Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

456 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 455 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr sollte. Erhebt niemand Einspruch, dann sind alle Informationseinheiten von protokolltreuen Teilnehmerstationen noch vorhanden: Zu jeder Eingabe gibt es die entsprechende Ausgabe, sonst hätte die protokolltreue Teilnehmerstation Einspruch erhoben. Protokolltreue Teilnehmerstationen schicken keine Kopien von Nachrichten, die sie selbst oder andere schon mal geschickt haben - wenn dies Angreiferstationen tun, verhindert dies nicht, daß eine der Informationseinheiten durchkommt. Da aber Angreiferstationen sowieso nichts zur Unbeobachtbarkeit der Kommunikationsbeziehung beitragen, ist es nicht schädlich, wenn ihre Informationseinheiten-Wiederholungen von MIXen legitimerweise ignoriert werden – selbst wenn ihre originalen Informationseinheiten illegitimerweise unterdrückt oder ersetzt werden und sie nicht protestieren, ist dies nicht schlimm. 5-18 Brechen der direkten RSA-Implementierung von MIXen RSA ist multiplikativ und dies überträgt sich zumindest näherungsweise auch auf die direkte RSA- Implementierung von MIXen. Deshalb kann ein Angreifer Vielfache einer beobachteten Eingabe- Nachricht in den MIX eingeben und als Vielfache der entsprechenden Ausgabe-Nachricht erkennen. 5-19 Wozu MIX-Kanäle? a) Um die Verzögerungszeit und den Aufwand des Umcodierens in den MIXen zu senken: Während des Kanals kann ein symmetrisches Konzelationssystem verwendet werden, so daß nur für den Kanalaufbau ein asymmetrisches Konzelationssystem verwendet werden muß. Symmetrische Konzelationssysteme sind bekanntlich wesentlich weniger aufwendig bzw. wesentlich schneller als asymmetrische. b) Kanäle, die zusammen gemixt werden und sich bzgl. den Kommunikationsbeziehungen gegenseitig schützen sollen, müssen zusammen beginnen und enden. Bereits ersteres allein erfordert spürbare Wartezeiten. Beides zusammen würde unerträgliche Wartezeiten erzwingen. Das beschriebene Protokoll, bei dem jeder bzgl. seiner eigenen Nachrichten fortlaufend jeden MIX überprüft, verhindert den Erfolg verändernder Angriffe, kann aber zu aufwendig sein: Wenn jeder jede Ausgabe jedes MIXes erhalten soll, um unbeobachtbar prüfen zu können, dann erfordert die naive Implementierung (Verteilung) mehr Aufwand als normale Verteilung zum Schutz des Empfängers, die pro Nachricht ja nur einmal – und nicht wie hier nach jedem MIX – erfolgen muß. Eine Alternative, die verändernde Angriffe im allgemeinen Fall jedoch lediglich erkennt, ist stichprobenartige Überprüfung. Eine andere Alternative wäre, daß jede Nachricht für jeden MIX (oder aus Effizienzgründen nur für den letzten) eine anonyme Rückadresse enthält, die mit einer digital signierten Quittung über die Auslieferung der Nachricht an den Sender zurückgeschickt wird. Dann kann er überprüfen, ob seine Nachricht den Empfänger ohne Verzögerung erreicht hat, und falls nein ggf. sogar, wo sie unterschlagen wurde. Senden Teilnehmer bedeutungslose Nachrichten, so können sie diese an sich selbst senden und dabei überprüfen, daß ihre bedeutungslosen Nachrichten sie auch so schnell erreichen, wie dies zu erwarten war. So können Teilnehmer fast ohne Zusatzaufwand überprüfen, daß MIXe Nachrichten der Teilnehmer nicht durch ihre eigenen ersetzen. Aber auch dies verhindert den Erfolg von verändernden Angriffen nicht, sondern erkennt sie nur. 5-19a Freie MIX-Reihenfolge bei fester Anzahl benutzter MIXe? Der von Ronny entdeckte Angriff geht so: Der Angreifer weiß für jede einzelne Nachricht vor dem einzigen vertrauenswürdigen MIX, wie viele seiner MIXe diese Nachricht wie durchlaufen hat. Ebenso weiß er für jede einzelne Nachricht nach dem vertrauenswürdigen MIX, wie viele seiner MIXe diese Nachricht noch durchläuft. Also gehört genau die Nachricht vor dem vertrauenswürdigen MIX zu der Nachricht nach dem vertrauenswürdigen MIX, wo die Summe der durchlaufenen MIXe paßt. Scheibenkleister. Also entweder freie Routenwahl und zwangsweise zufällige Routenlängen – oder doch Kaskaden. 5-21 Koordinations-Protokoll bei MIXen: Wozu und wo? Ein Koordinations-Protokoll zwischen MIXen ist immer dann notwendig, wenn sich MIXe gegenseitig ersetzen können, wie dies bei MIXe mit Reserve-MIXen und Auslassen von MIXen der Fall ist. Die Koordination zwischen diesen MIXen muß jeweils sicherstellen, daß keine Umcodierung mehrfach erfolgt – sonst wären Ein- und Ausgangsnachrichten dieser MIXe über ihre Häufigkeiten verkettbar. 5-22 Grenzziehung der Verantwortungsbereiche – Funktionsumfang der Netzabschlüsse Funktionen, denen sowohl der Teilnehmer für seine persönlichen Sicherheitsinteressen (vor allem Vertraulichkeit und Integrität) als auch der Netzbetreiber für seine anbietermäßigen Sicherheitsinteressen (vor allem Verfügbarkeit der Kommunikation) vertrauen müssen, bedürfen einer Implementierung, deren Korrektheit des Entwurfes, der Produktion, des Betriebes und der Wartung dann mehrere Parteien vertrauen müssen. Gibt es keinen beiden vertrauenswürdigen Betreiber, werden ausforschungssichere Geräte benötigt – es gelten alle kritischen Bemerkungen aus §2.1. Ende-zu-Ende-Verschlüsselung und implizite Adressierung (übrigens genauso wie digitale Signaturen) betreffen jeweils nur die direkt an dieser Kommunikation Beteiligten. Diese Funktionen kann also jeder Teilnehmer so gut oder schlecht realisieren, wie es ihm behagt. 5-20 Wie sichern, daß MIXe Nachrichten von genügend vielen unterschiedlichen Sendern erhalten? a) Da der erste MIX wissen darf, welche Informationseinheiten von welchem Sender kommt, funktioniert bei ihm die kanonische Lösung: Sender lassen sich registrieren, veröffentlichen Testschlüssel und signieren die Informationseinheiten, die sie an den ersten MIX senden. Dann kann der erste MIX – sowie jeder, der sich dafür interessiert – prüfen, von wie vielen verschiedenen Sendern Informationseinheiten im Schub sind. b) Hintere, d.h. nicht erste, MIXe dürfen nicht wissen, wer ihre Eingabe- oder Ausgabe-Informationseinheiten gesendet hat – sonst bewirken die vorderen MIXe den hinteren gegenüber keinen Schutz, was sie aber sollen! Deshalb darf die Lösung von a) hier auf gar keinen Fall angewendet werden. (Hier erscheint Ihnen die Aufgabe nun möglicherweise unlösbar – aber nicht zu früh aufgeben, es geht. Vielleicht probieren Sie es noch mal, bevor Sie weiterlesen.) Die Lösungsidee besteht darin: Zwar soll im hinteren Teil der MIX-Kaskade niemand mehr testen können, von wem eine Informationseinheit stammt. Aber wenn wir mit a) sicherstellen, daß in den ersten MIX „Informationseinheiten von genügend vielen Sendern“ hineingingen und sich alle MIXe korrekt verhalten, dann braucht dies auch niemand! Hinten sind dann noch Informationseinheiten von genauso vielen protokolltreuen Teilnehmern vorhanden wie vorne! (Der Zusatz protokolltreu ist wichtig, wie wir gleich sehen werden.) Um sicherzustellen, daß sich alle MIXe korrekt verhalten, vereinbaren wir folgendes Protokoll: Alle Ein- und Ausgaben der MIXe sind öffentlich und von den MIXen signiert. Jeder, der eine Informationseinheit zur Schubfolge beigesteuert hat, überprüft direkt nach jedem Schub jedes einzelnen MIXes, ob seine Informationseinheit richtig gemixt wurde. Wenn nein, erhebt er Einspruch, bevor der nächste MIX seine Ausgabe bekanntgibt. Wie er ihn beweisbar erheben kann, steht in §5.4.7 in der Fußnote – und implizit damit auch, wann Einsprüche als unberechtigt verworfen und derjenige, der den Betrieb nur aufgehalten hat, bestraft werden
458 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 457 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr i3 Momentan für Web-Zugriff nicht wichtig. i4 Mittels eines digitalen Zahlungssystems (§6) werden Entgelte während der Diensterbringung bezahlt. Momentan für Web-Zugriff nicht wichtig. Schutzmechanismen für Verfügbarkeit a1 Diversitäre Netze, d.h. unterschiedliche Übertragungs- und Vermittlungssysteme; faire Aufteilung von Betriebsmitteln; Spiegelung von Web-Inhalten auf unabhängige Server, auffindbar etwa mittels unabhängiger Suchmaschinen. Beim RING-Netz sind Übertragungs- und Zugriffsverfahren sowohl für Sender- und Empfängeranonymität einerseits wie auch Verfügbarkeit der Kommunikation andererseits kritisch. Sie müssen folglich für alle vertrauenswürdig realisiert werden. Beim Überlagernden Senden sind Schlüsselgenerierung und -überlagerung sowie das Zugriffsverfahren kritisch sowohl für die Senderanonymität der Teilnehmer als auch für die Verfügbarkeit der Kommunikation. Dies muß also für alle vertrauenswürdig realisiert werden. Hingegen betrifft Übertragungsverfahren und Übertragungsmedium nur die Verfügbarkeit der Kommunikation und kann folglich vom Netzbetreiber ganz nach seinen Wünschen realisiert werden. Bei MIXen muß jeder Teilnehmer bzgl. der Vertraulichkeit seiner Kommunikationsbeziehungen mindestens einem der von ihm verwendeten MIXe vertrauen. Hingegen muß der Netzbetreiber, sofern keine Fehlertoleranzmaßnahmen auf MIX-Ebene ergriffen werden, für die Verfügbarkeit der Kommunikation allen MIXen vertrauen. 5-27 Firewalls Firewall können allenfalls dann wirkungsvoll sein, wenn sie vom Angreifer nicht umgangen werden können. Nur wenn es zwischen den öffentlichen Netzen und dem internen Netz nur wenige, bekannte Übergänge gibt, ist das Konzept Firewall sinnvoll umsetzbar. Allerdings untergräbt der Einsatz von Modems bzw. ISDN-Nebenstellenanlagen zum direkten Anschluß von an das interne Netz angeschlossenen Arbeitsplatzrechnern an öffentliche Netze dies zunehmend. Ganz extrem wird es, wenn tragbare Rechner (Laptops etc.), die über eine Funkanbindung an öffentliche Netze verfügen (etwa für AußendienstmitarbeiterInnen), bei Anwesenheit in der Firma bzw. Behörde direkt an interne Netz angeschlossen werden. Firewalls können allenfalls auf den Kommunikationsebenen qualifizierte Entscheidungen fällen, auf denen sie die Daten „verstehen“. Das werden einerseits aus Schutzgründen (wer wird zugunsten des „Verständnisses“ der Firewall auf Ende-zu-Ende-Verschlüsselung verzichten wollen und so zentrale Angriffspunkte auf Inhaltsdaten schaffen?), andererseits aus Leistungsgründen (die Interpretation jeder Ebene kostet Rechenleistung und selbst bei vorhandener Rechenleistung Verzögerungszeit) nur die ganz unteren Kommunikationsebenen sein, geschweige denn Ebenen der Anwendungssoftware. Firewalls sind aus Firmen- bzw. Behördensicht deutlich leichter administrierbar als Arbeitsplatzrechner – es gibt deutlich weniger und sie können einer zentralen Administration unterliegen. Möchte eine Firma bzw. Behörde ihren MitarbeiterInnen eine Nutzung öffentlicher Netze erlauben, so sind Firewalls weitgehend wirkungslos, da auf unteren Kommunikationsebenen nahezu alles durchgelassen werden muß, da qualifizierte Entscheidungen hier unmöglich sind. Sollen qualifizierte Entscheidungen gefällt werden, so muß dies im wesentlichen auf den Arbeitsplatzrechnern der Mitarbeiter geschehen. Sind diese Arbeitsplatzrechner nicht mit einem sicheren Betriebssystem und komfortablen Tools zur Rechteverwaltung ausgestattet und die Mitarbeiter nicht für Sicherheitsbelange sensibilisiert, sind Firewalls eine teure, aber weitgehend wirkungslose Ersatzhandlung. 5-26 Mehrseitig sicherer Web-Zugriff Als Schutzziele können die in §5.1.2 genannten übernommen werden, indem Nachrichteninhalte übermittelte Web-Inhalte bedeuten. Als Schutzmechanismen bieten sich an: Lösungen zu Werteaustausch und Zahlungssysteme Schutzmechanismen für Vertraulichkeit c1 Verwendung eines oder mehrerer Konzelationssysteme zwischen Browser und Web-Servern: Ende-zu-Ende-Verschlüsselung, vgl. §5.2.1.2. Eine Beispielimplementierung auf Grundlage des Internet-Standards Secure Socket Layer (SSL), aber mit starker (d.h. nicht durch US-Exportrestriktionen auf 40 Bit Schlüssellänge beschränkter) Verschlüsselung mittels einer außerhalb Nordamerikas entwickelten SSL-Bibliothek (SSLeay) ist in [FeMa_98, FeMa1_98] beschrieben. c2 Verfahren innerhalb des Kommunikationsnetzes zum Schutz der Verkehrs- und Interessensdaten. Hier ist gegenüber §5.3 bis §5.6.1 eine erhebliche Anpassung nötig: Einerseits ist Web-Zugriff eine Realzeitanwendung – wie die Interpretation von WWW als World Wide Wait unterstreicht, so daß Konzepte, die für e-mail gut passen, nicht einfach übernommen werden können. Andererseits kann, da in vielen Bereichen bereits im Teilnehmerbereich ein shared medium vorliegt, nicht so einfach mit dummy traffic gearbeitet werden, wie dies in §5.5 am Beispiel Telefon-MIXe für das ISDN beschrieben wurde. Adaptiert man das Konzept Unbeobachtbarkeit angrenzender Leitungen und Stationen sowie digitale Signalregenerierung aus §5.4.4, so kommt man für den anonymen Web-Zugriff auf die Lösung Crowds [ReRu_98, ReRu_99]. Adaptiert man das Konzept MIXe aus §5.4.6, so kommt man auf die Lösung Onion Routing [GoRS_99] oder Web-MIXe [FeMa_98, FeMa1_98]. Adaptiert man das Konzept Pseudonyme aus §6.1 und schreibt ein nettes Tool für das Management der eigenen Identitäten (sprich Pseudonyme) im Web, dann erhält man die Lösung Lucent Personalized Web Assistant (LPWA) [GGKM_99]. Möchte man das anonyme Anbieten von Information im WWW unterstützen, dann kommt man vielleicht auf die Lösung Janus [RiDe_99]. c3 Momentan für Web-Zugriff noch nicht wichtig. Deshalb wurden bisher keine speziellen Verfahren entwickelt oder gar implementiert. 6-1 Electronic Banking – Komfortversion a) Dies ist für den Kunden zwar ultrabequem, solange er seiner Bank bedingungslos vertraut – denn es gibt bei Streitfällen keine als Beweismittel geeigneten Dokumente. Umgekehrt muß auch die Bank dem Kunden bedingungslos vertrauen – oder darauf, daß sie vor Gericht stets Recht bekommt. b) Leider nein; bei den heutigen Electronic Banking Systemen erhält die Bank (genauer: ihre Geräte) vom Kunden nichts (genauer: keine digitalen Nachrichten), was sie nicht auch selbst bilden könnte. c) Es ändert sich nicht, denn auch hier kann die Bank – sofern sie sich eine Kopie der Schlüssel hat machen lassen – alle Nachrichten selbst bilden, die sie von Kunden erhalten kann. Dies ist bei symmetrischen Authentikationssystemen prinzipiell so, wie in §3.1 erläutert wurde. Bei Schutzmechanismen für Integrität i1 Verwendung eines oder mehrerer Authentikationssysteme. Eine Beispielimplementierung auf Grundlage von SSL ist in [FeMa_98, FeMa1_98] beschrieben. i2 Nachrichten werden vom Urheber digital signiert. Testschlüssel sind öffentlich bekannt. Empfänger prüft Signaturen, bevor er Nachrichten akzeptiert. Eine Beispielimplementierung auf Grundlage von SSL ist in [FeMa_98, FeMa1_98] beschrieben.
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184: 354 A. Pfitzmann: Datensicherheit u
Seite 231 und 232: A. Pfitzmann: Datensicherheit und K
Seite 233: 454 A. Pfitzmann: Datensicherheit u
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?