Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
152<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
151<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
Wird e<strong>in</strong> gleichmäßiger, mit e<strong>in</strong>er sicheren Stromchiffre verschlüsselter Zeichenstrom übertragen,<br />
erhält e<strong>in</strong> Angreifer durch Abhören der Übertragungsstrecken, d.h. von Leitungen (Glasfasern, Koaxialkabel,<br />
Kupferdoppeladern), Richtfunk- oder Satellitenstrecken ke<strong>in</strong>e Information mehr. Ob <strong>und</strong><br />
ggf. welche Nachrichten übertragen werden, ist für ihn perfekt unbeobachtbar (vgl. §5.1.2).<br />
Von den drei Def<strong>in</strong>itionen der Unbeobachtbarkeit, Anonymität <strong>und</strong> Unverkettbarkeit ist die<br />
Unverkettbarkeit die allgeme<strong>in</strong>ste (<strong>und</strong> damit tiefliegendste):<br />
Unbeobachtbarkeit von Ereignissen kann als Unverkettbarkeit von Beobachtungen <strong>und</strong> sich<br />
dah<strong>in</strong>ter verbergenden Ereignissen aufgefaßt werden.<br />
Anonymität kann als Unverkettbarkeit zwischen Instanzen <strong>und</strong> Ereignissen aufgefaßt werden.<br />
Die Nachteile von Verb<strong>in</strong>dungs-Verschlüsselung s<strong>in</strong>d:<br />
– In den Vermittlungszentralen liegen alle Daten unverschlüsselt vor. Von den möglichen<br />
Angreifern werden also nur diejenigen abgewehrt, die Übertragungsstrecken abhören.<br />
– In der <strong>in</strong> Bild 5-2 gezeigten Endsituation der geplanten Entwicklung der Kommunikationsnetze<br />
werden auf der den Netzabschluß des Teilnehmers mit der Vermittlungszentrale verb<strong>in</strong>denden<br />
Leitung, e<strong>in</strong>er Glasfaser, m<strong>in</strong>destens 560 Mbit/s übertragen. Dies ist eher oberhalb dessen,<br />
was heute mit Kryptogeräten, die auf e<strong>in</strong>em für halbwegs sicher gehaltenen kryptographischen<br />
System beruhen <strong>und</strong> halbwegs preiswert s<strong>in</strong>d, verschlüsselt werden kann, vgl. §3. Es wäre<br />
zum<strong>in</strong>dest von Vorteil, wenn man Fernsehen, <strong>in</strong>sbesondere hochauflösendes Fernsehen (High<br />
Def<strong>in</strong>ition TV, HDTV), als breitbandigen Dienst, bei dem es nicht um den Schutz von Inhalts-,<br />
sondern von Interessensdaten geht, nicht verschlüsseln müßte. Wieviel hierdurch<br />
e<strong>in</strong>gespart werden kann, verdeutlichen die folgenden Zahlen: für Fernsehen heutiger Qualität<br />
(PAL) werden ohne bzw. mit Red<strong>und</strong>anzreduktion etwa 140 Mbit/s bzw. 34 Mbit/s benötigt,<br />
für hochauflösendes Fernsehen etwa viermal soviel.<br />
Die Vertrauenswürdigkeit der Unverkettbarkeit, Unbeobachtbarkeit bzw. Anonymität<br />
wird dadurch bestimmt, e<strong>in</strong> wie starker Angreifer den vorherigen Def<strong>in</strong>itionen unterlegt wird.<br />
Unbeobachtbarkeit <strong>und</strong> Anonymität kann man zusätzlich noch dadurch parametrisieren, daß man<br />
sie nur <strong>in</strong>nerhalb gewisser Klassen von Ereignissen (z.B. Nachrichtentypen) bzw. Instanzen (z.B.<br />
denen e<strong>in</strong>es bestimmten Teilnetzes e<strong>in</strong>es größeren Kommunikationsnetzes, vgl. §5.5) verlangt. In den<br />
obigen Def<strong>in</strong>itionen wurden ke<strong>in</strong>erlei Klassen def<strong>in</strong>iert, sie def<strong>in</strong>ieren daher den maximal erreichbaren<br />
Grad an Unbeobachtbarkeit bzw. Anonymität. Mit e<strong>in</strong>er Klassene<strong>in</strong>teilung parametrisierte<br />
Def<strong>in</strong>itionen ergeben sich kanonischerweise. Als Beispiel wird die für unbeobachtbar angegeben:<br />
E<strong>in</strong> Ereignis E heißt unbeobachtbar (bzw. perfekt unbeobachtbar) bezüglich e<strong>in</strong>es Angreifers<br />
A <strong>und</strong> e<strong>in</strong>er gegebenen Klassene<strong>in</strong>teilung von Ereignissen, wenn die bed<strong>in</strong>gte Wahrsche<strong>in</strong>lichkeit des<br />
Auftretens von E, gegeben daß e<strong>in</strong> Ereignis se<strong>in</strong>er Klasse auftritt, nach jeder für A möglichen<br />
Beobachtung B sowohl echt größer 0 als auch echt kle<strong>in</strong>er 1 (bzw. vor <strong>und</strong> nach den Beobachtungen<br />
gleich) ist.<br />
Beides kann natürlich nur für an E unbeteiligte Angreifer der Fall se<strong>in</strong>. Es ist sowohl im Falle der<br />
Unbeobachtbarkeit als auch im Falle der perfekten Unbeobachtbarkeit möglich, daß sich für den Angreifer<br />
durch die Beobachtung die Wahrsche<strong>in</strong>lichkeiten des Auftretens von Ereignissen aus bestimmten<br />
Klassen ändern. Der Angreifer gew<strong>in</strong>nt also möglicherweise Information über diese Klassen, im<br />
zweiten Fall aber nicht über e<strong>in</strong>zelne Ereignisse <strong>in</strong>nerhalb e<strong>in</strong>zelner Klassen.<br />
Verb<strong>in</strong>dungs-Verschlüsselung<br />
Radio<br />
Fernseher<br />
Glasfaser<br />
Netzabschluß<br />
5.2 E<strong>in</strong>satz <strong>und</strong> Grenzen von Verschlüsselung <strong>in</strong><br />
Kommunikationsnetzen<br />
Bildtelefon<br />
5.2.1 E<strong>in</strong>satz von Verschlüsselung <strong>in</strong> Kommunikationsnetzen<br />
Vermittlungszentrale<br />
• Post, Geheimdienste<br />
• Hersteller<br />
(Trojanisches Pferd)<br />
• Beschäftigte<br />
Abhörer<br />
Telefon<br />
Bildschirmtext<br />
Für den E<strong>in</strong>satz e<strong>in</strong>es kryptographischen Systems zum Schutz der Kommunikation (vor allem zum<br />
Zweck der Konzelation, aber auch zum Zweck der Integrität oder Authentifikation) hat man zwei<br />
Strategien zur Auswahl, die leider beide Nachteile haben: Verb<strong>in</strong>dungs-Verschlüsselung <strong>und</strong> Endezu-Ende-Verschlüsselung.<br />
mögliche<br />
„Große Brüder“<br />
5.2.1.1 Verb<strong>in</strong>dungs-Verschlüsselung<br />
Bild 5-2: Verb<strong>in</strong>dungs-Verschlüsselung zwischen Netzabschluß <strong>und</strong> Vermittlungszentrale<br />
In jedem Fall benötigen benachbarte Netzknoten jeweils zue<strong>in</strong>ander passende <strong>und</strong> leistungsfähige,<br />
also direkt <strong>in</strong> Hardware implementierte kryptographische Systeme, zweckmäßigerweise jeweils<br />
selbstsynchronisierende Stromchiffren. Da die Nachbarschaft von Netzknoten vergleichsweise<br />
statisch ist, können Schlüssel e<strong>in</strong>er Verb<strong>in</strong>dung zugeordnet werden, so daß e<strong>in</strong> symmetrisches<br />
kryptographisches System den Anforderungen vollauf genügt.<br />
5.2.1.2 Ende-zu-Ende-Verschlüsselung<br />
Die zweite Strategie ist, die Daten zwischen Teilnehmerstationen verschlüsselt zu übertragen (Endezu-Ende-Verschlüsselung,<br />
end-to-end encryption) [Bara_64, Denn_82, VoKe_83, DaPr_89],<br />
Die erste Strategie besteht dar<strong>in</strong>, alle Daten jeweils zwischen benachbarten Netzknoten, d.h. Teilnehmerstationen<br />
<strong>und</strong> Vermittlungszentralen, zu verschlüsseln (Verb<strong>in</strong>dungs-Verschlüsselung, l<strong>in</strong>kby-l<strong>in</strong>k<br />
encryption) [Bara_64, Denn_82, VoKe_83, DaPr_89].<br />
Es sollte e<strong>in</strong> gleichmäßiger Zeichenstrom übertragen werden, damit e<strong>in</strong> Abhörer nicht beobachten<br />
kann, wann ke<strong>in</strong>e Nachrichten übertragen werden. E<strong>in</strong> gleichmäßiger Zeichenstrom ist bei allen<br />
Übertragungsstrecken, die den verb<strong>und</strong>enen Netzknoten statisch zugeordnet s<strong>in</strong>d, z.B. Punkt-zu-<br />
Punkt-Leitungen <strong>und</strong> Richtfunkstrecken, ohne Mehraufwand möglich.<br />
Aus den <strong>in</strong> §3 dargelegten Gründen, sollte <strong>und</strong> kann e<strong>in</strong>e sichere Stromchiffre verwendet werden:<br />
Würde e<strong>in</strong>e Blockchiffre verwendet, so könnte, solange der Schlüssel nicht gewechselt würde, der<br />
Abhörer zum<strong>in</strong>dest manchmal beobachten, daß sich gewisse Nachrichten(fragmente) wiederholen.<br />
Der Abhörer könnte also manche Nachrichten verketten (vgl. §5.1.2).