Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
6.2. VERFAHREN ZUR ABSICHERUNG VON KOMMUNIKATIONSBEZIEHUNGEN<br />
Es ist möglich, Nachrichten abzufangen und manipulierte Nachrichten an Stelle der Ursprungsnachrichten<br />
weiterzuleiten (Man <strong>in</strong> the middle Angriff). Darum werden für die Authentisierung andere<br />
asymmetrische Verfahren wie Verschlüsselung mit öffentlichen Schlüsseln oder digitale Signierung<br />
angewendet.<br />
Verschlüsselung mit öffentlichen Schlüsseln<br />
Im Gegensatz zum Diffie Hellman Verfahren wird bei der Verschlüsselung mit öffentlichen Schlüsseln<br />
das Schlüsselmaterial nicht mit öffentlichen, sondern mit geheimen Nachrichten übertragen. Die<br />
Kommunikationspartner besitzen jeweils zwei Schlüssel, e<strong>in</strong>en öffentlichen und e<strong>in</strong>en privaten. Der<br />
öffentliche Schlüssel dient zur Verschlüsselung und ist öffentlich bekannt. Der private Schlüssel ist<br />
geheim und dient zur Entschlüsselung von Nachrichten, die mit dem öffentlichen Schlüssel verschlüsselt<br />
wurden. Bei der Schlüsselübertragung wird mit dem vorher ausgetauschten öffentlichen Schlüssel<br />
das Schlüsselmaterial für die Übertragung verschlüsselt und zum jeweiligen Kommunikationspartner<br />
übertragen. Nur der Inhaber des zum jeweiligen öffentlichen Schlüssel dazugehörigen privaten<br />
Schlüssel kann die gesendeten Nachrichten entschlüsseln und darauf reagieren. Damit ist es möglich,<br />
geheimes Schlüsselmaterial zu übertragen. Die Authentisierung durch öffentliche Schlüssel erfordert<br />
jedoch weitere zusätzliche Verfahren, da die Zusammengehörigkeit von e<strong>in</strong>em öffentlichen Schlüssel<br />
zu e<strong>in</strong>em Kommunikationspartner nicht unmittelbar feststellbar ist. Es ist möglich, daß Dritte ihren<br />
öffentlichen Schlüssel unter Vorgabe e<strong>in</strong>er falschen Identität <strong>in</strong> Umlauf br<strong>in</strong>gen und somit e<strong>in</strong>e sche<strong>in</strong>bare<br />
Kommunikation mit dem erwünschten Kommunikationspartner vortäuschen.<br />
Zertifikate<br />
Um sicherzustellen, daß die Kommunnikationsbeziehung auch mit dem erwünschten Kommunikationspartner<br />
stattf<strong>in</strong>det, bedarf es zusätzlicher Instanzen, die die Zusammengehörigkeit von öffentlichem<br />
Schlüssel zu e<strong>in</strong>em Kommunikationspartner beglaubigen. Diese Instanzen s<strong>in</strong>d Zertifizierungsstellen<br />
<strong>in</strong> Zertifizierungs<strong>in</strong>frastrukturen, die nach den Richtl<strong>in</strong>ien ihrer Policy [DFN-PCA, 1999] arbeiten<br />
und Zertifikate ausstellen. Zertifikate beglaubigen die Zusammengehörigkeit e<strong>in</strong>es öffentlichen<br />
Schlüssels zu e<strong>in</strong>er Identität. Identitäten können Personen, Prozesse oder Rechner se<strong>in</strong>. Technisch betrachtet<br />
ist e<strong>in</strong> Zertifikat e<strong>in</strong>e digitale Signatur über Identitäts<strong>in</strong>formationen mit dem privaten Schlüssel<br />
der Zertifizierungsstelle. Dadurch kann zwar zweifelsfrei nachgewiesen werden, welche Zertifizierungsstelle<br />
das Zertifikat ausgestellt hat, jedoch ist nicht ersichtlich, unter welchen Regeln die<br />
Beglaubigung erfolgte. Das ist vor allem bei unbekannten Zertifikaten problematisch. Die Prüfung<br />
des Zertifikates kann durch das Herunterladen des Zertifikates von der Zertifizierungsstelle oder e<strong>in</strong>em<br />
Verzeichnisdienst erfolgen. Der Echtheitsnachweis muß nicht während der Kommunikationsbeziehung<br />
stattf<strong>in</strong>den. Weitere Informationen über Zertifizierungs<strong>in</strong>frastrukturen und Zertifikate f<strong>in</strong>det<br />
man im PKI-Beitrag <strong>in</strong> diesem Band (Kapitel 10).<br />
6.2.2 Prüfsummen – Integrität<br />
In den voherigen Abschnitten wurde dargestellt, mit welchen Verfahren Vertraulichkeit und Authentizität<br />
hergestellt werden kann. Die Eigenschaft der Daten<strong>in</strong>tegrität bezeichnet die Fähigkeit zu erkennen,<br />
ob die Daten während der Übertragung verändert wurden. Dafür werden kryptographische<br />
Prüfsummenverfahren verwendet. Beispiele für kryptographische Prüfsummenverfahren s<strong>in</strong>d MD5<br />
SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong> 91