Fakultät Informatik Institut Systemarchitektur Professur ...€¦ · niedergelassene Unternehmen – Anwendbar für außereuropäische Unternehmen, die auf dem europäischen Markt

7. Datensicherheit

Fakultät Informatik Institut Systemarchitektur Professur Datenschutz und Datensicherheit

Dr.-Ing. Elke [email protected]

WS 2019/2020

7 Datensicherheit – Problemstellung

Zunehmende Bedeutung von IT-Systemen• „Informationsgesellschaft“; breiter Einsatz von IT-

Systemen und Anwendungen in verschiedensten Bereichen E-Mail, WWW, Chat, VoIP, Cloud Computing, „Industrie 4.0“, „Internet of Things“, …

• … auch in „kritischen Infrastrukturen“ „… Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

Sektoren: Energie, Transport und Verkehr, Gesundheit u.a.

Mit zunehmendem Einsatz von IT-Systemen steigt auch die Abhängigkeit von diesen Systemen sich dabei ergebende Probleme müssen verstanden werden.

Datenschutz, DatensicherheitInformatik I (für Verkehrsingenieure) WS 2019/2020 2

7 Datensicherheit – Begriffe

Datenschutz• alle Vorkehrungen zur Verhinderung unerwünschter

(Folgen der) Datenverarbeitung für die Betroffenen• Persönlichkeitsrecht

• Datenschutz umfasst rechtliche und technische Aspekte• „Technisch-organisatorischer Datenschutz“: technische

und organisatorische Ziele und Maßnahmen, die zur Durchsetzung der juristischen Ziele notwendig sind

Datenschutz = Schutz der Privatsphäre, „Schutz vor Daten“

Informatik I (für Verkehrsingenieure) WS 2019/2020 3

7 Datensicherheit – Begriffe

Datensicherheit• Schutz von Daten allgemein• Sicherheit eines IT-Systems: Funktionalität und

Eigenschaften des Systems sollen trotz unerwünschter Ereignisse gewährleistet werden

• Relevante Aspekte bei der Betrachtung von Sicherheit:


Was soll geschützt werden? Definition von SchutzzielenWovor soll geschützt werden? Analyse von Bedrohungen,

Definition von Angreifermodellen

Wie soll geschützt werden? Auswahl von Schutzmechanismen

7 Datensicherheit – Datenschutz

Brauchen wir Datenschutz?

„Ich habe nichts zu verbergen.“

• Wirklich keine privaten Daten???• Missbrauch privater Daten• Beeinflussung des Verhaltens

Volkzählungsurteil 1983: • Gefährdung des Rechts auf freie Entfaltung und Handlungsfreiheit• Begründung: Wer nicht weiß, wer wann wo welche Daten über ihn

speichert, verknüpft und auswertet, muss damit rechnen, dass abweichendes Verhalten protokolliert und gespeichert wird.

Recht auf informationelle Selbstbestimmung:Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.



Rechtliche Regelungen • Europäische Datenschutzgrundverordnung (DSGVO) gültig seit

25.05.2018– Verarbeitung personenbezogener Daten durch in der EU

niedergelassene Unternehmen– Anwendbar für außereuropäische Unternehmen, die auf dem

europäischen Markt tätig sind (Personen in der EU Waren oder Dienstleistungen anbieten oder das Verhalten von Personen in der EU beobachten)

• Deutschland: neues Bundesdatenschutzgesetz (BDSG), ebenfalls gültig seit 25.05.2018

• Grundsätzliches Ziel: Gefährdung des Persönlichkeitsrechts von vornherein verhindern durch Regeln für die Verarbeitung personenbezogener Daten



Personenbezogene Daten• „… alle Informationen, die sich auf eine identifizierte oder

identifizierbare natürliche Person (… „betroffene Person“) beziehen.“ [Art. 4 Abs. 1 DSGVO]

• Identifizierbar: Person kann direkt oder indirekt identifiziert werden, insbesondere mittels Zuordnung – zu einer Kennung wie z.B. Namen, Kennnummer,

Standortdaten oder Online-Kennungen oder– zu einem oder mehreren besonderen Merkmalen, die

Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität einer natürlichen Person sind

• Besondere personenbezogene Daten (ethnische Herkunft, politische Meinung, Glaube, …, Gesundheitsdaten, genetische und biometrische Daten)



Die sieben Säulen des Datenschutzes


Rech

tmäß

igke

it

Zwec

kbin

dung

Tran

spar

enz

Korr

ektu

rrec

hte

Dat

ensi

cher

heit

Kont

rolle

San

ktio

nen

Recht auf informationelle Selbstbestimmung

Datenschutz


Rechtmäßigkeit• Generell gilt: Verbot mit Erlaubnisvorbehalt Verarbeitung ist grundsätzlich verboten und eine begründungsbedürftige Ausnahme

• Verarbeitung personenbezogener Daten muss „auf rechtmäßige Weise … erfolgen“ [Art. 5 Abs 1a DSGVO]

• Rechtmäßigkeit: [Art. 6 DSGVO] Einwilligung der betroffenen Person oder Rechtsgrundlage

• Anforderungen bzgl. der Einwilligung– Einwilligung muss freiwillig erfolgen– „unmissverständlich abgegebene Willensbekundung“– Betroffener muss informiert sein– Verantwortlicher muss Einwilligung nachweisen können– Widerrufbarkeit der Einwilligung



Zweckbindung• Erhebung personenbezogener Daten nur für festgelegte,

eindeutige und rechtmäßige Zwecke erlaubt• Information der Betroffenen über den Zweck bei

Einwilligung notwendig• Weiterverarbeitung nur möglich, wenn mit ursprünglichem

Erhebungszweck vereinbar

• Prinzip der Datenminimierung/DatensparsamkeitBegrenzung auf die für den jeweiligen Zweck notwendigen Daten

• Prinzip der Speicherbegrenzung



Transparenz• Grundsatz: Verarbeitung personenbezogener Daten muss

„in einer für die betroffene Person nachvollziehbaren Weise“ erfolgen [Art. 5 Abs 1a DSGVO]

• Informationspflicht: verantwortliche Stelle muss bei Erhebung der Daten aktiv werden

• Auskunftsanspruch: von Betroffenen geltend zu machen

• Informationen, die den Betroffenen zustehen (Auswahl)– Zweck der Verarbeitung, Absicht der Übermittlung nebst

Empfänger(-kategorien), Speicherdauer und –kriterien, Hinweis auf Rechte der Betroffenen, Kontaktdaten des Verantwortlichen und seines Datenschutzbeauftragten

• Ausnahmen bzgl. Informationspflicht und Auskunftsrecht (z.B. wenn Betroffener bereits über die Informationen verfügt)



Korrekturrechte• Grundsatz „Richtigkeit“• Berichtigung, falls die erhobenen Daten nicht korrekt sind• Löschen, z.B., falls Daten nicht mehr notwendig sind oder

Einwilligung widerrufen wurde• „Recht auf Vergessenwerden“• Einschränkung der Verarbeitung: Daten dürfen nur noch

gespeichert, aber nicht mehr verarbeitet werden

Kontrolle• Intern: betrieblicher Datenschutzbeauftragter• Extern: Aufsichtsbehörde

Sanktionen• Geldbußen/Freiheitsstrafen



Datenschutzfreundliche Verarbeitung • Datenschutz durch Technikgestaltung [Art. 25 Abs 1 DSGVO]

Verantwortlicher trifft bei Festlegung der Mittel für die Verarbeitung sowie bei der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen zur Durchsetzung der Datenschutzgrundsätze(„Privacy by design“)

• Datenschutzfreundliche Voreinstellungen [Art. 25 Abs 2 DSGVO]Voreinstellungen gewährleisten, dass nur für den jeweiligen Zweck erforderliche personenbezogene Daten verarbeitet werden(„Privacy by default“)



Risiken durch Informations- und Kommunikationstechnik• Aktionen in der „Online-Welt“ hinterlassen unbemerkt

Datenspuren• Ubiquituous Computing• Speicherung und Auswertung großer Datenmengen

unproblematisch• Kontrolle für den Nutzer schwierig

Bewusstsein für die Problematik Technische Lösungen notwendig

Beispiel: Anonymisierungstechniken zur Datenvermeidung


7 Datensicherheit – Schutzziele


Bedrohungen und korrespondierende Schutzziele

Bedrohungen:

1) Unbefugter Informationsgewinn

2) Unbefugte Modifikation der Information

3) Beeinträchtigung der Funktionalität

Schutzziele:

Vertraulichkeit

Integrität

Verfügbarkeit

1) nicht erkennbar, aber verhinderbar; nicht rückgängig zu machen2)+3) nicht verhinderbar, aber erkennbar; rückgängig zu machen

keine Klassifikation, aber pragmatisch sinnvollBeispiel: Programm unbefugt modifiziert

für berechtigte Nutzer

Bsp.: medizinisches Informationssystem

Rechnerhersteller erhält Krankengeschichten

unerkannt Dosierungsanweisungen ändern

erkennbar ausgefallen

7 Datensicherheit – Schutzziele

Schutzziele1. Vertraulichkeit (confidentiality):

Informationen dürfen nur Berechtigten bekannt werden.2. Integrität (integrity):

Informationen sind richtig, vollständig und aktuell oder aber dies ist erkennbar nicht der Fall.

3. Verfügbarkeit (availability):Informationen sind dort und dann zugängig, wo und wann sie von Berechtigten gebraucht werden.

subsumiert: Daten, Programme, Hardwarestrukturen es muss geklärt werden, wer in welcher Situation wozu berechtigt

ist kann sich nur auf das Innere eines Systems beziehen


7 Datensicherheit – Bedrohungen

Bedrohungen durch unerwünschte Ereignisse


Unbeabsichtigte Fehler und Ereignisse

• Nichtabsehbare Folgen von Handlungen und Ereignissen

• Ausfall oder Fehlverhalten technischer Mittel

• Fahrlässige Handlungen / Unterlassungen

Schutz gegen unbeabsichtigte Fehler und Ereignisse: Safety

Beabsichtigte Angriffe

• Vorsätzliche Handlungen / Unterlassungen

Schutz gegen beabsichtigte Angriffe: Security

Beabsichtigte Angriffe


Sicherheitsprobleme (Beispiele)• Vernetzung, Komplexität, Allgegenwärtigkeit

– Angriffsziele, Beherrschbarkeit, verfügbare Daten

• Verfügbarkeit von Angriffswerkzeugen und Angriffsmethoden– Angriffe auch ohne technisches Know-How möglich

• Fehlendes Sicherheitsbewusstsein und „digitale Sorglosigkeit“– Unzureichender Einsatz angemessener Sicherheitsmaßnahmen– Passwörter leicht zu ermitteln

• Hohe Anzahl (kritischer) Schwachstellen– Gefahr durch Details über Schwachstellen oder Exploits– Einsatz veralteter Software und ungepatchter Software



Beispiele für Angriffsmittel und –methoden• Ausnutzen von Schwachstellen in Software

– Existenz kritischer Schwachstellen bei komplexer Software– Gefährdung durch (noch) nicht öffentlich bekannte

Schwachstellen– Gefährdung auch für industrielle Steuerungsanlagen

• Malware („Schadsoftware“)– zunehmend auch für mobile Geräte– Ransomware: Malware, die den Zugriff auf Daten, Anwendungen

oder Geräte verhindert oder einschränkt und nur durch Zahlung eines Lösegeldes („ransom“) wieder freigibt



• Spam– Inhalt oft nicht nur unerwünschte Werbung, sondern auch

Nutzung für weitere Angriffe (z.B. Verbreitung von Malware)

• Drive-by-Exploits– automatisierte Ausnutzung von Sicherheitslücken durch den

Besuch einer präparierten Webseite (ohne weitere Nutzerinteraktionen)

• Botnetze– Verbund von Systemen, die von einer ferngesteuerten

Schadprogrammvariante (Bot) befallen sind– Angreifer gewinnen damit Zugriff auf große Ressourcen an

Rechnerkapazität und Bandbreite



• Denial of Service (DoS)– Stören der Verfügbarkeit von Systemen, Webseiten oder

Diensten durch eine Vielzahl von Anfragen oder Datenpaketen– Ausführung des Angriffs parallel mittels mehrerer Systeme:

verteilter DoS-Angriff (Distributed Denial of Service, DDoS)

• Social Engineering– Angriffe nicht-technischer Art („Trickbetrug“)– Nutzer werden z.B. zur Preisgabe von Daten oder zur Umgehung

von Schutzmaßnahmen verleitet (Beispiel: Phishing)– Statt breit gestreuter Phishing-Kampagnen zunehmend gezielte

Phishing-Angriffe (Spear-Phishing)

Hinweis: Aktuelle Informationen über Computerviren, Sicherheitslücken und Angriffe: Bürger CERT (http://www.buerger-cert.de/)(CERT: Computer Emergency Response Team)


7 Datensicherheit – IT-Sicherheitsmanagement


Relevanz von Datensicherheit• Wirtschaftliche Aspekte

– Wettbewerbsvorteil– Kosten und Folgekosten

durch Ausfall• Rechtliche Aspekte

– Haftungsfragen

Vielfältige Bedrohungen• Unbeabsichtige Fehler und

Ereignisse – Ausfälle, Fehlverhalten– Fahrlässigkeit

• Beabsichtigte Angriffe– Vorsätzliche Handlungen

Notwendigkeit eines (IT-)Sicherheitsmanagements• Gesamtheit aller Handlungen zur Erreichung von IT-Sicherheit • Beschränkung der Restrisiken auf ein tragbares Maß

(IT-Risikomanagement)


Risikobildungsmodell

• Risiko: nach Häufigkeit (Eintrittserwartung) und Auswirkung (Schadensmaß) bewertete Gefährdung eines Systems

• Betrachtet wird immer die negative, unerwünschte und ungeplante Abweichung von Systemzielen und deren Folgen


Risiken

Bedro-hungen

Schwach-stellen

Gefährdende EreignisseAusmaß

HäufigkeitGefahren Objekte

Schäden


Maßnahmen zur Risikobewältigung


Gesamtrisiko

vermeiden

• Gebäude• Zutrittskontrollen• Redundanzen• Personal• Gewaltentrennung• Sicherung der

Daten • Kryptographie

vermindern

• Krisenstäbe• Katastrophen-

pläne• Ausbildung• Training

überwälzen

• Versicherung

selbst tragen

• Restrisiko

post-loss (wirkungsbezogen) pre-loss (ursachenbezogen)


Grundsätzliches zur Sicherheit

Sicherheit um jeden Preis?Sicherheit• verursacht Kosten• reduziert eventuell die Systemleistung• kann Unbequemlichkeiten zur Folge haben

… nicht nur Einfluss auf Effizienz, sondern auch auf Akzeptanz der Schutzmechanismen durch die Nutzer

Grundsatz:Was ist nötig und nicht was ist möglich! Prinzip der Angemessenheit

ausgewogenes Verhältnis zwischen Sicherheitsanforderungen und Aufwand für Realisierung der Maßnahmen, Reduzierung der Risiken



Erreichbare Sicherheit • Keine 100%ige Sicherheit möglich

– Kein Schutz gegen alle möglichen Bedrohungen– Schutzmaßnahmen selbst können keine absolute Sicherheit

bieten

• Erreichtes Sicherheitsniveau ist nicht dauerhaft– Ausgewählte Schutzmaßnahmen „statisch“– Bisher nicht bekannte Sicherheitslücken bzw. Schwachstellen;

neue Angriffsmöglichkeiten



• Erreichtes Sicherheitsniveau bezieht sich auf genau abgegrenztes Szenario– Grundlage für Auswahl der Maßnahmen: gegenwärtige

Strukturen (Systeme, Netz, Geschäftsprozesse) und Annahmen über Einsatzumgebung

– Selbst geringe Änderungen an Geschäftsprozessen, IT, etc. können sich auf die Sicherheit auswirken

– Änderung externer Rahmenbedingungen wie vertragliche oder gesetzliche Vorgaben

• Sicherheit funktioniert nur in einem sensibilisierten Umfeld– Problembewusstsein und Problemwissen („Awareness“)

Sicherheit ist kein erreichbarer Zustand, sondern ein Prozess.



Problembewusstsein und Problemwissen („Awareness“) • Sensibilisierung

– sowohl auf Leitungsebene als auch bei Mitarbeitern erforderlich

• Schulung– Vermittlung des notwendigen Sicherheitswissens – jeder

Mitarbeiter muss die für seinen Arbeitsplatz wichtigen Sicherheitsziele und Sicherheitsmaßnahmen kennen

• Training– Verankerung der sicherheitskritischen Tätigkeiten, so dass sie im

Bedarfsfall routiniert und fehlerfrei ausgeführt werden können

• Awareness-Plan und Nachweise



Wichtige Schritte beim IT-Sicherheitsmanagement

• Anforderungsanalyse (Was ist zu schützen?)– Analyse des Systems – Analyse der Schutzziele und Wichtung der Schutzziele

• Risikoanalyse (Wovor ist zu schützen?)– Analyse der Bedrohungen und Schwachstellen– Bewertung vorhandener Maßnahmen– Bewertung der Risiken

• Auswahl passender Schutzmaßnahmen (Wie ist zu schützen?)– Wirksamkeit der Maßnahmen bewerten– Bewertung des Restrisikos

• Immer wieder Überprüfung der Sicherheit (Sicherheit ist kein Zustand, sondern ein Prozess …)


7 Datensicherheit – Kryptographie

Kryptographie• Verbreitet eingesetzter Schutzmechanismus • Verschiedene kryptographische Systeme zur Durchsetzung

verschiedener Schutzziele• Anwendungsbeispiele:



Kryptologie

Kryptographie Kryptoanalyse

Kryptographie (griech. „kryptos“+ „graphein“)Wissenschaft von den Methoden der Ver- undEntschlüsselung von Informationen.

Kryptoanalyse (griech. „kryptos“+ „analyein“)Wissenschaft vom Entschlüsseln von Nachrichten ohne Kenntnis dazu notwendiger geheimer Informationen.



Mit Kryptographie erreichbare Schutzziele

• VertraulichkeitInformationen werden nur Berechtigten bekannt.

• IntegritätInformationen können nicht unerkannt modifiziert werden.

• Zurechenbarkeit (spezielles Integritätsziel)Es kann gegenüber Dritten nachgewiesen werden, wer die Information erzeugt hat.


Erfolg von Angriffen soll verhindert werden.

Angriffe können nicht verhindert werden, aber sie sind erkennbar.

Anmerkung: Der Schutz der Verfügbarkeit erfordert andere Maßnahmen, z.B. Redundanz oder Kontrolle der Ressourcennutzung.


Historische Verfahren• Transpositionen

Verwürfeln der Klartextzeichen, Permutation der Stellen des Klartextes (Permutationschiffren)

Beispiel: Skytala (Matrixtransposition)


t r a n stranspositionschiffre

TPIHE

p o s i ti o n s ch i f f re x y z x

tpihe

rooix

asnfy

nisfz

stcrx

NISFZSTCRXROOIXASNFY


• MM-Substitutionen (monoalphabetisch, monographisch)

Beispiel: Cäsarchiffre

• PM-Substitutionen (polyalphabetisch, monographisch)Beispiel: Vigenère-Chiffre


Nachricht a b c d e f g … x y zSchlüsseltext D E F G H I J … A B C

b e i s p i e l E H L V S L H O



c = enc(ke , m) Hallo, ...Hallo, ...

m M

Vertrauensbereich des Senders (Alice)

Vertrauensbereich des Empfängers (Bob)

ke K

g9b02 ...

c C

kd K

m = dec(kd , c)enc dec

Unsicherer Kanal:

Angriffsbereich

m Nachricht (message)c Schlüsseltext (ciphertext) enc Verschlüsselung (encryption)dec Entschlüsselung (decryption)

k Schlüssel (key) ke … zur Verschlüsselung (encryption key)kd … zur Entschlüsselung (decryption key)K/M/C endliche Menge möglicher Schlüssel/

Nachrichten/Schlüsseltexte


Kerckhoffs-PrinzipDie Sicherheit eines Verfahrens darf nicht von der Geheimhaltung des Verfahrens abhängen, sondern nur von der Geheimhaltung des Schlüssels.

[Auguste Kerkhoffs: La Cryptographie militaire. Journal des Sciences Militaires, Januar 1883.]

• Keine „Security by Obscurity“• Annahme: Angreifer kennt das Verfahren und die öffentlichen

Parameter• Sicherheit des Verfahrens begrenzt durch

– Sicherheit der Schlüsselgenerierung und – Sicherheit des Schlüsselaustauschs



Kriterien für eine Einteilung• Zweck

– KonzelationssystemeSysteme zum Schutz der Vertraulichkeit der Daten

– AuthentikationssystemeSysteme zum Schutz der Integrität der Daten

- digitale Signatursysteme (spezielle Authentikationssysteme) Systeme zur Realisierung von Zurechenbarkeit von Daten

• Schlüsselverteilung– Symmetrische Verfahren

Sender und Empfänger arbeiten mit dem gleichen Schlüssel; ein Schlüssel pro Kommunikationsbeziehung

– Asymmetrische Verfahrenjeweils ein Schlüsselpaar pro Teilnehmer: öffentlicher und privater Schlüssel



Symmetrisches Konzelationssystem


geheimer Schlüssel

kA,B

Schlüsseltextc

c = enc(kA,B,m)

geheimer Schlüssel

kA,B

Schlüssel-generierung

kA,B := keygen(r)

Zufallszahl r

Angriffsbereich

Entschlüs-selung

dec

Verschlüs-selung

enc

Nachricht

mNachricht

m = dec(kA,B, c)

Alice Bob

Vertrauensbereich

Sicherer Kanal für Schlüsselaustausch

öffentlich bekannter Algorithmus

kA,B: geheimer Schlüssel von Alice (A) und Bob (B)



Alice Bob

Symmetrisches Konzelationssystem


SymmetrischesAuthentikationssystem


code(kA,B,m) =

MAC

Alice

Nachricht, MAC (message authenti-

cation code)m, MAC

MAC = code(kA,B ,m)

kA,B := keygen(r)

Angriffsbereich

MACtesten

MACberechnen

code

Bob

Zufallszahl r


geheimer Schlüssel

kA,B

geheimer Schlüssel

kA,B

Nachricht

m

?

Vertrauensbereich

Sicherer Kanal für Schlüsselaustausch

öffentlich bekannter Algorithmus

kA,B: geheimer Schlüssel von Alice (A) und Bob (B)


Asymmetrisches Konzelationssystem


Schlüsselttextc

c = enc(ke,B,m, r’)

(ke,B, kd,B) := keygen(r)

Angriffsbereich

Nachricht

m = dec(kd,B, c)

Nachr. m

Zufallsz. r’

öffentlicher Schlüssel

ke,B

privater Schlüssel

kd,B

Zufallszahl r

Entschlüs-selung

dec

Verschlüs-selung

enc


Alice Bob

Vertrauensbereich öffentlich bekannter Algorithmus

Zufallszahl r‘: probabilistische bzw.indeterministische Verschlüsselung

ke,B: öff Schlüssel von B (zur Verschl.) kd,B: privater Schlüssel von B (zur Entschl.)


Asymmetrisches Authentikations-system (Digitales Signatursystem)


test(kt,B ,m, s)

{true, false}

Nachricht, Signaturm, s

s = sign(ks,B,m)

(ks,B, kt,B) := keygen(r)

Angriffsbereich

Signierensign

Testen test

Zufallszahl r


öffentlicher Schlüssel

kt,B

privater Schlüssel

ks,B

Nachr. m

Alice Bob

Vertrauensbereich öffentlich bekannter Algorithmus

ks,B: privater Signaturschlüssel von Bkt,B: öffentlicher Testschlüssel von B



SymmetrischeAuthentikationssysteme(MAC)

Asymmetrische Authentikationssysteme(Digitale Signatursysteme)

Schlüssel

Geheimer Schlüssel, einem Paar von Kommunikationspartner zugeordnet

Schlüsselpaar: privaterSignaturschlüssel undöffentlicher Testschlüssel

Prüfung

MAC für empfangene Daten berechnen und mit empfangenem MAC vergleichen

Testalgorithmus erforderlich

Schutzziele IntegritätIntegrität

Zurechenbarkeit


Anforderungen an die Schlüssel beim Signatursystem• Direkter Schlüsselaustausch nicht ausreichend für

Zurechenbarkeit

• Notwendig für Zurechenbarkeit: Bestätigung der Zuordnung des öffentlichen Testschlüssels zum jeweiligen Teilnehmer mittels Schlüsselzertifikat, ausgestellt von Zertifizierungsinstanz (certification authority CA)

• Verbreitetes Format für Schlüsselzertifikat: X.509– Erstmals 1988 veröffentlicht, aktuell in Version 3 (X.509v3)– Standard der ITU-T für Public-Key Infrastructure:

http://www.itu.int/rec/T-REC-X.509– RFC 5280– Sperrlisten für Zertifikate



• Aufbau eines X.509-Zertifikats [RFC 5280]


• TBSCertificate– Version– Seriennummer– Signaturalgorithmus– Aussteller Name– Gültigkeit– Inhaber Name– Inhaber Public Key Info– Aussteller ID– Inhaber ID– Erweiterungen

• Signaturalgorithmus• Signatur

Nur für v2 und v3

Nur für v3, Beispiel: Key Identifier von CA

ID und (optional) Parameter des Signaturalgorithmus, der von CA für Signatur des TBSCertificats benutzt wird

Public Key und Algorithmus, für den er benutzt wird (ID und (optional) Parameter)

Für TBSCertificate


Notwendige Rahmenbedingungen• Rechtliche Regelungen für Anerkennung digitaler Signaturen• EU-Verordnung 910/2014 eIDAS (electronic IDentification,

Authentication and trust Services), hebt vorherige Signaturrichtlinie 1999/93/EG auf

• Deutschland: • Vertrauensdienstegesetz (VDG)• Ergänzende Regelungen: Vertrauensdiensteverordnung• Gültig seit 29.07.2017, löste Signaturgesetz und

Signaturverordnung ab• Qualifizierte elektronische Signatur (für natürlich

Personen) und qualifiziertes elektronisches Siegel (für juristische Personen)



Anmerkungen zum Schlüsselaustausch• Wem werden Schlüssel zugeordnet?

– einzelnen Teilnehmern asymmetrische Systeme– Paarbeziehungen symmetrische Systeme– Gruppen ---

• Wie viele Schlüssel werden benötigt?n Teilnehmerasymmetrische Systeme je System n Schlüsselpaaresymmetrische Systeme n(n-1)/2

• Wann Schlüssel generieren und austauschen?

• Sicherheit der Schlüsselgenerierung und des Schlüsselaustausch begrenzt die mit dem Kryptosystem erreichbare Sicherheit mehrere Ur-Schlüsselaustausche durchführen Schlüsselgenerierung abhängig von Zufallszahl (XOR verschiedener

Zufallszahlen: Ergebnis zufällig und geheim, falls eine Zufallszahl zufälligund geheim)



Was kann mit Kryptographie erreicht werden?• Konzelationssysteme: Vertraulichkeit

– Verschlüsselung der Klartexte mit einem geheimen (symmetrisches System) oder öffentlichen (asymm. System) Schlüssel, d.h. Transformation der Klartexte in zufällig aussehenden Schlüsseltext

– Angreifer darf nichts über Klartext (oder Schlüssel) herausfinden

Verlust der Vertraulichkeit wird verhindert

• Authentikationssysteme: Integrität / Zurechenbarkeit– Berechnung eines „Tags“ (MAC oder digitale Signatur) in

Abhängigkeit von des Daten und dem geheimen (symm. System) oder privaten (asymm. System) Schlüssel

– Angreifer darf nicht in der Lage sein, ein gültiges Tag für modifizierte oder selbst erzeugte Daten zu berechnen

Erkennbarkeit von Modifikationen wird gewährleistetInformatik I (für Verkehrsingenieure) WS 2019/2020 48



Symmetrische Systeme

Sicherer Kanal für Schlüsselaustausch notwendig

Performance symmetrischer Systeme sehr gut

Hybride Systems: Kombination asymmetrischer Systeme (Schlüsselaustausch) und symmetrischer Systeme ( bessere Performance)Beispiel: Transport Layer Security (TLS)

Asymmetrische Systeme

Kein sicherer Kanal notwendig („nur“ Zuordnung öffentlicher Schlüssel)

Langsamer aufgrund komplexerer Operationen



Hybrides Konzelationssystem

privater Schlüsselkennt Bobs öffentlichen Schlüssel

generiert geheimen Schlüssel (session key)

Alice Bob

Schlüsselpaar für asymmetrische Verschlüsselung

öff. Schlüssel

verschlüsselt geheimen Schlüssel mit öff. Schlüssel

verschlüsselt Daten mit geheimem Schlüssel

B

A,B

B

B

B

A,B

A,BA,BB

entschlüsselt geheimen Schlüssel mit privatem Schlüssel


Klassifizierung von Kryptosystemen nach ihrer Sicherheit• informationstheoretisch sicher

Auch einem unbeschränkten Angreifer gelingt es nicht, das System zu brechen. („unconditional security“, „perfect secrecy“)

• beste erreichbare Sicherheit

• Verschiedene Begriffe zur Bewertung der Sicherheit der übrigen Systeme

• Annahmen über Möglichkeiten des Angreifers, Betrachtung der Sicherheit unter bestimmten Angriffen



Informationstheoretische (perfekte) Sicherheit[Claude Shannon: Communication Theory of Secrecy Systems. Bell Systems Technical Journal, 28(1949), 656-715.]

• Informelle Beschreibung (bzgl. Konzelationssystem):

Selbst ein unbeschränkter Angreifer gewinnt aus seinen Beobachtungen keinerlei zusätzliche Informationen über Klartext oder Schlüssel.

• „unbeschränkt“: beliebiger Rechen- und Zeitaufwand • „zusätzliche Informationen“: nicht besser als bloßes Raten

• Aussagen bzgl. Sicherheit gelten nur für den Algorithmus!



Vernam-Chiffre (one-time pad)• Jeder Schlüssel wird nur einmal verwendet• Schlüssellänge und Länge des Klartextes sind gleich• Schlüssel sind zufällig Einzige informationstheoretisch sichere Chiffre.

• Binäre Vernam-Chiffre

c = enc(ki, mi) = mi ki m = dec(ki, ci) = ci ki


Nachrichten Schlüsseltexte Verschlüsselung

0

1

0

1

enc(0, m)enc(1, m)

p(k0) = p(k1) = 0,5


Erreichbare Sicherheit asymmetrischer Systeme


c m

ke,B kd,B

enc

Alice Bob

decm

ke,B

enc

Angreifer

Sicherheit gegen unbe-schränkten Angreifer (informationstheoretische Sicherheit) nicht möglich.


Anmerkungen zur informationstheoretischen Sicherheit• Informationstheoretische Sicherheit kann nur von

symmetrischen Systemen erreicht werden• Systeme, die ein und denselben Schlüssel mehrfach

verwenden, können nicht informationstheoretisch sicher sein

• Probleme:– Schlüsselmanagement – Schutzziel „Zurechenbarkeit“ kann nicht mit symmetrischen

System erbracht werden

Verwendung von nicht informationstheoretisch sicheren Systemen notwendig

Annahmen über den Angreifer notwendig (notwendige Berechnungen des Angreifers sind nicht effizient möglich)



Beispiel für symmetrisches Kryptosystem: Advanced Encryption Standard (AES)

• Grundlage: Rijndael (Vincent Rijmen und Joan Daemen, Belgien), Substitutions-Permutations-Netzwerk, iterierte Blockchiffre[FIPS Standard „Specification for the Advanced Encryption Standard, 2001]

• Verschlüsselung von Klartextblöcken der Länge 128 Bit (Längen von 192 und 256 Bits (Rijndael) nicht standardisiert)

• Schlüssellänge wahlweise 128, 192 oder 256 Bits• Anzahl der Runden hängt von der Schlüssellänge ab:


Schlüssellänge Anzahl der Runden128 Bit 10192 Bit 12256 Bit 14


Struktur des AES


Iterationsrunde r

Iterationsrunde 2

Iterationsrunde 1

......

Teilschlüssel-generierung

Ableiten von r+1 verschiedenen

Rundenschlüsseln ki der Länge

nb = 128 Bits aus dem Schlüssel kder Länge nk Bits

k1nb

k2nb

krnb

mi

ci

nb

nb

k0nb

k nkNachrichtenblock mi mit Blocklänge nb = 128 Bits

Schlüsseltextblock ci mit Blocklänge nb = 128 Bits


Struktur der Iterationsrunden


Runde i, i = 1, 2, …, r-1

SubByte

MixColumn

ShiftRow

ki

si+1

Runde r

SubByte

ShiftRow

kr

sr,a

sr,c

sr,b


Schritt 1: SubByte• Alle Bytes einer Matrix werden unabhängig voneinander

substituiert


a0,0 a0,1 a0,2 a0,3

a1,0 a1,1 a1,2 a1,3

a2,0 a2,1 a2,2 a2,3

a3,0 a3,1 a3,2 a3,3

b0,0 b0,1 b0,2 b0,3

b1,0 b1,1 b1,2 b1,3

b2,0 b2,1 b2,2 b2,3

b3,0 b3,1 b3,2 b3,3

a1,1 b1,1

bi,j := S8(ai,j)

si,a = = si,b


Schritt 2: ShiftRow• Zyklische Verschiebung der Zeilen nach links


b0,0 b0,1 b0,2 b0,3

b1,0 b1,1 b1,2 b1,3

b2,0 b2,1 b2,2 b2,3

b3,0 b3,1 b3,2 b3,3

c0,0 c0,1 c0,2 c0,3

c1,0 c1,1 c1,2 c1,3

c2,0 c2,1 c2,2 c2,3

c3,0 c3,1 c3,2 c3,3

si,b = = si,c


Schritt 3: MixColumn• Operiert jeweils auf Spalten der Matrix (32-Bit Substitution)


c0,0 c0,1 c0,2 c0,3

c1,0 c1,1 c1,2 c1,3

c2,0 c2,1 c2,2 c2,3

c3,0 c3,1 c3,2 c3,3

d0,0 d0,1 d0,2 d0,3

d1,0 d1,1 d1,2 d1,3

d2,0 d2,1 d2,2 d2,3

d3,0 d3,1 d3,2 d3,3

di := a(x) ci mod (x4+ 1)

c0,1

c1,1

c2,1

c3,1

d0,1

d1,1

d2,1

d3,1

si,c = = si,d


Schritt 4: AddRoundKey• Macht Iterationsrunden schlüsselabhängig• Länge des Rundenschlüssels ki: nb


d0,0 d0,1 d0,2 d0,3

d1,0 d1,1 d1,2 d1,3

d2,0 d2,1 d2,2 d2,3

d3,0 d3,1 d3,2 d3,3

a0,0 a0,1 a0,2 a0,3

a1,0 a1,1 a1,2 a1,3

a2,0 a2,1 a2,2 a2,3

a3,0 a3,1 a3,2 a3,3

si,d si+1,a

k0,0 k0,1 k0,2 k0,3

k1,0 k1,1 k1,2 k1,3

k2,0 k2,1 k2,2 k2,3

k3,0 k3,1 k3,2 k3,3

ki

=


RSA• Ronald L. Rivest, Adi Shamir, Leonhard M. Adleman: A

Method for Obtaining Digital Signatures and Public-Key Cryptosystems. Communications of the ACM, vol. 21, no. 2, 1978, 120-126.

• Verwendung als Konzelations- und Signatursystem möglich• Basiert auf der Faktorisierungsannahme

– Geheimnis: 2 große, unabhängig und zufällig gewählte Primzahlen und

– Öffentliche Information: · Es darf nicht möglich sein, n „effizient“ zu faktorisieren. Die Wahl von großen Primzahlen in vertretbarer Zeit muss

möglich sein. Notwendig: Funktionen zur Verarbeitung der

Nachrichten (ver-/entschlüsseln, signieren und testen).



RSA: SchlüsselgenerierungJeder Teilnehmer• wählt zufällig und unabhängig 2 verschiedene Primzahlen p, q

ungefähr gleicher Länge• berechnet n = pq • wählt zufällige Zahl ke mit 1 < ke < (n), ggT(ke, (n)) = 1• berechnet kd = ke

-1 mod (n)

• Öffentlicher Schlüssel: (n, ke)• Geheimer Schlüssel: (p, q, kd)

• Signatursystem: ks statt kd und kt statt ke



RSA als Konzelationssystem (unsichere Variante)


Teilnehmer A Teilnehmer B

öffentlich: n, ke

privat: p, q, kd

Verschlüsselung

unsicherer Kanal

c

Schlüsselgenerierung

bekannt: n, ke

c = mk mod n (m < n)e

Entschlüsselungm = ck mod nd


RSA als Signatursystem (unsichere Variante)


Teilnehmer A Teilnehmer B

öffentlich: n, kt

privat: p, q, ks

Testen

unsicherer Kanal

m, s

Schlüsselgenerierung

bekannt: n, kt

m = sk mod n?t

Signierens = mk mod n (m < n)s


Anmerkungen zu RSA• Effiziente Entschlüsselung mit Hilfe der geheimen Parameter p und q

möglich• Einfache Variante unsicher gegen passive und aktive Angriffe

• Sicherer Einsatz:– Anforderungen an die Parameter

aktuelle Empfehlung für die Länge von n: 2048 Bit– Zusätzliche Verschlüsselung von zufälligen Bits zur Verhinderung

passiver Angriffe – Verwendung einer Hashfunktion zur Verhinderung aktiver

Angriffe

• PKCS#1 (Public Key Cryptography Standards, RSA Laboratories)


Documents

Fakultät Informatik Institut Systemarchitektur Professur ...€¦ · niedergelassene Unternehmen – Anwendbar für außereuropäische Unternehmen, die auf dem europäischen Markt