Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
316<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
315<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
unüberwachbarer Kommunikation oder Speicherung – verboten würde, ist dem Anwender nichts zu<br />
beweisen, wenn die verwendete steganographische Technik gut ist. Ist sie noch nicht gut, so kann<br />
jeder Nachweis von Steganographie vor Gericht unmittelbar <strong>in</strong> verbesserte Steganographie umgesetzt<br />
werden, vgl. §4.1.3.3.<br />
Sender A Empfänger B<br />
Kennt kAB Kennt kAB Steganographie macht sich e<strong>in</strong>e Gr<strong>und</strong>tatsache der menschlichen Kommunikation zunutze, nämlich<br />
daß die gleiche Nachricht für unterschiedliche Empfänger e<strong>in</strong>e unterschiedliche Bedeutung haben<br />
kann. In den modernen digitalen Kommunikationsnetzen können hocheffiziente Verfahren realisiert<br />
werden, mit denen Benutzer, ohne sich persönlich zu treffen <strong>und</strong> ohne daß es von Dritten<br />
nachgewiesen werden kann, Nachrichten austauschen können oder vere<strong>in</strong>baren, wie sie zukünftig<br />
auszutauschende Nachrichten <strong>in</strong>terpretieren wollen. Natürlich ist es möglich <strong>und</strong> zur Erhöhung der<br />
<strong>Sicherheit</strong> empfehlenswert, die zu schützende Nachricht vor dem steganographischen Verstecken<br />
noch zu verschlüsseln.<br />
Zu übertragen sei Nachricht<br />
b1, ... bn mit bi ∈ {0, 1}<br />
Berechnet<br />
MAC1 := code(kAB,b1) ... MACn := code(kAB,bn) Überträgt<br />
(1, b1 , MAC1 ), ... (n, bn , MACn )<br />
––––––><br />
Komplementgenerierer<br />
Die bereits verfügbaren <strong>und</strong> geplanten daten<strong>in</strong>tensiven <strong>in</strong>teraktiven Telekommunikationsanwendungen<br />
aus dem Multi-Media-Bereich bieten sich als Trägersysteme für steganographische Techniken<br />
geradezu an.<br />
Hört die Nachricht b 1 , ... b n ab.<br />
9.6 Maßnahmen bei Schlüsselverlust<br />
Bildet a1 , ... an , die bitweise <strong>in</strong>vertierte Nachricht.<br />
Wählt zufällig MAC'1 ... MAC'n <strong>und</strong> mischt <strong>in</strong><br />
den Nachrichtenstrom von Sender A<br />
an die passenden Stellen<br />
(1, a1 , MAC'1 ), ... (n, an , MAC'n )<br />
Der Verlust136 von Schlüsseln, die zum Schutz der Vertraulichkeit oder zur Integritätssicherung bei<br />
der Übertragung von Nachrichten verwendet werden, stellt für den Benutzer ke<strong>in</strong> ernstliches Problem<br />
dar: Können etwa die mit Hilfe e<strong>in</strong>es Konzelationssystems geschützten Daten nicht entschlüsselt<br />
werden, so generiert der Empfänger e<strong>in</strong> neues Schlüsselpaar <strong>und</strong> teilt dem Sender se<strong>in</strong>en neuen<br />
öffentlichen Konzelationsschlüssel authentisiert mit. Danach verschlüsselt der Sender die Daten unter<br />
Zuhilfenahme des neuen Schlüssels noch e<strong>in</strong>mal <strong>und</strong> überträgt sie erneut. Diese Methode ist weit<br />
weniger aufwendig als jede sichere Form des Schlüsselbackups137 <strong>und</strong> weitaus sicherer als Key-<br />
Escrow- <strong>und</strong> Key-Recovery-Systeme. Key-Escrow- <strong>und</strong> Key-Recovery-Systeme halten die geheimen<br />
Schlüssel für gesetzlich festgelegte Bedarfsträger, <strong>Sicherheit</strong>sbehörden <strong>und</strong> Nachrichtendienste vor,<br />
um ggf. e<strong>in</strong>e Überwachung des Fernmeldeverkehrs zu ermöglichen, als technische Hilfe bei<br />
Schlüsselverlust s<strong>in</strong>d sie überflüssig.<br />
Überträgt die Mischung ––––o–––––––––––––––> normales Authentikationsprotokoll<br />
Ignoriert Nachrichten mit falscher Sequenznr.<br />
Ignoriert Nachrichten mit falscher Authentikat.<br />
gibt die übrigbleibenden weiter<br />
Abhörer empfangen wird mit größter Wahrsche<strong>in</strong>lichk.<br />
kann ai <strong>und</strong> bi nicht unterscheiden b1, ... bn ––––––><br />
Bild 9-5: Konzelation mittels symmetrischer Authentikation ohne Teilnehmeraktivität<br />
Gleiches gilt h<strong>in</strong>sichtlich Schlüsseln für Signaturen, vgl. Bild 9-6. Verliert der Inhaber se<strong>in</strong>en<br />
geheimen Signierschlüssel, kann er nicht mehr passend zu se<strong>in</strong>em öffentlichen Schlüssel signieren.<br />
Er kann sich aber jederzeit e<strong>in</strong> neues Schlüsselpaar generieren <strong>und</strong> den neuen öffentlichen Schlüssel<br />
zertifizieren lassen. Dieser muß den Empfängern von zukünftig signierten Nachrichten samt Zertifikat<br />
mitgeteilt werden.<br />
Wie <strong>in</strong> der Lösung von Aufgabe 3-22 angemerkt, können statt jeweils e<strong>in</strong>zelner Bits mehrere Bits<br />
gleichzeitig mit e<strong>in</strong>em MAC authentisiert werden. Dies erfordert aber bei l gleichzeitig authentisierten<br />
Bits pro MAC jeweils 2l Bitwerte <strong>und</strong> MACs sowie Probierschritte des Empfängers. Damit ist dies<br />
hier nur von Nachteil, während <strong>in</strong> dem Verfahren von Aufgabe 3-22 damit auch Vorteile erzielt<br />
werden konnten.<br />
Der Verlust öffentlicher Schlüssel ist praktisch nicht relevant, da ihre Öffentlichkeit beliebig weit<br />
verbreitete Speicherung gewährleistet.<br />
Bei Schlüsseln für den Schutz der Vertraulichkeit oder der symmetrischen Authentikation längerfristig<br />
gespeicherter Daten138 führt e<strong>in</strong> Verlust des geheimen Entschlüsselungs- bzw. Prüfschlüssels <strong>in</strong> der<br />
Interessant ist die Frage: Was tun, wenn jemand, z.B. e<strong>in</strong>e Strafverfolgungsbehörde, Sie zw<strong>in</strong>gen<br />
kann, den Authentikationsschlüssel rauszurücken? Die Antwort lautet: Vorbeugen. Dies heißt, unter<br />
den sehr vielen Bitfolgen auch m<strong>in</strong>destens e<strong>in</strong>e mit diesem „jemand“ angenehmem oder zum<strong>in</strong>dest<br />
unverdächtigem Inhalt zu haben – <strong>und</strong> ihm natürlich nur diesen Schlüssel herauszurücken. Damit<br />
mehrere Bitfolgen mit „echtem“ Inhalt sich gegenseitig schützen, s<strong>in</strong>d allerd<strong>in</strong>gs noch trickreichere<br />
Codierungen der Bitfolgen nötig, als die hier beschriebenen [Rive_98].<br />
136<br />
Relevant für unsere Betrachtungen ist die Situation, daß Schlüssel vollständig verloren s<strong>in</strong>d. Falls die Schlüssel <strong>in</strong><br />
ungefugte Hände geraten können, s<strong>in</strong>d weitere geeignete Maßnahmen zu ergreifen, etwa das Führen von Sperrlisten<br />
durch die Stellen, die Schlüssel zertifiziert haben. Bevor Teilnehmer Schlüssel verwenden, müssen sie bei der Stelle,<br />
die sie zertifiziert hat, nachfragen, ob der Schlüssel nicht gesperrt ist.<br />
137 Hierzu kann jeder se<strong>in</strong>e eigenen geheimen Schlüssel mit e<strong>in</strong>em Schwellwertschema (§3.9.6) <strong>in</strong> Teile zerlegen <strong>und</strong><br />
e<strong>in</strong>zelne Teile an ihm vertrauenswürdig sche<strong>in</strong>ende Fre<strong>und</strong>e, Organisationen etc. weitergeben. Zur Rekonstruktion<br />
ist dann e<strong>in</strong>e vom Teilnehmer vor der Zerlegung gewählte M<strong>in</strong>destzahl an Teilen nötig. Bei geschickter Wahl dieser<br />
M<strong>in</strong>destzahl können e<strong>in</strong>erseits wenige doch nicht vertrauenswürdige Teilverwahrer den geheimen Schlüssel nicht<br />
rekonstruieren, andererseits verh<strong>in</strong>dert der Verlust e<strong>in</strong>zelner Teile nicht die Rekonstruktion.<br />
138 etwa für Archivierungszwecke, z.B. <strong>in</strong> Gr<strong>und</strong>buchämtern oder im Ges<strong>und</strong>heitswesen.<br />
9.5 Steganographie: Vertrauliche Nachrichten zu f<strong>in</strong>den<br />
ist unmöglich<br />
Nachrichten können nicht nur durch kryptographische Konzelationssysteme vor unerwünschter<br />
Kenntnisnahme geschützt werden, sondern auch durch Steganographie: Die zu schützende Nachricht<br />
wird <strong>in</strong> e<strong>in</strong>er anderen Nachricht, die notwendigerweise wesentlich länger ist, geeignet versteckt wie <strong>in</strong><br />
§4 erläutert wurde. Selbst wenn Kryptographie – oder noch wesentlich allgeme<strong>in</strong>er: jede Form