Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
24<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
23<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
2.2.2 Zugangskontrolle<br />
?<br />
Unter Zugangskontrolle versteht man, daß e<strong>in</strong> IT-System die Identitäten se<strong>in</strong>er Kommunikationspartner<br />
erfragt, prüft <strong>und</strong> nur mit berechtigten Partnern weiterkommuniziert. Es verh<strong>in</strong>dert so<br />
unbefugte Inanspruchnahme se<strong>in</strong>er Betriebsmittel <strong>und</strong> ggf. auch noch wesentlich Schlimmeres.<br />
Es ist bemerkenswert, daß diese Identitäten für viele Dienste nicht an die Identität e<strong>in</strong>er natürlichen<br />
Person gekoppelt se<strong>in</strong> müssen, sondern daß mit sogenannten Pseudonymen gearbeitet werden kann<br />
[Chau_87, PWP_90]. Wie dies möglich ist, wird <strong>in</strong> §6 erläutert.<br />
Es sei darauf h<strong>in</strong>gewiesen, daß es sich wie bei Identifikation auch bei Zugangskontrolle um e<strong>in</strong><br />
symmetrisches Problem handelt. Auch der Mensch wird <strong>in</strong> der Regel Interesse daran haben, se<strong>in</strong>e<br />
Zeit nicht mit ihn nasführenden IT-Systemen zu verbr<strong>in</strong>gen oder ihnen gar se<strong>in</strong>e Geheimnisse zu<br />
verraten.<br />
Gehäuse<br />
Siegel<br />
Hologramm<br />
Verschmutzung<br />
Paßwort<br />
Antworten auf Fragen<br />
Rechenergebnisse für Zahlen<br />
ist<br />
Was es<br />
2.2.3 Zugriffskontrolle<br />
weiß<br />
Unter Zugriffskontrolle versteht man, daß e<strong>in</strong> IT-System auch berechtigten Partnern nicht alles<br />
erlaubt: Jedes Subjekt (Mensch, IT-System, Prozeß) hat nur bestimmte Rechte, Operationen auf<br />
Objekten (Prozesse, Daten, Peripherie-Geräte, etc.) auszuführen. E<strong>in</strong> möglichst kle<strong>in</strong>er <strong>und</strong> gut<br />
abgegrenzter Teil des IT-Systems kontrolliert vor Ausführung aller Operationen, ob ihr Urheber die<br />
dafür nötigen Rechte hat. Dieser Teil des IT-Systems wird Zugriffsmonitor genannt, vgl. Bild 2-5.<br />
Der Zugriffsmonitor merkt sich ihm vorgelegte oder implizit entstehende Rechte <strong>und</strong> muß auch deren<br />
Ungültigwerden erkennen.<br />
Die Rechtevergabe selbst wird üblicherweise Autorisierung (authorization) genannt. Sie muß<br />
natürlich m<strong>in</strong>destens so gut geschützt werden wie der eigentliche Zugriff auf die Objekte.<br />
Da man leider meist nicht im voraus genau genug weiß oder formal spezifizieren will, wer unter<br />
welchen Umständen was darf, <strong>und</strong> deshalb die Rechte im IT-System eigentlich zu großzügig<br />
e<strong>in</strong>räumt, hat der Zugriffsmonitor oftmals auch die Aufgabe, alle oder zum<strong>in</strong>dest e<strong>in</strong>e geeignete<br />
Auswahl der Operationen zu protokollieren. Hat e<strong>in</strong> <strong>Datenschutz</strong>beauftragter19 geeignete Programme<br />
zur Auswertung der Protokolle zur Verfügung, so kann man hoffen, daß er Übertretungen der nur <strong>in</strong><br />
der Umwelt des IT-Systems def<strong>in</strong>ierten Rechte erkennen <strong>und</strong> ggf. Konsequenzen veranlassen kann.<br />
steht<br />
Wo es<br />
Bild 2-3: Identifikation von IT-Systemen durch Menschen<br />
E<strong>in</strong> IT-System kann e<strong>in</strong> anderes IT-System daran erkennen, was es weiß <strong>und</strong> woher die Leitung<br />
kommt, vgl. Bild 2-4. Letzteres mag zwischen ICs auf derselben Plat<strong>in</strong>e e<strong>in</strong>e genügend wirksame<br />
Identifikation se<strong>in</strong>, ist <strong>in</strong> offenen Kommunikationsnetzen aber völlig unzureichend.<br />
Wichtig ist, daß zwischen IT-Systemen nicht nur vergleichsweise unsichere Verfahren wie Paßwort,<br />
Frage-Antwort-Dialoge <strong>und</strong> Challenge-Response-Systeme wie „Geschickt wird Zahl, erwartet<br />
wird Rechenergebnis“ möglich s<strong>in</strong>d, sondern auch kryptographische Protokolle hoher Komplexität<br />
<strong>und</strong> <strong>Sicherheit</strong>. E<strong>in</strong> Beispiel für letzteres:<br />
IT-System 1 generiert e<strong>in</strong>e Zufallszahl, sendet sie IT-System 2 <strong>und</strong> erwartet e<strong>in</strong>e Verschlüsselung<br />
mit e<strong>in</strong>em nur diesen beiden IT-Systemen bekannten Schlüssel e<strong>in</strong>er vere<strong>in</strong>barten symmetrischen<br />
Blockchiffre18 . Hat IT-System 1 die erwartete Verschlüsselung erhalten, „kennt“ es<br />
IT-System 2. Entsprechend kann IT-System 2 das IT-System 1 identifizieren. (In Aufgabe 3-<br />
18a f<strong>in</strong>den Sie e<strong>in</strong>en H<strong>in</strong>weis auf Angriffe, die hierdurch nicht abgewehrt werden.)<br />
Zugriffsmonitor<br />
Benutzer-<br />
Prozeß<br />
?<br />
Daten,<br />
Programme<br />
Berechtigung<br />
prüfen;<br />
Urheber <strong>und</strong><br />
Operation<br />
protokollieren<br />
Paßwort<br />
Antworten auf Fragen<br />
Rechenergebnisse für Zahlen<br />
Kryptographie<br />
weiß<br />
Was es<br />
Bild 2-5: Zugriffskontrolle durch Zugriffsmonitor<br />
woher<br />
Leitung<br />
Zweierlei sei hervorgehoben:<br />
Bild 2-4: Identifikation von IT-Systemen durch IT-Systeme<br />
können, ohne daß dadurch selbst e<strong>in</strong>em adaptiven aktiven Angreifer (vgl. §3.1.3.2) e<strong>in</strong> Brechen des Systems<br />
gel<strong>in</strong>gen sollte.<br />
19<br />
Wenn es nicht um personenbezogene Information geht <strong>und</strong> <strong>Datenschutz</strong> eng verstanden wird, sollte man den weniger<br />
18<br />
Bei gegebenem Alphabet ver- bzw. entschlüsselt e<strong>in</strong>e Blockchiffre Blöcke fester Länge, während e<strong>in</strong>e<br />
Stromchiffre dies mit Zeichenketten beliebiger Länge kann, vgl. §3.8. Blockchiffren haben <strong>in</strong> der Regel<br />
Schlüssel fester Länge (z.B. 128 Bit lang), mit denen Millionen von Blöcken ver- bzw. entschlüsselt werden<br />
üblichen Begriff <strong>Sicherheit</strong>sbeauftragter verwenden.