptografische Schl¨ussel nicht tempor¨ar an einen Stell- vertreter, etwa w¨ahrend eines Urlaubs, weitergegeben werden k¨onnen. Wir beschreiben eine, f¨ur den Benutzer transparente, einheitliche L¨osungsplatt- form f¨ur den Anwendungsfall World Wide Web, die alle gebr¨auchlichen Au- thentifikationsverfahren unterst¨utzt. Wissenschaftlicher Werdegang des Verfassers1 10/1995 – 9/1997, Studium der Mathematik mit Nebenfach Informatik 4/1998 – 7/2001 an der Universit¨at T¨ubingen 10/1997 – 3/1998 Gaststudium an der ETH Z¨urich 18.07.2001 Abschluss der Diplom-Pr¨ufung (Dipl.-Math.) 8/2001 – 3/2002 Wiss. Mitarbeiter am Lehrstuhl Prof. C. Hering, Fachbereich Mathematik, Universit¨at T¨ubingen 5/2002 – 4/2005 Promotionsstipendiat im Graduiertenkolleg e-Commerce, Technische Universit¨at Darmstadt seit 9/2005 Wiss. Mitarbeiter, Fraunhofer-Institut f¨ur Sichere Informationstechnologie, Darmstadt Erkl¨arung2 Hiermit erkl¨are ich, dass ich die vorliegende Arbeit – mit Ausnahme der in ihr ausdr¨ucklich genannten Hilfen – selbst¨andig verfasst habe. 1gem¨aß §20 Abs. 3 der Promotionsordnung der TU Darmstadt 2gem¨aß §9 Abs. 1 der Promotionsordnung der TU Darmstadt Contents 1 Introduction and Overview 1 1.1 Preface .............................. 1 1.2 Contributions........................... 4 1.3 OutlineofthisThesis ...................... 5 I Analysis 7 2 Usability vs. Security? 9 2.1 SecurityinOpenNetworks . 11 2.1.1 NetworkModel ...................... 11 2.1.2 SecurityThreats . 12 2.1.3 SecurityGoals ...................... 13 2.1.4 Usable Security: Why and How . 16 2.2 ExamplesandPreviousWork . 22 2.2.1 Passwords......................... 22 2.2.2 InternetSecurity . 24 2.2.3 Cryptographically Secured Email . 33 2.2.4 OnlinePrivacy ...................... 36 2.3 Multi-Layer Classification of Methodologies . 37 2.3.1 SecurityCulture . 38 2.3.2 ThreatModel....................... 40 2.3.3 EngineeringProcessFrameworks . 44 2.3.4 DesignGuidelines . 47 2.3.5 Metaphors......................... 50 2.3.6 User Education and Awareness . 51 2.4 Conclusions ............................ 52 xi xii CONTENTS 3 Measuring Usability a. Utility of PKI-enabled Applications 55 3.1 PKIinaNutshell......................... 56 3.1.1 Confidentiality through Encryption . 57 3.1.2 Symmetric Cryptosystems . 58 3.1.3 PublicKeyCryptosystems . 60 3.1.4 Authenticity and Integrity Protection . 60 3.1.5 PublicKeyDistribution . 63 3.1.6 Digital Certificates and Public Key Infrastructures . 64 3.2 Challenges............................. 68 3.2.1 Certificate Validation . 69 3.2.2 Managing Trust Anchors . 72 3.2.3 CertificatePolicies . 76 3.2.4 Information and Service Access . 78 3.2.5 PSEManagement .................... 81 3.3 PKIEvaluationTool . 83 3.3.1 Organisation ....................... 84 3.3.2 DeploymentIssues . 87 3.3.3 Ergonomics ........................ 90 3.3.4 SecurityFeatures. 95 3.4 Microsoft Usability Study . 99 3.4.1 ObjectivesandScope . 99 3.4.2 Methodology . 100 3.4.3 Findings of the Study . 101 3.4.4 LessonsLearnt . 103 3.5 Trustcenter Software Study . 104 3.5.1 TestCandidates . 105 3.5.2 Methodology . 106 3.5.3 EvaluationReports. 111 3.6 Conclusions ............................121 II Solutions 123 4 Awareness by Doing 125 4.1 StatusQuo ............................126 4.1.1 Some Figures and Insights . 126 4.1.2 RelatedWork. 127 CONTENTS xiii 4.2 OurMethodology. 129 4.2.1 Rationale .........................130 4.2.2 Goal............................131 4.2.3 LearningTechniques . 132 4.2.4 Organization of the Awareness Campaign . 134 4.2.5 SuccessControl. 137 4.3 Examples .............................138 4.3.1 InternetSecurity . 138 4.3.2 PasswordSecurity . 139 4.3.3 Malware..........................141 4.3.4 Magnetic Strip and Chip Cards . 141 4.3.5 Physically Accessible Computers . 142 4.3.6 WirelessNetworking . 142 4.4 Conclusions ............................143 5 Outsourcing Security to an Organization 145 5.1 Motivation ............................147 5.1.1 PKIOutsourcingScenario . 147 5.1.2 A Critical Weakness in the Current Realisation . 148 5.2 NewEnrolmentProtocol. 151 5.2.1 Requirements . 151 5.2.2 BigPicture ........................152 5.2.3 ProtocolVariants. 153 5.2.4 MultipleRAs ....................... 156 5.2.5 SecurityProperties. 158 5.2.6 Prototype .........................159 5.2.7 RelatedWork. 160 5.3 Secure Multi-Party Computations . 161 5.3.1 GeneralSetting. 162 5.3.2 Threshold RSA and DSA . 165 5.3.3 The Protocol of Ben-Or, Goldwasser, and Wigderson . 167 5.3.4 Distributed RSA Key Generation . 169 5.4 New Shared RSA Key Generation Protocol . 177 5.4.1 BuildingBlocks. 177 5.4.2 TheNewProtocol . 182 5.4.3 Summary .........................191 5.5 FurtherApplications . 192 xiv CONTENTS 5.5.1 Delegating Decryption Keys for Secure Email . 192 5.5.2 Securing an Enterprise Gateway for Secure Email . 194 5.6 Conclusions ............................196 6 Opportunistic Security for Email 199 6.1 Introduction............................ 199 6.2 Background ............................201 6.2.1 EmailThreatModel . 201 6.2.2 Potential Tradeoffs . 202 6.3 Exchanging and Maintaining Current Keys . 204 6.3.1 KeyExchangeProcess . 204 6.3.2 Transformations of the Security State . 204 6.3.3 Security Considerations . 207