Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
94 Kapitel 4. Konzept für eine Zertifizierungsstelle (“plan”)<br />
daß ein Angreifer die Tastendrücke aufzeichnet, die bei der Eingabe der Passphrase für den Signierschlüssel<br />
passieren. Schafft er es dann noch, Zugriff auf den Schlüsseldatenträger zu bekommen,<br />
kann er den geheimen Signierschlüssel der CA kopieren <strong>und</strong> dann mißbräuchlich einsetzen.<br />
Eine Entwicklungsmöglichkeit oder Ausbaustufe der UNI-CA könnte daher darauf abzielen, diese<br />
Strahlung beim CA-Rechner stärker abzuschirmen <strong>und</strong> so mögliche TEMPEST-Angriffe zu<br />
erschweren. Dies könnte entweder durch einen dezidierten abgeschirmten Rechnerraum (Faradayscher<br />
Käfig; leitende, metalldurchwirkte Tapeten u.ä.) oder aber durch den Einsatz eines speziell<br />
gegen solche Strahlung abgeschirmten CA-Rechners geschehen. 35 Der Preis für einen PC in TEM-<br />
PEST-Ausführung liegt laut WOLFF [Wol98] bei r<strong>und</strong> 30 000 DM; ein dazu passender entsprechend<br />
abgeschirmter Drucker kostet zusätzlich noch einmal ca. 15 000 DM. LUCKHARDT [Luc96]<br />
schreibt, man müsse bei TEMPEST-Hardware etwa mit dem Vierfachen des Normalpreises rechnen.<br />
Nachteilig ist, daß der TEMPEST-Schutz völlig neu ausgemessen werden muß, wenn auch nur ein<br />
<strong>Teil</strong> (z.B. eine Controller-Karte) am Gesamtsystem ausgetauscht wird. Ein weiteres Problem bei<br />
TEMPEST-Rechnern ist der hohe zeitliche Aufwand bei der Herstellung <strong>und</strong> die geringe Nachfrage,<br />
die zusammen dazu führen, daß TEMPEST-Geräte der schnellebigen Informationstechnik<br />
meist um etwa drei Jahre hinterherhinken. Man kann also heutzutage einen TEMPEST-486er-PC<br />
oder gerade einmal einen Pentium-PC in TEMPEST-Ausführung bekommen, jedoch keinen Stateof-the-art-Rechner<br />
[Wol98].<br />
Eine andere Schutzvorkehrung gegen EMA kann im Einsatz eines „Störsenders“ bestehen, der in<br />
einem Umkreis um den Einsatzort (nahe am Zertifizierungsrechner) die EMA auf allen Frequenzen<br />
mit anderen Signalen dergestalt überlagert, daß ein Lauscher mit seinen Empfangsgeräten die<br />
für ihn interessanten Signale nicht mehr empfangen kann. Ein Beispiel für ein solches im Handel<br />
erhältliches Gerät ist das Data Safety Device (siehe Anhang B.3).<br />
4.20.4.2 Chipkarten<br />
Eine Erhöhung der Sicherheit ließe sich u.U. auch durch den Einsatz von Chipkarten erreichen,<br />
auf denen die geheimen CA-Schlüssel gespeichert werden können <strong>und</strong> die diese nie preisgeben.<br />
Dafür müssen diese Karten zusätzlich in der Lage sein, entsprechende Ver- oder Entschlüsselungs<strong>und</strong><br />
Signier-Operationen selbst <strong>und</strong> ausschließlich im Mikroprozessor der Chipkarte durchzuführen,<br />
ohne daß dabei die Zentraleinheit des Zertifizierungsrechners gebraucht wird. Derartige Krypto-<br />
Chipkarten werden durch das Signaturgesetz <strong>und</strong> dessen Umsetzung einen Nachfrage-Schub bekommen<br />
<strong>und</strong> dann hoffentlich durch die großen Stückzahlen auch erheblich preiswerter werden.<br />
Aber auch Chipkarten sind nicht 100prozentig sicher [AK96, Zie98], man sollte sich daher nicht<br />
der trügerischen Annahme hingeben, sobald (Krypto-)Chipkarten eingesetzt werden, wären keine<br />
Angriffe auf die CA oder ihre geheimen Schlüssel mehr möglich.<br />
35 Solche Rechner sind mittlerweile am freien Markt erhältlich, u.a. bei Siemens/Fürth (siehe Anhang B.3); allerdings<br />
wird die Käuferadresse an das B<strong>und</strong>esamt für Sicherheit in der Informationstechnik (BSI) übermittelt [Luc96]. Weitere<br />
Anbieter finden sich auf der TEMPEST-Web-Seite von JOEL MCNAMARA (siehe Anhang A.1)