Kryptographie - TitleFrame · Michael Sichler Malte Knaack Kryptographie 25. Juni 2001 Seite 5 von 42 1.1.2 Aktive Angriffe Bei aktiven Angriffen werden Nachrichten verfälscht bzw

Studiengang „Technische Informatik“ Rechnerstrukturen – Labor

7. Semester (I7I1)

Kryptographie

Dozent: Prof. Dr. Risse

Studenten:

Michael Sichler I-Nr. 498 211 346

Malte Knaack

I-Nr. 498 217 617

Datum des Vortrags: 11.Juni 2001

Abgabedatum der Ausarbeitung:

25. Juni 2001

Michael Sichler Malte Knaack

Kryptographie 25. Juni 2001Seite 2 von 42

Inhaltsverzeichnis 1 Einführung in die Kryptographie .....................................................................................4

1.1 Angriffsarten und Ihre Gefahren............................................................................4 1.1.1 Passive Angriffe .................................................................................................4 1.1.2 Aktive Angriffe...................................................................................................5

1.2 Bedrohungsanalyse...................................................................................................5

2 Grundlagen der Kryptographie .........................................................................................6

2.1 Einführung in kryptographische Grundbegriffe...................................................6 2.1.1 Kerngedanke der Kryptographie ........................................................................6 2.1.2 Kryptographische Grundziele.............................................................................6 2.1.3 Die Verschlüsselung ...........................................................................................7 2.1.4 Integritätsschutz..................................................................................................7 2.1.5 Authentizitätsnachweise .....................................................................................7 2.1.6 Schlüsselmanagement.........................................................................................8 2.1.7 Zertifizierungsstellen ..........................................................................................8 2.1.8 Schlüsselverteilungszentralen.............................................................................9 2.1.9 Einsatz kryptographischer Verfahren ...............................................................10

2.2 Die Verschlüsselungstechniken .............................................................................10 2.2.1 Blockverschlüsselung .......................................................................................10 2.2.2 Bitverschlüsselung............................................................................................10 2.2.3 Schlüsselgesteuerte Verschlüsselung ...............................................................10 2.2.3 Message Authentication Code (MAC) .............................................................11 2.2.4 Prinzip der Symmetrische Verschlüsselung .....................................................11 2.2.6 Prinzip der Asymmetrische Verschlüsselung ...................................................12 2.2.4 Hashfunktionen.................................................................................................13 2.2.5 Zero-Knowledge-Verfahren .............................................................................14

2.3 Symmetrische Verschlüsselungsverfahren...........................................................14 2.3.1 Substitution.......................................................................................................14 2.3.2 Transpositions-Verfahren .................................................................................16 2.3.3 Produktverschlüsselung ....................................................................................16 2.3.4 DES Algorithmus .............................................................................................16 2.3.5 Triple DES Algorithmus...................................................................................19

2.4 Asymmetrische Verschlüsselungsverfahren.........................................................20 2.4.1 RSA ..................................................................................................................20 2.4.2 El Gamal-Verfahren .........................................................................................22 2.4.3 PGP...................................................................................................................23 2.4.4 Elliptic-Curve ...................................................................................................24

2.5 Vor- und Nachteile von symmetrischen und asymmetrischen Verfahren ........26

2.6 Digitale Signaturen .................................................................................................27 2.6.1 Beispiel einer Digitalen Signatur......................................................................27

3 Hardware..........................................................................................................................30

3.1 Aladdin ....................................................................................................................30 3.1.1 Vorstellung der Hardware ................................................................................30 3.1.2 Vorstellung der Software..................................................................................31



3.1.3 Überlegungen zum Demo Kit...........................................................................32 3.1.4 Testszenario ......................................................................................................33

3.2 Chipkarten ..............................................................................................................36 3.2.1 Aufbau der Chipkarten .....................................................................................37 3.2.2 Kryptographie auf der Chipkarte ......................................................................38 3.2.3 Schnittstelle zum Kartenterminal .....................................................................38 3.2.4 Chipkartentechnik.............................................................................................39 3.2.5 Krypto-Controller-Karte...................................................................................39

4 Zusammenfassung...........................................................................................................41

5 Literatur ...........................................................................................................................42



1 Einführung in die Kryptographie Wenn man sich mit dem Thema Kryptographie beschäftigt, dann muss man sich über deren Nutzen und Folgen im Klaren sein. Der folgende Merksatz verdeutlicht die erste Maßnahme die jeder treffen sollte, der sich dem Thema Sicherheit durch Kryptographie stellt:

Bevor überhaupt Sicherheitsmassnahmen ergriffen werden, muss klar sein, wovor überhaupt geschützt werden soll!

1.1 Angriffsarten und Ihre Gefahren

1.1.1 Passive Angriffe Passive Angriffe bedrohen die Vertraulichkeit der Datenkommunikation, wobei aber keine Veränderungen der übertragenden Nachrichten stattfinden. Es werden nur die vorhanden Informationen und Nachrichten ausgenutzt. Diese Tat stellt jedoch eine Bedrohung dar, weil dieses Auskundschaften bewusst und gezielt durchgeführt wird, um an unerlaubte Informationen zu gelangen. Es gibt eine Reihe von passiven Angriffen die im Folgenden kurz erläutert werden sollen:

- Ausnutzen der elektromagnetischen Abstrahlung (EMV) von Bildschirmen und Leitungen. Das Vorgehen ist recht simpel, da man einfach durch Antennen die Strahlung aufnehmen kann und so die Informationen auswertet.

- Eine klassische Methode um Leitungen abzuhören ist diese mit Klemmen oder Induktionsschleifen abzuzapfen, um an die wertvollen Informationen zu gelangen

- Eine drahtlose Kommunikation ist besonders abhörgefährdet. Durch einfache Antennenschaltungen gelingt das Mithören ohne große Probleme.

- Auch Lichtwellenleiter bieten keinen 100% Schutz, da eine Abzweigung der Lichtenergie zwar recht schwierig durchzuführen ist, aber sich nicht als unmöglich darstellt.

Besonders lokale Netzwerke, durch Ihre Broadcasttechnik, d.h. alle Nachrichten werden an alle Teilnehmer geschickt, sind durch passive Angriffe stark gefährdet.

Bild1: Szenario bei passiven Angriffen



1.1.2 Aktive Angriffe Bei aktiven Angriffen werden Nachrichten verfälscht bzw. mutwillig verändert. In Gegensatz zu den passiven Angriffen wird die Übertragungsstrecke aufgetrennt. Die Daten werden nun zwischengespeichert, damit diese modifiziert werden können. Das Zwischenspeichern geschieht so schnell, das selbst in lokalen Netzwerken mit hohen Datendurchsatz dies nicht bemerkt wird. Aktive Angriffe nutzen die vorhanden Systemschwächen aus und da es keine 100% fehlerfreie Software gibt, sind diese auch vorhanden. Man führt z.B. die Software an Grenzbereiche und damit in undefinierte Zustände und nutzt diese dazu aus die Speicherinhalte zu lesen, die unter Umständen Passwörter, Benutzeingaben usw. beinhalten. Bei Hardware verhält sich das ähnlich. In undefinierten Zuständen liefert auch die Hardware ggf. gewünschte Speicherinhalte.

Bild2: Szenario bei aktiven Angriffen

1.2 Bedrohungsanalyse Die vorherigen Abschnitte haben gezeigt, dass es sinnvoll ist eine Bedrohungsanalyse durchzuführen. Die Gefahren sind so komplex und vielfältig, dass man jedes Bedrohungsszenario detailliert ausarbeiten sollte, um wirklich sicher zu sein. Es empfiehlt sich eine Sicherheitsstudie nach Richtlinien des BSIs (Bundesamt für Sicherheit in der Informationstechnik) durchzuführen. Nach dieser Richtlinie sollte man folgende Bestandsaufnahme durchführen:

- Welche Informationen müssen geschützt werden? - Wovor müssen die Informationen geschützt werden? - Wer sind die potentiellen Angreifer?

o Gibt es Innentäter? o Wer kommt im Transitsystem (Gateways, Netzknoten, Übertragungsstrecke in

Frage)? - Welche Mittel werden beim vorgehen der Angriffe verwendet? - Welchen Aufwand muss der Angreifer aufwenden? - Wie groß ist der Nutzen des Angreifers? - Wie hoch ist der Schaden?

Aus diesen Fragen kann man ein solide Sicherheitskonzept erstellen und sein System so besser gegen Angreifer schützen.



2 Grundlagen der Kryptographie

2.1 Einführung in kryptographische Grundbegriffe

2.1.1 Kerngedanke der Kryptographie Wenn zum Schutz von Nachrichten und Informationen gegen unbefugte Kenntnisnahme oder absichtliche Manipulation mathematische Methoden und Techniken dienen, dann spricht man von Kryptographie. Bei kryptographischen Verfahren wird ein mathematischer Rechenvorgang - ein Algorithmus umgesetzt. Die Wirksamkeit beruht darauf, dass ein potentieller Angreifer ein gewisses mathematisches Problem nicht zu lösen vermag - und zwar nicht wegen mangelnder Fähigkeiten, sondern wegen fehlenden Wissens um ganz bestimmte "Schlüssel"-Informationen. Kryptographische Methoden beziehen sich stets auf folgende Situation: Ein Sender A (dieser wird, wie in der Kryptographie üblich, "Alice" genannt) schickt über einen unsicheren Kanal eine Nachricht an einen Empfänger B (er wird "Bob" genannt). Sender und Empfänger dürfen dabei auch identisch sein, unter einem Kanal ist ein beliebiges Transportmedium zu verstehen. Bei der Verschlüsselung lokaler Daten sind Sender und Empfänger natürlich identisch, unter "Kanal" ist hier das Speichermedium zu verstehen.

2.1.2 Kryptographische Grundziele Auf Grund theoretischer und praktischer Erwägungen unterscheidet man vier kryptographische Grundziele:

2.1.2.1 Vertraulichkeit/Geheimhaltung: Keine unbefugte dritte Partei E (sie sei "Eve" genannt) soll an den Inhalt der Nachricht bzw. Datei gelangen.

2.1.2.2 Integrität: Unbefugte Manipulationen an der Nachricht bzw. Datei (z. B. Einfügen, Weglassen, Ersetzung von Teilen) sollen entdeckt werden können.

2.1.2.3 Authentizität: Identitätsnachweis (Authentisierung von Kommunikationspartnern): Eine Kommunikations-partei (z. B. Person, Organisation, IT-System) soll einer anderen ihre Identität zweifelsfrei beweisen können. Herkunftsnachweis (Nachrichtenauthentisierung): A soll B beweisen können, dass eine Nachricht von ihr stammt und nicht verändert wurde.

2.1.2.4 Nachrichtenauthentisierung: A soll B beweisen können, dass eine Nachricht von ihr stammt und nicht verändert wurde. Nichtabstreitbarkeit der Herkunft: Es soll A unmöglich sein, das Absenden einer bestimmten Nachricht an B nachträglich zu bestreiten. Nichtabstreitbarkeit des Erhalts: Es soll B unmöglich sein, den Erhalt einer von A gesendeten Nachricht nachträglich zu bestreiten. Es ist klar, dass zwischen diesen Zielen eine Beziehungen bestehen muss, sonst funktioniert das ganze System nicht zuverlässig. Die Gewährleistung von Vertraulichkeit bzw. von Authentizität sind unabhängige Grundziele eines kryptographischen Systems.



Die grundlegende kryptographische Methode zur Wahrung von Vertraulichkeit ist Verschlüsselung, die grundlegenden Methoden zur Gewährleistung von Integrität, Authentizität und Nichtabstreitbarkeit sind Hashfunktionen, Message Authentication Codes (MACs), digitale Signaturen und kryptographische Protokolle. Im folgenden werden die einzelnen Konzepte kurz dargestellt. Eine ausführlichere Beschreibung der einzelnen Techniken findet weiter hinten statt.

2.1.3 Die Verschlüsselung Bei einer Verschlüsselung transformiert man einen Klartext in Abhängigkeit von einer Zusatzinformation, die "Schlüssel" genannt wird, in einen zugehörigen Geheimtext, der für diejenigen, die den Schlüssel nicht kennen, nicht entzifferbar sein soll. Die Umkehrtransformation - die Zurückgewinnung des Klartextes aus dem Geheimtext - wird Entschlüsselung genannt. In allen modernen Verschlüsselungsalgorithmen sind Klartexte, Geheimtexte und Schlüssel jeweils als Folgen von Bits gegeben. Um in der Praxis auch alltagstauglich einsetzbar zu sein, müssen Verschlüsselungsalgorithmen folgende Mindestanforderungen erfüllen: Sie sollten entzifferungsresistent sein, d. h. ohne Kenntnis des Schlüssels darf das Verschlüsselte nicht entschlüsselt werden können, insbesondere muss hierfür die Menge der möglichen Schlüssel "ausreichend groß" sein, da sonst ein einfaches Ausprobieren aller Schlüssel möglich wäre. Natürlich müssen sie einfach einzusetzen sein, und die Ver- und Entschlüsselung müssen "schnell genug" sein. Die Forderung nach Entzifferungsresistenz ist immer relativ zu den aktuellen technischen und mathematischen Möglichkeiten zu betrachten. Wichtig bei der Bewertung von Verschlüsselungsalgorithmen ist, dass es zum Nutzungszeitpunkt praktisch nicht möglich sein darf, das Verschlüsselte ohne Kenntnis des Schlüssels zu entschlüsseln.

2.1.4 Integritätsschutz Das Ziel des Integritätsschutzes ist es, dass ein Empfänger einer Nachricht feststellen kann, ob er diese Nachricht unverfälscht erhalten hat. Das Grundprinzip des Integritätsschutzes besteht darin, die Nachricht unverschlüsselt und unverändert zu übersenden, gleichzeitig aber bestimmte Kontrollinformationen mitzuschicken, die die Kontrolle auf Unverfälschtheit der eigentlichen Nachricht ermöglichen. Voraussetzung dazu ist allerdings, dass der Empfänger die Kontrolldaten unmanipuliert erhält. Für diese Kontrolldaten stellen sich damit folgende Bedingungen:

- der Kontrolloverhead muss möglichst gering sein, um die zusätzlich zu übertragenden Informationen zu minimieren.

- Praktisch jede Manipulation, auch nur eines einzelnen Bits der Nachricht muss anhand der Kontrollinformationen feststellbar sein.

- die Kontrollinformationen müssen unmanipulierbar übertragen bzw. Manipulationen müssen entdeckt werden können.

Zur Berechnung der Kontrollinformationen werden typischerweise zwei Verfahren verwendet: Hashfunktionen und Message Authentication Codes. Auf diese Verfahren wird im weiteren Verlauf genauer eingegangen.

2.1.5 Authentizitätsnachweise Bei der Authentisierung von Benutzern gegenüber Kommunikationspartnern bzw. Clients gegenüber Servern sollen

- unzulässige Zugriffe erkannt und abgewehrt werden, - zulässige Zugriffe erlaubt werden und



- sensible Daten auch bei Übertragungen über Netze geschützt bleiben.

Dazu sind Verfahren erforderlich, die allen Beteiligten die Feststellung der Identität ihrer Kommunikationspartner unmissverständlich erlauben. Dazu muss ein Zeitaspekt beachtet werden. Als Beispiel soll hier wieder für den Sender A Alice stehen und für den Empfänger B soll Bob stehen: Alice will Bob in "real time" davon überzeugen, dass tatsächlich sie mit ihm kommuniziert. Hierfür sendet Bob Daten an Alice und fordert sie auf, ihm den Besitz eines Geheimnisses (also einer Schlüsselinformation) nachzuweisen, und Alice demonstriert ihm diesen Besitz ohne das Geheimnis selbst preiszugeben, indem sie eine vom Geheimnis abhängige Antwort sendet (Response). Bob wiederum überprüft anhand der Antwort, dass zur Berechnung der Antwort wirklich das korrekte Geheimnis verwendet wurde.

2.1.6 Schlüsselmanagement Bei jedem Einsatz von Verschlüsselung entsteht die Aufgabe, die Schlüssel angemessen zu verwalten. Es stellt sich die Frage, wie man

- Erzeugung/Initialisierung, - Vereinbarung/Etablierung, - Verteilung/Transport, - Wechsel/Update, - Speicherung, - Beglaubigung/Zertifizierung, - Rückruf, - Wiedergewinnung im Fall von Vernichtung/Verlust, - Vernichtung/Löschen, - Archivierung und - Escrow (treuhänderische Hinterlegung)

während des gesamten Lebenszyklus der Schlüssel durchführt. Das Schlüsselmanagement kann und wird sich gewöhnlich auch kryptographischer Techniken bedienen. Es muss für die Gesamtheit der Kryptomodule eines kryptographisch basierten Sicherungssystems durchgeführt werden. Geheime Schlüssel müssen vor unbefugter Aufdeckung, Modifizierung und Ersetzung geschützt werden. Öffentliche Schlüssel müssen vor unbefugter Modifizierung und Ersetzung geschützt werden. Angemessenes Schlüsselmanagement ist die Voraussetzung dafür, dass Information durch kryptographische Methoden überhaupt geschützt werden kann. Schlüsselmanagement benötigt eigens dieser Aufgabe gewidmete Ressourcen!

2.1.7 Zertifizierungsstellen Trust Center bzw. Zertifizierungsstellen werden immer dann benötigt, wenn man für eine nicht mehr überschaubare Anzahl von Teilnehmern asymmetrische Kryptoverfahren für die digitale Signatur oder für Verschlüsselung einsetzen will. Solche Verfahren benötigen bei der Signaturbildung bzw. der Verschlüsselung einen anderen Schlüssel als bei der Signaturprüfung bzw. der Entschlüsselung. Dazu wird benutzerbezogen ein Schlüsselpaar korrespondierender Schlüssel erzeugt. Ein Schlüssel, der sogenannte öffentliche Schlüssel, wird öffentlich bekannt gegeben. Der andere Schlüssel, der sogenannte private Schlüssel, ist absolut geheim zuhalten. Mit dem privaten Schlüssel - und nur mit diesem - kann eine digitale Signatur erzeugt bzw. ein Text entschlüsselt und mit dem zugehörigen öffentlichen Schlüssel - und nur mit diesem - verifiziert bzw. verschlüsselt werden. Soll nun die Echtheit der öffentlichen Schlüssel und die sichere Zuordnung der Schlüssel zu Personen sicherstellen,



bedarf es der bereits erwähnten Trust Center / Zertifizierungsstellen, die die Zuordnung einer Person zu einem öffentlichen Schlüssel durch ein Zertifikat bestätigen. Innerhalb solcher Zertifizierungsstellen werden typischerweise folgende Aufgaben wahrgenommen:

- Schlüsselgenerierung: Es sind für die Zertifizierungsstelle und ggf. für Teilnehmer Schlüsselpaare zu generieren.

- Schlüsselzertifizierung: Die Teilnehmerdaten, der korrespondierende öffentliche Schlüssel und weitere Daten werden zu einem Zertifikat zusammengefasst und von der Zertifizierungsstelle digital signiert.

- Personalisierung: Das Zertifikat und ggf. öffentlicher und privater Schlüssel werden auf eine Signaturkomponente (i. a. eine Chipkarte) übertragen.

- Identifizierung und Registrierung: Die Teilnehmer werden gegen Vorlage eines Ausweispapiers identifiziert und registriert.

- Verzeichnisdienst: Zertifikate werden in einem öffentlichen Verzeichnis abrufbar gehalten. Darüber hinaus muss der Verzeichnisdienst Auskunft darüber geben, ob ein Zertifikat gesperrt ist oder nicht.

- Zeitstempeldienst: Für bestimmte Daten kann es notwendig sein, diese mit einem vertrauenswürdigen Zeitpunkt zu verknüpfen. Dazu wird der Zeitpunkt an die Daten angehängt und das Ergebnis vom Zeitstempeldienst digital signiert.

Trust Center können außerdem zusätzlich Schlüsselaufbewahrung als Dienstleistung anbieten, wenn die kryptographischen Schlüssel für Verschlüsselung eingesetzt werden sollen. Um bei Schlüsselverlust noch auf die verschlüsselten Daten zugreifen zu können, kann dann der Schlüsselbesitzer (und nur dieser) eine Schlüsseldublette erhalten, die im Trust Center geschützt aufbewahrt wird.

2.1.8 Schlüsselverteilungszentralen Die Sicherheit symmetrischer Verschlüsselungsverfahren hängt davon ab, ob der gemeinsam benutzte geheime Schlüssel nur den zum Zugriff auf die geschützten Informationen berechtigten Benutzern bekannt ist. Im Falle des Schutzes gespeicherter Daten, auf die nur deren Eigentümer Zugriff haben soll, ist dies relativ einfach zu gewährleisten, da dieser Eigentümer lediglich den Schlüssel so schützen muss, dass Unbefugte nicht darauf zugreifen können. Anders sieht es jedoch aus, wenn Nachrichten, die von einem Sender über ein unsicheres Übertragungsmedium an einen Empfänger zu übermitteln sind, mit einem symmetrischen Verschlüsselungsverfahren geschützt werden sollen. In diesem Fall muß der geheime Schlüssel sowohl beim Sender als auch beim Empfänger vorliegen, d. h. es muß eine Möglichkeit geschützten Informationsaustauschs zwischen den beiden Partnern verfügbar sein. In der Praxis wird dies oft durch die verschlüsselte Verteilung von Kommunikationsschlüsseln durch sogenannte Schlüsselverteilungszentralen (Key Distribution Centers, KDCs) realisiert, wobei ganze Hierarchien voneinander sicherheitstechnisch abhängiger Schlüssel aufgebaut werden. Die hier zum Einsatz kommenden Verfahren sind teilweise sehr komplex und hängen hinsichtlich ihrer Sicherheit von einer Vielzahl von Komponenten ab, insbesondere von der physischen, organisatorischen, personellen und technischen Sicherheit der KDCs und der zur Kommunikation mit den KDCs vereinbarten Schlüssel. Eine Kompromittierung eines geheimen Schlüssels, d. h. sein Bekanntwerden gegenüber einem unberechtigten Dritten, führt zum Verlust der Vertraulichkeit aller Daten, deren Verschlüsselung mit diesem Schlüssel erfolgte bzw. davon abhängt. Dies ist insbesondere dann kritisch, wenn einer der zentralen Schlüssel einer Schlüsselverteilungshierarchie kompromittiert wurde.



2.1.9 Einsatz kryptographischer Verfahren Bei sachgemäßem und sachkundigen Einsatz sind kryptographische Verfahren hervorragend geeignet, folgende Bedrohungen abzuwehren:

- Kenntnisnahme von Informationen durch Unbefugte, - bewußte Manipulation von Daten durch Unbefugte und - Manipulationen an der Urheberschaft von Informationen.

Der alleinige Einsatz von Kryptographie reicht allerdings nicht aus, um alle Bedrohungen abzuwehren. Der Einsatz kryptographischer Methoden trägt nichts dazu bei, um die Verfügbarkeit von Daten zu gewährleisten (bei unsachgemäßem Gebrauch von Verschlüsselung droht sogar Datenverlust!). Des Weitern können kryptographische Methoden gegen Denial-of-Service-Attacken nichts ausrichten. Sie können aber zur frühzeitigen Erkennung solcher Attacken beitragen. Sie helfen auch nicht gegen zufällige Verfälschungen von Informationen (etwa durch "Rauschen"). Sie können Verfälschungen aber nachträglich erkennbar machen.

2.2 Die Verschlüsselungstechniken

2.2.1 Blockverschlüsselung Bei Blockverschlüsselung wird in einem Verschlüsselungstakt jeweils ein ganzer Block von Bits verschlüsselt, heutzutage sind dies in der Regel 64 Bits. Die meisten symmetrischen Verschlüsselungsverfahren sind Blockverschlüsselung, dazu gehören auch DES, IDEA oder SAFER. Für Blockverschlüsselung sind eine Reihe von Betriebsarten (Modi) definiert (und standardisiert). Es sind dies

• der ECB (Electronic Code Book)-Modus, bei dem jeder Block für sich - unabhängig von den anderen Blöcken - verschlüsselt wird,

• der CBC (Cipher Block Chaining)-Modus und der CFB (Cipher Feed Back)-Modus, bei diesen Modi wird, nach Wahl eines zusätzlichen Initialisierungsvektors, eine Abhängigkeit der Chiffretextblöcke von allen vorhergehenden Chiffretextblöcken hergestellt, sowie

• der OFB (Output Feedback Modus), dieser Modus kann so aufgefasst werden, dass die verwendete Blockchiffre zur Generierung eines "Blockstroms" verwendet wird, der auf die Klarblöcke bitweise (modulo 2) aufaddiert wird.

2.2.2 Bitverschlüsselung Bei Bitverschlüsselung wird unter Verwendung des Schlüssels eine möglichst zufällig aussehende Bitfolge (ein Bitstrom) generiert. Die Klarbitfolge wird also Bit für Bit verschlüsselt. Für die Sicherheit von Bitverschlüsselung ist wesentlich, dass niemals zwei (verschiedene) Nachrichten mit demselben Schlüsselstrom verschlüsselt werden – dafür muss mit speziellen Maßnahmen gesorgt werden.

2.2.3 Schlüsselgesteuerte Verschlüsselung Bei der schlüsselgesteuerten Verschlüsselung werden auf einige wenige Algorithmen gesetzt, von denen langjährige und intensive Untersuchungen keine oder nur unwesentliche Schwächen bekannt sind. Um die Forderung nach einer Vielzahl von Verschlüsselungsverfahren gerecht zu werden, schafft man durch einen zusätzlichen Schlüssel Ke Abhängigkeiten. Ohne Kenntnis des Schlüssels Kd zum Entschlüsseln ist diese nicht möglich, d.h. Schlüssel Kd muss geheim gehalten werden. Wenn des gelingt den



Entschlüsselungs-Schlüssel geheim zu halten, dann kann der Algorithmusselbst durchaus öffentlich bekannt sein. Bei symmetrischer Verschlüsselung ist der Schlüssel Ke und Kd identisch und bei asymmetrischer Verschlüsselung sind die beiden Schlüssel verschieden, wobei Ke veröffentlicht wird.

2.2.3 Message Authentication Code (MAC) Bei Message Authentication Code (MAC) wird durch eine Checksumme die Nachrichtensicherung gewonnen, also eine Datentransformation, bei der zusätzlich ein geheimer Schlüssel in die Berechnung eingeht, mit folgenden Eigenschaften:

- Kompressionseigenschaft: Beliebig lange Bitfolgen werden auf Bitfolgen fester, i. allg. kürzerer Länge abgebildet.

- Fälschungssicherheit: Für jeden, der nicht im Besitz des Schlüssels ist, muß es "praktisch unmöglich" sein, den MAC-Wert einer neuen Nachricht zu berechnen, selbst wenn er in den Besitz einiger alter Nachrichten mit den zugehörigen MAC-Werten gelangt ist.

Besitzen Alice und Bob einen MAC und einen gemeinsamen, geheimen MAC-Schlüssel, so authentisiert Alice ihre Nachricht einfach dadurch, dass sie den MAC-Wert der Nachricht berechnet und zusammen mit der Nachricht an Bob schickt. Bob berechnet seinerseits den MAC-Wert der empfangenen Nachricht mit dem auch ihm bekannten MAC-Schlüssel. Stimmt dieser mit Alices Wert überein, so kann er davon ausgehen, dass die Nachricht authentisch ist (d. h. dass sie nicht verändert wurde und wirklich von Alice stammt). Alice hat also ihre Nachricht durch Verwendung des nur ihr und Bob bekannten Schlüssels gegenüber Bob authentisiert. MACs werden häufig auf Basis symmetrischer Chiffrierverfahren konstruiert. Die bekannteste Variante ist hierbei die Verschlüsselung einer Nachricht mit DES oder einem anderem Block- Chiffrierverfahren im CBC- oder CFB-Mode. Dabei wird als MAC der letzte verschlüsselte Block an die Nachricht angehängt. Daneben gibt es aber auch MACs, die nicht auf Chiffrierverfahren beruhen. Der MAC-Wert einer Nachricht kann als fälschungssichere, schlüsselabhängige, kryptographische Checksumme dieser Nachricht angesehen werden. Die Anwendung von MACs zum Zweck der Authentisierung erfordert, dass beide Parteien den geheimen Authentisierungsschlüssel zuverlässig schützen.

2.2.4 Prinzip der Symmetrische Verschlüsselung Symmetrische Verschlüsselungsverfahren benutzen denselben Schlüssel sowohl für die Ver- als auch für die Entschlüsselung. Bekannte symmetrische Verschlüsselungsverfahren sind z. B. DES, Tripel-DES, IDEA oder SAFER. Auf DES wird im Folgenden noch genauer eingegangen.



Bei symmetrischen Verfahren unterscheidet man, wie schon unter 2.2.1 und 2.2.2 erläutert weiter zwischen Bitverschlüsselung und Blockverschlüsselung. Beim Einsatz symmetrischer Verfahren ist generell zu beachten, dass ein Schlüsselaustausch zwischen den Kommunikationspartnern vorausgegangen sein muss. Dieser muss über einen sicheren Kanal (z. B. Kurier, Telefon, Fax, persönliche Übergabe) erfolgen und beide Parteien müssen anschließend den Schlüssel geheimhalten. Es gibt verschiedene Verfahren für einen sicheren Schlüsselaustausch. In geschlossenen Systemen ist der Schlüsselaustausch im allgemeinen unproblematisch zu realisieren, da hier meist "sichere Kanäle" vorhanden sind. In offenen Systemen mit einer Vielzahl von Kommunikationspartnern gestaltet sich dies schwieriger. Generell besteht jedoch das Problem, dass bei einer Vielzahl möglicher Kommunikationspartner entsprechend viele Schlüssel vor der eigentlichen Kommunikation ausgetauscht werden müssen und dass dabei die potentiellen Kommunikationspartner vorab bekannt sein müssen.

2.2.6 Prinzip der Asymmetrische Verschlüsselung Asymmetrische (Public Key)-Chiffrierverfahren dagegen benutzen zwei verschiedene (aber mathematisch verwandte) Schlüssel: einen "öffentlichen" Schlüssel (Public Key) für die Verschlüsselung, und einen "privaten" Schlüssel (Private Key) für die Entschlüsselung. Das Schlüsselpaar muss dabei folgende Eigenschaft aufweisen:

• für alle, die lediglich den "Public Key" kennen, muss es praktisch unmöglich sein, den zugehörigen "Private Key" zu bestimmen oder eine mit dem "Public Key" verschlüsselte Nachricht zu entschlüsseln.

Asymmetrische Verschlüsselung hat also eine "Einbahn"-Eigenschaft: eine Nachricht kann nicht wiederhergestellt werden, wenn der "Private Key" vergessen oder gelöscht wurde. Die Bezeichnung "Public Key"-Verschlüsselung rührt daher, dass der "Public Key" öffentlich bekannt gemacht werden kann, ohne die Sicherheit des Verfahrens zu kompromittieren. Der "Private Key" hingegen muss geheim gehalten werden.



Will nun Alice eine Nachricht verschlüsselt an Bob senden, so holt sich Alice den öffentlichen Schlüssel Bobs aus einer frei zugänglichen Datei (siehe hierzu 2.1.7 und 2.1.8) und verschlüsselt damit die Nachricht. Nach Erhalt der Nachricht benutzt Bob seinen geheimen Schlüssel, um die von Alice erhaltene Nachricht zu entschlüsseln. Wenn Alice und Bob ein asymmetrisches Verfahren zum Zweck der Vertraulichkeit verwenden, benötigen sie also keinen sicheren Kanal für den Schlüsselaustausch, aber Alice muss sicher sein, dass sie tatsächlich Bobs öffentlichen Schlüssel benutzt und keinen Schlüssel, der ihr als Bobs Schlüssel untergeschoben wurde. Würde Alice eine Nachricht mit einem untergeschobenen Schlüssel verschlüsseln, so könnte der Täter, dem ja der passende geheime Schlüssel bekannt ist, die Nachricht entschlüsseln. Der Sender benötigt in der Regel die Bestätigung einer vertrauenswürdigen dritten Partei, dass der öffentliche Schlüssel des Empfängers wirklich zu diesem gehört. Diese Bestätigung, das "Zertifikat", wird im allgemeinen auch durch ein kryptographisches Verfahren erzeugt und dem öffentlichen Schlüssel beigefügt. Zwei der bekanntesten asymmetrischen Verschlüsselungsverfahren sind das RSA-Verfahren (benannt nach den Erfindern Rivest, Shamir, Adleman) und die Klasse der El Gamal-Verfahren. Zu letzteren gehören auch die auf Elliptischen Kurven basierenden Verschlüsselungsverfahren (siehe hierzu 2.6.3).

2.2.4 Hashfunktionen Eine (Einweg-) Hashfunktion ist eine Datentransformation mit folgenden Eigenschaften:

- Kompressionseigenschaft: Beliebig lange Bitfolgen werden auf Bitfolgen fester, i. allg. kürzerer Länge abgebildet (typischerweise 128 - 160 Bit).

- "Einweg"-Eigenschaft: Es muss "praktisch unmöglich" sein, zu einem vorgegebenen Hashwert eine Nachricht zu finden, deren Hashwert der vorgegebene Hashwert ist.

- Kollisionswiderstand: Es muss "praktisch unmöglich" sein, zwei Nachrichten zu finden, die zum gleichen Hashwert führen.

Mit Hilfe einer beiden Kommunikationspartnern bekannten Hashfunktion können Alice und Bob die Integrität einer Nachricht überprüfen: Alice hasht ihre Nachricht, und übermittelt diese und den Hashwert so an Bob, dass die Unverfälschtheit des Hashwertes gewährleistet ist. Bob hasht die empfangene Nachricht ebenfalls und vergleicht sein Ergebnis mit dem von Alice gelieferten Hashwert. Stimmen beide Werte überein, so kann er davon ausgehen, dass kein Bit der Nachricht verändert wurde.



2.2.5 Zero-Knowledge-Verfahren Das Zero-Knowledge-Verfahren eignen sich dazu, einen Kommunikationspartner davon zu überzeugen, daß man ein Geheimis G kennt, ohne irgendetwas über G mitzuteilen. Dazu bedient man sich zweier Mengen von geheimen und öffentlichen Schlüsseln. Mit einem mehrfach wiederholten Challenge-Response-Protokoll wird authentifiziert. Man kann sich die Funktion von Zero-Knowledge-Verfahren mit folgendem Versuchsaufbau vergegenwärtigen. Er besteht aus einem Raum, der durch eine Wand in zwei Teile getrennt ist. Die Trennwand enthält eine magische Tür, die nur mit Kenntnis eines Geheimnisses (oder Schlüssel) geöffnet werden kann.

Das Szenario sieht folgendermaßen aus: Angenommen Alice will Bob davon überzeugen, daß sie die magische Tür öffnen kann, ohne daß er ihr sein Geheimnis (die Kenntnis, wie die Tür geöffnet werden kann) mitteilt. Dazu stellt Bob sich vor die Ausgangstüren. Alice betritt einen der beiden Teilräume. Nun ruft Bob ihr zu, zu welcher der beiden Ausgangstüren sie herauskommen soll (A oder B). Kommt Alice zur "falschen" Tür heraus, kennt sie offensichtlich das Geheimnis der magischen Tür nicht. Kommt sie dagegen zur richtigen Tür heraus, gibt es zwei Möglichkeiten: Entweder sie war von vornherein im richtigen Teilraum oder sie kennt das Geheimnis. Bob kann in diesem Fall mit einer Wahrscheinlichkeit von 50% annehmen, daß Alice das Geheimnis kennt. Durch mehrfaches Wiederholen des Versuchs kann diese Wahrscheinlichkeit auf einen sicheren Wert erhöht werden. Die Zero-Knowledge-Verfahren sind sehr leicht zu implementieren und relativ schnell. Sie eignen sich ebenfalls für die Generierung elektronischer Unterschriften. Allerdings sind für einen Authentifizierungsvorgang relativ viele Kommunikationsschritte notwendig. Zudem eignen sich Zero-Knowledge-Verfahren nicht zum Verschlüsseln von Daten.

2.3 Symmetrische Verschlüsselungsverfahren Die symmetrischen Verschlüsselungsverfahren benutzen denselben Schlüssel sowohl für die Ver- als auch für die Entschlüsselung. Symmetrische Verfahren werden deshalb gelegentlich auch als "ein-Schlüssel"-Verfahren bezeichnet, da die Kenntnis eines Schlüssels ausreicht, um chiffrieren und dechiffrieren zu können. Im folgenden werden einige ausgesuchte symmetrische Verschlüsselungsverfahren vorgestellt.

2.3.1 Substitution Bei diesem Verfahren wird jeweils ein Zeichen eines Alphabets durch ein anderes ersetzt. Dazu führt man vorher eine Permutation des Zeichensatzes durch.



Soll nun auf der Empfangsseite die Nachricht entschlüsselt werden erfolgt dieses durch die inverse Zuordnung.

2.3.1.1 Shiftsubstitution Ein Spezialfall der Substitution ist die Shiftsubstitution, bei der das permutierte Alphabet aus dem um einen Shiftfaktor n geshifteten Quell-Alphabet besteht. Der Schüssel bei diesem Verfahren ist der Shiftfaktor n.

Bei diesem Verfahren lassen sich durch Häufigkeitsanalysen der Zeichen leicht knacken. Wenn der Kontext des Klartextes bekannt ist, z.B. ein deutscher Text, dann ist es für eine schnelle Rechenmaschine kein Problem das geshiftet Alphabet zu entschlüsseln. Hier hilft auch die Statistik über das Auftreten der einzelnen Buchstaben in deutschen Texten. Um dieser Gefahr, durch Häufigkeitsanalysen, entgegen zu wirken hat man die homephone Substitution entwickelt, bei der jedem Zeichen entsprechend seiner Auftrittshäufigkeit verschieden Schlüsseltextzeichen zugeordnet werden.



2.3.2 Transpositions-Verfahren Bei den Permutationsverfahren, die auch als Transpositionsverfahren bezeichnet werden, bleiben die Einzelzeichen erhalten, jedoch wird die Reihenfolge vertauscht.

2.3.3 Produktverschlüsselung Hier bei handelt es sich um ein Algorithmus der aus verschieden Typen von kryptographischen Grundoperationen zusammen gesetzt wird, z.B. aus Substitution und Transposition. Im Prinzip handelt sich bei allen Verschlüsselungsalgorithmen um Produktverschlüsselung.

2.3.4 DES Algorithmus Der Data Encryption Standard wurde 1974 veröffentlich und in den USA als ANSI- Standard normiert. Er wird seit vielen Jahren eingesetzt und kann somit zu recht als Quasi-Standard bezeichnet werden. Bei dem DES-Algorithmus handelt es sich um eine Produktverschlüsselung, die als elementare Verschlüsselung Substitution und Transpositionen verwendet. Der Algorithmus wird in mehreren Runden durchlaufen, wobei bei jedem Durchlauf ein anderer Arbeitsschlüssel zur Steuerung angewendet wird. Der DES-Algorithmus ist ein Blockalgorithmus, der 64 Bits Klartext in 64 Bits Schlüsseltext und umgekehrt überführt. Die Schlüssellänge beträgt 64 Bits, von denen jedoch nur 56 Bits signifikant sind, während die restlichen 8 Bits für die Paritätsbildung verantwortlich sind.

2.3.4.1 Beispiel einer Verschlüsselung Die Verschlüsselung eines Klartextblockes mit DES sieht wie folgt aus:

- Als erstes erfolgt eine Permutation des Klartext unabhängig vom Schlüssel - Anschließend erfolgen 16 Runden. Nach jeder Runde wird die rechte Hälfte des

teilweise verschlüsselten Blockes zur linken Hälfte der nächsten Runde.



- Die linke Hälfte wird dagegen nach jeder Runde bitweise mit XOR mit einem Output

verknüpft, der sich als Wert einer aus nichtlinearen Substitution und Permutation zusammengesetzten Funktion F ergibt. Diese Funktion F hängt von der rechten Hälfte des teilweise verschlüsselten Blockes und einem 48 Bit langen Arbeitsschlüssel ab. Dieser Arbeitsschlüssel wird für jede Runde durch eine zusätzliche Schlüsselauswahlfunktion aus den 64 Bits des DES-Schlüssel abgeleitet. Das Resultat der XOR-Verknüpfung ergibt die rechte Hälfte für den Inputblock für die nächste Runde.

- Nach der letzten, der 16. Runde, werden noch einmal die beiden Hälften getauscht. Diese Vertauschung erfolgt schlüsselunabhängig.

- Zu guter letzt wird eine Permutation, die zur Permutation im ersten Schritt des Ablauf invers ist, auf das Zwischenergebnis angewendet. Das Resultat bildet den verschlüsselten Block von 64 Bit.

Die Ver- und Entschlüsselung laufen fast identisch ab, d.h. man muss nur in der Schlussphase des Algorithmus und der Reihenfolge der Anwendung der Arbeitsschlüssel dazwischen unterscheiden.



Im folgenden Bild sind die einzelnen Rundenaufgelöst dargestellt.

Zur Berechnung des Arbeitsschlüssels wendet man folgende Routine an.



2.3.5 Triple DES Algorithmus Da die Schwächen des DES-Algorithmus auf die Schlüssellänge von nur 56 Bits zurückgeführt wird, gibt es Vorschläge, die Schlüssellänge unter Beibehaltung des Algorithmus zu erhöhen. Beim Tripple DES mir doppelter Schlüssellänge besteht der Schlüssel aus zwei DES-Schlüsseln Kleft und Kright, gebildet, d.h. 128 Bits von denen 112 Bits relevant sind. Diese Variabte des Triple DES besteht nun aus drei DES Operationen mit alternierenden Schlüssel



2.4 Asymmetrische Verschlüsselungsverfahren Asymmetrische (Public Key)-Verschlüsselungsverfahren dagegen benutzen zwei verschiedene Schlüssel: einen "öffentlichen" Schlüssel (Public Key) für die Verschlüsselung, und einen "privaten" Schlüssel (Private Key) für die Entschlüsselung. Das Schlüsselpaar muß dabei folgende Eigenschaft aufweisen: für alle, die lediglich den "Public Key" kennen, muß es praktisch unmöglich sein, den zugehörigen "Private Key" zu bestimmen oder eine mit dem "Public Key" verschlüsselte Nachricht zu entschlüsseln. Im folgenden werden einige ausgesuchte asymmetrische Verschlüsselungsverfahren vorgestellt.

2.4.1 RSA Das bekannteste asymmetrische Verfahren, das RSA-Verfahren, wurde nach seinen Erfindern Ronald Rivest, Adi Shamir und Leonard Adleman benannt. Die Sicherheit hierbei basiert auf einem sogenannten Faktorsierungsproblem, nämlich eine Zahl n in ihre Primfaktoren zu zerlegen. Die mathematische Transformation E, um den Klartext M in den Schlüsseltext C zu überführen, lautet:

C = E(M) = Me mod n

Die inverse Tranformation D, um aus dem Schlüsseltext C den Klartext M wiederherzustellen, lautet:

M = D(C) = Cd mod n Da der RSA Algorithmus ein Blockalgorithmus ist, müssen die Nachrichten, die in ihre numerischen Darstellung größer als n-1 sind, in Blöcke aufgeteilt werden. Es handelt sich um ein kommutatives Verfahren, d.h. es ist M = D(E(M)) und M = E(D(M)). Es eignet sie daher sowohl zur Gewährleistung der Vertraulichkeit als auch für digitale Unterschriften. Der öffentliche Schlüssel ist (E,n), der geheime Schlüssel (d,n).

n ist das Produkt zweier sehr großer, frei gewählter Primzahlen:

n = p * q

Die Erfinder des RSA-Verfahren schlugen bereist bei der Vorstellung des Verfahren, für p und q hundertstellige Primzahlen zu verwenden. Heute wird meistens für eine Länge von 768 – 1.024 Bit gewählt.



2.4.1.1 Beispiel einer Verschlüsselung Gewählt wird p = 11, q = 19 und e = 17 Daraus ergibt sich: n = 209 und d = 53 Ist die Nachricht M = 101, so erhält man den Schlüsseltext wie folgt:

C = 517 mod 209 = 80 Durch die inverse Tranformation

M =8053 mod 209 = 5 ergibt sich wieder der Klartext.

2.4.1.2 Erzeugung von RSA-Schlüsselsystemen Ein RAS-Schlüsselsystem besteht aus

- e und n als öffentlicher Schlüssel - d und n als geheimer Schlüssel, wobei n auch Bestandteil des öffentlichen Schlüssels

ist. Die Hauptaufgabe besteht und darin, eine sehr große, zufällige Zahl n zu finden, für die gilt

n = p * q wobei p und q Primzahlen sind. p und q sollen sich in der Länge leicht unterscheiden. Diese Forderung ergibt sich daraus, dass p und q nicht durch einfaches Testen aller Primzahlen um n1/2 gefunden werden können. Nach der Generierung von p und q wird eine Zahl e so bestimmt, dass

gcd(e,(p-1)*(q-1)) = 1 Anschließend wird d so bestimmt, dass

e * d mod (p-1)*(q-1) = 1 Die Länge des geheimen Schlüssel d des RSA-Schlüsselsystems muss mindestens N/3 betragen, wenn N die Länge von n ist. Da die Sicherheit des Verfahrens von d und der Zerlegung von n abhängt, wird e so bestimmt, dass der arithmetische Aufwand möglichst gering ist. e kann sogar konstat gewählt werden, wenn e groß genug ist, dass bestimmte Angriffe mit ausgewählten Klartext nicht möglich sind. Dabei muss natürlich berücksichtigt werden, dass e und (p-1)*(q-1) keine gemeinsamen Teiler haben. Auch d und n sind relativ prim zueinander. Wenn e eine Primzahl ist, wird diese Eigenschaft aber automatisch erfüllt. Bei der Verschlüsselung muss darauf geachtet werden, dass die Nachricht groß genug ist, damit – gerade in Verbindung mit einem kleinen öffentlichen Exponenten e – keine Angriffe



durch Wiederholung oder Division mögliche sind. Wenn die Nachricht selber klein ist, sollte man daher vor der Verschlüsselung mit Redundanz aufgefüllt werden.

2.4.2 El Gamal-Verfahren Dieses Verfahren wurde 1985 von El Gamal veröffentlich. Es dient zur Authentikation von Nachrichten, kann aber auch zur Schlüsselabsprache verwendet werden. Das Prinzip beruht auf dem Problem des diskreten Logarithmus. Der Sender einer Nachricht wählt eine große Primzahl p und ein Element g. Außerdem wählt der Sender eine Zufallszahl r<p und berechnet

K = gr mod p Der öffentlich Schlüssel besteht aus p, g und K, wobei p und g Systemparameter sind, die in einer großen Gruppe von Teilnehmern gleich sein kann. r ist der geheime Schlüssel von A. Wenn Alice (Absender) nachweisen will, dass die Nachricht M von ihr stammt, dann

1. wählt sie eine Zufallszahl R, R < p und berechnet

X = gR mod p

2. löst sie die Gleichung nach Y

M = (r * X + R * Y) mod (p-1) 3. sendet sie M, X, Y 4. R ist ein dynamisch geheimer Nachrichtenschlüssel

Bob (Empfänger) erhält M´, X´, Y´und will verifizieren, dass die Nachricht M´ tatsächlich von Alice stammt.

1. Er berechnet: Z = Kx´ * X´x´ mod p 2. Er vergleicht, ob Z´ = gM´ mod p

Wenn Gleichheit festgestellt wird, dann ist die Nachricht authentisch.



2.4.2.1 2.4.2.1 Beispiel p = 11, g = 2, r = 8 K = gr mod p = 28 mod 11 = 3 Der öffentlich Schlüssel besteht aus K = 3, g = 2 und p = 11. Um M = 5 zu authentisieren, wählt man zuerst eine Zufallszahl R = 9 und überprüft, ob ggT (9,10) = 1. Dann berechnet man

X = gR mod p = 29 mod 11 = 6

M = (r * X + R * Y) mod (p-1)

5 = (8 * 6 + 9 * Y) mod 10 Y = 3

Die Unterschrift besteht aus den Authentikationen X = 6 und Y = 3. Bob (Empfänger) muss nun die Unterschrift verifizieren und prüft

KX * XY mod p = gM mod p

3663 mod 11 = 25 mod 11 10 = 10

2.4.3 PGP Bei PGP handelt es sich um ein sehr weit verbreitetes Verschlüsselungstool, welches ursprünglich vom Programmierer Philip R. Zimmermann als Freeware angeboten und hauptsächlich zur E-Mail-Verschlüsselung verwendet wurde. Dafür existierte zunächst nur ein kleines Kommandozeilentool, dessen Source-Code komplett verfügbar war. Inzwischen wird PGP von der Firma Network Associates (NAI) auch kommerziell vertrieben und es stehen Versionen für verschiedenste Plattformen, grafische Benutzeroberflächen und zusätzliche Funktionen wie Festplatten- und Netzwerkverschlüsselung zur Verfügung. PGP kann zur Verschlüsselung und zum Signieren elektronischer Daten verwendet werden. Die Verwaltung der Schlüssel erfolgt mit Hilfe von Public Key Kryptographie und eines sogenannten Web-of-Trust anstelle einer starren Zertifizierungshierarchie. Weltweit sind verschiedene Keyserver verfügbar, auf denen Benutzer ihre Public Keys anbieten können. Als Verfahren kommen zur Anwendung: in Version 2.x:

- RSA zur Schlüsselverwaltung und Signatur - IDEA zur Verschlüsselung - MD5 als Hashfunktion

ab Version 5.x zusätzlich: - DH/ElGamal zur Schlüsselverwaltung - DSS zur Signatur (was die Schlüssellänge zur Signatur auf 1024 Bit beschränkt) - CAST und Triple DES zur Verschlüsselung - SHA1 als Hashfunktion.



Die neueren PGP-Versionen (ab Version 6.5.3) sind aufgrund der veränderten amerikanischen Exportgesetzgebung international verfügbar. Hierfür ist somit keine separate internationale Version mehr vorhanden. Die Schlüssel werden in sogenannten Schlüsselzertifikaten ("key certificates") aufbewahrt, die außer dem Schlüssel selbst noch einen kurzen Text mit Namen und Netzadresse der "Inhaberin" und den Vermerk, wann der Schlüssel erzeugt wurde, enthalten. Der Text mit Namen und Netzadresse wird im folgenden "Benutzer-ID" genannt. "Public key certificates" enthalten die öffentlichen Schlüssel, während "secret key certificates" die privaten Schlüssel beinhalten. Private Schlüssel werden verschlüsselt gespeichert, um sie einem Angreifer, der die Datei kopiert, nicht schutzlos auszuliefern. PGP benutzt zwei Dateien, in denen die Zertifikate aufbewahrt werden, eine für die öffentlichen und eine für die privaten. Diese Dateien können Sie mit (je) einem Schlüsselbund vergleichen; deswegen werden wir sie im Folgenden auch "Schlüsselbunde" nennen. Die Software der Empfängerin entschlüsselt ankommende Nachrichten automatisch. Am Anfang einer PGP-verschlüsselten Nachricht stehen die Schlüsselkennungen der Empfänger. PGP sucht in der Datei mit privaten Schlüsseln nach einem passenden Schlüssel und entschlüsselt damit die Nachricht. Alles automatisiert. PGP benötigt für die Arbeitsschritte Zufallszahlen, an deren Unvorhersagbarkeit letztlich die Sicherheit der gesamten Verschlüsselung hängt. Zu diesen Schritten gehören das Erzeugen eines Schlüsselpaares, die Wahl eines session key und aus technischen Gründen auch die asymmetrische Verschlüsselung oder das Unterschreiben. Deshalb verwendet PGP einen kryptographisch zuverlässigen Pseudozufallszahlengenerator, um wechselnde Einmal-Schlüssel für die konventionelle Verschlüsselung einzelner Dateien zu erzeugen. PGP verwendet eine Kombination aus einem konventionellen (symmetrischen) Verschlüsselungsalgorithmus

• 3DES oder IDEA und einem asymmetrischen Algorithmus

• RSA oder El Gamal Der mit öffentlichen Schlüsseln arbeitende Algorithmus wird nur dazu verwendet, den für eine einzelne Nachricht verwendeten konventionellen Schlüssel zu chiffrieren, so daß er gemeinsam mit der verschlüsselten Nachricht verschickt werden kann. Im folgenden werden wir zunächst die konventionellen und anschließend die asymmetrischen Algorithmen erläutern. Die ausschließliche Verwendung asymmetrischer Verfahren mit langen Schlüsseln ist wegen der langen Rechenzeit für die Ver- und Entschlüsselung großer Datenmengen nicht wirklich brauchbar. Das macht absolut niemand im wirklichen Leben. Trotzdem liegt die Frage nahe, ob die Kombination einer Verschlüsselung mit öffentlichen Schlüsseln und einer zweiten, konventionell arbeitenden Verschlüsselung die Gesamtsicherheit herabsetzt, und das nur, um das Programm schneller zu machen. Schließlich ist eine Kette nur so stark wie ihr schwächstes Glied. Viele Leute, die wenig Erfahrung mit Kryptographie haben, sind der Meinung, dass RSA oder El Gamal vom Prinzip her sicherer sei als eine konventionelle Verschlüsselung.

2.4.4 Elliptic-Curve Kurze Beschreibung; Verweis aus Literatur !!!!



Beispiel: Zur Berechnung von P2 = K•P1 mit N=270 und H=141 werden 3.723 FF-Mult Operationen und somit 1.005.210 Massey-Omura Elementaroperationen benötigt K = 2c9347124cad8faab85e3d8f7c15585b4dde4c853a6d597909f4fa70b36e565ab0f2

P1(x,y) = (3cba001300ed3cb212e35fd700cc52f84e7970ee3b697a093bfc35891e9d7ac30dc1, 1b8d059e7b438d8dfccef5bfbc0f4a866fd591bc5c5e7af20afc1beee1451e35eb60)

P2 = K•P1 = (12c606897bbfaab38eaea84c2b2a1bcb31d4065cc9646f9584c5c070bbbde1b45bdf,

219644f15009229e299fc7227fa9cae1f5cdb63fe92015b7bc87baca20905a04a91a)



2.5 Vor- und Nachteile von symmetrischen und asymmetrischen Verfahren

Hier sollen nun die Vor- und Nachteile der symmetrische und asymmetrische Chiffrierverfahren vorgestellt werden: Vorteile symmetrischer Verfahren:

• Sie sind schnell, d. h. sie haben einen hohen Datendurchsatz. • Die Sicherheit ist im wesentlichen durch die Schlüssellänge festgelegt, d. h. bei guten

symmetrischen Verfahren sollte es keine Attacken geben, die wesentlich besser sind als das Durchprobieren aller Schlüssel (Brute-Force-Attacken).

• Sie bieten hohe Sicherheit bei relativ kurzem Schlüssel. • Die Schlüsselerzeugung ist einfach, da gewöhnlich als Schlüssel jede Bitfolge einer

festen Länge erlaubt ist und als Schlüssel eine Zufallszahl gewählt werden kann. Nachteile symmetrischer Verfahren:

• Jeder Teilnehmer muß sämtliche Schlüssel seiner Kommunikationspartner geheimhalten.

• Zur Schlüsselverteilung sind sie weniger gut geeignet als asymmetrische Verfahren, insbesondere bei einer großen Anzahl von Kommunikationspartnern.

• Für Verbindlichkeitszwecke sind sie weniger praktikabel als asymmetrische Verfahren, da bei der Verwendung symmetrischer Schlüssel nicht ohne weiteres erkannt werden kann, welcher der beiden Kommunikationspartner die Nachricht verschlüsselt hat. Dies läßt sich nur durch eine zwischengeschaltete dritte Partei sicherstellen, die über entsprechende kryptographische Protokolle in den Nachrichtenfluß eingebunden wird.

Vorteile asymmetrischer Verfahren:

• Jeder Teilnehmer einer vertraulichen Kommunikation muß nur seinen eigenen privaten Schlüssel geheimhalten.

• Sie lassen sich einfach für digitale Signaturen benutzen. • Sie bieten elegante Lösungen für die Schlüsselverteilung in Netzen, da die

öffentlichen Schlüssel bzw. Schlüsselzertifikate frei zugänglich auf zentralen Servern gespeichert werden können, ohne die Sicherheit des Verfahrens zu beeinträchtigen.

• Sie sind gut geeignet für Nicht-Abstreitbarkeitszwecke. Nachteile asymmetrischer Verfahren:

• Sie sind langsam, d. h. sie haben im allgemeinen einen geringen Datendurchsatz. • Sicherheit: für alle bekannten Public-Key-Verfahren gilt:

o Es gibt wesentlich bessere Attacken als das Durchprobieren aller Schlüssel, deshalb werden (im Vergleich zu symmetrischen Verfahren) relativ lange Schlüssel benötigt, um ein gleich hohes Maß an Sicherheit zu erreichen.

o Die Sicherheit beruht "nur" auf der vermuteten, aber von der Fachwelt anerkannten, algorithmischen Schwierigkeit eines mathematischen Problems (zum Beispiel die Zerlegung einer großen Zahl in die Primfaktoren).

o Die Schlüsselerzeugung ist i. allg. komplex und aufwendig, da die Erzeugung "schwacher" Schlüsselpaare vermieden werden muß.



2.6 Digitale Signaturen Eine digitale Signatur dient dem Ziel, für digitale Dateien und Nachrichten ein Pendant zur handschriftlichen Unterschrift einsetzen zu können. Dazu werden kryptographische Verfahren wie Hashfunktionen und asymmetrische Verfahren zusammengeführt. Die wesentliche Voraussetzung für digitale Signaturen ist, daß jeder Teilnehmer ein nur ihm bekanntes Geheimnis besitzt, mit dem er zu beliebigen Dateien eine digitale Signatur bilden kann. Anhand von öffentlichen Informationen muß es dann möglich sein, diese digitale Signatur zu überprüfen. In diesem Sinne ist eine digitale Signatur ein spezieller Integritätsschutz mit zusätzlichen Besonderheiten. Eine digitale Signatur ist eine Kontrollinformation, die an eine Nachricht oder Datei angehängt wird, mit der folgende Eigenschaften verbunden sind:

• Anhand einer digitalen Signatur kann eindeutig festgestellt werden, wer diese erzeugt hat, und

• es ist authentisch überprüfbar, ob die Datei, an die die digitale Signatur angehängt wurde, identisch ist mit der Datei, die tatsächlich signiert wurde.

Kann also anhand der öffentlich zugänglichen Informationen die digitale Signatur verifiziert werden, so ist einerseits die Integrität der signierten Datei gegeben und andererseits die Nichtabstreitbarkeit, da nur die Person, der die digitale Signatur eindeutig zugeordnet werden kann, diese Signatur anhand ihrer geheimen Informationen gebildet haben kann. Zu beachten ist, daß unterschiedliche Dateien auch unterschiedliche digitale Signaturen zur Folge haben und das geringste Änderungen an den Dateien zu nicht verifizierbaren Signaturen führen. Beispiel: Ein weitverbreitetes Verfahren für digitale Signaturen ist die umgekehrte Anwendung des RSA-Verfahrens. Dabei besitzt jeder Teilnehmer einen nur ihm bekannten geheimen Signierschlüssel. Öffentlich zugänglich sind Verifizierschlüssel-Zertifikate, in denen der passende öffentliche Schlüssel und die Angaben zum Besitzer des passenden geheimen Signierschlüssels unfälschbar miteinander verknüpft sind. Diese Zertifikate werden von vertrauenswürdigen Stellen herausgegeben, die zuvor die Personalien der Teilnehmer geprüft haben.

2.6.1 Beispiel einer Digitalen Signatur Um für eine beliebige Datei eine digitale Signatur zu berechnen und zu prüfen, wird nun wie folgt vorgegangen: 1. Schritt: Alice berechnet den Hashwert der ausgewählten Datei. 2. Schritt: Alice verschlüsselt diesen Hashwert mit dem nur ihr bekannten geheimen Signierschlüssel. Das Ergebnis ist die digitale Signatur von Alice zu dieser Datei. 3. Schritt: Alice überträgt die digitale Signatur gemeinsam mit dem Verifizierschlüssel-Zertifikat und der Datei an Bob. Das folgende Bild zeigt diesen Ablauf.



4. Schritt: Bob verifiziert das Zertifikat (z. B. mit dem öffentlichen Schlüssel einer Zertifizierungsstelle). 5. Schritt: Bob berechnet den Hashwert der erhaltenen Datei. 6. Schritt: Anhand des im Verifizierschlüssel-Zertifikat enthaltenen öffentlichen Verifizierschlüssels entschlüsselt Bob die digitale Signatur. 7. Schritt: Bob vergleicht den in Schritt 4 berechneten Hashwert und die entschlüsselte Signatur. Sind sie identisch, so ist die digitale Signatur verifiziert. Besteht keine Gleichheit, kann Bob keine weiteren Schlüsse ziehen. 8. Schritt: Nach der Verifikation der digitalen Signatur kann Bob als Ergebnisse festhalten: Falls sichergestellt ist, daß tatsächlich nur Alice den geheimen Schlüssel besitzt, kann Bob sicher sein, daß die digitale Signatur von Alice, die im Verifizierschlüssel-Zertifikat aufgeführt ist, erzeugt wurde. Die erhaltene Datei ist identisch mit der Datei, für die Alice die digitale Signatur berechnet hat. Auch diesen Ablauf zeigt das folgende Bild

Betont sei, daß digitale Signaturen ausschließlich die Ziele Integrität und Nichtabstreitbarkeit sicherstellen, jedoch in keiner Weise die Vertraulichkeit. Eine digital signierte Nachricht wird im Klartext übertragen, ist sie vertraulich, muß sie zusätzlich verschlüsselt werden.



Enthält eine digital signierte Datei eine Willenserklärung des Signierers, kann dann anhand der Signatur diese Willenserklärung unabstreitbar dem Signierer, ggf. auch vor Gericht, zugerechnet werden. Die verwendeten Verifizierschlüssel-Zertifikate wiederum sind selbst von der vertrauenswürdigen Stelle digital signierte Dateien, die analog überprüft werden können und die Auskunft geben über den Verifizierschlüssel und die Person, die den dazu passenden geheimen Signierschlüssel besitzt. Man beachte die Unterschiede zwischen MACs und digitalen Signaturen: Die digitale Signatur kann durch jeden, der das Verifizierschlüssel-Zertifikat besitzt, verifiziert werden, MACs dagegen nur durch die Parteien, die den geheimen Authentisierungsschlüssel kennen. Alices digitale Signatur einer Nachricht kann nur von Alice erstellt werden, der MAC-Wert einer Nachricht dagegen von beiden Parteien, Alice und Bob (und allen anderen, die den geheimen Authentisierungsschlüssel kennen). Es ist deshalb unmöglich, MACs für den Zweck der Verbindlichkeit einzusetzen.



3 Hardware

3.1 Aladdin

3.1.1 Vorstellung der Hardware Wir haben von der Firma Aladdin freundlicherweise ein Demo Kit der Hardlockserie erhalten. Das Hardlock Software-Kopierschutz-System ist ein vielseitiges Kopierschutzmodul mit dem man entweder seine Software schützt oder Programme(teile) verdongelt. Daran interessierte uns am meisten die hardwarenahe Realisierung der Verschlüsselung und die Tatsache, dass das Demo Kit die aktuelle Hardware- und Software zur Verfügung stellte. Dieses Kit wollen wir im weiteren kurz vorstellen.

3.1.1.1 Hardlock CP-Card Die Crypto Programmer Card ist ein Teil des Hardlock Systemes. Mit der Crypto Programmer Card wird die Codierung der Module realisiert und man muss dieses nicht mehr aus der Hand geben. Durch dieses spezielle und individuelle Codier-Werkzeug bleibt die Kontrolle über die sensiblen Codierinformationen ausschließlich bei einem selbst. Die Crypto Programmer Card wird mit einem jeweils spezifischen Code hergestellt. Damit ist jede Karte ein Unikat. Die Produktion von codierten Hardlock Modulen wird exakt nach den eigenen Bedürfnissen bzw. Anforderungen realisiert.

Die Umcodierung mittels Crypto Programmer Card erleichtert einem das Update Handling oder den Neueinsatz beim Kunden. Die Bedienung erfolgt durch eine komfortable, menügeführte Software. Darüber hinaus kann man mit der Crypto Programmer Card jedem einzelnen Hardlock einen spezifischen Subcode zuordnen. Dadurch geben Sie jedem Schutzmodul ein unverwechselbares Verschlüsselungsverhalten. Die einzelnen Hardware-Varianten im Überblick:

3.1.1.2 Hardlock USB Die Firma Aladdin erkannte schon frühzeitig die Bedeutung des USB Standards für die Computer-Industrie und war eines der ersten Mitglieder im sog. 'USB Implementers-Forum'. Die Entwicklungsabteilung bekam den Auftrag, den neuen Standard für Aladdin zu erschließen und schon zur Systems 97 hatten sie den ersten USB Dongle der Welt mit dem Namen Hardlock USB vorgestellt. Dank der eigenen Stromversorgung der Schnittstelle

gewährleistet Hardlock USB auch beim Einsatz mehrerer Stecker einwandfreie Funktionalität. Bis zu 127 Stecker können laut USB Spezifikation angeschlossen werden, ohne daß dabei Adresskonflikte entstehen. Des Weitern muss keine physikalische Verbindung mit anderen Peripheriegeräten bestehen und daher gibt es auch keine Kompatibilitätsprobleme mit anderen Geräten untereinander. Einen Hardlock-USB kann man stets bequem an seinem Schlüsselbund tragen!



3.1.1.3 Hardlock Twin Das Hardlock Twin läßt sich, wie alle anderen Hardlock Produkte, nur mit der Crypto Programmer Card über eine kryptographisch abgesicherte Signatur codieren. Die softwareseitige Einbindung in die Programme ist kompatibel zum gesamten Hardlock-System. Der Hardlock Twin basiert auf einem ASIC (Application Specific Integrated Circuit) der neuen Generation. Ein Chip, der nicht von der Stange bezogen werden

kann. Er wurde eigens für die komplexen Anforderungen sowohl an der parallelen, als auch seriellen Schnittstelle entwickelt. Features des Hardlock Twin

- Parallele/serielle Funktionalität - Prämiertes Design - ASIC-Technologie - Hardwarebasierende Datenverschlüsselung / -entschlüsselung - Einheitliche API - kompatibel zum gesamten Hardlock System - Mit 128 Byte Memory Option erhältlich - Transparent und aneinanderreihbar an beiden Schnittstellen

3.1.2 Vorstellung der Software Die Hardlock Bistro Software, die zusammen mit dem Hardlock Developer's Kit geliefert wird, ist in vier Hauptteile gegliedert. Die komfortable graphische Benutzerumgebung (Graphical User Interface) ermöglicht esin wenigen einfachen Schritten eine bequeme Ausführung der kompliziertesten Arbeitsschritte zum Schützen der Software durchzuführen.

3.1.2.1 Hardlock Cappuccino Das Hardlock Cappuccino Prdukt ist Teil der Hardlock Bistro Software. Cappuccino ist das Werkzeug, mit dem genau festgelegt werden kann, wie das Hardlock kodiert werden soll. Man ist damit in der Lage, die Wahl des Codes durch die Crypto Programmer Card zu bestimmen und hier können die Spezifizierungen festgelegt werden, mit welchem Subcode das Programm arbeiten soll, z.B. wie die Memory Option kodiert wird, welche Zeitbegrenzungen implementiert werden sollen, usw... Durch das Linken der anderen Teile der Bistro-Software sammelt Cappuccino die Memory-Informationen für das Programm und alle Sublizenzierungs-Informationen sowie die persönlichen Kodierinformationen und "brennt" den Hardlock für den sicheren Betrieb.

3.1.2.2 Hardlock Latteccino Hardlock Latteccino bietet eine interaktive API Testmöglichkeit. Alle Funktionen der Hardlock API können aktiviert und ihre Ausführung getestet werden. Jede Funktion hat eine entprechende Dialogbox, um zu erkären, wozu die Funktion gebraucht wird und welcher API Status daraus resultiert. Die Helpfiles sind jederzeit für jede Funktion der Hardlock API erhältlich, zusammen mit Quellbeispielen, wie sie zu nutzen sind.

3.1.2.3 Hardlock Espresso Hardlock Espresso ist die "Schaltzentrale" des Software Hardlocksystems Bistro, in der alle Details der zu sichernden Daten oder Dateien ausgewählt werden und die Feinabstimmung



der Art des Schutzes vorgenommen wird. Hardlock Espresso ist außerdem ein Projektfenster, in dem alle Ihre Aktionen vollständig aufgezeichnet werden. Es ist kein Quellcode erforderlich, um die Software Hardlock Espresso zu verwenden. Markieren Sie einfach das zu schützende Programm, wählen Sie die gewünschten Parameter aus und die Anwendung wird Ihren Anforderungen entsprechend durch unsere eigene Patcher-Technologie geschützt. Hardlock Espresso verwendet zwar ein extrem komplexes Sicherheitssystem, ist aber dank der benutzerfreundlichen, leicht verständlichen graphischen Benutzeroberfläche einfach zu benutzen. Es verfügt über erweiterte Optionen wie zeitliche Beschränkungen, Häufigkeit von Hintergrundabfragen, Anti-Debugging-Maßnahmen usw., die einfach durch Anklicken im entsprechenden Fenster ausgewählt werden können.

3.1.2.4 Hardlock Gazzetta Alle Vorgänge rund ums Hardlock, vom Kodieren eines Schutzmoduls bis zum Generieren einer Lizenzdatei, werden von unserer Hardlock Datenbank (HL-DB) aufgezeichnet. Mit Gazzetta, kann der Lebenslauf jedes Hardlocks lückenlos verfolgt werden. Mit HL-Cappuccino, dem Programm zur Produktion und Verwaltung Ihrer Schutzmodule, lassen sich die Hardlock relevanten Informationen zusammenstellen und mit einem Kunden verknüpfen. Gazzetta verschafft den Gesamtüberblick über alle erzeugten Daten und visualisiert die Verknüpfung zwischen Kunde und Hardlock. Die Daten können durchsucht, gefiltert und exportiert werden, um sie anderen Applikationen zur Verfügung zu stellen. Alle relevanten Daten über die produzierten Hardlocks und die Verknüpfung zu einem Kunden werden in HL-DB protokolliert und sind jederzeit mit HL-Gazzetta einfach zu bearbeiten. Durch Gazzetta lassen sich die Kundendaten professionell weiterverarbeiten und können für Support, Updates oder Zielgruppen-Marketing eingesetzt werden, wie z.B. Mailings, Abfragen über Programm-Lizenzen, -Versionen oder -Module.

3.1.3 Überlegungen zum Demo Kit Wir haben uns von dem Demo Kit versprochen, dass wir uns Verschlüsselungsvorgänge, wie sie im laufenden Betrieb vonstatten gehen, visualisieren können. Leider wurden wir sehr schnell enttäuscht, da die Komplexität einer Verschlüsselung mit Absicht vor den Augen des Users verborgen wird. Das ist für den User auch das beste, nur unserem Bestreben nach Aufklärung steht das im Wege. Des Weitern musste ich der Firma versichern nicht die verwendeten Algorithmen und Verschlüsselungsverfahren aufzudecken, wenn ich an diese Informationen gelange sollte. Warum die Firma keine Angaben zu den verwendeten Algorithmen macht beliebt für uns zwar Unklar, aber wir müssen damit leben.



3.1.4 Testszenario Im ersten Test wollen wir ein Programmstart nur über den personalisierten USB Stick zulassen. Dazu rufen wir in der Bistrooberfläche das Unterprogramm Espresso auf und starten es.

In diesem Dialog muss das Hardlock initiiert werden (Testmodule haben feste ID) und die

ausführbare zu schützende Datei müssen ausgewählt werden.



In dieser Maske findet die Konfiguration statt. Leider kann außer auf die Verschlüsselungsdichte zu wirken keine weiteren kryptographischen Verfahren eingegangen werden

Das Programm wird verschlüsselt und für den ersten Start mit Hardlock USB konfiguriert.

Wenn der USB Stick nicht eingesteckt ist, dann verwehrt das Programm seinen Start mit folgender Meldung.



Der zweite Test befasst sich mit dem verschlüsseln einer *.txt Datei.

Auszug aus der unverschlüsselten Datei: Software : AVM WebWatch Betriebssystem : Windows Me, Windows 98, Windows 2000 Professional Version : 01.00.10 Build : 01.03.22

AVM WebWatch (Edition S.O.L.O CeBIT 2001)

1. AVM WebWatch - Treiber für ISDN-Controller 2. AVM WebWatch - Überblick 3. DNS Einstellungen für FRITZ!web oder DFÜ-Netzwerk 4. Deinstallation ______________________________________________________________________ 1. AVM WebWatch - Treiber für ISDN-Controller Diese Version 1.00.10 von AVM WebWatch ist grundsätzlich für ISDN-Geräte mit CAPI 2.0 und installiertem TCP/IP-Stack freigegeben. .......

Auszug aus der verschlüsselten Datei: �ëæ?Ö²>�w I��œ'Ø�ªà&kãlÈ€[»©ª×ù�*4O�¯6ÆÁ¹q¥¦ÞåaÍ—F,™†v�Ú3Þ�‰jŠ÷<y�ÝB«t¶��jæW`Dþ”bƒ�_Îu˜�½+pç �2Ëñ¬ò]� V³�.-ý‡gYÉ…|:€�LŒº0"?RÅ1J®Ó�9±ö„�•ohúf*ÿû�d\ìÂ‚‹{^é8N�ëâ}áíGÄ»ð�Z–�ß��w I��œ'Ø�ªà&kãlÈU[ü©øï �õ4O�¯6ÆÁ¹q¥¦ åaÍ-F,™†v�Ú3«�‰Š÷<-�ÝB=À¤#�jæW`Dþ”¸/Ù°r´>%·�“¢°¨MFˆþ›†ÕsIÔ"G<}·óßbõ�K4ú 1^å�)$²÷(v�½×ÛüŒ,[/O�â¬H63]Ì7ø�{2LÒ¤Ã.;_¾-…é?Å�Ø¢!Á#0©a*QWûæ�x¦Í��Þ‹É�E€@Î `Ðä:pnh5-£“ÙôýÝ�uÓ�ö�‰œ�8�¸'àDÆ�w§»šŠSçT«VlÂ Das Programm hat die Datei verschlüsselt. Leider gibt die Firma Aladdin hier keine weiteren Angaben zu den verwendeten Verschlüsselungsverfahren.



3.2 Chipkarten Es gibt verschiedene Typen von sogenannten Plastikkarten, die sich hinsichtlich der Informationsspeicherung, der Auslesetechnik und den Sicherungsmechanismen unterscheiden. Allen Karten gemeinsam sind die Abmessungen und mechanische Eigenschaften (Kartenmaterial, Biegsamkeit) die durch die ISO Norm geregelt sind. Es gibt folgende Typen von Karten: Prägekarten Die Information wird hochgeprägt, das Auslesen geschieht ohne Hilfsmittel. Sicherheit wird durch Unterschrift auf der Karte, Sperrdateien und schwer repoduzierbare Merkmale (z.B. Hologramm). Anwendung als Kreditkarte oder Kundenkarte. Magnetstreifenkarten Die Information wird auf einem Magnetstreifen auf der Rückseite gespeichert. Das Auslesen geschieht mit einem Kartenleser. Bei Kartenlesegeräten mit motorischem Karteneinzug ist auch ein Verändern der Information möglich. Sicherheit wird durch eine PIN, einen Fehlbedienungszähler und den bei Prägekarten genannten Sicherheitsfunktionen erreicht. Anwendung als EC-Karte, Kreditkarte oder Ausweis. Chipkarten Die Information wird in einem Halbleiterchip abgelegt, der mit einem Chipterminal ausgelesen wird. Ein Verändern der Information ist möglich. Neben reinen Speicheranwendungen können die Karten mit Eigenintelligenz bis hin zum kompletten Microcomputer ausgestattet sein. Sicherheit wird durch eine PIN und Challenge-Response-Protokolle in Verbindung mit Kryptoverfahren erreicht. Anwendung als Telefonkarten, Ausweiskarten, Kleingeldkarten etc. Hybridkarten Kombination von Chip- und Magnetstreifenkarten. Chipkartentypen Wir wollen uns in diesem Abschnitt auf die Chipkarten konzentrieren. Bei Chipkarten gibt es asynchrone und synchrone Typen von Karten.

Es gibt eine ganze Reihe von sogenannten Chipkarten, die sich hinsichtlich ihres internen physikalischen Aufbaus unterscheiden: Speicherchipkarten



Enthalten nur elektronischen Speicher (EPROM, EEPROM oder RAM) auf den direkt zugegriffen werden kann. Anwendung als Speichererweiterung für Kleinstrechner. Für solche Karten gibt es eine eigene Anschlußnorm (PCMCIA). Intelligente Speicherchipkarten Bei intelligenten Speicherchipkarten ist der Speicher (EPROM oder EEPROM) nur über eine festverdrahtete Sicherheitslogik zugänglich. Anwendung als Debitkarte (Telefonkarte). Prozessorchipkarten (SmartCards) Enthalten kompletten Rechner: Prozessor, ROM (EEPROM, EPROM) und RAM. Neben festverdrahten sind hier auch frei programmierbare Sicherungsfunktionen möglich. Insbesondere können Challenge-Response-Protokolle und Kryptoverfahren auf der Karte implementiert werden. Vielfältige Anwendungen, auch Multifunktionskarten. Superchipkarten Prozessorchipkarten mit eingebautem Display, Folientastatur und Folienbatterie. Funktionen auch ohne Kartenterminal möglich. Preis und Robustheit problematisch. Vielfältige Anwendungen.

3.2.1 Aufbau der Chipkarten Der Speicher Als Festwertspeicher werden EPROMS und EEPROMS für Programme und Daten verwendet. Diese EEPROM-Zellen können mindestens 10.000 mal umgeladen werden. Die Prozessorchipkarten enthalten daneben noch einige hundert Bytes an RAM. Der Festwertspeicher ist logisch in mehrere Bereiche aufgeteilt. Neben einem Common Data Field (CDF), das z.B. Name, Geburtsdatum, Kartennummer enthält, gibt es ein oder mehrere Application Data Fields (ADF). Diese enthalten Programme und Daten für jeweils eine Kartenapplikation. Die CPU Die CPU selbst hat eine Sicherheitslogik sowie Kryptoverfahren auf DES-Basis „eingebaut“, so dass nur noch der Schlüssel für die Kryptographie im EEPROM abgelegt werden muss. typische Werte: ein bis 16kByte RAM, 16kByte ROM und 16kByte EEPROM sowie eine Rechenleistung von einer Million Instruktionen pro Sekunde.



Die physikalische Sicherheit Die Speicherelemente von Chipkarten sind so realisiert, dass der Speicher nicht mit Elektronenmikroskopen ausgelesen werden kann. Ferner ist es praktisch unmöglich einen in die Plastikkarte eingebetteten Chip herauszulösen, ohne ihn dabei zu zerstören. Zugriffslogik Durch eine Zugriffslogik wird der Zugriff auf einzelne Datenbereiche geregelt. So kann für Datenfelder bestimmt werden, welche Applikation (oder welche Stelle) die Daten lesen, ändern oder neu schreiben darf (Speicherschutz). Diese Zugriffslogik kann festverdrahtet oder im Betriebssystem implementiert sein. Betriebssystem Prozessorchipkarten enthalten ein elementares Betriebssystem zum Beispiel TCOS 1.2 oder 2.0. Es ist für Teile des Speicherschutzes zuständig und kann Standardfunktionen anbieten. Hauptaufgabe ist die Realisation der Kommunikationsprotokolle sowie die Auswahl und der Zugriff auf die verschiedenen Kartenanwendungen bei Multifunktionskarten. Standardfunktionen Ein Satz von Standardfunktionen (v.a.: Kryptoverfahren, Kommunikations- und Authentifizierungsmethoden) soll die Erstellung von Chipkartenapplikationen erleichtern. Ein Problem heutiger Chipkarten ist das Fehlen echter Zufallsgeneratoren, wie sie für Kryptoverfahren benötigt werden.

3.2.2 Kryptographie auf der Chipkarte Es gibt eine enge Verbindung zwischen Chipkarten und den modernen Kryptoverfahren. Ohne Chipkarten ist ein sichere Speicherung der geheimen Schlüsseln für die Kryptoverfahren kaum noch denkbar. Moderne Schlüssel werden mit Zufallsgeneratoren erzeugt und sind sehr lang, so dass die traditionelle Methode des "Merkens" von Schlüsseln nicht mehr möglich ist. Die Chipkarte mit ihrem durch physikalische und logische Sicherungsfunktionen geschützten Speicher und ihren handlichen Abmessungen scheint dagegen bestens für diese Aufgabe geeignet zu sein. Andererseits sind viele Sicherungsfunktionen mit Chipkarten erst durch den Einsatz von Kryptoverfahren möglich geworden. Insbesondere die Challenge-Response-Protokolle verlangen nach sicheren Kryptoverfahren, die auch auf Chipkarten implementiert werden können.

3.2.3 Schnittstelle zum Kartenterminal Man unterscheidet grundsätzlich zwischen zwei verschiedenen Schnittstellen zum Kartenterminal: Chipkarten mit Kontakten Chipkarten, die über vergoldete Kontaktflächen Verbindung zum Chipkartenterminal aufnehmen. Sie gelten als ausreichend zuverlässig. Kontaktlose Chipkarten Chipkarten, die über Koppelelemente (kapazitiv bzw. induktiv) Verbindung zur Außenwelt aufnehmen. Für stark verschmutzen Umgebungen. Größere Entfernungen zwischen Karte und Chipkartenterminal möglich.



3.2.4 Chipkartentechnik Die Chipkartentechnik ermöglicht es, Transaktionen offline durchzuführen. Es genügt daher "zu kontrollieren, ob der Betreffende berechtigt ist". Niemand braucht wissen, wer was wann tut. Großes Speichervolumen und Eigenintelligenz erlauben es, anfallende persönliche Daten auf der Karte zu speichern und die Zusammenfassung der Daten dort durchzuführen. So bleiben heikle Daten in der Hand des Besitzers und Summendaten (z.B. Monatsabrechnung) sind trotzdem verfügbar. Ein Risiko stellt die Tatsache dar, dass den Chipkarten ist von außen nicht anzusehen, welche Daten und Programme sie enthalten. Insbesondere kann der Endanwender nicht kontrollieren, ob auf der Karte nicht unberechtigte Informationen ausgelesen, verändert oder gespeichert werden. Durch einseitige Sicherheits- und Vermarktungsinteressen seitens des Staates und der Industrie gibt es immer mehr Chipkartenanwendungen. Zum Teil wird die Chipkarte als Allheilmittel für Sicherheitsprobleme gesehen. Es stellt sich hier die Frage, ob der gleiche Sicherheitsstandard nicht mit weniger Technik und weniger Datenerfassung möglich ist. Zumindest muß immer geregelt werden, welche Daten erfasst und wie sie verarbeitet werden. Transaktionen mit Chipkarten sind immer Abstraktionen. Was bisher real und sichtbar geschah, wird nun durch den abstrakten Austausch von Zahlen realisiert. Damit stellt sich aber ein Realitätsverlust bei den Anwendern ein, der zum Unterschätzen des eigenen Handelns und zur leichten Beeinflussbarkeit führen kann. Mit der zunehmenden Verbreitung von (Multifunktions-)Chipkarten besteht auch die Gefahr, daß die Person auf die Chipkarte reduziert wird. Verliert man seine Karte, bekommt erst gar keine (weil man z.B. in bestimmten Sperrdateien gelistet ist) oder wird die Karte gesperrt, ist der persönliche Handlungsspielraum stark eingeengt. Mit dem Einsatz von Chipkarten steigt auch die Abhängigkeit von der Ausfallsicherheit der damit verbundenen Computersysteme. Die Risiken eines Ausfalls sind hoch, insbesondere dann, wenn kein funktionales nicht-elektronisches Äquivalent (z.B. Papiergeld) mehr existiert.

3.2.5 Krypto-Controller-Karte

Architektur einer Mikroprozessorkarte mit Krypto-Controller

Eine Krypto-Controller-Karte ist die Weiterentwicklung einer Mikroprozessorkarte. Sie enthält die Grundeinheit und einen zusätzlichen Krypto-Controller. Bei diesem Typ von Chipkarte wird sehr auf Sicherheit und Datenverschlüsselung geachtet. Sogenannte asymmetrische Verschlüsselungsverfahren werden hierbei angewendet. Sie benötigen zwei Schlüssel, einen zum Verschlüsseln den anderen zum Entschlüsseln. Sowohl Verschlüsselungsfunktion als auch ein Schlüssel selbst sind auf der Chipkarte gespeichert, sie verlassen aber die Karte nie und sind von außen her nicht lesbar. Diese Verschlüsselungsalgorithmen würden auch ohne Krypto-Controller arbeiten, allerdings müßte man auf eine berechnete Verschlüsselung dann ca. 160 Sekunden warten, was für Anwendungen nicht akzeptabel ist. Der Krypto-Coprozessor wurde so entwickelt, daß er die benötigten Rechenoperationen wie Multiplikation, Exponentation oder Modulo-



Berechnungen wesentlich schneller ausführt, so daß eine Verschlüsselung nur noch etwa eine Sekunde dauert. Für die gleichen Berechnungen würde ein 486er PC 20 Sekunden benötigen. Diese Rechengeschwindigkeit kommt durch eine sehr breite Architektur von bis zu 140 Bit zustande. Aufgerufen wird der Krypto-Controller vom Prozessor, der entweder direkt die abzuarbeitenden Daten oder einen Zeiger auf diese übergibt und dann mit einem Befehl die Abarbeitung startet. Nachdem die Berechnung fertiggestellt und das Ergebnis im RAM abgelegt ist, erhält der Prozessor die Kontrolle über den Chip wieder zurück. Zusammen mit der Fähigkeit Kryptoalgorithmen zu rechnen, ermöglicht die Chipkarte mit Krypto-Controller die Realisierung eines handlichen Sicherheitsmoduls. Diese spezielle Chipkarte ist ideal für die Anwendung als elektronische Geldbörse. Außerdem wären mögliche Einsätze beim Home-Banking oder für eine geschützte Sprach- und Faxübertragung denkbar.



4 Zusammenfassung Die Kryptographie ist ein sehr komplexes und weiträumiges Thema. Aber eines ist selbstverständlich die Sicherheit eines Systems hängt von vielen Faktoren. Bei den Verfahren im Speziellen ist es sehr wichtig, dass der Algorithmus öffentlich gemacht wird, damit keine Hintertüren eingebaut werden können. Der zweite wichtige Schritt ist die Geheimhaltung der Schlüssel. Der beste Algorithmus nützt nichts, wenn bei den Schlüsseln keine Sorgfalt an den Tag gelegt wird. Der Trend bei den Chipkarten geht eindeutig zu den intelligenten- bzw. Prozessorenchipkarten. Wenn die Sicherheit eine große Rolle spielt, dann kommen die integrierten Krypto-Controller auf den Prozessorchipkarten zum Einsatz. Nicht zu vergessen ist die Initiative des Staates. Dieser Konflikt über das Abhörinteresse des Staates gegen das Persönlichkeitsrecht (Datenschutz) des Bürgers muss ernst genommen werden. Wir sind mal wieder im Vergleich zu den USA mit diesem Thema noch nicht so vertraut, denn in den USA ist hierüber bereits eine breite Diskussion (zumindest in Fachkreisen) im Gange.



5 Literatur

Diplomarbeit „Geldkarte“

• http://ig.cs.tu-berlin.de/da/042/diplom.html

Verschlüsselungsverfahren mit öffentlichen Schlüsseln

• http://homepage.uibk.ac.at/~c72850/teaching/ws2000/material/krypto/bacher-ausarbeitung.pdf

Unterrichtsreihe zur Kryptografie

• http://www.learn-line.nrw.de/angebote/werkstattzbw/ krypto/kryptoreihe.html

Kryptographische Verfahren und Anwendungen

• Prof.Dr. C.Ruland, Universität Siegen

Smart Cards

• http://fit.gmd.de/~cactus/smartcards.html • http://www.uni-weimar.de/~schott2/sc/

Buch: Kryptographie Verfahren, Ziele, Einsatzmöglichkeiten

• Kryptographie Verfahren, Ziele, Einsatzmöglichkeiten • ISBN 3-89721-155-6

Documents

Kryptographie - TitleFrame · Michael Sichler Malte Knaack Kryptographie 25. Juni 2001 Seite 5 von 42 1.1.2 Aktive Angriffe Bei aktiven Angriffen werden Nachrichten verfälscht bzw