Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

368 A. Pfitzmann: Datensicherheit und Kryptographie; Aufgaben, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 367 A. Pfitzmann: Datensicherheit und Kryptographie; Aufgaben, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 6-2 Personenbezug und Verkettbarkeit von Pseudonymen Warum bieten Rollenpseudonyme mehr Anonymität als Personenpseudonyme und Transaktionspseudonyme mehr Anonymität als Geschäftsbeziehungspseudonyme? 6-3 Eigenauthentikation vs. Fremdauthentikation Erläutern Sie Eigenauthentikation und Fremdauthentikation sowie den Unterschied zwischen ihnen. Geben Sie typische Beispiele an. Warum ist die Unterscheidung zwischen Eigenauthentikation und Fremdauthentikation für die Gestaltung mehrseitig sicherer IT-Systeme wichtig? 6-4 Diskussion der Sicherheitseigenschaften von digitalen Zahlungssystemen Die in §6.4 genannten Sicherheitseigenschaften berücksichtigen nur Verfügbarkeit und Integrität von Zahlungsvorgängen, also nur das absolut Notwendige. Erstellen Sie eine Liste der aus Ihrer Sicht notwendigen Schutzziele, geordnet nach Vertraulichkeit, Integrität und Verfügbarkeit. 5-20 Wie sichern, daß MIXe Nachrichten von genügend vielen unterschiedlichen Sendern erhalten? Wie zu Beginn von §5.4.6.1 begründet, müssen MIXe in jedem Schub Informationseinheiten von genügend vielen Sendern bearbeiten – sind sie von zu wenigen, ist die Gefahr zu groß, daß einer von ihnen von den wenigen andern auch über die MIXe beobachtet werden kann. Wie kann das Einhalten der Forderung „Informationseinheiten von genügend vielen Sendern“ beim a) ersten MIX einer MIX-Kaskade, wie bei b) hinteren, d.h. nicht ersten, MIXen einer MIX-Kaskade gesichert werden? Andernfalls könnte beispielsweise der erste MIX in seinem Ausgabeschub alle Informationseinheiten bis auf eine durch von ihm selbst erzeugte Informationseinheiten ersetzen und so die nicht ersetzte Informationseinheit trotz aller weiteren MIXe verfolgen. 6-5 Wie weit erfüllen konkrete digitale Zahlungssysteme Ihre Schutzziele? Prüfen Sie Ihnen bekannte digitale Zahlungssysteme gegen die von Ihnen in Aufgabe 6-4 erarbeiteten Schutzziele. Beispiele könnten Telefonbanking und Homebanking Computer Interface (HBCI) http://www.bdb.de/Verband/Intern.htm#Punkt2 sein. 5-21 Koordinations-Protokoll bei MIXen: Wozu und wo? Bei welchen Verschlüsselungsschemata ist ein Koordinations-Protokoll zwischen MIXen notwendig? Begründen Sie Ihre Antwort. Aufgaben zu Regulierbarkeit von Sicherheitstechnologien 5-22 Grenzziehung der Verantwortungsbereiche – Funktionsumfang der Netzabschlüsse Warum sollten sich die nötigen Vertrauensbereiche von Teilnehmer und Netzbetreiber möglichst wenig überlappen? Erläutern Sie dies für alle vorgestellten Schutzmaßnahmen in Kommunikationsnetzen (Bild 5-48 ist Ihnen dabei vielleicht eine Hilfe). 9-1 Digitale Signaturen bei „Symmetrische Authentikation ermöglicht Konzelation“ Können in dem Verfahren „Symmetrische Authentikation ermöglicht Konzelation“ (§9.4) digitale Signaturen statt symmetrischer Authentikationscodes eingesetzt werden? Wenn ja, wie? Wenn nein, warum nicht? 9-2 „Symmetrische Authentikation ermöglicht Konzelation“ vs. Steganographie Was ist „Symmetrische Authentikation ermöglicht Konzelation“ (§9.4) und Steganographie (§4) gemeinsam? Was unterscheidet sie? 5-26 Mehrseitig sicherer Web-Zugriff Machen Sie sich Gedanken über mehrseitig sicheren Web-Zugriff: Welche Sicherheitsprobleme bestehen? Genauer: Welcher Beteiligte hat welche Schutzinteressen? Wenden Sie danach die bisher vermittelten Konzepte auf diese neue Problemstellung an. {Mit dieser größer angelegten Aufgabe soll Ihre Neugierde geweckt und das Vermittelte nochmals etwas geübt werden. Es ist deshalb ok, wenn Sie sich nach der Problemanalyse und ersten eigenen Überlegungen im Web umschauen, welche Konzepte es so gibt. Und auch ich werde mir erlauben, Sie in der Lösung auf Literatur zu verweisen.} 9-3 Kryptoregulierung durch Verbot frei programmierbarer Rechner? Aufgrund der Verfahren aus §9.1 - §9.6 ist klar, daß eine Kryptoregulierung nicht greift, solange frei programmierbare Rechner verfügbar sind. Nehmen wir an, alle Staaten einigten sich darauf, die Produktion von frei programmierbaren Rechnern zu verbieten und es gelänge sogar, dieses Verbot durchzusetzen. Nehmen wir an, die Jahrzehnte, in denen bereits verkaufte frei programmierbare Rechner noch funktionieren, wären verstrichen – es gibt also keine frei programmierbare Rechner mehr. Ist dann eine Kryptoregulierung durchsetzbar? Noch genauer gefragt: Ist dann eine Kryptoregulierung durchsetzbar, die es erlaubt, ab einer Überwachungsgenehmigung den Email-Verkehr eines Verdächtigen zu entschlüsseln – aber nicht vorher? 5-27 Firewalls Viele Firmen und Behörden kontrollieren der Verkehr zwischen den öffentlichen Netzen, beispielsweise dem Internet, und ihrem firmen- bzw. behördeninternen Netz, beispielsweise ihrem LAN oder Intranet, durch sogenannte Firewalls (der Name ist dem Brandschutz in Gebäuden entlehnt und bedeutet dort Brandschutzmauer, d.h. eine Mauer, die die Ausbreitung von Bränden verhindern oder zumindest verzögern soll). Halten Sie dies für sinnvoll? Was genau bringt das? Wo sind die Grenzen? Kann das Zugangskontrolle und Zugriffskontrolle zu bzw. in den Arbeitsplatzrechnern ersetzen? Aufgaben zu Werteaustausch und Zahlungssysteme 6-1 Electronic Banking – Komfortversion a) Was halten Sie von folgender Papierbanking-Komfortversion: Der Kunde erhält von der Bank fertige Formulare, in die nur noch der Betrag einzusetzen ist. Insbesondere wird dem Kunden die Mühe erspart, eine Unterschrift zu leisten. b) Unterscheidet sich diese Papierbanking-Komfortversion von der heute üblichen Electronic Banking Version? c) Ändert sich dies, wenn Kunden von ihrer Bank je eine Chipkarte mit fertig geladenen Schlüsseln für MACs oder digitale Signaturen erhalten?
370 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 369 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Vertraulichkeit kann dadurch gefährdet werden, daß Daten weitgehend frei bewegt werden können, was eine Kontrolle erschwert und sogar in Frage stellt, daß es zu jedem Zeitpunkt eine juristisch verantwortliche Instanz, im Datenschutzrecht „speichernde Stelle“ genannt, gibt. Integrität und Verfügbarkeit können dadurch gefährdet werden, daß für Fehler und Angriffe mehr Ansatzpunkte bestehen. Man denke an Verbindungsleitungen oder gar Funkstrecken, die physisch schwer zu schützen sind, oder an die vielen Rechner, die größtenteils an nicht überwachten Plätzen stehen. b) Räumliche Verteilung unterstützt besonders die Verfügbarkeit trotz physischer Gewalt. Verteilung bzgl. Kontroll- und Implementierungsstruktur unterstützt besonders Vertraulichkeit und Integrität. Lösungen Lösungen zur Einführung 1-3 Vor- und Nachteile eines offenen Systems bzgl. Sicherheit a) Vorteile: Offene Systeme können leichter zu kooperierenden verteilten Systemen verbunden werden. Dadurch können die oben ausgeführten Vorteile eines verteilten Systems bzgl. Sicherheit leichter erreicht werden. Insbesondere wird durch das kompatible äußere Verhalten offener (Sub-)Systeme der Aufbau eines Gesamtsystems aus bzgl. Entwerfer, Produzent und Wartungsdienst diversitären (Sub-)Systemen erleichtert. Wie in §1.2.2 erläutert, kann Diversität die Sicherheit stark erhöhen. Nachteile: Offene Systeme können leichter zu kooperierenden verteilten Systemen verbunden werden. Dadurch können die oben ausgeführten Nachteile eines verteilten Systems bzgl. Sicherheit leichter erreicht werden. Insbesondere wird ein Benutzer eines offenen Rechnernetzes nicht wissen, wer alles in welcher Rolle an diesem offenen System welche Rechte (oder auch illegale Möglichkeiten) hat. b) Sie verstärken sich gegenseitig, d.h. alles für verteilte Systeme oder offene Systeme Gesagte gilt für verteilte offene Systeme besonders. 1-1 Zusammenhang zwischen räumlicher Verteilung und Verteilung bzgl. Kontrollund Implementierungsstruktur Räumlich verteilte IT-Systeme erlauben üblicherweise Eingaben an mehreren Stellen. Diese Eingaben haben (werden sie nicht ignoriert) Auswirkungen auf den Systemzustand. Wollte man eine zentrale Kontrollstruktur mittels einer Instanz mit globaler Systemsicht realisieren, müßte ihr jede Eingabe mitgeteilt und erst dann der Zustandsübergang vollzogen werden. Da die Geschwindigkeit der Übermittlung von Information durch die Lichtgeschwindigkeit (etwa 300000 km/s) begrenzt ist und heutige Rechner Verarbeitungsgeschwindigkeiten jenseits von 107 Befehl/s erreichen, wird bereits ab 300000 km/s 107 = 30 m/Befehl, Befehl/s also einer Übertragungsentfernung von nur 30 m, potentiell mehr Zeit für die Informationsübertragung als für die Informationsverarbeitung benötigt. 140 Da die Verarbeitungsgeschwindigkeit weiter steigt (wozu bekanntlich die Strukturgrößen kleiner werden), es sich bei der Lichtgeschwindigkeit aber um eine Naturkonstante handelt, wird dieses Argument immer wichtiger. Physische Wartung ist in einem räumlich verteilten IT-System besonders aufwendig, insbesondere wenn sie direkt nach einem Ausfall erfolgen muß. Bezüglich ihrer Kontroll- und Implementierungsstruktur verteilt realisierte IT-Systeme bieten, da bei Ausfall einzelner Subsysteme nicht das ganze IT-System ausfällt, die Möglichkeit, Wartungsmaßnahmen zu einem geeigneten Zeitpunkt später durchzuführen. Weitere Argumente finden Sie bei der Lösung der Aufgabe 1-2. 1-4 Vor- und Nachteile eines diensteintegrierenden Systems bzgl. Sicherheit a) Vorteile: Diensteintegrierende Systeme dürfen, da ihre Kosten auf mehrere Dienste verteilt werden können, mehr kosten. Dies erlaubt relativ mehr Aufwand bzgl. Sicherheit. Dies kann einerseits einen sorgfältigeren Entwurf und dessen genauere Prüfung (z.B. auf Trojanische Pferde) ermöglichen. Andererseits kann mit mehr Redundanz zur Steigerung der Verfügbarkeit gearbeitet werden, etwa zusätzlichen alternativen Übertragungsleitungen oder gar Funkstrecken in Kommunikationsnetzen. Auch sind die ziemlich aufwendigen Verfahren zum Schutz der Anonymität von Sender und/oder Empfänger, vgl. §5, möglicherweise eher realisierbar. Nachteile: Wird in einem diensteintegrierenden System eine Sicherheitseigenschaft verletzt, so dürfte dies gleich mehrere Dienste betreffen. Der Schaden ist also besonders groß. Dies ist katastrophal, wenn es keine Ersatzsysteme mehr gibt, es sich also um ein total diensteintegrierendes (= alternativloses) System handelt, vgl. [RWHP_89, Pfit_89 Seite 213ff]. Zugang zum diensteintegrierenden System muß grundsätzlich auch Teilnehmern gestattet sein, die nur einen Teil der angebotenen Dienste nutzen. Für die nichtgenutzten Dienste stellen diese Teilnehmer dann ein unnötiges Sicherheitsrisiko dar. b) Diensteintegration eskaliert unabhängig vom Systemtyp alles Gesagte, insbesondere auch alles über verteilte offene Systeme Gesagte. 1-2 Vor- und Nachteile eines verteilten Systems bzgl. Sicherheit a) Vorteile: Vertraulichkeit kann dadurch unterstützt werden, daß jeder seine Daten in seiner physischen Verfügungsgewalt behalten kann – Ende der informationellen Fremdbestimmung: Es ist nicht mehr nötig, die eigenen Daten wegzugeben und auf das Beste zu hoffen. Integrität kann dadurch unterstützt werden, daß jeder seine Daten vor jedem Zugriff anderer selbst vorgelegt bekommt und ihre Richtigkeit bestätigen oder ihre Falschheit belegen kann. Dieses Vorlegen muß nicht unbedingt dem Menschen gegenüber geschehen, sein PC kann so programmiert werden, daß er dies stellvertretend leistet. Außerdem kann Protokollierung verteilt erfolgen, so daß eine Fälschung oder Unterdrückung der Protokollierung erschwert wird. Verfügbarkeit kann dadurch unterstützt werden, daß es z.B. für Sprengstoffanschläge oder logische Bomben keine zentralen und alle Daten gefährdenden Angriffspunkte mehr gibt. Nachteile: 140 Hier kann mensch einwenden, es wären nicht die Befehle der Rechner, sondern die Befehle ihrer Benutzer, der Menschen, zu betrachten, wodurch sich auch bei hektischer Bedienung ein deutlich anderes Bild ergäbe. Aus meiner Sicht ist dies aber nicht angemessen: Da es nicht darum geht, ob aus der Sicht der Benutzer es sich um ein verteiltes System handelt, sondern um die Implementierungsstruktur, also mindestens eine Betrachtungsebene tiefer, müssen schon Maschinenoperationen als Einheiten genommen werden. Ein weiterer Einwand könnte nun sein, daß nicht Maschinenbefehle, sondern etwa Plattenzugriffe als Operationen genommen werden müssen, da erst sie den Zustandswechsel persistent (dauerhaft) machen und vorher aus Gründen der Fehlertoleranz sowieso rückgesetzt werden können muß. Dies ist zwar eine richtige Sicht bzgl. der Systemgestaltung – nur wurde dabei genau eine verteilte Kontroll- und Implementierungsstruktur einzelner Rechner bzw. Prozesse eingeführt.
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140: 266 A. Pfitzmann: Datensicherheit u
Seite 189: 366 A. Pfitzmann: Datensicherheit u
Seite 231 und 232: A. Pfitzmann: Datensicherheit und K
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?