Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

16 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 15 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Trotz dieser Abschätzung des Angreifers sollte ein gegen ihn sicheres System mit vertretbarem Aufwand gebaut und betrieben werden können sowie für dieses System ein überzeugender Nachweis aller aufgestellten Schutzziele gelingen. die Welt die Welt betrachtetes IT-Gesamtsystem betrachtetes IT-Gesamtsystem Die Lebensdauer des Systems hat nicht nur Einfluß auf die zu unterstellende Meß- und Gerätetechnik des künftigen Angreifers, sondern auch auf seine Motivation, seinen Zeit- und Geldeinsatz sowie seine Risikobereitschaft. All dies kann durch politische Entwicklungen oder Steigerungen des Wertes (sei es ökonomisch oder politisch) der mit dem System verarbeiteten Daten oder der Abhängigkeit von Individuen, Organisationen oder gar Staaten vom Funktionieren des Systems drastisch zunehmen. Im Zweifelsfall sollte also nicht eine genauere Risikoanalyse, die wegen der Unvorhersehbarkeit mancher dieser Entwicklungen nicht möglich ist, versucht werden, sondern der Aufwand sollte lieber in den Bau eines gegen stärkere Angreifer sicheren Systems investiert werden. Systemteile des Angreifers Systemteile des Angreifers verändernder Angreifer beobachtender Angreifer 1.3 Was bedeutet Sicherheit in Rechnernetzen? nur erlaubtes Verhalten auch verbotenes Verhalten Ohne Anspruch auf Vollständigkeit und Genauigkeit seien hier einige mögliche Schutzziele für Rechnernetze genannt. Sie werden in §5 vertieft behandelt, nachdem in §3 die dazu notwendigen begrifflichen und kryptologischen Grundlagen dargestellt wurden. Bild 1-7: Beobachtender vs. verändernder Angreifer Schutzziel Vertraulichkeit • Nachrichteninhalte sollen vor allen Instanzen außer dem Kommunikationpartner vertraulich bleiben. • Sender und/oder Empfänger von Nachrichten sollen voreinander anonym bleiben und durch Unbeteiligte (inkl. Netzbetreiber) nicht beobachtet werden können. Schutzziel Integrität • Fälschungen von Nachrichteninhalten (inkl. des Absenders) sollen erkannt werden. • Der Empfänger soll gegenüber Dritten nachweisen können, daß Instanz x die Nachricht y gesendet hat (und ggf. auch den Zeitpunkt, an dem dies geschah). • Der Absender soll das Absenden einer Nachricht mit korrektem Inhalt beweisen können, möglichst sogar den Empfang der Nachricht (und ggf. auch den Zeitpunkt, an dem dies geschah). • Niemand kann dem Netzbetreiber Entgelte für erbrachte Dienstleistungen vorenthalten. Umgekehrt kann der Netzbetreiber nur für korrekt erbrachte Dienstleistungen Entgelte fordern. Zugegeben, die letzten drei Schutzziele unter Integrität zu fassen, ist etwas gezwungen! Alternativ müßten weitere Schutzziele eingeführt werden, was leicht ins Uferlose ausartet, vgl. das Ende von §1.2.1. Das letzte Schutzziel könnte allerdings auch unter Verfügbarkeit eingeordnet werden. In §1.2.2 wurde schon zwischen dummen oder zufälligen Fehlern und intelligenten zielgerichteten Angriffen unterschieden. Bei letzteren lohnt es sich, noch genauer zu unterscheiden: Wieviel Rechenkapazität wird dem Angreifer zugebilligt? Auf der sicheren Seite liegt man, wenn man ihm unbeschränkte Rechenkapazität zubilligt. Man spricht dann von einem komplexitätstheoretisch unbeschränkten (oder kürzer: informationstheoretischen) Angreifer. Sicherheitsbeweise sind dann in der informationstheoretischen Modellwelt von Claude Shannon zu führen, was in §3 genauer erläutert wird. Man riskiert etwas, wenn man annimmt, daß der Angreifer nur beschränkte Rechenkapazität (genauer: Berechnungsfähigkeiten) besitzt, z.B. große Zahlen in vernünftiger Zeit nicht in ihre Primfaktoren zerlegen kann, vgl. ebenfalls §3. Man spricht von einem komplexitätstheoretisch beschränkten (oder kürzer: komplexitätstheoretischen) Angreifer. Hier kann man sich bezüglich der Hardware-Betriebsmittel und Algorithmenkenntnis des Angreifers irren. Das Hauptrisiko liegt, wie wir insbesondere in §3 sehen werden, in einer falschen Einschätzung der Algorithmenkenntnis. Schutzziel Verfügbarkeit • Das Rechnernetz ermöglicht Kommunikation zwischen allen Partnern, die dies wünschen (und denen dies nicht verboten ist). Als Konkretisierung von komplexitätstheoretischen Angreifern, aber auch allgemein, etwa bzgl. verwendbarer Meßtechnik, kann man Angreifer danach unterscheiden, wieviel Zeit und Geld sie haben und aufzuwenden bereit sind. Und ganz untechnisch können sie Geld auch außerhalb des IT- Systems einsetzen: Bestechung von Menschen ist in vielen Situationen das wirksamste Mittel, um z.B. Entwerfer zum Einbau Trojanischer Pferde, Betreiber zur Manipulation des IT-Systems oder Zugangsberechtigte zur Zusammenarbeit zu bewegen. Diese Schutzziele sind vielschichtig und gelten nicht für alle Beteiligten jeweils gleichstark. Je nach Kommunikationsgegenstand und -umstand werden einzelne Schutzziele sogar für denselben Nutzer eine unterschiedliche Bedeutung haben. 1.4 Warum mehrseitige Sicherheit? Das Aufstellen eines realistischen Angreifermodells ist eine ähnliche Kunst wie das Abschätzen in mathematischen Beweisen: Ist die Abschätzung zu grob, gelingt der Beweis nicht mehr. Ist die Abschätzung zu fein, wird der Beweis unnötig kompliziert, fehlerträchtig und wenig überzeugend. Bezogen auf Angreifermodelle bedeutet dies, daß oftmals unterstellt wird, daß alle möglichen Angriffspunkte und Angriffsarten zu einem Angreifer kombiniert werden, obwohl man für die Realität hoffen kann, daß die diese Angriffspunkte kontrollierenden Instanzen nicht alle miteinander konspirieren und perfekt abgestimmt handeln werden. Verallgemeinern wir etwas: Wir möchten, daß möglichst jede(r) gegen jede(n) geschützt ist. Denn jede(r) kann durch Geräte mit Trojanischen Pferden, Bedienungsfehler, Eigeninteressen oder gar Bösartigkeiten die Schutzinteressen anderer bedrohen und muß deshalb aus deren Sicht als potentieller Angreifer gesehen werden. Ein realistisches Angreifermodell sollte nicht nur alle momentan erwarteten Angreifer, sondern auch alle während der Lebensdauer des Systems zu erwartenden Angreifer abdecken. Es sollte einfach sein, damit die nicht abgedeckten Restrisiken durch unerwartet starke Angreifer den vom System Betroffenen verständlich sind.
18 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 17 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 2 Sicherheit in einzelnen Rechnern und ihre Grenzen Ist jede(r) gegen jede(n) möglichst weitgehend geschützt, nennen wir dies mehrseitige Sicherheit (multilateral security) [RaPM_96]. Mehrseitige Sicherheit bedeutet die Einbeziehung der Schutzinteressen aller Beteiligten sowie das Austragen daraus resultierender Schutzkonflikte, etwa beim Entstehen einer Kommunikationsverbindung. Nach der Behandlung physischer Sicherheit wird der auf ihr aufbauende „logische“ Schutz isolierter Rechner vor unautorisiertem Zugriff und Computer-Viren dargestellt. 2.1 Physische Sicherheitsannahmen Die Realisierung von mehrseitiger Sicherheit führt nicht zwangsläufig dazu, daß die Interessen aller Beteiligten erfüllt werden. Da Schutzziele explizit formuliert werden, offenbart sie möglicherweise sogar gegensätzliche, unvereinbare Interessen, die den Beteiligten bisher nicht bewußt waren. Die Realisierung von mehrseitiger Sicherheit gewährleistet jedoch, daß die Partner einer mehrseitig sicheren Kommunikationsbeziehung in einem geklärten Kräfteverhältnis bezüglich Sicherheit miteinander interagieren. Alle technischen Schutzmaßnahmen bedürfen einer physischen „Verankerung“ in Form eines Systemteils, auf den der betrachtete Angreifer keinen physischen Zugriff hat – im allgemeinen Fall weder lesenden (Schutz der Vertraulichkeit) noch verändernden (Schutz von Integrität und Verfügbarkeit). Je nach Schutzkonzept und auch bezüglich einzelner Schutzmaßnahmen kann die Größe dieses für verschiedene Angreifer sinnvollerweise verschiedenen Systemteils vom „Rechenzentrum X“ bis zur „Chipkarte Y“ reichen. Dazwischen liegen Größenordnungen bezüglich Abmessungen und Komplexität. In beiden Fällen agieren Menschen nicht nur als mögliche Angreifer, sondern (in hoffentlich geeigneten Organisationsstrukturen) auch als erwünschte „Verteidiger“. Als besonders vorteilhaft wird sich erweisen, Schutz nicht nur für das IT-System als Ganzes, sondern insbesondere für seine einzelnen Benutzer zu betrachten. Dann kann Schutz für Benutzer B in einem Systemteil verankert werden, den B vor allen anderen physisch schützt, etwa eine Chipkarte, die B immer mit sich herumträgt, mit unter die Dusche nimmt und selbstverständlich nachts unter sein Kopfkissen legt. Technisch gesehen kommt es darauf an, dem Nutzer Möglichkeiten an die Hand zu geben, Schutzziele zu formulieren, ggf. auszuhandeln und durchzusetzen. Mehrseitige Sicherheit erfordert also, Verfahren zu entwickeln und nutzbar zu machen, die dem Benutzer informationstechnischer Systeme zumindest aus technischer Sicht die Möglichkeit geben, sich zu schützen. Selbstverständlich wird der praktische Einsatz solcher Verfahren von den ökonomischen, sozialen wie juristischen Gegebenheiten abhängen. Sicherheit ist ein Querschnittsthema und erfordert daher einen engen Dialog mit anderen wissenschaftlichen Disziplinen. Leseempfehlungen Rechnernetze: Tane_96 Was nun kann man von physischen Sicherheitsmaßnahmen bestenfalls erwarten? Durch welche Schutzmaßnahmen ist dies zumindest näherungsweise zu erreichen? Sind Chipkarten wirklich physisch sicher? Was also sind sinnvolle Sicherheitsannahmen? Diese Fragen werden nun der Reihe nach behandelt. Sicherheit: MüPf_97, Denn_82, ZSI_89, ZSI_90, ITSEC2_91 (bzw. die fehlerhafte Übersetzung: ITSEC2d_91), GIPr1_92, NRC_99 Sicherheit in Rechnernetzen: VoKe_83 2.1.1 Was kann man bestenfalls erwarten? Rechtliche Grundlagen: BFD1_95, BFD5_98, Tele_98 Überwachungstechnologie: http://www.europarl.eu.int/dg4/stoa/de/publi/166499/execsum.htm Die Verfügbarkeit eines räumlich konzentrierten Systemteils wird man gegen durchaus vorstellbare mächtige Angreifer, z.B. Terroristen oder allgemeiner Besitzer von genügend viel konventionellem Sprengstoff oder gar Atom- oder Wasserstoffbomben, nicht gewährleisten können. Hier wird es ab einem gewissen physischen Schutzaufwand für dicke Stahlbetonwände, Notstromversorgung, etc. schnell effizienter, auf verteilte Systeme zu setzen und zu hoffen, daß ein Angreifer nicht an vielen verschiedenen Orten gleichzeitig physisch massiv angreifen kann. Durch Verteilung des IT-Systems eskalieren natürlich die Probleme im Bereich Vertraulichkeit und auch im Bereich Integrität. Bezüglich dieser Schutzziele kann man von physischen Maßnahmen jedoch mehr erwarten, nämlich Schutz gegen alle derzeit vorstellbaren Angreifer: Man kann durchaus versuchen, beispielsweise Gerätegehäuse so zu bauen, daß ein nur durch die derzeit bekannten physischen Naturgesetze beschränkter Angreifer weder unbefugt an die in den Gerätegehäusen gespeicherte Information gelangen noch diese unbemerkt unbefugt ändern kann. Gelingt dies hinreichend, dann steht einer physischen Verteilung nichts im Wege. 2.1.2 Gestaltung von Schutzmaßnahmen Physische Schutzmaßnahmen bestehen aus einer Kombination der folgenden fünf Grundfunktionen:
Seite 1 und 2: A. Pfitzmann: Datensicherheit und K
Seite 3 und 4: VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6: X A. Pfitzmann: Datensicherheit und
Seite 7 und 8: 2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10: 6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12: 10 A. Pfitzmann: Datensicherheit un
Seite 13: 14 A. Pfitzmann: Datensicherheit un
Seite 57 und 58: 102 A. Pfitzmann: Datensicherheit u
Seite 65 und 66:
118 A. Pfitzmann: Datensicherheit u
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?