Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

312 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 311 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 9.3 Key-Escrow-Systeme können zum zunächst unerkennbaren Schlüsselaustausch verwendet werden Im folgenden argumentieren wir, daß Benutzer einen Schlüsselaustausch für eine gegenüber jedwedem Dritten vertrauliche Konzelation unter Verwendung der Sicherheitsinfrastruktur für den elektronischen Rechtsverkehr bzw. von Konzelationssystemen, bei denen die Hinterlegung der geheimen Konzelationsschlüssel vorgesehen ist, eigenständig realisieren können, ohne eine Einschränkung in ihren Anforderungen in Kauf nehmen zu müssen. Ähnlich wie sichere digitale Signaturen zum sicheren Austausch von Schlüsseln für Konzelation verwendet werden können, kann auch jedes Konzelationssystem, also insbesondere auch jedes Key- Escrow- und Key-Recovery-System, bei dem den Sicherheitsdiensten der Zugang zu den geheimen Schlüsseln ermöglicht werden kann, dazu benutzt werden, um Schlüssel für zusätzlich zu verwendende Konzelationssysteme zu vereinbaren (Bild 9-2). Statt einem Konzelationssystem direkt die vertraulich zu haltenden Nachrichten zu übergeben, wird zunächst ein öffentlicher Konzelationsschlüssel redundant codiert übertragen. Der Empfänger überprüft den Schlüssel, ähnlich dem Prüfen des Zertifikates bei Verwendung digitaler Signaturen. Sofern er keine Verfälschung des öffentlichen Schlüssels feststellt, verwendet er den öffentlichen Schlüssel entweder, um geheim zu haltende Nachrichten zu verschlüsseln (Bild 9-2, 2. Pfeil) oder aber zum Austausch eines weiteren Schlüssels für ein symmetrisches Konzelationssystem, mit dem dann effizienter verschlüsselt werden kann (Bild 9- 2, 4. Pfeil). Bei der weiteren Kommunikation werden dann die mit dem aufgesetzten Konzelationssystem bereits verschlüsselten Nachrichten mit dem zugrundeliegenden Key-Escrow-Konzelationssystem ein weiteres Mal verschlüsselt, wie dies in Bild 9-2 mit Pfeil 3 und 4 angedeutet wird. 9.2 Digitale Signaturen ermöglichen den Austausch von Konzelationsschlüsseln k esc (A,c A ) Jede Sicherheitsinfrastruktur für digitale Signaturen ermöglicht den sicheren Austausch von Schlüsseln für Konzelation: Nach bekannten Algorithmen [Schn_96], die bereits in allgemein verfügbaren Programmen implementiert sind (z.B. Pretty Good Privacy – PGP), kann jeder für Konzelation geeignete Schlüsselpaare generieren. Danach kann jeder seine öffentlichen Konzelationsschlüssel selbst zertifizieren, d.h. die Authentizität des Konzelationsschlüssels für andere überprüfbar machen, indem er etwa folgende Nachricht digital signiert: „Der öffentliche Schlüssel ... gehört ...“ (in Bild 9-1 die Nachricht sA (A,cA )). Eine Sicherheitsinfrastruktur für digitale Signaturen erlaubt nun jedem, die Unverfälschtheit dieser Nachricht zu prüfen133 und sich so zu vergewissern, daß alles, was mit diesem öffentlichen Schlüssel verschlüsselt wird, nur vom Inhaber des Schlüsselpaares wieder entschlüsselt werden kann. Soll diese Verwendung eines Signatursystems ausgeschlossen werden, so besteht die einzige Möglichkeit darin, die Sicherheit der Signaturen zu untergraben, indem digital signierte Nachrichten in Umlauf gebracht werden, bei denen der Unterzeichner eben nicht der Eigentümer des Signierschlüssels ist. Damit ist natürlich jede Rechtsverbindlichkeit von Dokumenten, die in diesem System signiert wurden, hinfällig. c A (geheime Nachricht) Variante a) B A k esc(c A (geheime Nachricht)) Variante b) CA 3. s CA(A,t A) k esc(c A (k AB ), k AB (geheime Nachricht)) Variante c) 2. t von A 1. t A Bild 9-2: Key-Escrow-Konzelation ohne Dauerüberwachung ermöglicht Schlüsselaustausch und damit a) "normale" Konzelation, b) asym. Konzelation ohne Key-Escrow und c) sym. Konzelation ohne Key-Escrow B CA-Zertifikat testen A-Zertifikat testen s A(A,c A) c A (geheime Nachricht) A generiert (sA,tA) generiert (cA,dA) Ist das Key-Escrow-System so gestaltet, daß eine Entschlüsselung früherer Nachrichten nicht möglich oder nicht erlaubt ist, so braucht nicht einmal der Umweg über den öffentlichen Konzelationsschlüssel gegangen zu werden. Wie in Bild 9-3 gezeigt, kann dann direkt ein symmetrischer Schlüssel ausgetauscht werden – dies muß nur rechtzeitig geschehen. Bild 9-1: Sichere digitale Signaturen ermöglichen teilnehmerautonome sichere Konzelation Konzelationsschlüssel, die mit Hilfe einer Sicherheitsinfrastruktur für digitale Signaturen verbreitet wurden, ermöglichen sowohl, Nachrichten vertraulich auszutauschen als auch Schlüssel für symmetrische Konzelationssysteme. Mit diesen kann dann effizienter konzeliert werden. 133 indem er sowohl das Zertifikat sCA (A,tA ) der Certification Authority testet wie auch das Zertifikat, das sich Teilnehmer A selbst ausgestellt hat.
314 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 313 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr MACs passen und welche nicht (könnte das jemand mit einer besseren Wahrscheinlichkeit als 0,5, dann wäre dies ein Ansatz zum Brechen des Authentikationssystems), ist die Nachricht so perfekt konzeliert. k esc (A,k AB ) B A k esc (k AB (geheime Nachricht)) Sender A Empfänger B Kennt kAB Kennt kAB Zu übertragen sei Nachricht b1 , ... bn mit bi ∈ {0, 1} Berechnet MAC1 := code(kAB ,b1 ) ... MACn := code(kAB ,bn ) Bild 9-3: Key-Escrow-Konzelation ohne rückwirkende Entschlüsselung ermöglicht direkt symmetrische Konzelation ohne Key-Escrow Sei a 1 , ... a n die bitweise invertierte Nachricht. Wählt zufällig MAC'1 ... MAC'n mit MAC'1 ≠ code(kAB,a1) ... MAC'n ≠ code(kAB,an) Überträgt (die Mengenklammern bedeuten „zufällige Reihenfolge“) {(b1, MAC1), (a1, MAC'1)} ... {(bn , MACn ), (an , MAC'n )} ––––––––––––––––––> Probiert, ob {MAC1 = code(kAB ,b1 ) oder MAC'1 = code(kAB,a1)} und empfängt den passenden Wert b1 ... probiert, ob {MACn = code(kAB ,bn ) oder MAC'n = code(kAB ,an )} und empfängt den passenden Wert bn Die Verwendung zusätzlicher Verschlüsselungsmaßnahmen kann erst dann entdeckt werden, wenn die Schlüssel eines Key-Escrow-Systems herausgegeben und zum Entschlüsseln des Fernmeldeverkehrs benutzt wurden, was nach geltendem Recht eine Erlaubnis zur Überwachung des Fernmeldeverkehrs voraussetzt. Key-Escrow ist – wenn die Schlüsselherausgabe tatsächlich so zurückhaltend gehandhabt wird, wie in der öffentlichen Diskussion immer wieder betont wird – für die Ermittlungen der Sicherheitsbehörden, des Verfassungsschutzes, des Bundesnachrichtendienstes und MADs vermutlich kaum hilfreich, da gerade in den Fällen, wo Key-Escrow die Entschlüsselung von Nachrichten ermöglichen soll, höchstens die Verwendung zusätzlicher Verschlüsselungssysteme festgestellt werden kann. Daher wird neben der Einführung von Key-Escrow auch das Verbot anderer Verschlüsselungsverfahren diskutiert, was die Problematik allerdings in keiner Weise löst: Wird die Überwachung des Fernmeldeverkehrs zurückhaltend gehandhabt, so wird ein Übertreten des Kryptoverbots häufig „zu spät“ bemerkt werden. Ein ernsthafter Durchsetzungsversuch des Kryptoverbots setzt also eine weitgehende Aushöhlung des Fernmeldegeheimnisses voraus. Doch selbst dann können sich Teilnehmer steganographischer Techniken bedienen (siehe §9.5), bei denen die Verwendung eines Verschlüsselungssystems praktisch nicht nachweisbar ist. Bild 9-4: Konzelation mittels symmetrischer Authentikation nach Rivest Daneben ist zu berücksichtigen, daß alle Stellen und Personen, die Kenntnis von dem geheimen Konzelationsschlüssel eines Benutzers erhalten haben, alle zu diesem Schlüssel gehörigen Nachrichten entschlüsseln können. Im Unterschied zu traditionellen Überwachungstechniken gerät damit das Ende einer Abhöraktion diffus, da die Kenntnis eines Schlüssels nicht rückholbar ist. Die zentrale Speicherung dieser sensiblen Informationen bei Key-Escrow-Agencies und Bedarfsträgern macht diese ggf. zu einem vielversprechenden Angriffspunkt für Wirtschaftsspionage und andere kriminelle Aktivitäten. Rivests Vorschlag ist etwas mehr als doppelt so aufwendig wie die Lösung von Aufgabe 3-22. Er hat aber den Vorteil, daß beide Bits mit MACs jeweils in separate Nachrichten mit gleicher Sequenznummer gesteckt werden können. Dann wirft einerseits das ganz normale Authentikationsprotokoll des Empfängers die falschen Bits weg, der Empfänger muß also gar nichts implementieren. Zusätzlich muß auch der Sender die falschen Bits und MACs nicht selbst generieren und in Nachrichten packen – das kann jemand anderes tun, sofern es nur vor der Stelle, an der der Angreifer abhört, getan wird. Und um es zu tun, braucht er nicht den symmetrischen Authentikationsschlüssel – er nimmt einfach irgendwelche zufälligen MACs, die dann mit sehr großer Wahrscheinlichkeit nicht passen, vgl. Bild 9-5. Dann können sich Sender und Empfänger auch in einem Land mit totalem Konzelationsverbot trefflich herausreden: „Konzelation? Haben wir nicht gemacht, haben wir nicht gewollt, haben wir nicht mal gemerkt!“ Kurzum: Key-Escrow zur Verbrechensbekämpfung wird weitestgehend wirkungslos bleiben – erfordert aber kaum realisierbaren technischen134 und erheblichen organisatorischen135 Aufwand, um die Aushöhlung der Rechte der Bürger und eine Steigerung der informationellen Verletzbarkeit von Wirtschaft und Gesellschaft in vertretbaren Grenzen zu halten. 9.4 Symmetrische Authentikation ermöglicht Konzelation Jedes Bit der zu konzelierenden Nachricht wird übertragen, indem beide möglichen Werte, 0 und 1, jeweils gefolgt von einem MAC, übertragen werden [Rive_98]. Der MAC des richtigen Bits paßt, der des falschen nicht, vgl. Bild 9-4. Da außer Sender und Empfänger niemand prüfen kann, welche 134 Wie soll eine Zugriffskontrolle in den Datenbanken der Key-Escrow-Agencies fehlerfrei realisiert werden, und gleichzeitig ein kurzfristiger Zugriff auf die Schlüssel möglich bleiben? Die Erfahrung, daß bisher jedes größere technische System Fehler enthielt, lehrt, daß derartige Risikozusammenballungen vermieden werden sollten. 135 Es ist erstaunlich, daß gerade die Bedarfsträger Key-Escrow fordern, deren Erfolge und Skandale doch häufig auf der Erfahrung „Jeder Mensch hat seinen Preis“ beruhen.
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112: 210 A. Pfitzmann: Datensicherheit u
Seite 161: 310 A. Pfitzmann: Datensicherheit u
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?