Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
150<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
149<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
Wegen ihrer großen Bedeutung für das Verständnis möchte ich die gerade nebenbei e<strong>in</strong>geführten<br />
Begriffe etwas genauer erläutern. Die dabei verwendeten, hier teilweise noch <strong>und</strong>ef<strong>in</strong>ierten Sachverhalte<br />
werden bei der Anwendung der Begriffe jeweils konkretisiert.<br />
Unerwünschtes verh<strong>in</strong>dern<br />
Da Schutz vor e<strong>in</strong>em allmächtigen Angreifer, der alle Leitungen, alle Vermittlungszentralen, alle Teilnehmerstationen<br />
außer der des Angegriffenen <strong>und</strong> den Kommunikationspartner kontrolliert, durch<br />
Maßnahmen <strong>in</strong>nerhalb des Kommunikationsnetzes nicht möglich ist, s<strong>in</strong>d alle folgenden Maßnahmen<br />
nur Annäherungen an den perfekten Schutz der Teilnehmer vor jedem möglichen Angreifer. Die<br />
Annäherung wird im allgeme<strong>in</strong>en durch Angabe der Stärke e<strong>in</strong>es Angreifers <strong>in</strong> der Form e<strong>in</strong>es<br />
Angreifermodells bestimmt: wie weit verbreitet ist der Angreifer (wie viele <strong>und</strong> welche Leitungen<br />
<strong>und</strong>/oder Stationen kann er maximal beobachten <strong>und</strong>/oder gar aktiv verändernd kontrollieren) <strong>und</strong> mit<br />
wieviel Rechenkapazität ausgestattet ist er (vgl. §1.2.5 <strong>und</strong> §3)?<br />
(Um Mißverständnissen bei den folgenden Diskussionen der Stärke von Schutzmaßnahmen vorzubeugen<br />
sei hier e<strong>in</strong> für alle mal darauf h<strong>in</strong>gewiesen, daß das In-Betracht-Ziehen e<strong>in</strong>er Organisation<br />
oder Personengruppe als Angreifer ausschließlich der technisch-naturwissenschaftlichen Klärung der<br />
Stärke der Schutzmaßnahme dient <strong>und</strong> alle Organisationen lediglich als Rollenträger bezüglich des<br />
Kommunikationsnetzes betrachtet werden. Es wird im folgenden also lediglich diskutiert, ob e<strong>in</strong>e<br />
Organisation oder Personengruppe mit Erfolg angreifen könnte, nicht ob sie dies tat, tut oder tun<br />
wird!)<br />
Schutzmechanismen für Vertraulichkeit<br />
c1 Verwendung e<strong>in</strong>es oder mehrerer Konzelationssysteme zwischen Sender <strong>und</strong> Kommunikationspartner:<br />
Ende-zu-Ende-Verschlüsselung, vgl. §5.2.1.2.<br />
c2 Verfahren <strong>in</strong>nerhalb des Kommunikationsnetzes zum Schutz der Verkehrs- <strong>und</strong> Interessensdaten,<br />
§5.3 bis §5.6.1.<br />
c3 Verfahren <strong>in</strong>nerhalb des Kommunikationsnetzes zum Schutz des Mobilitätsverhaltens von<br />
Teilnehmer(statione)n, §5.7.<br />
Erwünschtes leisten<br />
E<strong>in</strong> Ereignis E (z.B. Senden e<strong>in</strong>er Nachricht, Abwickeln e<strong>in</strong>es Geschäftes) heißt unbeobachtbar<br />
bezüglich e<strong>in</strong>es Angreifers A, wenn die Wahrsche<strong>in</strong>lichkeit des Auftretens von E nach jeder für A<br />
möglichen Beobachtung B sowohl echt größer 0 als auch echt kle<strong>in</strong>er 1 ist. Dies kann natürlich nur<br />
für an E unbeteiligte Angreifer der Fall se<strong>in</strong> <strong>und</strong> lautet <strong>in</strong> der üblichen wahrsche<strong>in</strong>lichkeitstheoretischen<br />
Schreibweise: Für A gilt für alle B: 0 < W(E|B) < 1.<br />
Das Ereignis E heißt perfekt unbeobachtbar bezüglich e<strong>in</strong>es Angreifers A, wenn die Wahrsche<strong>in</strong>lichkeit<br />
des Auftretens von E vor <strong>und</strong> nach jeder für A möglichen Beobachtung B gleich ist, d.h. für<br />
A gilt für alle B: W(E) = W(E|B). Dies bedeutet nach [Sha1_49], daß die Beobachtung A ke<strong>in</strong>erlei<br />
zusätzliche Information über E liefern kann.<br />
E<strong>in</strong>e Instanz (z.B. Person) heißt <strong>in</strong> e<strong>in</strong>er Rolle R anonym bezüglich e<strong>in</strong>es Ereignisses E (z.B. als<br />
Sender e<strong>in</strong>er Nachricht, Käufer <strong>in</strong> e<strong>in</strong>em Geschäft) <strong>und</strong> e<strong>in</strong>es Angreifers A, wenn für jede mit A nicht<br />
kooperierende Instanz die Wahrsche<strong>in</strong>lichkeit, daß sie bei E die Rolle R wahrnimmt, nach jeder für A<br />
möglichen Beobachtung sowohl echt größer 0 als auch echt kle<strong>in</strong>er 1 ist. Dies kann auch für an E<br />
beteiligte Angreifer (z.B. den Empfänger der Nachricht bzw. den Verkäufer) der Fall se<strong>in</strong>.<br />
E<strong>in</strong>e Instanz heißt <strong>in</strong> e<strong>in</strong>er Rolle R bezüglich e<strong>in</strong>es Ereignisses E <strong>und</strong> e<strong>in</strong>es Angreifers A perfekt<br />
anonym, wenn für jede mit A nicht kooperierende Instanz die Wahrsche<strong>in</strong>lichkeit, daß sie bei E die<br />
Rolle R wahrnimmt, vor <strong>und</strong> nach jeder für A möglichen Beobachtung gleich ist. Letzteres bedeutet<br />
nach [Sha1_49], daß die Beobachtung dem Angreifer ke<strong>in</strong>erlei zusätzliche Information darüber liefert,<br />
wer bei E die Rolle R wahrnimmt.<br />
Schutzmechanismen für Integrität<br />
i1 Verwendung e<strong>in</strong>es oder mehrerer Authentikationssysteme.<br />
i2 Nachrichten werden vom Urheber digital signiert. Testschlüssel s<strong>in</strong>d öffentlich bekannt.<br />
Empfänger prüft Signaturen, bevor er Nachrichten akzeptiert.<br />
Soll sichergestellt werden, daß Signaturen auch dann gültig bleiben, wenn der geheime<br />
Signierschlüssel des Teilnehmers bekannt wird (was dieser, um der Verb<strong>in</strong>dlichkeit se<strong>in</strong>er<br />
Signaturen zu entgehen, ggf. auch selbst herbeiführen könnte), sollten Signaturen von e<strong>in</strong>er<br />
oder mehreren zusätzlichen Instanzen (elektronische Notare) mit e<strong>in</strong>em Zeitstempel<br />
versehen <strong>und</strong> mit deren Signierschlüssel nochmals signiert, d.h. notariell beurk<strong>und</strong>et, werden.<br />
Dann kann man festlegen, daß durch das Bekanntwerden des geheimen Signierschlüssels<br />
e<strong>in</strong>es Teilnehmers die Gültigkeit se<strong>in</strong>er alten Signaturen unberührt bleibt <strong>und</strong> die<br />
elektronischen Notare lediglich zukünftig ke<strong>in</strong>e mit diesem Signierschlüssel geleisteten<br />
Signaturen mehr beurk<strong>und</strong>en.<br />
Was zu tun ist, wenn das zukünftige Brechen des bisher verwendeten Signatursystems<br />
absehbar wird, wird <strong>in</strong> Aufgabe 3-11 b) diskutiert.<br />
Unabhängig vom Schutz der Gültigkeit digitaler Signaturen s<strong>in</strong>d Zeitstempel natürlich auch<br />
geeignet nachzuweisen, daß e<strong>in</strong>e Nachricht spätestens zum Zeitpunkt des Zeitstempels<br />
gesendet wurde.<br />
i3 Das Kommunikationsnetz (<strong>und</strong> bei Kooperation auch der Kommunikationspartner) erteilt<br />
digital signierte Empfangsquittungen für zum Transport übergebene (erhaltene) Nachrichten.<br />
Ggf. müssen die signierten Empfangsquittungen Zeitstempel enthalten, damit Zeitpunkte<br />
nachgewiesen werden können.<br />
i4 Mittels e<strong>in</strong>es digitalen Zahlungssystems (§6) werden Entgelte während der Diensterbr<strong>in</strong>gung<br />
bezahlt.<br />
Schutzmechanismen für Verfügbarkeit<br />
a1 Diversitäre Netze, d.h. unterschiedliche Übertragungs- <strong>und</strong> Vermittlungssysteme; faire<br />
Aufteilung von Betriebsmitteln.<br />
Zwei Ereignisse E <strong>und</strong> F heißen bezüglich e<strong>in</strong>es Merkmals M (z.B. zwei Nachrichten bezüglich<br />
ihres Senders oder bezüglich der Transaktion, zu der sie gehören) <strong>und</strong> bezüglich e<strong>in</strong>es Angreifers A<br />
unverkettbar, wenn die Wahrsche<strong>in</strong>lichkeit, daß sie <strong>in</strong> M übere<strong>in</strong>stimmen, nach jeder für A<br />
möglichen Beobachtung sowohl echt größer 0 als auch echt kle<strong>in</strong>er 1 ist. Dies kann auch für an E<br />
beteiligte Angreifer der Fall se<strong>in</strong>.<br />
Zwei Ereignisse E <strong>und</strong> F heißen bezüglich e<strong>in</strong>es Merkmals M <strong>und</strong> bezüglich e<strong>in</strong>es Angreifers A<br />
perfekt unverkettbar, wenn die Wahrsche<strong>in</strong>lichkeit, daß sie <strong>in</strong> M übere<strong>in</strong>stimmen, vor <strong>und</strong> nach jeder<br />
für A möglichen Beobachtung gleich ist. Letzteres bedeutet nach [Sha1_49], daß die Beobachtung<br />
dem Angreifer ke<strong>in</strong>erlei zusätzliche Information darüber liefert, ob diese Ereignisse <strong>in</strong> M übere<strong>in</strong>stimmen.<br />
Das Ziel der zur Verh<strong>in</strong>derung von Unerwünschtem zu entwickelnden Verfahren ist es, e<strong>in</strong>em<br />
Angreifer das Erfassen sensitiver Daten unmöglich zu machen: Die Kommunikation sollte gegenüber<br />
Unbeteiligten weitgehend unbeobachtbar <strong>und</strong> gegenüber Beteiligten (z.B. Kommunikationspartnern)<br />
üblicherweise anonym erfolgen. Damit sich nicht doch nach <strong>und</strong> nach unspezifiziertes Wissen über<br />
Personen ansammeln kann, sollten e<strong>in</strong>zelne Verkehrsereignisse auch durch Beteiligte üblicherweise<br />
unverkettbar se<strong>in</strong>.<br />
Sofern durch die Verfahren zur Verh<strong>in</strong>derung von Unerwünschtem das Leisten des Erwünschten<br />
(vgl. §5.1.1) erschwert wird, ist zu zeigen, wie auch dies weiterh<strong>in</strong> gewährleistet werden kann.