Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
370<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
369<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
Vertraulichkeit kann dadurch gefährdet werden, daß Daten weitgehend frei bewegt werden<br />
können, was e<strong>in</strong>e Kontrolle erschwert <strong>und</strong> sogar <strong>in</strong> Frage stellt, daß es zu jedem Zeitpunkt<br />
e<strong>in</strong>e juristisch verantwortliche Instanz, im <strong>Datenschutz</strong>recht „speichernde Stelle“ genannt, gibt.<br />
Integrität <strong>und</strong> Verfügbarkeit können dadurch gefährdet werden, daß für Fehler <strong>und</strong> Angriffe<br />
mehr Ansatzpunkte bestehen. Man denke an Verb<strong>in</strong>dungsleitungen oder gar Funkstrecken, die<br />
physisch schwer zu schützen s<strong>in</strong>d, oder an die vielen Rechner, die größtenteils an nicht<br />
überwachten Plätzen stehen.<br />
b) Räumliche Verteilung unterstützt besonders die Verfügbarkeit trotz physischer Gewalt.<br />
Verteilung bzgl. Kontroll- <strong>und</strong> Implementierungsstruktur unterstützt besonders Vertraulichkeit<br />
<strong>und</strong> Integrität.<br />
Lösungen<br />
Lösungen zur E<strong>in</strong>führung<br />
1-3 Vor- <strong>und</strong> Nachteile e<strong>in</strong>es offenen Systems bzgl. <strong>Sicherheit</strong><br />
a) Vorteile:<br />
Offene Systeme können leichter zu kooperierenden verteilten Systemen verb<strong>und</strong>en werden.<br />
Dadurch können die oben ausgeführten Vorteile e<strong>in</strong>es verteilten Systems bzgl. <strong>Sicherheit</strong> leichter<br />
erreicht werden. Insbesondere wird durch das kompatible äußere Verhalten offener<br />
(Sub-)Systeme der Aufbau e<strong>in</strong>es Gesamtsystems aus bzgl. Entwerfer, Produzent <strong>und</strong><br />
Wartungsdienst diversitären (Sub-)Systemen erleichtert. Wie <strong>in</strong> §1.2.2 erläutert, kann<br />
Diversität die <strong>Sicherheit</strong> stark erhöhen.<br />
Nachteile:<br />
Offene Systeme können leichter zu kooperierenden verteilten Systemen verb<strong>und</strong>en werden.<br />
Dadurch können die oben ausgeführten Nachteile e<strong>in</strong>es verteilten Systems bzgl. <strong>Sicherheit</strong><br />
leichter erreicht werden. Insbesondere wird e<strong>in</strong> Benutzer e<strong>in</strong>es offenen Rechnernetzes nicht<br />
wissen, wer alles <strong>in</strong> welcher Rolle an diesem offenen System welche Rechte (oder auch<br />
illegale Möglichkeiten) hat.<br />
b) Sie verstärken sich gegenseitig, d.h. alles für verteilte Systeme oder offene Systeme Gesagte<br />
gilt für verteilte offene Systeme besonders.<br />
1-1 Zusammenhang zwischen räumlicher Verteilung <strong>und</strong> Verteilung bzgl. Kontroll<strong>und</strong><br />
Implementierungsstruktur<br />
Räumlich verteilte IT-Systeme erlauben üblicherweise E<strong>in</strong>gaben an mehreren Stellen. Diese<br />
E<strong>in</strong>gaben haben (werden sie nicht ignoriert) Auswirkungen auf den Systemzustand. Wollte man<br />
e<strong>in</strong>e zentrale Kontrollstruktur mittels e<strong>in</strong>er Instanz mit globaler Systemsicht realisieren, müßte ihr<br />
jede E<strong>in</strong>gabe mitgeteilt <strong>und</strong> erst dann der Zustandsübergang vollzogen werden. Da die Geschw<strong>in</strong>digkeit<br />
der Übermittlung von Information durch die Lichtgeschw<strong>in</strong>digkeit (etwa 300000 km/s)<br />
begrenzt ist <strong>und</strong> heutige Rechner Verarbeitungsgeschw<strong>in</strong>digkeiten jenseits von 107 Befehl/s<br />
erreichen, wird bereits ab<br />
300000 km/s<br />
107 = 30 m/Befehl,<br />
Befehl/s<br />
also e<strong>in</strong>er Übertragungsentfernung von nur 30 m, potentiell mehr Zeit für die Informationsübertragung<br />
als für die Informationsverarbeitung benötigt. 140 Da die Verarbeitungsgeschw<strong>in</strong>digkeit<br />
weiter steigt (wozu bekanntlich die Strukturgrößen kle<strong>in</strong>er werden), es sich bei der Lichtgeschw<strong>in</strong>digkeit<br />
aber um e<strong>in</strong>e Naturkonstante handelt, wird dieses Argument immer wichtiger.<br />
Physische Wartung ist <strong>in</strong> e<strong>in</strong>em räumlich verteilten IT-System besonders aufwendig, <strong>in</strong>sbesondere<br />
wenn sie direkt nach e<strong>in</strong>em Ausfall erfolgen muß. Bezüglich ihrer Kontroll- <strong>und</strong> Implementierungsstruktur<br />
verteilt realisierte IT-Systeme bieten, da bei Ausfall e<strong>in</strong>zelner Subsysteme nicht<br />
das ganze IT-System ausfällt, die Möglichkeit, Wartungsmaßnahmen zu e<strong>in</strong>em geeigneten<br />
Zeitpunkt später durchzuführen.<br />
Weitere Argumente f<strong>in</strong>den Sie bei der Lösung der Aufgabe 1-2.<br />
1-4 Vor- <strong>und</strong> Nachteile e<strong>in</strong>es dienste<strong>in</strong>tegrierenden Systems bzgl. <strong>Sicherheit</strong><br />
a) Vorteile:<br />
Dienste<strong>in</strong>tegrierende Systeme dürfen, da ihre Kosten auf mehrere Dienste verteilt werden können,<br />
mehr kosten. Dies erlaubt relativ mehr Aufwand bzgl. <strong>Sicherheit</strong>. Dies kann e<strong>in</strong>erseits<br />
e<strong>in</strong>en sorgfältigeren Entwurf <strong>und</strong> dessen genauere Prüfung (z.B. auf Trojanische Pferde) ermöglichen.<br />
Andererseits kann mit mehr Red<strong>und</strong>anz zur Steigerung der Verfügbarkeit gearbeitet<br />
werden, etwa zusätzlichen alternativen Übertragungsleitungen oder gar Funkstrecken <strong>in</strong><br />
Kommunikationsnetzen. Auch s<strong>in</strong>d die ziemlich aufwendigen Verfahren zum Schutz der<br />
Anonymität von Sender <strong>und</strong>/oder Empfänger, vgl. §5, möglicherweise eher realisierbar.<br />
Nachteile:<br />
Wird <strong>in</strong> e<strong>in</strong>em dienste<strong>in</strong>tegrierenden System e<strong>in</strong>e <strong>Sicherheit</strong>seigenschaft verletzt, so dürfte dies<br />
gleich mehrere Dienste betreffen. Der Schaden ist also besonders groß. Dies ist katastrophal,<br />
wenn es ke<strong>in</strong>e Ersatzsysteme mehr gibt, es sich also um e<strong>in</strong> total dienste<strong>in</strong>tegrierendes (=<br />
alternativloses) System handelt, vgl. [RWHP_89, Pfit_89 Seite 213ff].<br />
Zugang zum dienste<strong>in</strong>tegrierenden System muß gr<strong>und</strong>sätzlich auch Teilnehmern gestattet se<strong>in</strong>,<br />
die nur e<strong>in</strong>en Teil der angebotenen Dienste nutzen. Für die nichtgenutzten Dienste stellen diese<br />
Teilnehmer dann e<strong>in</strong> unnötiges <strong>Sicherheit</strong>srisiko dar.<br />
b) Dienste<strong>in</strong>tegration eskaliert unabhängig vom Systemtyp alles Gesagte, <strong>in</strong>sbesondere auch alles<br />
über verteilte offene Systeme Gesagte.<br />
1-2 Vor- <strong>und</strong> Nachteile e<strong>in</strong>es verteilten Systems bzgl. <strong>Sicherheit</strong><br />
a) Vorteile:<br />
Vertraulichkeit kann dadurch unterstützt werden, daß jeder se<strong>in</strong>e Daten <strong>in</strong> se<strong>in</strong>er physischen<br />
Verfügungsgewalt behalten kann – Ende der <strong>in</strong>formationellen Fremdbestimmung: Es ist nicht<br />
mehr nötig, die eigenen Daten wegzugeben <strong>und</strong> auf das Beste zu hoffen.<br />
Integrität kann dadurch unterstützt werden, daß jeder se<strong>in</strong>e Daten vor jedem Zugriff anderer<br />
selbst vorgelegt bekommt <strong>und</strong> ihre Richtigkeit bestätigen oder ihre Falschheit belegen kann.<br />
Dieses Vorlegen muß nicht unbed<strong>in</strong>gt dem Menschen gegenüber geschehen, se<strong>in</strong> PC kann so<br />
programmiert werden, daß er dies stellvertretend leistet. Außerdem kann Protokollierung verteilt<br />
erfolgen, so daß e<strong>in</strong>e Fälschung oder Unterdrückung der Protokollierung erschwert wird.<br />
Verfügbarkeit kann dadurch unterstützt werden, daß es z.B. für Sprengstoffanschläge oder<br />
logische Bomben ke<strong>in</strong>e zentralen <strong>und</strong> alle Daten gefährdenden Angriffspunkte mehr gibt.<br />
Nachteile:<br />
140<br />
Hier kann mensch e<strong>in</strong>wenden, es wären nicht die Befehle der Rechner, sondern die Befehle ihrer Benutzer, der<br />
Menschen, zu betrachten, wodurch sich auch bei hektischer Bedienung e<strong>in</strong> deutlich anderes Bild ergäbe. Aus me<strong>in</strong>er<br />
Sicht ist dies aber nicht angemessen: Da es nicht darum geht, ob aus der Sicht der Benutzer es sich um e<strong>in</strong> verteiltes<br />
System handelt, sondern um die Implementierungsstruktur, also m<strong>in</strong>destens e<strong>in</strong>e Betrachtungsebene tiefer, müssen<br />
schon Masch<strong>in</strong>enoperationen als E<strong>in</strong>heiten genommen werden.<br />
E<strong>in</strong> weiterer E<strong>in</strong>wand könnte nun se<strong>in</strong>, daß nicht Masch<strong>in</strong>enbefehle, sondern etwa Plattenzugriffe als Operationen<br />
genommen werden müssen, da erst sie den Zustandswechsel persistent (dauerhaft) machen <strong>und</strong> vorher aus Gründen<br />
der Fehlertoleranz sowieso rückgesetzt werden können muß. Dies ist zwar e<strong>in</strong>e richtige Sicht bzgl. der<br />
Systemgestaltung – nur wurde dabei genau e<strong>in</strong>e verteilte Kontroll- <strong>und</strong> Implementierungsstruktur e<strong>in</strong>zelner Rechner<br />
bzw. Prozesse e<strong>in</strong>geführt.