IT-Sicherheit · 8 KAPITEL 1. GRUNDLAGEN DER IT-SICHERHEIT Abbildung 1.1: Ursachen von Datendiebst ahlen und Datenpannen, Quelle: Symantec [ ? ] Systeme ein geringes Hindernis dar

IT-Sicherheit

Prof. Dr.Harald Baier Prof. Dr. Stefan EdelkampProf. Dr.Marian Magraf Sebastian Gartner Sven Ossenbuhl

4. Dezember 2016

2

Inhaltsverzeichnis

1 Grundlagen der IT-Sicherheit 71.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71.2 Grundlegende Begriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

1.2.1 Information, Daten, IT-System, IT-Verbund . . . . . . . . . . . . . . . . . . 91.2.2 Sicherheit (Security vs. Safety) . . . . . . . . . . . . . . . . . . . . . . . . . 101.2.3 Authentifikation, Authentisierung und Autorisation . . . . . . . . . . . . . 11

1.3 Schutzziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121.3.1 Vertraulichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121.3.2 Integritat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141.3.3 Authentizitat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141.3.4 Zurechenbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151.3.5 Verfugbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161.3.6 Anonymitat, Pseudonymitat . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

1.4 Weitere grundlegende Begriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181.4.1 Gefahr, Bedrohung, Verwundbarkeit und Risiko . . . . . . . . . . . . . . . . 181.4.2 Angriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201.4.3 Angreifertypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211.4.4 Abwehr von Angriffen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

1.5 Rechtlicher Rahmen und Privacy by Design . . . . . . . . . . . . . . . . . . . . . . 221.6 Security Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241.7 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271.8 Ubungsaufgaben zum Kapitel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

2 Einfuhrung in die Kryptologie 292.1 Kryptographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292.2 Verschlusselungsverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

2.2.1 Symmetrische Verschlusselungsverfahren . . . . . . . . . . . . . . . . . . . . 332.2.2 Asymmetrische Verschlusselungsverfahren . . . . . . . . . . . . . . . . . . . 352.2.3 Hybride Verschlusselungsverfahren . . . . . . . . . . . . . . . . . . . . . . . 36

2.3 Signaturverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372.3.1 Symmetrische Signaturverfahren – Message Authentication Code . . . . . . 382.3.2 Asymmetrische Signaturverfahren – Elektronische Signaturen . . . . . . . . 39

2.4 Hashfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

3 Moderne kryptographische Verfahren 433.1 Einfuhrung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433.2 Symmetrische Kryptosysteme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

3.2.1 Stromchiffren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443.2.2 Blockchiffren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453.2.3 Data Encryption Standard . . . . . . . . . . . . . . . . . . . . . . . . . . . 513.2.4 Advanced Encryption Standard . . . . . . . . . . . . . . . . . . . . . . . . . 523.2.5 Mehrfachverschlusselung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

3

4 INHALTSVERZEICHNIS

3.3 Hashfunktionen (informativ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553.4 Message Authentication Code (informativ) . . . . . . . . . . . . . . . . . . . . . . . 573.5 Secure Messaging (informativ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583.6 Das asymmetrische Verschlusselungsverfahren RSA . . . . . . . . . . . . . . . . . . 59

3.6.1 Mathematische Grundlagen von RSA . . . . . . . . . . . . . . . . . . . . . 603.6.2 RSA-Verschlusselung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 623.6.3 Sicherheit von RSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

3.7 Das RSA-Signaturverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663.8 Schlusselaustauschverfahren nach Diffie und Hellman (informativ) . . . . . . . . . . 693.9 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

4 Public Key Infrastruktur 734.1 Einfuhrung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 734.2 Vertrauensmodelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 744.3 Aufbau einer PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 754.4 Zertifikate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

5 Netzwerksicherheit 835.1 Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

5.1.1 OSI-Referenzmodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 855.1.2 Sichere Kommunikationsprotokolle . . . . . . . . . . . . . . . . . . . . . . . 865.1.3 Netz-basierte Angriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

5.2 SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 885.2.1 TLS Protokollstack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 895.2.2 Sicherheitsparadigmen und CipherSuites . . . . . . . . . . . . . . . . . . . . 905.2.3 Funktionsweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 915.2.4 Sicherheit von TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

6 IT-Forensik 976.1 Einfuhrung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 976.2 Grundlagen und Begriffsklarung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 986.3 Prinzipien und Vorgehensmodelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

6.3.1 Prinzipien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1006.3.2 Vorgehensmodelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

6.4 Abstraktionsebenen der IT-Forensik und Tools . . . . . . . . . . . . . . . . . . . . 1036.4.1 Datentragerebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1036.4.2 Dateisystemanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

7 Authentifikation 1137.1 Grundlegende Begriffe und Authentifikationsklassen . . . . . . . . . . . . . . . . . 1137.2 Wissens-basierte Authentifikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

7.2.1 Passwort-basierte Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . 1157.2.2 Authentifikation in Unix-Systemen . . . . . . . . . . . . . . . . . . . . . . . 121

7.3 Biometrische Authentifikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1237.3.1 Biometrisches System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1247.3.2 Biometrische Modalitaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1277.3.3 Vor- und Nachteile biometrischer Verfahren . . . . . . . . . . . . . . . . . . 128

INHALTSVERZEICHNIS 5

Impressum

Adresse: Hochschule Darmstadt (Rechteinhaber)Fachbereich InformatikHaardtring 10064295 Darmstadt

Bearbeitung: Prof. Dr. Harald Baier, Prof. Dr. Stefan Edelkamp, Sebastian Gartner, Sven Os-senbuhl

Lehrziele: In diesem Modul werden Ihnen die Grundbegriffe aus dem Bereich der Sicherheit vonInformationssystemen, sowie ausgewahlte Konzepte und Verfahren vermittelt.

Zunachst werden die Motivation, Ziele und Herausforderungen der IT-Sicherheit betrachtet, womiteine fundierte Wissensbasis fur die weiteren Kapitel geschaffen wird. Hierbei sollen Sie die Grund-begriffe aus dem Bereich der IT-Sicherheit kennenlernen und ein Bewusstsein fur Sicherheitsrisi-ken und -probleme entwickeln. Im weiteren Verlauf dieses Moduls werden Ihnen die theoretischenGrundlagen der Kryptologie, moderne Verschlusselungsverfahren, Authentifikationsverfahren so-wie Themen der Netzwerksicherheit naher gebracht.

Sie sollen mit den aktuellen verwendeten Verfahren und Konzepten vertraut sein sowie ihre Anwen-dung beurteilen konnen. Des Weiteren sollen Sie wissen, welche dieser Verfahren in heute ublichenSystemen verwendet werden und wieso diese dort Anwendung finden.

Auflage: 1

6 INHALTSVERZEICHNIS

Kapitel 1

Grundlagen der IT-Sicherheit

1.1 Einleitung

Durch die technische Entwicklung der letzten Jahre nehmen Informationssysteme einen immerhoheren Stellenwert in unserem taglichen Leben ein. Ob im Gesundheitswesen, in der Finanzwirt-schaft oder im Automobilbereich, IT-Systeme sind in nahezu allen Bereichen fest integriert – undnicht nur im beruflichen Bereich, sondern auch in unserem Privatleben sind diese Systeme einfester Bestandteil.

Dabei haben sich Informationen zu wertvollen Gutern entwickelt. Aus dieser Entwicklung er-geben sich neue Problemstellungen und Herausforderungen im IT-Bereich. Insbesondere wachstder Kreis derjenigen, die an diesen Informationen interessiert sind, wodurch auch die Anzahl derSchadensfalle kontinuierlich wachst. Dazu ein paar prominente Beispiele aus den Jahren 2013 bis2015.

Nicht nur die NSA (National Security Agency) geriet durch das von ihr betriebene PRISM Pro-jekt in den Fokus der Offentlichkeit. Der britische Nachrichtendienst GCHQ (Government Commu-nications Headquarters) soll europaische Kommunikations- bzw. Verbindungsdaten uberwachen [?] und fur Angriffe auf Internet Service Provider europaischer Institutionen verantwortlich sein [?]. Auch der Spahangriff auf das Mobiltelefon der deutschen Bundeskanzlerin sowie die Infiltrationdes Netzwerks des Deutschen Bundestags sind prominente Beispiele fur IT-Sicherheitsvorfalle.

Dadurch ist das Gebiet der IT-Sicherheit starker in den offentlichen und auch politischen Fo-kus geruckt. IT-Sicherheit beinhaltet Konzepte und Verfahren unterschiedlicher Disziplinen, mitderen Hilfe Angriffe verhindert, fruhzeitig erkannt sowie im Schadensfall auf diese reagiert werdenkann. Das Ziel dabei ist das Ausmaß der durch den Angriff entstehenden Schaden zu minimieren.Klassischen Disziplinen der IT-Sicherheit sind Kryptographie, Netzwerksicherheit, Softwaresicher-heit, Biometrie sowie IT-Sicherheitsmanagement (z.B. organisatorische oder raumliche Maßnah-men). Daneben zahlt mittlerweile auch die IT-Forensik als Blick in die Vergangenheit z.B. zurgerichtsverwertbaren Aufarbeitung von Straftaten im digitalen Raum zu den Teilgebieten der IT-Sicherheit.

IT-Sicherheit verlangt Wachsamkeit und Beachtung grundlegender Verhaltensweisen. Missach-tung von Sicherheitskriterien und -maßnahmen resultieren in zunehmenden Datendiebstahlen undDatenpannen, die wirtschaftliche Schaden zur Folge haben. Wie Abbildung 1.1 verdeutlicht, sindhierbei Angriffe durch Dritte gefolgt von Fahrlassigkeiten seitens der Anwender und Diebstahlbzw. Verlust des physischen Mediums die haufigsten Ursachen.

Wir gehen kurz auf den Begriff Angriff sowie die unterschiedlichen Angreifertypen ein, Detailsfolgen in Abschnitt 1.4 naher ein.Der Sicherheitsbericht der Firma Symantec aus 2013 verzeichneteinen Anstieg der gezielten Angriffe auf Unternehmen um 40% im Vergleich zum Vorjahr [? ].Hierbei stehen hauptsachlich Produktions- und Finanzbetriebe im Fokus (siehe Abbildung 1.2).In den meisten Fallen zielen die Angriffe auf kleine und mittelstandische Unternehmen ab [? ],die oft uber unzureichende Sicherheitsmaßnahmen verfugen. Somit stellt das Eindringen in deren

7

8 KAPITEL 1. GRUNDLAGEN DER IT-SICHERHEIT

Abbildung 1.1: Ursachen von Datendiebstahlen und Datenpannen, Quelle: Symantec [? ]

Systeme ein geringes Hindernis dar. Oftmals befinden sich die Unternehmen in der Supply Chainvon Großunternehmen und bieten somit eine Art Eintrittspforte fur weitreichendere Angriffe.

Abbildung 1.2: Angriffsziele nach Industrie, Quelle: Symantec [? ]

Allerdings stellen nicht nur Angriffe von außen eine Bedrohung dar. Der Datendiebstahl beiVodafone vom September 2013 zeigte, dass auch von Insiderangriffen eine große Gefahr ausgeht [?].

Neben den Angriffen im wirtschaftlichen Sektor nehmen auch die Bedrohungen im privatenBereich zu. Die Angriffe beschranken sich hierbei nicht auf den klassischen Heim PC. Aufgrundder stark anwachsend Zahl der mobilen Gerate wie Smartphones und Tablets stehen diese ebenfallsim Fokus der Kriminellen [? ].

Die Anzahl der Schadsoftware und infizierten Webseiten ist gegenuber den Vorjahren stetigangestiegen. Die Zahl der kompromittierten Computer lag im Jahr 2012 schatzungsweise bei rund3,4 Millionen [vgl. ? , Seite 12].

1.2. GRUNDLEGENDE BEGRIFFE 9

Aufgrund der steigenden kriminellen Motivation hat sich in den letzten Jahren ein regelrech-ter Markt entwickelt. Dieser wird als Underground Economy bezeichnet. Beispielsweise existierenkommerzielle Toolkits und Frameworks fur die Erstellung von Malware und Durchfuhrung vonAngriffen. Somit ist es moglich, einen Cyberangriff als Dienstleistung fur Dritte anzubieten [? ?]. Außerdem konnen dadurch Personen ohne technisches Know-how Angriffe starten und ernst zunehmende wirtschaftliche Schaden anrichten [? ].

Mit der zunehmenden Anzahl der Angriffe steigt nicht nur der Bedarf an technischen Sicher-heitslosungen, sondern auch an qualifizierten Fachkraften, die im Unternehmen mit fundiertenEntscheidungen und Maßnahmen zur Sicherheit der IT-Infrastruktur beitragen. Die Bedeutungund Dringlichkeit sicherer Informationssysteme wird auch anhand der Existenz staatlicher Einrich-tungen wie dem Bundesamt fur Sicherheit in der Informationstechnik (BSI) und der steigendenfinanziellen Forderung im Forschungsbereich deutlich. Das staatliche Interesse umfasst hierbeineben dem wirtschaftlichen Bereich auch militarische Zwecke bzw. Spionage. So soll das briti-sche Verteidigungsministerium in den kommenden Jahren fur eine neue Einheit zur Abwehr undDurchfuhrung von Cyberangriffen rund 500 Millionen Pfund erhalten [? ].

1.2 Grundlegende Begriffe

In diesem Abschnitt werden die grundlegenden Begriffe im Kontext der IT-Sicherheit definiert.Von zentraler Bedeutung sind Begriffe wie Information, Daten, Bedrohung, Risiko sowie Sicherheitvon Informationssystemen. Da sich in der Fachliteratur keine einheitliche Definition vieler Begriffedurchgesetzt hat, werden verschiedene Definitionen unterschiedlicher Autoren verglichen.

Dieser Abschnitt orientiert sich an der Literatur von Claudia Eckert [? ], Dieter Gollmann [?], William Stallings [? ] sowie an den Grundschutzstandards des BSI [? ].

1.2.1 Information, Daten, IT-System, IT-Verbund

Bevor ein technischer Bezug zu IT-Systemen hergestellt wird, soll zuerst der Unterschied zwischenDaten und Informationen verdeutlicht werden. Obschon ein intuitives Verstandnis fur den BegriffInformation allgemein existiert, ist eine Definition eher schwierig. Der Duden1 gibt unter anderemdie folgenden Erklarungen:

1 das Informieren; Unterrichtung uber eine bestimmte Sache; Kurzwort: Info

2a [auf Anfrage erteilte] uber alles Wissenswerte in Kenntnis setzende, offizielle, detaillierteMitteilung uber jemanden, etwas

2a Außerung oder Hinweis, mit dem jemand von einer [wichtigen, politischen] Sache in Kennt-nis gesetzt wird.

Eine Information hat fur den Empfanger einen Neuigkeitsgehalt. Ihre Form kann unterschiedlichsein: gesprochen, geschrieben, gedacht, elektronisch.

Im Unterschied dazu reprasentieren Daten die Information, etwa als Bytefolge gespeichert aufeiner Festplatte oder als Netzwerkpaket. Eine Information, das heißt Wissen, ergibt sich aus einerentsprechenden Interpretation der Daten. Daher ist Datensicherheit spezieller als Informations-sicherheit, denn Ersteres widmet sich ’nur’ der Reprasentation der Information, Letzteres derInformation selbst (und damit naturlich auch den Daten). In der Mathematik kennt man denBegriff der Teilmenge, symbolisiert durch die Relation ⊂. Bitte merken Sie sich die eben genannteEigenschaft, dass Datensicherheit spezieller als Informationssicherheit ist, mittels der Relation

Datensicherheit ⊂ Informationssicherheit.

Ein IT-System speichert, verarbeitet und ubertragt Informationen – allerdings werden diese inden IT-Systemen in Form von Datenobjekten reprasentiert. Diese konnen uber definierte Schnitt-stellen von anderen Subjekten (z.B. Anwendern oder IT-Systemen) genutzt werden. Beispiele sind

1www.duden.de

www.duden.de


Nutzergerate wie Computer, Laptops, Smartphones und Tablets, aber auch Netzgerate wie Rou-ter oder Switche. Und auch ein Drucker, Scanner oder ein Faxgerat speichert, verarbeitet undubertragt Informationen und ist daher ein IT-System. Ein und dieselbe Information kann sichhierbei in unterschiedlichen Datenobjekten befinden. Beispielsweise kann der Inhalt eines Doku-ments als Binarzeichenfolge auf der Festplatte oder im Falle einer Ubertragung in den Nutzdateneines IP-Pakets enthalten sein.

Ein Informationsverbund (oder auch IT-Verbund) ist die Gesamtheit von infrastrukturellen,organisatorischen, personellen und technischen Objekten, die der Aufgabenerfullung in einem be-stimmten Anwendungsbereich der Informationsverarbeitung dienen. Ein IT-Verbund kann ver-schiedene Auspagungen haben, z.B. eine gesamte Institution (z.B. Firma, Behorde), einzelne Be-reiche einer Institution, die in organisatorische Strukturen (z.B. Abteilungen) gegliedert sind odereinzelne Bereiche einer Institution, die gemeinsame Geschaftsprozesse bzw. Anwendungen haben

Fur den Fluss der Informationen, der bei einer Kommunikation zwischen einem Sender undEmpfanger stattfindet, sind entsprechende Kanale notwendig. Dabei wird zwischen legitimenKanalen, die fur den Informationsaustausch vorgesehen sind, und verdeckten Kanalen, die fureinen Informationsaustausch, absichtlich oder unabsichtlich, missbraucht werden konnen, unter-schieden. Beispiele fur verdeckte Kanale sind der Austausch zwischen Sender und Empfanger uberversteckte Botschaften in Bildern (Steganographie) oder das Injizieren von Bytes in unbenutzteFelder eines Netzwerkpaket-Headers. Ebenso besteht die Moglichkeit, dass Ausfuhrungszeiten vonProzessen einem Beobachter wertvolle Informationen liefern (sogenannte Seitenkanale).

1.2.2 Sicherheit (Security vs. Safety)

Der allgemeine Begriff der Sicherheit beschreibt einen Zustand oder subjektiven Eindruck frei vonGefahr. Dies bedeutet, dass ein Subjekt oder Objekt, sei es eine Person oder ein Gut, vor negati-ven Einflussen einer potenziellen Bedrohung geschutzt ist. Interessant ist das Attribut subjektiv,bedeutet es doch, dass Sicherheit nur relativ zur eigenen Wahrnehmung ist. Dieser Sachverhaltwird politisch oft ausgenutzt, etwa bei den Anti-Terrorgesetzen in der Folge der Anschlage vom11.09.2001, uber deren Sicherheitsgewinn durchaus diskutiert werden kann.

Im Zusammenhang dem Begriff Sicherheit stehen andere Begriffe wie der oben verwendeteBedrohung, aber auch Gefahr, Gefahrdung, Angriff sowie Risiko. Auf diese Begriffe gehen wir inAbschnitt 1.4 ein, wenn wir die Schutzziele aus Abschnitt 1.3 kennen.

In einem IT-System, welches Informationen verarbeitet, speichert und ubertragt, sollen dieseInformationen (bzw. Daten) vor potentiellen Gefahren geschutzt werden. Hierbei bedarf es einerUnterscheidung der Begriffe Informationssicherheit und IT-Sicherheit, wie sie zum Beispiel vomBSI vorgenommen wird [? ]:

• Die Informationssicherheit beschreibt den Schutz der Informationen, und zwar unabhangigvon ihrer Reprasentation. Das heißt, die Informationen konnen z.B. auf Papier oder in elek-tronischer Form auf einem Rechner gespeichert sein. Bitte beachten Sie, dass Informations-sicherheit immer relativ zu einem bestimmten Schutzziel zu verstehen ist, das man erreichenmochte. Auf die Schutzziele gehen wir in Abschnitt 1.3 ein.

• Die IT-Sicherheit befasst sich andererseits mit dem Schutz der elektronischen Informationenund bildet somit ein Teilgebiet der Informationssicherheit. Auch hier gilt, dass IT-Sicherheitstets relativ zu den relevanten Schutzzielen zu verstehen ist.

Im Kontext von IT-Systemen ist der deutsche Begriff Sicherheit mit zwei unterschiedlichenBedeutungen belegt, die im Englischen als Safety sowie Security ubersetzt werden. Eckert [? ]beschreibt diese Begriffe wie folgt:

• Security konnen wir als Informationssicherheit ubersetzen. Bei Security ist die Resistenz vonIT-Systemen gegenuber Angreifern von Bedeutung. Es geht hierbei also um den Schutz vornegativen Konsequenzen aus unberechtigten bzw. vorsatzlichen Handlungen. Daher wird imZusammenhang mit Security oft auch von Angriffssicherheit gesprochen.

1.2. GRUNDLEGENDE BEGRIFFE 11

• Safety hingegen ist die Funktionssicherheit. Ein IT-System erfullt die Eigenschaft der Funk-tionssicherheit, wenn es keine unzulassigen Zustande annimmt. Anders formuliert bedeutetdas, dass das System keiner Fehlfunktion unterliegt und unter normalen Betriebsbedingun-gen wie vorgesehen funktioniert. Berechtigte Handlungen fuhren also zu keinen negativenKonsequenzen. Daher wird Safety oft auch Betriebssicherheit genannt.

Zusammenfassend kann die Motivation der IT-Sicherheit wie folgt formuliert werden: Un-erwunschte Effekte, die durch Dritte verursacht werden, sollen vermieden, fruhzeitig erkannt undebenfalls soll rechtzeitig auf diese reagiert werden, um einen Schaden (also eine negative Konse-quenz) abzuwenden.

Ein Kernbestandteil bei Betrachtungen uber Sicherheit im Allgemeinen und IT-Sicherheit imBesonderen ist Pravention. Darunter versteht man das Verhindern von Schaden durch geeigne-te Maßnahmen vor Eintritt eines Schadensfalls. Im Falle der IT-Sicherheit stellen Sie sich zumBeispiel vor, dass alle ausgetauschten E-Mails und Dokumente verschlusselt werden mussen (zurVerschlusselung siehe Abschnitt 1.3.1). Ein Alltagsbeispiel zur Pravention von Geldfalschungensind physikalische Sicherheitsmerkmale der Geldscheine wie Wasserzeichen, Sicherheitsfaden, Per-forationen.

1.2.3 Authentifikation, Authentisierung und Autorisation

Informationen sind oft nur bestimmten Personen vorbehalten, daher besteht die Notwendigkeit,den Zugang zu einem IT-System und den Zugriff auf die Daten in geeignetem Maße zu kontrollieren.Dieser Vorgang wird auch als Zugriffskontrolle bezeichnet.

Typischerweise ist eine wesentliche Voraussetzung fur die Zugriffskontrolle, dass vor dem Zu-griff auf ein IT-System die behauptete Identitat eines Subjekts gepruft wird: der Nutzer muss au-thentifiziert werden. Diese Authentifikation wird vom IT-System durchgefuhrt. Nach erfolgreicherAuthentifikation weiß das IT-System, wer sich am IT-System angemeldet hat. Oft wird Authenti-fikation auch als Authentifizierung bezeichnet. Authentifikation ist also die Sicht des IT-Systemsauf die Prufung der Identitat.

Die Sicht des Subjekts auf diesen Prozess heißt Authentisierung. Authentisierung bedeutet,dass das Subjekt Informationen an das IT-System liefert, damit dieses die Authentifizierungdurchfuhren kann. Ein gangiges Beispiel zu solchen Authentisierungsinformationen sind Benutzer-name und Passwort. An Hand dieser Informationen kann das IT-System den Identitatsnachweismittels Authentifikation durchfuhren. Wir geben in Definition 1 die Erklarung beider Begriffe an.

Definition 1 (Authentifikation, Authentisierung). Unter Authentisierung wird der Nachweisder behaupteten Identitat durch ein Subjekt verstanden. Authentifikation oder auch Authenti-fizierung bedeutet dann die Prufung des Nachweises.

Der Duden kennt das Wort Authentisierung nicht, unter Authentifikation finden Sie die Be-schreibung die Identitatsprufung eines Benutzers als Zugangs- und Rechtekontrolle fur ein System(z.B. durch Passwort). Die Funktion der Authentifikation ist also die Prufung der Korrektheit einerbehaupteten Identitat, nachdem im ersten Schritt der Authentisierung das Subjekt den Nachweiserbracht hat.

Beide Begriffe – Authentifikation und Authentisierung – werden im Deutschen oft synonym alsder Prozess des Identitatsnachweises verwendet. Das liegt vermutlich daran, dass beide Begriffe imEnglischen authentication genannt werden. Sie sollten sich aber dennoch bemuhen, beide Begriffevoneinander abzugrenzen und korrekt zu verwenden. In Abschnitt 1.3.3 werden Sie das SchutzzielAuthentizitat kennenlernen und damit auch Techniken, wie die Authentizitat gepruft werden kann.

Beispiel 1 (Authentifikation, Authentisierung). Sie wollen mit dem Flugzeug vom FlughafenFrankfurt in die Karibik fliegen. Bevor Sie aus Deutschland ausreisen durfen, wird Ihre Identitatdurch die Bundespolizei festgestellt. Dazu ubergeben Sie dem Bundespolizisten im Rahmen der Au-thentisierung Ihren Reisepass. Der Bundespolizist pruft die Echtheit des Reisepasses (heute sowohldas physische Dokument als auch elektronische Merkmale) und vergleicht dann das Gesicht im


Reisepass mit Ihrem Gesicht. Diese Prufung ist die Authentifizierung. Ist diese Prufung erfolg-reich, sind Sie als Inhaber des Reisepasses identifiziert und durfen ausreisen. Die Authentifikationwar also erfolgreich.

Nach erfolgreicher Authentifikation erhalt das Subjekt Zugriff auf Informationen bzw. auf Da-ten des IT-Systems. Allerdings kann er nur bei Vorlage entsprechender Berechtigungen auf einbestimmtes Objekt (z.B. eine Datei) zugreifen. Das authentifizierte Subjekt ist dann fur denZugriff auf dieses Objekt autorisiert, wenn es eine entsprechende Berechtigung besitzt. Je nachAutorisation kann dies eine Lese- oder Schreibberechtigung sein. Denken Sie zum Beispiel an eineSystem-Konfigurationsdatei, die zwar jeder Nutzer lesen, aber nur der Administrator veranderndarf.

Zu Ihrer Selbstkontrolle finden Sie am Ende jedes Abschnittes Kontrollaufgaben, die Sie bear-beiten sollten. Im Anhang finden Sie die zu den Aufgaben passenden Losungsvorschlage.

Kontrollaufgabe 1 (Grundlegende Begriffe). 1. Beschreiben Sie den Unterschied zwischenAuthentifikation, Authentisierung und Autorisierung?

2. Erklaren Sie den Unterschied zwischen Daten und Informationen.

3. Was ist die Motivation der IT-Sicherheit?

1.3 Schutzziele

Fur den Schutz eines Systems wird eine klare Aussage uber das Ziel der Sicherheitsmaßnahmenbenotigt. Das System gilt dann als abgesichert im Hinblick auf diese Schutzziele – Sicherheit ist alsoimmer nur als relativer Begriff bezuglich der festgelegten Schutzziele zu verstehen. Ein typischesSchutzziel ist zum Beispiel, nur authentifizierten Personen Zugang zum System zu ermoglichen.Diese Personen mussen vor Zugriff auf das System also zunachst ihre Identitat nachweisen.

In diesem Abschnitt stellen wir Ihnen die grundlegenden Schutzziele vor. Davon gibt es insge-samt sieben, und Sie sollten sich diese sieben Schutzziele gut merken. Die Schutzziele lassen sichwie folgt unterteilen:

• Die klassischen kryptographischen Schutzziele CIA: Confidentiality, Integrity, Authenticity.Im Deutschen lauten diese Sicherheitsziele Vertraulichkeit, Unverfalschtheit (bzw. Integritat)sowie Echtheit (bzw. Authentizitat). Ein weiteres, eng mit CIA verwandtes Schutzziel lautetNichtabstreitbarkeit (bzw. Zurechenbarkeit).

• Das Schutzziel Verfugbarkeit als wichtiges Element der Netzwerksicherheit. Im Englischenlautet dieses Sicherheitsziel Availability.

• Schutzziele im Hinblick auf den Datenschutz sind Pseudonymitat sowie Anonymitat.

Wichtig ist, dass Sie die Schutzziele unterscheiden konnen von den Maßnahmen, wie Sie einbestimmtes Schutzziel erreichen. Das wird leider haufig verwechselt. Damit Sie schon fruhzeitigdie Schutzziele samt der Maßnahmen zu deren Erreichung sehen, haben wir diese in Tabelle 1.1zusammengesellt.

Weiterfuhrende Literatur zu diesem Abschnitt bieten die Bucher von Claudia Eckert [? ], DieterGollmann [? ] und William Stallings [? ].

1.3.1 Vertraulichkeit

Vertraulichkeit bedeutet, dass Informationen nur fur diejenigen Personen oder Ressourcenzuganglich sind, welche fur einen Zugriff berechtigt sind. Vertraulichkeit wird im Englischen alsConfidentiality bezeichnet. Die bekannte ISO-Norm 17799 definiert Vertraulichkeit wie folgt. Wirgeben bewusst die Originaldefinition im Englischen an.

1.3. SCHUTZZIELE 13

Schutzziel Technische Maßnahme

Vertraulichkeit Zugriffskontrolle, VerschlusselungIntegritat Zugriffskontrolle, elektronische SignaturAuthentizitat Zugangskontrolle, elektronische SignaturZurechenbarkeit Zugangskontrolle, elektronische Signatur, Audit

Trail/LogVerfugbarkeit Maßnahmen der NetzwerksicherheitPseudonymisierung Ein Proxy, AliasseAnonymisierung 3 Proxies samt Verschlusselung

Tabelle 1.1: Gegenuberstellung der Schutzziele und technischen Maßnahmen nach Eckert undGollmann

Definition 2 (Confidentiality (ISO 17799)). Confidentiality means ensuring that information isaccessible only to those authorised to have access.

Bitte beachten Sie bei dieser Definition, dass sich Vertraulichkeit nicht auf den Zugriff durchPersonen beschrankt. Der allgemeinere Begriff der Ressource bezieht auch automatisierte Zugriffeein, z.B. wenn ein Betriebssystemprozess lesend auf eine Datei zugreifen will.

Das Schutzziel Vertraulichkeit kann im Kontext von IT-Systemen technisch je nach Anwen-dungsfall unterschiedlich erreicht werden. Tabelle 1.1 nennt schon zwei Ansatze, wir erweiterndiese Ubersicht im Folgenden und unterschieden, ob ein Angreifer die Existenz einer vertraulichenInformation kennt oder nicht.

• Im ersten Fall weiß der Angreifer zwar, dass vertraulich kommuniziert wird, er kann abernicht den Inhalt lesen. Dies wird technisch meist mittels Verschlusselung oder Zugriffskon-trolle erreicht. Beispielsweise soll der Inhalt einer E-Mail nur vom Empfanger lesbar sein.Wird Verschlusselung verwendet, sieht der Angreifer zwar, dass eine Nachricht ausgetauschtwird (z.B. greift er die E-Mail wahrend des Transports an einem Internetknoten ab). Indiesem Fall ist der Inhalt nur geschutzt, wenn die E-Mail vor dem Versand verschlusseltwurde und der Angreifer nur Zugriff auf die fur ihn nicht zu verstehende verschlusselte E-Mail erhalt. Oder er kann versuchen, auf die auf dem Mailserver gespeicherte E-Mail lesendzuzugreifen. Das kann durch entsprechende Zugriffsrechte verhindert werden (z.B. nur derAnwender, der zuvor authentifiziert wurde, darf auf das Mailkonto zugreifen).

• Im zweiten Fall werden nicht nur Dokumente bzw. Dateien gegen einen unberechtigten Zu-griff geschutzt, sondern auch deren Existenz verborgen. Es wird also ein verdeckter Kanalverwendet – im Englischen wird dies mit Covert Channel bezeichnet. Die Idee ist, eineunverdachtige Datenstruktur zu ubermitteln und darin die vertraulichen Informationen zuverstecken.

Eine technische Maßnahme fur einen verdeckten Kanal ist Steganographie. Mittlerweile exis-tieren steganographische Programme, die kurze Textnachrichten in einem Bild verstecken(z.B. SteganoG2). Der Absender ubermittelt dann das unverfangliche Bild, wahrend derAngreifer die darin versteckte Nachricht nicht erkennt.

Wichtig ist, dass Vertraulichkeit nur den Inhalt einer ubermittelten Information betrifft, nichtaber die Identitat der Kommunikationspartner. Ein Angreifer, der zum Beispiel Zugriff auf denZugangs-Internetknoten eines Kommunikationspartners hat, zeichnet die Verbindungsdaten derKommunikation auf und erhalt hieraus ungeachtet des Inhalts wichtige Informationen uber dieKommunikation. Das ist gerade der Kern der Diskussionen um Privatsphare im Zusammenhangmit den Abhorprogrammen der NSA und des GCHQ. Aus diesem Kontext ergeben sich weitere

2http://www.gaijin.at/dlsteg.php


Schutzziele, wie beispielsweise die Anonymitat eines Subjekts, welche an anderer Stelle beschriebenwerden.

Beispiel 2 (Vertraulichkeit durch Kurier). Wir betrachten eine klassische Maßnahme der rea-len (also physischen) Welt, um das Schutzziel Vertraulichkeit zu erreichen. Eine vertraulich zuubermittelnde Information wird vom Absender per Hand geschrieben, in einen versiegelten Um-schlag gesteckt und einem vertrauenswurdigen Kurier ubergeben, der den versiegelten Umschlagvom Sender zum Empfanger bringt. So wurde Jahrtausende das Schutzziel Vertraulichkeit erreicht.

1.3.2 Integritat

Integritat leitet sich aus dem Lateinischen integritas ab und bedeutet Unversehrtheit, Reinheit,Vollstandigkeit. Im Kontext der IT-Sicherheit ist damit die Unverandertheit der Information ge-meint. Das Schutzziel der Integritat einer Information stellt somit sicher, dass diese nicht unauto-risiert geandert wurde.

Definition 3 (Integritat). Unter Integritat versteht man die Vollstandigkeit und Unverfalschtheitder Daten fur den Zeitraum, in dem sie von einer autorisierten Person erstellt, ubertragen odergespeichert wurden. Darin sind sowohl absichtliche als auch unabsichtliche (z.B. durch technischeFehler verursachte) Veranderungen enthalten.

Die Gewahrleistung dieses Schutzziels kann – analog zur Vertraulichkeit – durch geeigne-te Zugriffskontrolle in Form von Schreibrechten oder durch eine kryptographische Basistechnik(elektronische Signatur) erreicht werden. Die elektronische Signatur werden Sie im Studienbriefzur Kryptographie kennenlernen. Im Fall der Zugriffskontrolle konnen nur autorisierte Anwen-der oder Prozesse die Daten verandern. Eine elektronische Signatur hingegen wird uber die zuschutzenden Daten berechnet. Somit kann zu einem spateren Zeitpunkt die Unverandertheit derDaten uberpruft werden.

Bezogen auf den Versand einer E-Mail oder einer Datei soll durch das Schutzziel Integritatsichergestellt werden, dass deren Inhalt nicht unbemerkt verandert wird. Allerdings verlangt dieDefinition nicht, wer eine Veranderung bemerkt. In der Praxis ist dies zumindest immer der Sendersowie der Empfanger der E-Mail.

Beispiel 3 (Integritat durch sichere Aufbewahrung). Wir betrachten eine klassische Maßnahmeder realen (also physischen) Welt, um das Schutzziel Integritat zu erreichen. Bei einem Hauskauferhalten Sie als Kaufer das Original des beurkundeten Kaufvertrags, eine Kopie verbleibt aber beimbeurkundenden Notar. Im Streitfall (zum Beispiel um den abgesprochenen Kaufpreis) kann diesenotarielle Kopie genutzt werden, um den tatsachlichen Kaufpreis festzustellen.

1.3.3 Authentizitat

Authentizitat bedeutet, dass der Urheber einer Information bekannt ist. Authentizitat wird auchals Echtheit des Absenders oder der Information bezeichnet. Entsprechend unterscheiden wir zwi-schen Datenauthentizitat sowie Instanzauthentizitat. Im Folgenden geben wir fur beide Begriffe dieDefinition sowie technische Maßnahmen an, um diese Schutzziele zu erreichen.

Definition 4 (Datenauthentizitat). Unter Datenauthentizitat versteht man die Eigenschaft, wennder Urheber der Daten vom Empfanger eindeutig identifizierbar und seine Urheberschaft zumindestdurch den Empfanger nachprufbar ist.

Das Schutzziel Datenauthentizitat wird durch ein geeignetes Authentifikationsverfahren er-reicht. Die Kryptographie stellt dazu (wie schon bei der Integritat) die Basistechnik der elektro-nischen Signatur bereit. Dazu muss der Urheber als seinen Authentisierungsbeitrag eine solcheSignatur uber die Daten erzeugen, der Empfanger uberpruft dann im Rahmen der Authentifi-zierung diese Signatur. Im Kontext von E-Mails ist Authentizitat des Absenders ein wichtigesInstrument zur Vermeidung von Phishing-Angriffen und wird typischerweise durch eine elektroni-sche Signatur uber diese Mail erreicht. Weitere Maßnahmen sind Zugriffskontrolle (z.B. weil nur

1.3. SCHUTZZIELE 15

bestimmte Personen auf ein gemeinsames Netzwerkverzeichnis zugreifen durfen), das eigenhandigeUnterschreiben eines schriftlichen Dokuments sowie die personliche Ubergabe von Daten.

Definition 5 (Instanzauthentizitat). Unter Instanzauthentizitat versteht man die Eigenschaft,wenn die Echtheit und Glaubwurdigkeit eines Objekts oder Subjekts anhand einer eindeutigen Iden-titat und charakteristischer Eigenschaften uberprufbar ist.

Im Unterschied zur Datenauthentizitat geht es hier also nicht um die Authentizitat von Infor-mationen, sondern zum Beispiel von Personen. Ein sehr verbreitetes Verfahren basiert auf demNachweis der Person, ein Geheimnis zu kennen (z.B. ein Passwort beim Login oder eine PIN beimGeldabheben am Geldausgabeautomaten). Eine weitere verbreitete Maßnahme zur Erreichung vonInstanzauthentizitat sind Challenge-Response-Verfahren: hierbei bekommt die Person eine Aufga-be (eine Challenge) gestellt, die nur die echte Person erfolgreich beantworten kann (Response).Bei der physischen Uberprufung einer Instanz spielen zum Beispiel hoheitliche Lichtbilddokumentewie Reisepass oder Personalausweis eine wichtige Rolle: die richtige Person wird dann mittels desauf dem Dokument abgebildeten Gesichtsbildes erkannt.

In Bezug auf den Nachweis einer Identitat kommen oft sogenannte User Credentials zum Ein-satz. Wichtige Beispiele fur Credentials sind die bereits genannte Kombination aus Benutzernameund Passwort oder biometrische Charakteristika (wie zum Beispiel Fingerabdruck, Iris). Authen-tifikationsverfahren zur Erreichung des Schutzziels Instanzauthentizitat werden in Kapitel 7 imDetail besprochen.

1.3.4 Zurechenbarkeit

Das Schutzziel Zurechenbarkeit heißt auch Verbindlichkeit, Nichtabstreitbarkeit oder Nachweisbar-keit. Es beschreibt die Eigenschaft, dass es nicht moglich ist, die Erzeugung von Daten gegenuberunbeteiligten Dritten abzustreiten. Die unbeteiligte Instanz kann z.B. ein Richter sein.

Definition 6 (Zurechenbarkeit). Die Zurechenbarkeit von Daten ist gewahrleistet, wenn der Er-steller der Daten die Erzeugung im Nachhinein nicht abstreiten kann (gerade auch gegenuberDritten).

Wichtig ist die Unterscheidung zu Integritat sowie Authentizitat, dass ein Abstreiten gegenuberunbeteiligten Dritten nicht moglich ist. Bitte beachten Sie, dass bei Integritat sowie Authentizitatnur die Uberprufung durch den Empfanger von Daten gefordert wird.

Nichtabstreitbarkeit kann durch unterschiedliche Maßnahmen erreicht werden:

• Zunachst kann durch Authentifizierung eines Nutzers3 und einer entsprechenden Protokollie-rung nachgewiesen werden, welche Person zu welchem Zeitpunkt auf ein System zugegriffenhat.

• Im Falle einer E-Mail kann diese mit einer (asymmetrischen) elektronischen Signatur demSender eindeutig zugeordnet werden. Das Prinzip hier ist, dass nur der Sender als Signiererder E-Mail die Signatur erzeugen kann und ihm daher diese zugerechnet werden kann.

• Ein schriftliches Dokument kann beispielsweise mit einer eigenhandigen Unterschrift versehenwerden. Denken Sie fur ein alltagliches Beispiel an einen klassischen Vertrag, bei welchemdie Verbindlichkeit mit der Unterschrift beider Parteien eintritt.

• Durch vertrauenswurdige Zeugen (z.B. einen Notar) kann ein Dokument einer bestimmtenPerson zugerechnet werden.

• Zugriffskontrolle ermoglicht, dass nur eine Person eine Datei verandern kann.

3unter Verwendung eines biometrischen Merkmals oder eines individuell diesem Nutzer zugeordneten Geheim-nisses


Aus Nichtabstreitbarkeit einer Information folgen immer auch Integritat und Authentizitatdieser Information. Die Umkehrung gilt nicht immer. Daher ist Zurechenbarkeit im Vergleich zuIntegritat und Authentizitat der starkere Begriff. Wie Sie im Studienbrief zu Kryptographie lernenwerden, gewahrleisten manche kryptographische Verfahren zwar Integritat und Authentizitat einerInformation, aber nicht Beweisbarkeit4. In Beispiel 4 finden Sie ein anderes Szenario, in dem zwardas Schutzziel Authentizitat von Daten, nicht aber Zurechenbarkeit erreicht wird.

Beispiel 4 (Authentizitat ohne Zurechenbarkeit). In folgendem Szenario erreicht der Empfangerzwar das Schutzziel Authentizitat von Daten, nicht aber Zurechenbarkeit. Wird ein Dokumentpersonlich an den Empfanger ubergeben, so weiß dieser, von wem er die Daten erhalten hat. DieDaten sind also authentisch. Er kann dies aber gegenuber einem Dritten nicht nachweisen. Dahererreicht er nicht das Schutzziel Nichtabstreitbarkeit.

1.3.5 Verfugbarkeit

Das Schutzziel Verfugbarkeit kennen wir insbesondere aus dem Kontext von Netzwerkdiensten. Esbeschreibt den Schutz vor mutwilliger oder zufalliger Beeintrachtigung der Nutzung eines Systemsoder einer Information. Wir definieren den Begriff in Definition 7.

Definition 7 (Verfugbarkeit). UnterVerfugbarkeit einer Ressource (d.h. einer Information, ei-nes IT-Systems) wird die Eigenschaft verstanden, dass einem autorisierten Subjekt oder Objektermoglicht wird, die Funktionalitat der Ressource zu nutzen, wenn diese benotigt wird.

Wichtig in Definition 7 ist die Bedingung der Notwendigkeit. Schließen Sie zum Beispiel einenVertrag mit einem Online-Dienst ab, dass Sie den Dienst werktags von 08:00 Uhr bis 17:00 Uhrnutzen, dann betrifft nur dieses Zeitfenster die Frage nach der Verfugbarkeit. Oft wird aber dieVerfugbarkeit eines Dienstes als 24/7 zugesagt, also an 24 Stunden fur 7 Tage die Woche unddamit immer.

In einer mathematischen Formel druckt man die Verfugbarkeit wie folgt aus:

Verfugbarkeit =Gesamtlaufzeit−Ausfallzeit

Gesamtlaufzeit. (1.1)

Das Schutzziel Verfugbarkeit wird wie folgt erreicht:

• Im Kontext von Netzwerkdiensten verwendet man oft Redundanz. Der zur Verfugung gestell-te Dienst kann im Bedarfsfall uber unterschiedliche, unabhangige Kanale erreicht werden.Von Interesse ist Redundanz zum Beispiel im Fall eines verteilten Angriffs auf die Netzwerk-verfugbarkeit (Distributed Denial of Service attack, DDoS), auf die wir im Studienbrief zurNetzwerksicherheit eingehen.

• Eine wichtige Maßnahme im Hinblick auf die Verfugbarkeit von eigenen Informationen istDatensicherung bzw. ein Backup. Geht ein Datentrager mit den gespeicherten Daten verlorenoder ist das Speichermedium defekt, so greift man auf die Sicherungskopie zuruck.

• Als organisatorische Maßnahme greifen Vertretungsregeln. Ist zum Beispiel der IT-Systemadministrator im Urlaub und ein IT-System defekt, so muss es fur den Administratoreine Vertretung geben, die das defekte IT-System repariert.

Beispiel 5 (Verfugbarkeit). Wir betrachten ein Online-Banking-Portal oder einen Webshop. Fureinen Kunden einer Online-Bank ist es argerlich, wenn dieser keinen Zugriff auf die Funktiona-litat des Systems erhalt, obwohl er dringend eine Uberweisung zur Wahrung einer Frist einhaltenmusste. Auch fur die Online-Bank hat dies Konsequenzen, da dies nicht nur zusatzlichen Ar-beitsaufwand bedeutet, um das Problem einzugrenzen und zu beheben, sondern hieraus ggf. einImageschaden entstehen kann.

4z.B. ein Message Authentication Code (MAC)

1.3. SCHUTZZIELE 17

Die Bank sagt daher eine Verfugbarkeit 24/7 zu, allerdings fallt das System im Jahr durch-schnittlich 5 Stunden aus. Mittels Gleichung (1.1) ergibt das eine Verfugbarkeit von

Verfugbarkeit =365 · 24− 5

365 · 24=

8755

8760= 0.99943 = 99.943% .

1.3.6 Anonymitat, Pseudonymitat

Im Rahmen der informationellen Selbstbestimmung, also des (Grund-)rechts einer naturlichenPerson, die sie betreffenden Daten zu kontrollieren, spielen die Schutzziele Anonymitat sowiePseudonymitat eine wichtige Rolle.

Anonymitat beschreibt die Eigenschaft, dass nur mit unverhaltnismaßig großem Aufwand dieMoglichkeit besteht, die Identitat eines Subjekts zu bestimmen. Oft sagt man auch, dass dieFeststellung der tatsachlichen Identitat im Falle von Anonymitat praktisch nicht moglich ist.

Definition 8 (Anonymitat). Das Schutzziel Anonymitat bezeichnet die Veranderung personenbe-zogener Daten in einer Weise, dass diese nicht oder nur mit unverhaltnismaßigem Aufwand einerPerson zugeordnet werden konnen.

Wichtig ist zunachst die Beobachtung, dass Anonymitat nur in einer hinreichend großen Mengevon Subjekten gewahrleistet werden kann. Das ’Grundrauschen’ muss also groß genug sein, um alsIndividuum in dieser Menge ’unterzutauchen’. Der prominenteste Anwendungsfall ist Anonymitateines Clients (z.B. dessen wahre IP-Adresse) vor einem Server sowie die Unbeobachtbarkeit der ge-nutzten Dienste durch den Internet Service Provider (bzw. Nachrichtendienste). Technisch erreichtman dies, indem man in die Kommunikation zwischen Client und Server genugend Zwischensta-tionen einfugt, die jeweils nur ihre Nachbarn kennen (sogenannte Proxies). Die Geheimhaltungaller anderen Zwischen- bzw. Endstationen erreicht man durch Verschlusselung dieser Adressen.Solche Zwischenstationen heißen auch Relays oder MIXE.

Ein bedeutendes Netzwerk zur Gewahrleistung von Anonymitat ist Tor (The Onion Routing5).Die Idee von Tor ist, durch mehrere nicht-kooperierende Zwischenknoten die Anonymitat des an-fragenden Tor-Nutzers (z.B. ein Browser) gegenuber dem angefragten Dienst (z.B. eine Webseite)zu anonymisieren. Oft kommen drei Proxies zum Einsatz. Betrachten wir exemplarisch fur ei-

Abbildung 1.3: Tor-Verbindung, Quelle: Tor Project

ne Client-Server-Verbindung die Kommunikation zwischen Alice und Bob wie in Abbildung 1.3dargestellt. Darin sehen Sie insgesamt 5 verfugbare Tor-Knoten, aus denen Alice 3 als Proxies

5https://www.torproject.org/

https://www.torproject.org/


auswahlt. Die grunen Pfeile stellen jeweils verschlusselte Verbindungen dar, nur die Verbindungzwischen dem ’letzten’ Proxy (dem exit node) und Bob (also dem von Alice angefragten Dienst)ist unverschlusselt.

Wenn Sie Erfahrungen mit Tor sammeln wollen, nutzen Sie bitte die Linux-Live-DistributionTails6 (the amnesic incognito live system). Die Arbeitsgruppe da/sec betreibt einen Torknotennamens torNodeHda, dessen Aktivitat Sie sich z.B. mittels des Tor-Tools Atlas7 ansehen konnen.

Definition 9 (Pseudonymitat). Unter Pseudonymitat versteht man die Veranderung personenbe-zogener Daten, so dass diese nur unter Kenntnis der Zuordnungsvorschrift einer Person zugeordnetwerden konnen. Die neu zugeordnete Identitat heißt Pseudonym.

Pseudonymitat ist also im Vergleich zu Anonymitat eine schwachere Form der Verschleierungder echten Identitat. Im Netzwerkkontext nutzt man zum Verbergen der tatsachlichen IP-Adresseoft einen zwischengeschalteten Proxy, der gegenuber dem angefragten Dienst auftritt. Die Zuord-nungsvorschrift wird hier vom Proxy gepflegt, der eine Verknupfung zwischen einer bestimmtenVerbindung zu der zu verbergenden IP-Adresse vorhalt. In Foren oder bei Online-Shops werdenoft Aliasse zum Verbergen der tatsachlichen Identitat verwendet (z.B. bei Ebay oder Amazon).Der Forum- oder Shopbetreiber kennt dann die Zuordnung Alias zu echter Identitat, die Kundenuntereinander kennen die wahre Identitat anderer Kunden aber nicht.

Kontrollaufgabe 2 (Schutzziele). 1. Grenzen Sie die Begriffe Integritat, Authentizitat undNichtabstreitbarkeit voneinander ab.

2. Erlautern Sie den Unterschied zwischen Anonymitat und Pseudonymitat.

3. Welcher Angriff zielt darauf ab, die Verfugbarkeit eines IT-Systems zu storen?

1.4 Weitere grundlegende Begriffe

In Abschnitt 1.2 haben wir schon grundlegende Begriffe zur IT-Sicherheit kennengelernt. Nach-dem wir nun die Schutzziele der IT-Sicherheit kennen, gehen wir in diesem Abschnitt auf weiteregrundlegende Begriffe wie Bedrohung, Gefahr, Gefahrdung, Angriff sowie Risiko ein.

1.4.1 Gefahr, Bedrohung, Verwundbarkeit und Risiko

IT-Systeme bzw. deren verarbeitete Daten sollen vor potenziellen Gefahren im Hinblick auf dieEinhaltung und Gewahrleistung der festgelegten Schutzziele geschutzt werden. In diesem Ab-schnitt wird der Begriff Bedrohung und mogliche Ursachen genauer spezifiziert sowie das damitzusammenhangende Schadensrisiko betrachtet. Als Literatur dient der BSI Grundschutzkatalog [?] sowie die Bucher von Claudia Eckert [? ] und Dieter Gollmann [? ].

Beginnen wir in Definition 10 mit dem Begriff Gefahr.

Definition 10 (Gefahr). Eine Gefahr ist ein Sachverhalt, bei dem ohne konkreten zeitlichen,raumlichen oder personellen Bezug bei ungehindertem Ablauf des zu erwartenden Geschehens inabsehbarer Zeit mit hinreichender Wahrscheinlichkeit ein Schaden fur ein schutzwurdiges Guteintreten wird.

Die Definition von Gefahr beschreibt also, dass eine Gefahr ’einfach da ist’ und mit einer nichtzu vernachlassigenden Wahrscheinlichkeit auch eintreten wird. Wichtig ist die Eigenschaft, dasseine Gefahr in keinem zeitlichen, raumlichen oder personellen Bezug zu potenziell Geschadigtensteht. Ein Beispiel ohne Bezug zur IT-Sicherheit ist etwa ein Erdbeben. Bebt die Erde, so trittmit einer nicht zu vernachlassigenden Wahrscheinlichkeit ein Schaden fur Leib und Leben oder dieHauser des Erdbebengebiets ein. Und irgendwo sowie irgendwann bebt die Erde.

6https://tails.boum.org/index.de.html7https://atlas.torproject.org/

https://tails.boum.org/index.de.html

https://atlas.torproject.org/

1.4. WEITERE GRUNDLEGENDE BEGRIFFE 19

Definition 11 (Bedrohung). Eine Bedrohung ist eine Gefahr mit konkretem zeitlichen, raumli-chen oder personellen Bezug zu einem Schutzziel.

Kurz gefasst ist eine Bedrohung also eine konkrete, potenzielle Gefahr. Zum Beispiel bebtin der Region Darmstadt die Erde in den letzten Monaten regelmaßig, mit einer nicht zu ver-nachlassigenden Wahrscheinlichkeit erleiden die Bewohner dieser Region also Schaden an ihrenHausern. In dieser Region ist ein Erdbeben daher eine Bedrohung. In Berlin hingegen bebt dieErde nie. Dort stellt ein Erdbeben keine Bedrohung dar.

Definition 12 (Gefahrdung). Eine Gefahrdung bezieht sich ganz konkret auf eine bestimmteSituation oder auf ein bestimmtes Objekt und beschreibt die Wahrscheinlichkeit, mit der eine po-tenzielle Gefahr (d.h. Bedrohung) zeitlich oder raumlich auftritt.

Anders ausgedruckt: Trifft eine Bedrohung auf eine Schwachstelle (z.B. technische oder organi-satorische Mangel), so entsteht eine Gefahrdung. Sind beispielsweise Hauser in einem Erdbeben-gebiet nicht erdbebensicher gebaut, so entsteht eine Gefahrdung (namlich dass dieses Haus beieinem Erdbeben einsturzt).

Das BSI unterscheidet in den Grundschutzkatalogen folgende Gefahrdungskategorien fur dieSicherheit von IT-Systemen:

• Hohere Gewalt (z.B. Hochwasser, Blitzeinschlag, globaler Stromausfall)

• Vorsatzliche Handlungen (z.B. Abhoren und Manipulation von Leitungen, Schadprogramme,Diebstahl)

• Technische Fehler (z.B. defekte Datentrager, Ausfall einer Datenbank)

• Fahrlassigkeit (z.B. versehentliches Loschen einer Datei, Nichtbeachtung von Sicherheits-maßnahmen, ungeeigneter Umgang mit Passwortern)

• Organisatorische Mangel (z.B. fehlende oder unzureichende Regelungen, nicht erkannte Si-cherheitsvorfalle)

Definition 13 (Verwundbarkeit). Eine Verwundbarkeit bezeichnet eine Schwachstelle beziehungs-weise eine Sicherheitslucke des Systems, mittels derer die vorhandenen Sicherheitsmechanismenumgangen oder getauscht werden konnen.

Als Beispiel seien hier schwache User Credentials (z.B. ein schwaches Passwort wie im Falldes iCloud-Vorfalls im August 2014) oder eine unzureichend konfigurierte Firewall genannt. EineSchwachstelle kann zum Beispiel durch Fehlfunktion einer Anwendung oder einen Programmier-fehler entstehen.

Die Risikoabschatzung hilft bei der Priorisierung der Etablierung verschiedener Sicherheits-mechanismen und ist Gegenstand der Bedrohungs- und Risikoanalyse. Das Risiko berucksichtigtzwei Aspekte: die Eintrittswahrscheinlichkeit eines Ereignisses (in diesem Fall die Ausnutzungeiner Schwachstelle) und die Hohe des daraus resultierenden Schadens.

Definition 14 (Risiko). Ein Risiko einer Bedrohung ist das Produkt aus Eintrittswahrscheinlich-keit dieser Bedrohung und den daraus resultierenden Folgekosten. Mathematisch kann Risiko dahergeschrieben werden als

Risiko = Eintrittswahrscheinlichkeit · Schadenshohe .

Extremfalle sind sehr wahrscheinliche Ereignisse mit hohem Schadensfall bzw. sehr unwahr-scheinliche Ereignisse mit vernachlassigbarer Schadenshohe. Im ersten Fall ist das Risiko sehr hoch,im zweiten Fall sehr niedrig. Daher werden Sie sich gegen die erste Bedrohung absichern, gegendie zweite vermutlich nicht.

Allerdings lasst sich der konkrete Wert des Risikos einer Bedrohung nur schwer quantifizie-ren, da nicht nur die zu schutzenden Guter mit ihren Werten erfasst und bewertet werden mussen,


sondern auch abhangig von potenziellen Angreifern und deren Fahigkeiten die Eintrittswahrschein-lichkeit. Das Risiko ist daher eher qualitativ als quantitativ zu sehen im Sinne einer Priorisierungs-unterstutzung.

Fur die Bedrohungs- und Risikoanalyse stehen mehrere Frameworks, wie zum Beispiel dasCommon Vulnerability Scoring System [? ] oder das DREAD Modell [? ] zur Verfugung, auf diebei der Analyse zuruckgegriffen werden kann. Das Beispiel 6 erlautert, wie auf einfache Weise dasRisiko bestimmt werden kann.

Beispiel 6 (Risikoabschatzung). Hierzu werden jeweils das Schadenspotenzial und die Eintritts-wahrscheinlichkeit einer Bedrohung auf einer Skala von 1 (gering) bis 3 (hoch) definiert. Anschlie-ßend werden diese in einer Matrix bzw. Tabelle gegenubergestellt. Das Risiko berechnet sich dannnach obiger Formel und das Ergebnis liegt im Bereich 1 (unbedeutend) bis 9 (kritisch).

Risiko

Schadens-hohe

3 mittel hoch kritisch2 niedrig mittel hoch1 unbedeutend niedrig mittel

1 2 3Eintrittswahrscheinlichkeit

1.4.2 Angriff

In diesem Abschnitt gehen wir auf den zentralen Begriff Angriff ein.

Definition 15 (Angriff). Ein Angriff bezeichnet einen unautorisierten Zugriff bzw. einen unauto-risierten Zugriffsversuch auf ein IT-System oder eine Information.

Technische Angriffe lassen sich in Kategorien unterteilen, auf die wir im Folgenden weitereingehen:

• Aktive vs. passive Angriffe.

• Gezielte vs. ungezielte Angriffe.

Ein passiver Angriff ermoglicht dem Angreifer eine unautorisierte Informationsgewinnung. Beidieser Art von Angriffen handelt es sich z.B. um das Abhoren von Datenleitungen (Sniffing) oderdas unautorisierte Lesen aus Dateien. Passive Angriffe richten sich gegen die Vertraulichkeit einesSystems.

Ein aktiver Angriff stellt eine unautorisierte Informationsveranderung dar und richtet sich ty-pischerweise gegen die Integritat bzw. Authentizitat oder Verfugbarkeit des Systems. Ein wichtigeKlasse von Angriffen auf die Integritat bzw. Authentizitat sind Maskierungsangriffe (Spoofing).Beim Spoofing geht es um das Vortauschen einer falschen Identitat. Durch DNS-Spoofing ist esz.B. moglich, die Identitat eines DNS-Servers anzunehmen und die Anfragen von Clients mitgefalschten Daten zu beantworten. Nachgelagert soll dann oft auch das Schutzziel Vertraulichkeitgebrochen werden. Eine weitere wichtige Angriffsklasse aktiver Angriffe sind Denial of Service An-griffe, d.h. das Uberschwemmen von Rechnernetzen mit Nachrichten, um somit die Verfugbarkeitder Systemkomponenten zu beeintrachtigen.

Bei einem ungezielten Angriff wird das Opfer zufallig angegriffen, weil es ein fur den Angreiferverwundbares IT-System nutzt. Als Beispiel seien Massenmails genannt, die auf eine praparierteSeite verlinken. Die Empfanger der Massenmail sind zufallig ausgesucht. Bei einem gezielten An-griff hingegen wird nur ein bestimmtes Opfer angegriffen. Als Beispiele seien Erpressung genannt(”Wenn Sie nicht 10.000 EUR bezahlen, werden wir Ihren Webserver lahmlegen.”) oder gezielteMalware wie Stuxnet genannt. In der Regel sind gezielte Angriffe schwerer zu unterbinden, weilder Angreifer typischerweise hoher motiviert ist, sein ausgesuchtes Opfer zu schadigen.

Zusatzlich zu den oben genannten technischen Angriffen existieren weitere Formen. Hierzu seiim Speziellen das Social Engineering genannt, bei welchem Angreifer versuchen, z.B. durch das

1.4. WEITERE GRUNDLEGENDE BEGRIFFE 21

Vortauschen einer falschen Identitat an sensible Informationen zu gelangen. Die Angriffsformenwerden hierbei in Kombination eingesetzt. Der Angreifer versucht im ersten Schritt dem Opfer dieInformationen zu entlocken, mit welchen im Nachhinein Sicherheitsmaßnahmen umgangen werdenkonnen. Ein gangiges Beispiel hierfur sind Water Hole Angriffe, bei denen das Surfverhalten poten-zieller Opfer beobachtet und die besuchten Webseiten auf Sicherheitslucken untersucht werden. ImNachhinein versucht der Angreifer Schadcode auf eine oder mehrere dieser Webseiten zu injizieren,um das Opfer auf Hostseiten von Malware weiterzuleiten [Siehe ? , Seite 21]. Durch kommerzielloder auch frei erhaltliche Toolkits, wie zum Beispiel Blackhole, konnen viele solcher Angriffe mitgeringem technischem Wissen und Aufwand automatisiert durchgefuhrt werden [? ].

1.4.3 Angreifertypen

In diesem Abschnitt gehen wir auf die unterschiedlichen Angreifertypen ein. Angreifer werdenanhand ihrer Fahigkeiten, Motivation und ihrer technischen und finanziellen Ressourcen unter-schieden.

Mit dem Kenntnisstand eines Angreifers ist neben seinen technischen Fahigkeiten auch seinWissen um die eingesetzte Infrastruktur gemeint. Deshalb wird zwischen Innen- und Außentaterunterschieden. Ein Angreifer kann auch ein ehemaliger Mitarbeiter oder Dienstleister sein. Dieserbesitzt detailliertere Kenntnisse uber die eingesetzte IT-Infrastruktur, Anwendungen etc. als einAußentater. Gepaart mit entsprechenden technischen Fahigkeiten stellt ein Innentater eine großeBedrohung dar.

Die vermutlich starkste Gruppe von Angreifern sind staatliche Dienste wie staatliche undmilitarische Behorden (Nachrichtendienste, Strafverfolger). Sie besitzen hohe finanzielle Res-sourcen und Fahigkeiten und sind hoch motiviert. Unter dem Projekt ECHOLON betrei-ben z.B. angelsachsische Nachrichtendienste seit mehreren Jahren bereits ein flachendeckendesUberwachungsprogramm fur Satelliten, Telefongesprache und Internetverbindungen. Beispielswei-se konnten so auch Verhandlungen zwischen Airbus und potenziellen Auftraggebern aus Saudi-Arabien abgehort und an amerikanische Unternehmen weitergeleitet werden [? ]. Ebenso geht derAngriff mithilfe des Stuxnet Wurms vermutlich auf einen Einsatz amerikanischer Geheimdienstezur Storung des iranischen Atomprogramms zuruck [? ].

Ein vermutlich ahnlich starkes Angriffspotenzial besitzt die Underground Economy, eine kri-minelle Schattenwirtschaft, die hoch spezialisiert und arbeitsteilig agiert. Neben illegalen Waren-verkaufen (Drogen, Waffen) zahlen Identitatsdiebstahle und Betrug zu den haufigsten Delikten.Die illegal erworbenen Informationen (z.B. Kreditkartennummern, Identitaten, E-Mail-Konten)werden auf dem digitalen Schwarzmarkt (Foren, IRC Channel, Hidden Services) zum Verkaufangeboten.

Immer wenn es um viel Geld geht, ist die Gefahr von Beteiligungen Krimineller nicht ver-nachlassigbar. Gerade beim Ausspahen von Betriebsgeheimnissen im Rahmen der Wirtschaftss-pionage kommt eine Mischung aus privaten und staatlichen Angreifern zum Zuge.

Im Zuge der Spionage bzw. Industriespionage wird oftmals der Begriff Advanced PersistentThreat genannt. Diese gezielten Angriffe zeichnen sich sowohl durch einen hohen Aufwand undFahigkeiten seitens der Angreifer als auch durch eine lange Angriffsdauer aus. Ebenso versuchtder Angreifer dabei moglichst unentdeckt zu bleiben, um uber einen großen Zeitraum an sensibleInformationen zu gelangen [? ? ]. Als Beispiel fur eine solche Art Angriff sei Operation Aurora [?] erwahnt, dem in den Jahren 2009 und 2010 mehre Großunternehmen, darunter Google undAdobe, zum Opfer fielen. Damals wurden Mitarbeiter der Firmen mit E-Mails einer vermeintlichvertrauenswurdigen Quelle gekodert und auf eine infizierte Webseite geleitet. Die Angreifer nutztenhierbei eine Sicherheitslucke des Internet-Explorers aus, mit deren Hilfe ein Schadprogramm auf dieRechner geladen werden konnte, um sich uber einen langeren Zeitraum Zugang zu den Systemenund dem geistigen Eigentum der Unternehmen zu verschaffen.

Weiterhin wird zwischen technisch versierten Angreifern ohne finanziellen Hintergrund (Ha-cker) und mit finanzieller Motivation (Cracker) unterschieden, die mit ihren technischen Kennt-nissen Schwachstellen eines Systems aufdecken, um hieraus Angriffe, sogenannte Exploits, zu ent-wickeln. Diesen gegenuber stehen Angreifer mit geringem technischen Wissensstand, die Exploits


Dritter fur ihre Angriffe verwenden (Skript Kiddie). Da hierbei die Schwachstellen offentlichbekannt sind, werden diese meist in kurzer Zeit durch entsprechende Security Patches beho-ben. Nichtsdestotrotz geht durch die offentliche Zuganglichkeit der Exploits eine nicht zu un-terschatzende Bedrohung aus.

Als letzte Kategorie von Angreifern seien noch Whistleblower erwahnt. Dabei handelt es sichum Innentater, die als vertraulich eingestufte Informationen ihrer Institution veroffentlichen. Derbekannteste Fall ist Edward Snowden, der tiefe Einblicke in die Aktivitaten staatlicher Nachrich-tendienste gewahrt. Bekannt ist auch die Enthullungsplattform Wikileaks.

1.4.4 Abwehr von Angriffen

Fur die Abwehr und Erkennung von Angriffen stehen technische, personelle sowie organisatori-sche Maßnahmen zur Verfugung. Das Gefahrdung passiver Angriffe kann beispielsweise mithilfegeeigneter Verschlusselungsverfahren verkleinert werden. Denial of Service Angriffe konnen durchUberwachung des Netzverkehrs fruhzeitig erkannt und entsprechende Gegenmaßnahmen eingelei-tet werden. An dieser Stelle kann die technische Umsetzung der Schutzziele (vgl. Tabelle 1.1) eineOrientierung bieten.

Allerdings spielen neben den Fahigkeiten eines Angreifers auch die zur Verfugung stehendentechnischen und finanziellen Ressourcen eine mindestens ebenso so große Rolle. Gezielte Angriffeauf IT-Systeme stellen fur Unternehmen und Organisationen die großte Bedrohung dar, da denAngreifern in den meisten Fallen genugend finanzielle und technische Mittel zur Verfugung stehen,womit Einbruchversuche und Datendiebstahle oftmals uber einen langeren Zeitraum unentdecktbleiben konnen. Denken Sie beispielsweise an das durch die NSA betriebene PRISM-Projekt,welches entsprechende finanzielle sowie technische Ressourcen und Zugriff auf Hinterturen vonSicherheitsprodukten hat. Dadurch sind die Moglichkeiten, um sich dagegen schutzen zu konnen,sehr gering bis unmoglich.

Auch die Unterscheidung, ob es sich bei einem potenziellen Angriff um eine vorsatzliche Hand-lung oder einen Fehler handelt, kann nicht immer genau abgeschatzt werden. Erschwerend kommthinzu, dass ein potenzieller Angriff auch durch Fahrlassigkeiten seitens des Benutzers hervorgehenkann. Eine große Anzahl durch Mitarbeiter verursachter Angriffe geht hierbei aus Nachlassigkeitenund mangelnden Kenntnissen der Sicherheitskonzepte hervor [? ].

Kontrollaufgabe 3 (Angreifer und Angreifertypen). 1. Grenzen Sie die Begriffe Gefahr, Be-drohung und Gefahrdung an Hand des Beispiels Hochwasser voneinander ab.

2. Wie wird bei der Risikoabschatzung vorgegangen?

3. Was ist der Unterschied zwischen einem aktiven und passiven Angriff?

4. Erlautern Sie den Begriff Social Engineering.

1.5 Rechtlicher Rahmen und Privacy by Design

IT-Sicherheit sollte nicht nur im Eigeninteresse einer Institution umgesetzt werden. Vielfach for-dern Gesetze die Umsetzung geeigneter IT-Sicherheitsmaßnahmen. Wichtige Gesetze in diesemZusammenhang sind:

• Bundesdatenschutzgesetz (BDSG) und Datenschutzgesetze der Bundeslander

• Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)

• Teledienstedatenschutzgesetz (TDDSG)

• Telekommunikationsgesetz (TKG)

Wir beginnen mit den Datenschutzgesetz und fuhren zunachst in Definition 16 den BegriffDatenschutz ein.

1.5. RECHTLICHER RAHMEN UND PRIVACY BY DESIGN 23

Definition 16 (Datenschutz). Mit Datenschutz wird der Schutz personenbezogener Daten vorMissbrauch durch Dritte bezeichnet.

Ziel des Datenschutzes ist es, die Privatsphare jedes Einzelnen zu schutzen. Rechtlicher Aus-gangspunkt ist das Grundrecht auf informationelle Selbstbestimmung. Die Grundidee dieses Grund-rechts ist es, dass der Einzelne die Moglichkeit haben soll, selbst zu bestimmen, wer bei welcherGelegenheit welche Informationen uber ihn erhalt.

Datenschutz heißt im Englischen Privacy, diese Bezeichnung wird mittlerweile aber auch oftim Deutschen verwendet. Damit Privacy nicht eine Nebenrolle spielt, sondern integraler Bestand-teil unserer IT-Systeme wird, hat Ann Cavoukian in den 1990er Jahren das Paradigma Privacyby Design entwickelt. Cavoukian ist Informationsfreiheits- und Datenschutzbeauftragte (Informa-tion & Privacy Commissioner) der Provinz Ontario in Kanada. Die Grundidee von Privacy byDesign ist: Rechtsvorschriften allein sind nicht ausreichend fur die Gewahrleistung von Daten-schutz. Desweiteren mussen Nutzerinnen und Nutzer wieder in die Lage versetzt werden, uberihre personenbezogenen Daten bestimmen zu konnen.

Hierfur hat Cavoukian sieben Grundprinzipien aufgestellt, von denen wir einige nennen:

1. Proaktiv, nicht reaktiv; als Vorbeugung und nicht als Abhilfe: Der Privacy by Design Ansatzsieht mogliche Verletzungen der Privatssphare voraus und verhindert sie, bevor sie entstehenkonnten.

2. Datenschutz als Standardeinstellung: Ein IT-System bietet systemimmanent als Standarde-instellung den Schutz der Privatsphare und personenbezogener Daten.

3. Der Datenschutz ist in das Design eingebettet: Zur Entwurfsphase eines IT-Systems, einerSoftware oder eines Geschaftsprozesses wird der Datenschutz bereits berucksichtigt.

4. Sichtbarkeit und Transparenz – fur Offenheit sorgen: Komponenten und Verfahren eines IT-Systems konnen unabhangigen Prufungen unterzogen werden. Sie sind einsehbar und fur alleBeteiligten (Nutzer und Anbieter) transparent.

Grundpfeiler des Bundesdatenschutzgesetzes (BDSG) sind die folgenden Prinzipien:

• Datenvermeidung: Daten sollen nur erhoben werden, wenn es wirklich notwendig ist.

• Datensparsamkeit: wenn Daten erhoben werden mussen, dann nur diejenigen, die zurZweckerfullung tatsachlich notwendig sind.

• das allgemeine Verbot der Verarbeitung personenbezogener Daten: grundsatzlich durfen per-sonenbezogene Daten nur mit Einwilligung der Betroffenen oder aufgrund gesetzlicher Ge-stattung verarbeitet werden (§ 4 Abs. 1 BDSG).

Das Bundesdatenschutzgesetz (§ 9) verpflichtet Daten verarbeitende Stellen, geeignete tech-nische und organisatorische Maßnahmen zum Schutz der erhobenen Daten zu treffen (Datensi-cherheit). Personenbezogene Daten durfen danach nur Befugten zuganglich sein, da sie vertraulichsind, und durfen nicht unbemerkt verandert oder geloscht werden.

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verpflichtetunter Anderem Aktiengesellschaften zur Schaffung eines unternehmensinternen Risikofruherken-nungssystems. Nach § 91 Abs. 2 muss der Vorstand geeignete Maßnahmen treffen, um den Fort-bestand der Gesellschaft gefahrdende Entwicklungen fruh zu erkennen. Und solche Gefahrdungenkonnen auch durch fehlende IT-Sicherheit entstehen.

Auch das Teledienstedatenschutzgesetz (TDDSG) fordert die Einhaltung von Schutzzielen.Nach § 4 Abs. 4 Nr. 3 TDDSG hat der Diensteanbieter durch technische und organisatorischeVorkehrungen sicherzustellen, dass der Nutzer Teledienste gegen Kenntnisnahme Dritter geschutztin Anspruch nehmen kann. In diesen Anwendungsbereich fallen Internet- und E-Mailprovider wieDeutsche Telekom, Strato usw., aber auch Institutionen, die ihren Mitarbeitern Zugang zu Internetund E-Mail gewahren.


Das Telekommunikationsgesetz (TKG) enthalt eine Reihe von Vorschriften (§§ 88-115) zumSchutz des Fernmeldegeheimnisses (Vertraulichkeit), zum Datenschutz und zu Belangen der offent-lichen Sicherheit (Verfugbarkeit). Es verpflichtet Diensteanbieter zur Ausarbeitung eines IT-Sicherheitskonzepts (siehe Abschnitt 1.6).

1.6 Security Management

Bevor in den nachfolgenden Kapiteln die technischen Aspekte der IT-Sicherheit betrachten werden,soll zum Abschluss des Kapitels der Fokus auf organisatorische Maßnahmen gelegt werden. Dennauch organisatorische Maßnahmen spielen fur die Einhaltung der Schutzziele bzw. fur die Sicherheiteines IT-Systems eine Rolle. Weiterfuhrende Literatur zu diesem Thema finden Sie in den Buchernvon Dieter Gollmann [? ], Claudia Eckert [? ], den BSI Grundschutzkatalogen [? ? ] und derISO/IEC Reihe 27000.

Fur die Belange der IT-Sicherheit einer Organisation sind zum einen entsprechend gut ausge-bildete Mitarbeiter bzw. eine zentrale organisatorische Einheit von Vorteil, die fachlich fundierteEntscheidungen uber die einzusetzenden Sicherheitsprodukte und Maßnahmen treffen konnen.Des Weiteren mussen auch Mitarbeiter bzw. Anwender der Systeme entsprechend geschult undsensibilisiert werden. Ebenfalls muss bedacht werden, dass der Zustand der Sicherheit nicht un-veranderbar ist. Sicherheit ist ein Prozess und muss durch aktives Management aufrechterhaltenwerden. Aus diesem Grund besteht die Notwendigkeit, Sicherheitsmaßnahmen auch nach ihrerPlanung, Umsetzung und Einfuhrung regelmaßig auf ihre Wirksamkeit und Anwendbarkeit zu va-lidieren. Hierbei konnen organisatorische Anderungen, wie z.B. veranderte Geschaftsprozesse oderInfrastrukturen sowie externe Anderungen (gesetzliche Grundlagen, neue technische Maßnahmen,neue Sicherheitslucken) ausschlaggebend sein.

Auch bei der Auswahl und Umsetzung der Sicherheitsmaßnahmen mussen grundlegende Aspek-te beachtet werden, welche an dieser Stelle hervorgehoben werden.

• Die Auswahl der entsprechenden Sicherheitslosungen ist abhangig von Funktionalitat undEinsatzgebiet des Systems.

• Sicherheitsmaßnahmen beanspruchen zusatzlich die Rechenleistung der Systeme.

• Schlecht bedachte Sicherheitsmaßnahmen und -losungen konnen zu einem Produkti-vitatsverlust fuhren.

In der Praxis existieren eine Reihe von Leitfaden, Empfehlungen bzw. Best Practices, wodurchdie Orientierung an dieser Stelle wiederum zum gewohnten Dilemma wird. Im Rahmen diesesModuls wird die ISO/IEC Reihe 27000 vorgestellt, welche im Zusammenhang mit Sicherheitsstra-tegien in Exkurs 1 detaillierter betrachtet wird.

Exkurs 1 (ISO/IEC Reihe 27000). Die ISO Reihe 27000, herausgegeben von der International Or-ganization for Standardization (ISO) und der International Electrotechnical Commission (IEC),dient als internationale Normreihe fur die Umsetzung und Gewahrleistung der Informationssi-cherheit. Des Weiteren beschreibt die Reihe Empfehlungen fur die Einfuhrung und den Betriebeines Informationssicherheits-Management Systems ( ISMS - Information Security ManagementSystem).

Das ISMS spezifiziert einen Managementprozess (Verfahren, Regeln und Richtlinien) fur dieUberwachung, Aufrechterhaltung und Verbesserung der Informationssicherheit einer Organisation.

Die Norm besteht aus einer Reihe von mehreren erganzenden Dokumenten. Im Folgenden wirdder Fokus jedoch auf ISO 27001 und 27002 gelegt. Eine Beschreibung aller Leitfaden und Empfeh-lungen ist im Rahmen dieses Moduls nicht moglich.

• ISO/IEC 27001:2013 Beschreibt die Anforderungen an ein Informationssicherheits-Management System

1.6. SECURITY MANAGEMENT 25

• ISO/IEC 27002:2013 Leitfaden fur die Implementierung eines Informationssicherheits-Management Systems

Die Norm 27002 gliedert sich in 14 Themenbereiche, unterteilt in mehrere Kategorien, so-genannte Kontrollziele und zusatzlich 14 Maßnahmen, durch deren Umsetzung die Kontrollzieleerreicht werden konnen. Die Themenbereiche umfassen unter anderem Angaben zur Erstellungvon Sicherheitsstrategien, Identifikation und Klassifikation von Informationsgutern, organisatori-sche Maßnahmen und Managementprozesse, Zugangskontrolle, Netzwerksicherheit und den Um-gang mit Sicherheitsvorfallen.

Im Gegensatz zu den Grundschutzkatalogen des BSI bietet die Norm lediglich einen abstraktenRahmen fur die Umsetzung des ISMS.

In einer weiteren Betrachtung stellt sich die Frage, wie die Sicherheitsmaßnahmen fur die unter-schiedlichen Bereiche der IT-Infrastruktur eines Unternehmens oder einer Organisation umgesetztund deren Einhaltung gewahrleistet werden konnen. An dieser Stelle werden entsprechende Vor-schriften und Regeln fur eine strategische Umsetzung und Einhaltung der Sicherheitsziele benotigt.Sicherheitsziele werden auch Sicherheitsstrategie genannt (siehe Definition 17).

Definition 17 (Sicherheitsstrategie). Die Sicherheitsstrategie bzw. Sicherheitspolitik (security po-licy) einer Organisation beschreibt technische und organisatorische Regeln sowie Verantwortlich-keiten, Verhaltensrichtlinien und Rollen, um die Einhaltung der Schutzziele zu gewahrleisten.

Die Sicherheitsstrategien decken die unterschiedlichen Bereiche und Infrastrukturen (Hardware-, Software-, Netzwerk-Policies etc.) eines Unternehmens ab. Sie geben Richtlinien vor, sie hei-ßen daher auch Policies. Sie beschreiben textuell den Schutzgegenstand sowie Notwendigkeit undMaßnahmen zur Gewahrleistung des Schutzes. Des Weiteren sind Reaktionen auf Notfalle undAnsprechpartner bzw. Verantwortlichkeiten anzugeben. Allerdings ist darauf zu achten, dass dieMaßnahmen/Ziele prazise und verstandlich formuliert und umsetzbar sind. Die Schutzmaßnahmenkonnen anhand der festgelegten Anforderungen regelmaßig validiert werden.

Beispiele sind Passwort-Policies8, die den Umgang mit Passwortern beschreiben und da-bei Auskunft uber die Mindestlange der Passworter, die zu verwendenden Zeichen sowie dieGultigkeitsdauer geben. Netzwerk-Policies beschreiben beispielsweise die Konfiguration einer Fire-wall oder welche Sicherheitsprotokolle fur die Netzwerkkommunikation eingesetzt werden. Ebensokann durch die Policies geregelt werden, welchen Personen physischer Zugang zu den Systemenvorbehalten ist bzw. wie die Systeme vor einem physischen Einbruch oder Diebstahl zu sichernsind [? ].

Policies werden auf zwei Ebenen unterschieden, die im Weiteren als organisatorische bzw. tech-nische Ebene bezeichnet werden (vgl. Abbildung 1.4). Auf der obersten Ebene wird eine unterneh-mensweite allgemeingultige Policy (information security policies) definiert. Diese Top-Level-Policygibt Auskunft uber die grundsatzliche Position der Organisation bezuglich der Informationssicher-heit bzw. die Bedeutung der Informationssicherheit aus Sicht der Organisation. Im Beispiel 7werden einige Inhalte dieser Top-Level-Policy angegeben.

Beispiel 7 (Information Security Policy). Folgende Inhalte sind Bestandteil einer InformationSecurity Policy:

• Definition und Bedeutung der IT-Sicherheit fur das Unternehmen

• Geltungsbereich und Ziele der Information Security Policy

• Beschreibung des Security Management Prozesses, zum Beispiel:

– Koordination und Verantwortlichkeiten

– Review der Policies

– Anforderungen an Schulungsmaßnahmen

8In Abschnitt 7.2.1 werden erganzend Anforderungen an ein sicheres Passwort gestellt.


• Kurze grundlegende Beschreibung und Statements zu spezifischen Themenbereichen

• Verweise auf die jeweiligen Policies

Unterstutzend fur diese organisatorische Sicherheitsstrategie werden weitere konkrete Sicher-heitsstrategien abgeleitet. Diese orientieren sich an den spezifischen Themenbereichen und gebendetailliert Auskunft uber die Umsetzung bzw. Implementierung der Kontrollziele. Die Themendieser sogenannten low level policies reichen von Richtlinien fur die Zugangskontrolle, Schutz vorMalware, E-Mail Nutzung bis hin zum Umgang mit mobilen Geraten wie Notebooks, Tablets oderSmartphones.

Abbildung 1.4: Beispielhafter Aufbau einer Sicherheitspolicy

Zum Abschluss des ersten Studienbriefes soll ein beispielhafter Aufbau einer solchen Policydetaillierter betrachtet werden. Der Aufbau und Inhalt einer solchen Policy ist in Beispiel 8 auf-gefuhrt. Wie das Beispiel zeigt, ist der Inhalt einer technischen Policy einfach, strukturiert undverstandlich aufgebaut. Im Rahmen einer konkreten Umsetzung stehen uns hierbei mehrere Tem-plates910 zur Verfugung, die sich an den Empfehlungen der ISO/IEC Reihe orientieren.

9http://www.ruskwig.com/security_policies.htm10http://www.ruskwig.com/iso27001/iso_27002_policies.htm

http://www.ruskwig.com/security_policies.htm

http://www.ruskwig.com/iso27001/iso_27002_policies.htm

1.7. ZUSAMMENFASSUNG 27

Beispiel 8 (Aufbau und Inhalt einer Security Policy nach ISO/IEC 27002). 0. Angaben zuden Verantwortlichen des Dokuments (Autor, Besitzer, Organisation).

1. Ubersicht, optionale Angabe uber den Bereich, welcher durch die Policy abgedeckt wird oderwarum diese notwendig ist.

2. Das Ziel, das durch die Policy gewahrleistet wird.

3. Der Geltungsbereich, auf den sich die Policy bezieht, d.h. Gegenstand und Personen. ZumBeispiel, ob diese unternehmensweit fur alle Mitarbeiter oder nur fur einen bestimmten Per-sonenkreis gilt.

4. Beschreibung des Risikos, welches mit dem Thema der Policy in Verbindung steht bzw. vorwelcher Bedrohung Schutz gewahrt werden soll.

5. Policy Details, eine detaillierte Beschreibung der Maßnahmen, die ergriffen werden, um dasvorgegebene Ziel zu erreichen.

6. Vorgehensweise bei Verstoßen gegen die Policy.

Kontrollaufgabe 4 (Security Management). 1. Was wird in einer Sicherheitsstrategie nachISO/IEC 27002 beschrieben bzw. festgehalten?

2. Nennen Sie drei Beispiele fur Policies.

3. Erklaren Sie den Unterschied zwischen einer top level policy und einer low level policy.

1.7 Zusammenfassung

Die Motivation der IT-Sicherheit ist die Vermeidung, Erkennung und Reaktion auf unerwunschteEffekte ausgehend von (unautorisierten) Dritten. Die Schutzziele beschreiben hierbei die Voraus-setzungen, die ein sicheres IT-System einhalten muss. Dabei ist zu beachten, dass fur den Begriffder IT-Sicherheit und die damit in Verbindung stehenden Schutzziele keine einheitliche Definitionin der Fachliteratur zu finden ist. Aus diesem Grund sollten unterschiedliche Definitionen gelesenund daraus ein Verstandnis fur die IT-Sicherheit, deren Motivation und Herausforderungen zuentwickeln.

Abbildung 1.5: Abhangigkeiten und Zusammenhange der Begriffe nach Eckert [? ].

Abbildung 1.5 verdeutlicht die Zusammenhange und Abhangigkeiten der in diesem Kapitel be-handelten Begriffe. Die Guter (engl.: assets) sollen in diesem Fall Informationen bzw. Daten und


deren Werte vor Bedrohungen und einem daraus resultierenden Schaden geschutzt werden. DasBedrohungsrisiko ist von unterschiedlichen Faktoren abhangig, die im Zuge einer Bedrohungs- undRisikoanalyse bedacht werden mussen. Die Absicherung gegen die unterschiedlichen Bedrohungs-szenarien bzw. die Minimierung des Risikos wird mithilfe entsprechender Sicherheitsmaßnahmenerreicht, die durch eine Sicherheitsstrategie und Schutzziele klar definiert werden. Die Umsetzungdieser Maßnahmen erfordert eine geeignete Kombination und Einsatz unterschiedlicher Verfahren,die in Abhangigkeit zu Funktionalitat und Einsatzgebiet des IT-Systems stehen.

Sicherheit bedeutet auch zusatzliche Komplexitat. Geeignete Sicherheitsmaßnahmen zeichnensich nicht nur durch einen guten Schutz aus, sondern auch dadurch, dass die Anwender des Sys-tems in ihrer Produktivitat keine Einschrankungen hinnehmen mussen. Zu beachten ist ebenfalls,dass die eingesetzten Maßnahmen eine standige Validierung benotigen, um auf entsprechendeAnderungen reagieren und somit ein geeignetes Sicherheitsniveau gewahrleisten zu konnen.

1.8 Ubungsaufgaben zum Kapitel

Am Ende jedes Kapitels sind weitere Aufgaben zur Ubung angegeben, zu denen keine Losungen an-gegeben sind. Diese Aufgaben werden im Praktikum oder den Ubungen besprochen. Bitte bereitenSie ihre Losungsvorschlage zu den entsprechenden Terminen vor.

Ubung 1 (Ubungen: Grundlagen der IT-Sicherheit). 1. Welche Schutzziele mussen gelten,damit das Schutzziel Zurechenbarkeit erfullt ist?

2. Erlautern Sie die Begriffe security, safety, protection und privacy. Fuhren Sie, falls not-wendig, auch eine Abgrenzung dieser Begriffe voneinander durch.

3. In der heutigen Zeit vergeht kaum ein Tag, an dem nicht in den einschlagigen Medien uberSicherheitsprobleme von IT-Systemen berichtet wird. Informieren Sie sich auf www. heise.de/ security uber aktuelle Angriffe auf IT-Systeme und erklaren Sie kurz drei Angriffe.Bitte erlautern Sie dabei

• Um welche Art von Sicherheitsproblem handelt es sich?

• Welche Schutzziele sind durch den Angriff bzw. die Schwachstelle gefahrdet?

• Wie konnte dieses Problem in Zukunft verhindert werden?

www.heise.de/security

www.heise.de/security

Kapitel 2

Einfuhrung in die Kryptologie

Um die in spateren Studienbriefen behandelten Themen zu verstehen, sollten Sie diesen Studien-brief auf jeden Fall bearbeiten.

2.1 Kryptographie

In Abschnitt 1.3 haben Sie bereits Techniken der Kryptographie kennengelernt. Die BezeichnungKryptographie leitet sich aus den altgriechischen Wortern fur geheim (altgriechisch κρνπτoσ) undschreiben (altgriechisch γραϕειν) ab. Wahrend ihrer Jahrtausende langen Geschichte befasste sichdie Kryptographie bis Mitte des 20. Jahrhunderts ausschließlich mit Verfahren zur Gewahrleistungdes Schutzziels Vertraulichkeit, d.h. der Ver- und Entschlusselung von Nachrichten. Bis dahin gabes nur mechanische Realisierungen kryptographischer Verfahren. Mit der Erfindung des Computershat sich das grundlegend geandert, denn es mussten nun weitere Schutzziele wie Integritat oderDatenauthentizitat erreicht werden. Seit ca. der Mitte der 1970er Jahre ordnet man der Krypto-graphie auch andere Verfahren als das Ver- und Entschlusseln von Informationen zu. Das fuhrtuns zu Definition 18.

Definition 18 (Kryptographie). Unter Kryptographie versteht man die Wissenschaft von Ver-schlusselungsverfahren sowie verwandter Techniken (wie z.B. elektronische Signaturverfahren oderkryptographische Hashfunktionen).

In Abbildung 2.1 sehen Sie, dass die Kryptographie eine von zwei Teildisziplinen des Ober-begriffs Kryptologie ist. Die zweite Teildisziplin der Kryptologie ist die Kryptoanalyse. Die Kryp-tographie befasst sich mit Verschlusselungs- und verwandten Verfahren zur Gewahrleistung derSchutzziele Vertraulichkeit, Integritat, Authentizitat und Zurechenbarkeit. Die Kryptoanalyse hin-gegen beschaftigt sich mit dem Bewerten der Sicherheit kryptographischer Verfahren (zum Bei-spiel, wie schwer ein kryptographisches Verfahren zu ’brechen’ ist). Der Begriff Kryptoanalyseleitet sich vom altgriechischen Wort fur Auflosung (αναλυσις) ab. Die Kryptoanalyse soll auchdazu beitragen, dass die Sicherheit kryptographischer Verfahren erhoht wird.

Neben den vier Schutzzielen, die mit kryptographischen Verfahren erreicht werden konnen,sollten sich wie in Definition 18 genannt einpragen, dass neben den Verschlusselungsverfahrenauch Signaturverfahren sowie Hashfunktionen zu kryptographischen Verfahren zahlen.

In Abbildung 2.2 sehen Sie das klassische Kommunikationsmodell der Kryptologie. Die beidenKommunikationspartner Alice (A) und Bob (B) wollen sicher bezuglich eines von ihnen festgeleg-ten Schutzziels kommunizieren. Alice ist dabei die Senderin der Daten, Bob ist der Empfanger. DieAngreiferin Eve (Ev) versucht, die Schutzziele zu brechen (z.B. das Schutzziel Vertraulichkeit mit-tels des passiven Angriffs Abhoren der Daten). Alternative Namen fur einen Angreifer sind Malloryoder Oskar. Eve kann auch einen aktiven Angriff durchfuhren, indem er z.B. durch Verandern derDaten, Falschung der Senderidentitat oder Unterdruckung der Nachricht die ubertragenen Datenmanipuliert.

29

30 KAPITEL 2. EINFUHRUNG IN DIE KRYPTOLOGIE

Abbildung 2.1: Zusammenhang Kryptologie, Kryptographie und Kryptoanalyse

Alice (A) Bob (B)

Eve (Ev)

? -�

Abbildung 2.2: Kommunikationsmodell der Kryptologie

Mittels des kryptologischen Kommunikationsmodells in Abbildung 2.2 wiederholen wir die furdie Kryptographie relevanten Schutzziele. Wir geben auch die kryptographischen Verfahren an,um diese Schutzziele zu erreichen.

• Vertraulichkeit: Nachricht zwischen A und B kann nicht von Ev gelesen werden. Vertrau-lichkeit wird mittels Verschlusselung erreicht.

• Integritat: Nachricht zwischen A und B wird nicht verandert bzw. A und B konnen erkennen,ob Ev Nachrichten verandert hat. Integritat erreichen wir durch Message AuthenticationCodes (MAC) oder Signaturen.

• Datenauthentizitat: B kann Nachricht von A zweifelsfrei A zuordnen. Dies erreichen wirdurch Message Authentication Codes (MAC) oder Signaturen.

• Instanzauthentizitat: B kann die Identitat von A zweifelsfrei feststellen. Dieses Schutzzielwird typischerweise durch ein Challenge-Response-Protokoll realisiert.

• Nichtabstreitbarkeit: B kann Nachricht von A zweifelsfrei auch einer dritten Partei als Nach-richt von A nachweisen. Dazu werden Signaturen verwendet.

Am Ende des 19. Jahrhunderts formulierte Auguste Kerckhoffs (ein niederlandischer Linguistund Kryptograph) in seiner 1883 veroffentlichten Schrift La cryptographie militaire Prinzipien zumsicheren Einsatz kryptographischer Verfahren, von denen wir einige nennen:

• Ist ein System nicht beweisbar sicher, so sollte es praktisch sicher sein.

• Das Design eines Systems sollte keine Geheimhaltung erfordern und sollte sich ohne Gefahrin den Handen des Feindes befinden konnen.

• Ein Kryptosystem muss einfach bedienbar sein.

• Es sollte von Experten gut analysiert worden sein.

2.2. VERSCHLUSSELUNGSVERFAHREN 31

Die Prinzipien Kerckhoffs werden oft wie in Merksatz 1 zusammengefasst:

Merksatz 1 (Prinzip von Kerckhoffs). Ein Angreifer kennt alle Details des kryptographischenVerfahrens, nur die privaten oder symmetrischen Schlussel sind geheim.

Heute eingesetzte kryptographische Verfahren befolgen das in Merksatz 1 formulierte Prinzipvon Kerckhoffs. Zum Beispiel wurde der aktuelle symmetrische Verschlusselungsstandard AES(Advanced Encryption Standard) in einem mehrere Jahre dauernden, offentlichen Begutachtungs-prozess ausgewahlt. Jedes Detail von AES ist bekannt, die Sicherheit von AES hangt dann nur ander Geheimhaltung der verwendeten Schlussel. Wird ein Verfahren hingegen geheim gehalten, sospricht man auch von Security by Obscurity. Dieses Prinzip hat sich in der Security-Communityaber nicht durchgesetzt. Zu groß ist die Sorge, dass durch eine fehlende Expertenbegutachtung einschwerwiegender Designfehler ubersehen wird.

Kontrollaufgabe 5 (Kryptologie). 1. Beschreiben Sie den Begriff der Kryptologie.

2. Was wird unter dem Begriff der Kryptoanalyse verstanden?

3. Welches Schutzziel wird mit Verschlusselungsverfahren gewahrleistet?

2.2 Verschlusselungsverfahren

Nachdem Sie sich mit der allgemeinen Definition der Kryptologie auseinandergesetzt ha-ben, werden in diesem Abschnitt unterschiedliche Funktionsweisen und Prinzipien der Ver-schlusselungsverfahren verdeutlicht. Allgemein unterscheiden wir die folgenden Klassen vonVerschlusselungsverfahren: symmetrische, asymmetrische und hybride kryptographische Ver-schlusselungsverfahren. Die Unterscheidung wird getroffen an Hand der Eigenschaft, wer Zugriffauf welchen Schlussel hat. Der Abschnitt orientiert sich an der Literatur von ? ] und ? ].

Um zu verschlusseln, benotigen wir geheimzuhaltende Daten (sogenannte Klartexte), die ver-schlusselten Klartexte, kryptographische Schlussel sowie Ver- und Entschlusselungsvorschriften.Dazu geben wir eine formale Beschreibung in Definition 19 an.

Definition 19 (Kryptosystem). Ein Kryptosystem oder Verschlusselungsverfahren ist einFunftupel P, C,K, E ,D mit folgenden Eigenschaften:

1. P ist eine Menge. Sie heißt Klartextraum. Ihre Elemente heißen Klartexteinheiten.

2. C ist eine Menge. Sie heißt Chiffretextraum. Ihre Elemente heißen Chiffretexte oderSchlusseltexteinheiten.

3. K ist eine Menge. Sie heißt Schlusselraum. Ihre Elemente heißen Schlussel.

4. E = {E(m, e) : m ∈ P, e ∈ K} ist eine Familie von Funktionen E(m, e) : P → C. IhreElemente heißen Verschlusselungsfunktionen.

5. D = {D(c, d) : c ∈ C, d ∈ K} ist eine Familie von Funktionen D(c, d) : C → P. Ihre Elementeheißen Entschlusselungsfunktionen.

6. Fur jedes e ∈ K existiert ein d ∈ K, sodass fur alle Klartexteinheiten m ∈ P die GleichungD(E(m, e), d) = m gilt. Der Schlussel e heißt Verschlusselungs- oder Chiffrierschlussel, derzugehorige Schlussel d heißt Entschlusselungs- oder Dechiffrierschlussel.

Die Bezeichner der Mengen in Definition 19 lehnen sich jeweils an die englischen Begriffe an.Wir erlautern diese im Folgenden:


1. Klartext heißt im Englischen plaintext. Daher wahlt man P als Bezeichner der Menge al-ler Klartexteinheiten. Ein langer Klartext wird stets in die Klartexteinheiten zerlegt, be-vor verschlusselt werden kann, denn die Verschlusselungsfunktion kann nur auf eine Klar-texteinheit angewendet werden. In den historischen Kryptosystemen waren Klartexteinhei-ten meist einzelne Buchstaben oder Buchstabengruppen, bei modernen IT-basierten Ver-schlusselungsverfahren ist eine Klartexteinheit ein Block von Bytes (ein typische Lange sind16 Byte, d.h. 128 Bit pro Klartexteinheit).

2. Geheim- oder Chiffretext heißt im Englischen ciphertext. Daher wahlt man C als Bezeichnerder Menge aller Geheimtexteinheiten. Wie bei den Klartexten zerlegt man einen langenChiffretext stets in seine Chiffretexteinheiten, bevor man entschlusselt. Bei IT-basiertenVerschlusselungsverfahren ist 128 Bit eine typische Große fur eine Chiffretexteinheit.

3. Schlussel heißt im Englischen key. Daher wahlt man K als Bezeichner der Menge al-ler kryptographischen Schlussel. K enthalt sowohl die Schlussel zum Verschlusseln (Ver-schlusselungsschlussel e, wobei e fur ’encrypt’ steht) als auch zum Entschlusseln (Ent-schlusselungsschlussel d, wobei d fur ’decrypt’ steht).

4. Verschlusseln heißt im Englischen to encrypt. Daher wahlt man E als Bezeichner der Mengealler Verschlusselungsfunktionen. Eine Verschlusselungsfunktion benotigt stets einen Ver-schlusselungsschlussel e zum Verschlusseln. Dann verschlusselt E(m, e) die gegebene Klar-texteinheit m ∈ P zur zugehorigen Chiffretexteinheit.

5. Entschlusseln heißt im Englischen to decrypt. Daher wahlt man D als Bezeichner der Mengealler Entschlusselungsfunktionen. Eine Entschlusselungsfunktion benotigt stets einen Ent-schlusselungsschlussel d zum Dechiffrieren. Dann entschlusselt D(c, d) die gegebene Chiffre-texteinheit d ∈ C.

6. Die letzte Bedingung in Definition 19 besagt, dass das Kryptosystem funktioniert: Ent-schlusseln mit dem zugehorigen Entschlusselungsschlussel liefert wieder den ursprunglichenKlartext.

Wir unterscheiden die folgenden drei Klassen kryptographischer Verfahren:

1. Symmetrische Verfahren: Senderin Alice (A) nutzt zum Verschlusseln den selben Schlusselwie Empfanger Bob (B) beim Entschlusseln. Wir gehen auf symmetrische Kryptosysteme inAbschnitt 2.2.1 ein.

2. Asymmetrische Verfahren: Senderin Alice (A) nutzt zum Verschlusseln einen offentlich vonBob zur Verfugung gestellten Verschlusselungsschlussel e. Bob (B) nutzt dann den zu-gehorigen Entschlusselungsschlussel d, den er geheim halten muss, zum Entschlusseln. Wirgehen auf asymmetrische Kryptosysteme in Abschnitt 2.2.2 ein.

3. Hybride Verfahren: Weil sowohl symmetrische als auch asymmetrische Kryptosysteme Vor-sowie Nachteile haben, verknupft man die Vorteile beider Verfahren. So ein Verfahren heißthybrides Kryptosystem. Wir gehen auf hybride Verschlusselungsverfahren in Abschnitt 2.2.3ein.

Aus dem Prinzip von Kerckhoffs ergibt sich, dass Angreiferin Eve in unserem Kommunikations-modell aus Abbildung 2.2 alle Details des verwendeten Kryptosystems kennt. Da Alice und Bobuber einen unsicheren Kanal (z.B. das Internet) die Chiffretexte ubermitteln, kennt Eve auch denChiffretext c. Wurde sie auch noch den Entschlusselungsschlussel d, den Bob verwendet, kennen,so konnte sie selber die Funktion D(c, d) anwenden und wurde den Klartext kennen. Daher giltfur alle Kryptosysteme der folgende Merksatz.

Merksatz 2 (Entschlusselungsschlussel sind geheim). Der Dechiffrierschlussel d muss unbedingtgeheim gehalten werden, damit ein Kryptosystem das Schutzziel Vertraulichkeit gewahrleistenkann.


2.2.1 Symmetrische Verschlusselungsverfahren

In diesem Abschnitt betrachten wir symmetrische Verschlusselungsverfahren. Die prinzipielleFunktionsweise finden Sie in Abbildung 2.3. Wir erlautern diese im Folgenden.

Alice verschlusselt die zu ubermittelnde Klartexteinheit m mit Hilfe des Ver-schlusselungsschlussels e und der ausgewahlten Verschlusselungsfunktion E. Die zugehorigeChiffretexteinheit c = E(m, e) ubermittelt sie an Bob. Bitte beachten Sie, dass Verschlusselnimmer zwei Eingaben erfordert: die Klartexteinheit m und den Verschlusselungsschlussel e. In derKryptographie unterstellt man fur die Ubermittlung von Chiffretexten immer einen unsicherenKanal. In unserem Fall bedeutet dies, dass Eve die ubermittelten Daten mitlesen kann und daherc kennt.

Nachdem der Empfanger Bob die Chiffretexteinheit c erhalten hat, entschlusselt er diese durchAnwendung der Entschlusselungsfunktion D. Bob berechnet D(c, d), wobei er den zu e zugehorigenDechiffrierschlussel d verwendet. Nach der letzten Anforderung in Definition 19 erhalt er wiederdie ursprungliche Klartexteinheit m.

Abbildung 2.3: Symmetrische Verschlusselung nach ? ]

Wichtig im Zusammenhang mit Kryptosystemen ist die Verteilung der verwendeten Schlussel.In einem symmetrischen Kryptosystem ist der Schlussel e zum Verschlusseln mit dem zugehorigenEntschlusselungsschlussel d identisch oder lasst sich einfach daraus berechnen. Wir formulierendas wie folgt:

Kryptosystem ist symmetrisch ⇐⇒ e ≈ d. (2.1)

Nach Merksatz 2 ist d geheimzuhalten. Aus Gleichung (2.1) folgt, dass auch e geheimzuhaltenist und dass Alice d kennt. Bei der Verwendung symmetrischer Verfahren mussen Alice und Bobdaher den Schlussel e uber einen sicheren Kanal austauschen und diesen Schlussel geheim halten.

Da beide Kommunikationspartner auf Grund der Eigenschaft e ≈ d auch beide Schlussel e undd kennen, kann auch jeder der beiden die Schlussel erzeugen. Das ist bei asymmetrischen Verfahrenanders, wie Sie spater sehen werden.

Sehen wir uns noch die Vor- und Nachteile symmetrischer Verschlusselungsverfahren an. Derzentrale Vorteil der symmetrischen Verschlusselungsverfahren ist ihre Schnelligkeit. Die Algorith-men besitzen einen hohen Datendurchsatz und konnen somit große Datenmengen in kurzer Zeit


ver- sowie entschlusseln. Auch die Lange der Schlussel ist im Vergleich zu anderen Verfahren relativkurz.

Nachteilig an diesen Verfahren ist jedoch das aufwendige Schlusselmanagement sowie dieSchlusselverteilung. Dies wird auch als Schlusselaustauschproblem bezeichnet. Aus Abbildung 2.3ist bekannt, dass jeweils ein sicherer Kanal zwischen den beiden Kommunikationspartnern benotigtwird, uber den e ausgetauscht wird. Fur ein offenes, großes Netzwerk mit n Personen bedeutet dasFolgendes: denken wir uns diese Personen als mit 1 bis n durchnummeriert. Dann muss

1. Person 1 insgesamt n− 1 Schlussel austauschen, namlich mit den Personen 2 bis n.

2. Person 2 tauscht weitere n− 2 Schlussel mit den Personen 3 bis n.

3. Person 3 verteilt weitere n− 3 Schlussel mit den Personen 4 bis n.

Insgesamt sind also nach der Gaußschen Summenformel

(n− 1) + (n− 2) + (n− 3) + . . .+ 2 + 1 =

n−1∑k=1

k =(n− 1) · n

2≈ n2/2

Schlussel auszutauschen. Bei einem Netzwerk mit 10 Personen existieren somit 45 Schlussel, bei 100

Personen bereits 4950. Fur eine Milliarde (= 109) Teilnehmer sind das insgesamt 1018

2 Schlussel,was unmoglich ist. Mathematisch ist die quadratische Abhangigkeit der Anzahl der Schlussel vonder Anzahl der Teilnehmer schlecht, weil ein Verdoppeln der Teilnehmer jeweils eine Vervierfa-chung (22 = 4) der Anzahl der Schlussel bedeutet. Dieser Nachteil wird durch asymmetrischeVerschlusselungsverfahren behoben.

Das bekannteste moderne symmetrische Verschlusselungsverfahren ist der Advanced Encrypti-on Standard (AES). Dieser ist 2001 nach einem ca. vier Jahre langen Verfahren als weltweiter Stan-dard vom US-amerikanischen National Institute of Standards and Technology (NIST) verabschie-det worden. Auf moderne symmetrische Verschlusselungsverfahren gehen wir in Abschnitt 3.2 ein.Ein klassisches historisches – wenn auch sehr schwaches – symmetrisches Verschlusselungsverfahrenfinden Sie in Beispiel 9.

Beispiel 9 (Verschiebechiffre). Die Menge der Klartexteinheiten sind die Buchstaben des Al-phabets, es gilt also P = {a, b, c, d, ..., x, y, z}. Analog gilt fur die Menge der Chiffretexteinhei-ten C = {A,B,C,D, ...,X, Y, Z}. Aus didaktischen Grunden wahlen wir fur die KlartexteinheitenKlein- und fur die Chiffretexteinheiten Großbuchstaben.

Fur die Verschlusselung der Nachricht verschieben wir das Alphabet des Geheimtextraums zy-klisch um e Stellen nach rechts. Fur e = 3 ergibt sich z.B. folgende Abbildung:

a b c d e f g h i j k l mD E F G H I J K L M N O P

n o p q r s t u v w x y zQ R S T U V W X Y Z A B C

Diese Chiffre heißt auch Caesar-Chiffre. Zur Entschlusselung verschieben wir das Alphabet zy-klisch um e Stellen nach links, es gilt also e = d. Fur die Verschlusselung der Nachricht werdenanschließend die Zeichen des Klartextes auf die des Geheimtextalphabets abgebildet. Diese Abbil-dung entspricht der Verschlusselungsfunktion E(m, e).

Wir betrachten die zu verschlusselnde Nachricht kryptographie sowie den Ver-schlusselungsschlussel e = 3. Dann gilt:

Klartext: kryptographie

Geheimtext: NUBSWRJUDSKLH

Haben wir nur den Chiffretext und probieren alle Schlussel aus, so sind wir in Beispiel 9 nachspatestens 26 Versuchen erfolgreich, statistisch sogar nach 13,5 Versuchen. ’Stures’ Ausprobie-ren aller Schlussel heißt Brute-Force-Angriff. Dieser ist nach dem Prinzip von Kerckhoffs immermoglich. Das Beispiel der Verschiebechiffre zeigt, dass die Menge aller Schlussel K hinreichendgroß sein muss. Das formulieren wir in Merksatz 3.


Merksatz 3 (Großer Schlusselraum). Fur die Sicherheit eines Verschlusselungsverfahrens mussder Schlusselraum K so groß sein, dass nicht alle Schlussel durchprobiert werden konnen. Das istaber nur eine notwendige Bedingung.

2.2.2 Asymmetrische Verschlusselungsverfahren

In diesem Abschnitt betrachten wir asymmetrische Verschlusselungsverfahren. Die prinzipielleFunktionsweise finden Sie in Abbildung 2.4. Wir erlautern diese im Folgenden.

Eine zentrale Eigenschaft asymmetrischer Verschlusselungsverfahren ist, dass jeder Kommuni-kationspartner jeweils ein eigenes Schlusselpaar (e, d) besitzt. Dabei ist e der offentliche Schlussel(auch Public Key genannt) und d der private Schlussel (Private Key) – aus Merksatz 2 wissenwir bereits, dass d geheim bleiben muss. Daher heißen asymmetrische Kryptosysteme auch Public-Key-Verschlusselungsverfahren.

Will Alice an Bob eine verschlusselte Nachricht schicken, so benotigt sie zunachst seinenoffentlichen Schlussel e. Wichtig an dieser Stelle ist, dass Alice den authentischen offentlichenSchlussel von Bob hat – und nicht zum Beispiel von Eve. Dazu nutzt Alice meist ein Zertifikat vonBob, das sie im Rahmen einer Public Key Infrastruktur (PKI) nutzt (auf Zertifikate und PKI gehenwir in Abschnitt 4 ein). Seinen privaten Schlussel d halt Bob geheim. Alice verschlusselt dann diezu ubermittelnde Klartexteinheit m mit Hilfe von Bobs Verschlusselungsschlussel e und der aus-gewahlten Verschlusselungsfunktion E. Die zugehorige Chiffretexteinheit c = E(m, e) ubermitteltsie uber einen unsicheren Kanal an Bob (Eve kann die ubermittelten Daten mitlesen und kenntdaher c). Bob entschlusselt die erhaltene Chiffretexteinheit, indem er D(c, d) mit seinem PrivateKey d berechnet. Daraus erhalt er die ursprungliche Klartexteinheit m zuruck.

Abbildung 2.4: Asymmetrische Verschlusselung nach ? ]

Wichtig im Zusammenhang mit Public Key Kryptosystemen ist die Forderung, dass aus demoffentlichen Schlussel e keine Ruckschlusse auf den zugehorigen Private Key d moglich sind. Wirvermulieren das wie folgt:

Kryptosystem ist asymmetrisch ⇐⇒ e 6= d. (2.2)


Da der Sender zum Verschlusseln den Public Key des Empfangers benotigt, kann nur derEmpfanger diesen erzeugen. Des weiteren ist klar, dass Bob zunachst seinen Private Key d erzeugtund daraus e berechnet – denn die Umkehrung ist ja aus Sicherheitsgrunden praktisch unmoglich.

Sehen wir uns noch die Vor- und Nachteile asymmetrischer Verschlusselungsverfahren an. Derzentrale Vorteil von Public Key Kryptosystemen ist, dass der jeweilige offentliche Schlussel nichtgeheim gehalten werden muss. Das erleichtert die Verwaltung der Schlussel sehr. Soll in einem Netz-werk von n Personen jede Person mit jeder anderen eine verschlusselte Verbindung aufbauen, wer-

den statt n(n−1)2 Schlussel nur n offentliche Schlussel benotigt. Des Weiteren ist fur die Ubertragung

des offentlichen Schlussels kein vertraulicher Kanal notwendig. An dieser Stelle muss jedoch aufdie Authentizitat des offentlichen Schlussels geachtet werden. Das Schlusselaustauschproblem istbis auf die Echtheit offentlicher Schlussel gelost.

Nachteilig an Public Key Verschlusselungsverfahren ist der im Vergleich zu den symmetrischenKryptosystemen geringe Datendurchsatz. Dadurch sind Public Key Verfahren deutlich langsamerals symmetrische. Des weiteren darf der private Schlussel nicht aus dem offentlichen Schlusselberechenbar sein. Hierfur liegt den jeweiligen asymmetrischen Verfahren ein aufwendiges mathe-matisches Problem zugrunde, welches der Angreifer Eve fur die Berechnung des privaten Schlusselsaus dem Public Key losen muss.

Das bekannteste asymmetrische Verschlusselungsverfahren ist das RSA Verfahren. Es wurde1977 von den drei Mathematikern bzw. Informatikern Ron Rivest, Adi Shamir sowie Leonard Adle-man publiziert. Die Sicherheit von RSA (d.h. die praktische Unmoglichkeit, d aus e zu berechnen)hangt mit einem sehr bedeutenden mathematischen Problem zusammen, dem Faktorisierungspro-blem. Auf solche schwierigen mathematischen Probleme sowie das RSA Verfahren gehen wir inAbschnitt 3.6 ein.

2.2.3 Hybride Verschlusselungsverfahren

Mit den symmetrischen und asymmetrischen Verschlusselungsverfahren kennen Sie bereits zweizentrale Klassen von Kryptosystemen. Die Idee hinter der hybriden Verschlusselung ist, die Vor-teile der symmetrischen und asymmetrischen Kryptosysteme zu vereinen und die jeweiligen Nach-teile zu reduzieren. Ziel ist es also, die Schnelligkeit der symmetrischen Verschlusselung mit demvereinfachten Schlusselmanagement asymmetrischer Kryptosysteme zu kombinieren. Die prinzipi-elle Funktionsweise hybrider Verschlusselungsverfahren finden Sie in Abbildung 2.5. Wir erlauterndiese im Folgenden.

Will Alice an Bob eine ’große’ verschlusselte Nachricht schicken (z.B. einige Bilder der Großevon insgesamt 100 MB), so verschlusselt sie aus Effizienzgrunden die Bilder mit einem symme-trischen Kryptosystem. Dazu erzeugt sie sich einen zufalligen symmetrischen Schlussel s nur furdiese Datenubermittlung (zufalliger Sitzungsschlussel, Random Session Key). Dahinter steht daskryptographische Paradigma, einen kryptographischen Schlussel so selten wie moglich zu nutzen.Mit Hilfe des Session Key s und der symmetrischen Verschlusselungsfunktion E1 verschlusselt sieihre ’große’ Nachricht und erhalt den Chiffretext c = E1(m, s).

Bob benotigt ebenfalls den Session Key s zum Entschlusseln. Da s eine ’kleine’ Datenstruktur(z.B. 128 Bit = 16 Byte im Fall von AES), nimmt Alice die Laufzeitschwache des Public KeyAlgorithmus in Kauf und besorgt sich den offentlichen Schlussel e von Bob. Mit der Public KeyVerschlusselungsfunktion E2 verschlusselt sie den Session Key: s′ = E2(s, e). Dann ubermittelt siec sowie s′ an Bob uber den unsicheren Kanal.

Damit Bob die Bilder lesen kann, entschlusselt er zunachst s′ mittels der Public Key Ent-schlusselungsfunktion D2. Daraus erhalt er s = D2(s′, d). Den Session Key nutzt er, um mittelsder symmetrischen Entschlusselungsfunktion D1 die Bilder im Klartext zu erhalten.

Eingesetzt werden hybride kryptographische Verschlusselungsverfahren immer dann, wenn ope-rative Daten verschlusselt werden soll (z.B. E-Mails, Web-Traffic). Ein wichtiges Kommunikations-protokoll, das hybride Verschlusselung nutzt, ist das Transport Layer Security (TLS) Protokoll.

Kontrollaufgabe 6 (Verschlusselungsverfahren). 1. Beschreiben Sie, was man unter einemKryptosystem versteht.

2.3. SIGNATURVERFAHREN 37

Abbildung 2.5: Hybride Verschlusselung nach ? ] und ? ]

2. Welche Probleme der symmetrischen Verschlusselungsverfahren werden durch eine asymme-trische Verschlusselung gelost?

3. Beschreiben Sie die Vorteile der symmetrischen Verschlusselung gegenuber der asymmetri-schen Verfahren.

4. Wie funktionieren hybride Verschlusselungsverfahren?

2.3 Signaturverfahren

Dieser Abschnitt fuhrt Sie in die Konzepte von Signaturverfahren ein. Das Ziel des Abschnittsist es, einen Uberblick zu geben, mit welchen kryptographischen Verfahren die Schutzziele Da-tenauthentizitat, Integritat sowie Zurechenbarkeit von Nachrichten gewahrleistet werden konnen.Ahnlich wie bei den Verschlusselungsverfahren gibt es zwei Klassen von Signaturverfahren: sym-metrische Signaturverfahren, die meist als Message Authentication Code bezeichnet werden undderen Konzept Sie in Abschnitt 2.3.1 kennenlernen. Die zweite Klasse sind asymmetrische Signa-turverfahren, die meist als elektronische Signaturen bezeichnet werden und deren Konzept wirin Abschnitt 2.3.2 darstellen. Konkrete moderne Signaturverfahren werden spater in Kapitel 3(Abschnitte 3.4 sowie 3.7) behandelt.


2.3.1 Symmetrische Signaturverfahren – Message Authentication Code

Symmetrische Signaturverfahren werden als Message Authentication Code (MAC) bezeichnet. Mit-tels eines MAC sollen die Schutzziele Datenauthentizitat sowie Integritat erreicht werden. In Ab-bildung 2.6 finden Sie die prinzipielle Funktionsweise eines MAC.

Alice mochte Bob ein Dokument m uber einen unsicheren Kanal zukommen lassen, so dass Bobsicher ist, dass das Dokument von Alice stammt (Datenauthentizitat) sowie dass es unverandertbei ihm eingeht (Integritat). Ahnlich wie bei symmetrischen Verschlusselungsverfahren verwendenSenderin Alice und Empfanger Bob den gleichen geheimen Schlussel, den wir mit k bezeichnen.Der gemeinsame geheime Schlussel k muss uber einen sicheren Kanal ausgetauscht werden. Alicesigniert das Dokument m mittels einer Funktion MAC. Alice heißt deshalb auch Signiererin (engl.Signer). Eingabe des MAC sind das zu signierende Dokument m sowie der gemeinsame geheimeSchlussel k. Die Signiererin Alice berechnet also MAC(m, k) = s.

Dann schickt Alice das Dokument m sowie den MAC s uber einen unsicheren Kanal an Bob.Die Angreiferin Eve kann in diesem Fall das Dokument m und den MAC s lesen, was im Kon-text von Signaturverfahren aber keine Rolle spielt, da diese nicht das Schutzziel Vertraulichkeitgewahrleisten. Sie kann aber auch m sowie den MAC s verandern – das muss Bob aber auffallen.

Nach Erhalt des Dokuments m und des MAC s verifiziert Bob den MAC, indem er selber denMAC uber das erhaltene Dokument m mittels des gemeinsamen geheimen Schlussels k berechnet:

MAC(m, k) = s′.

Gilt s = s′, so ist die Signatur gultig und Bob ist uberzeugt, dass das Dokument von Alice stammtund nicht verandert wurde. Gilt hingegen s 6= s′, so ist die Signatur ungultig, er ordnet dasDokument Alice nicht zu bzw. halt es fur verandert. Bob heißt auch der Verifizierer

Abbildung 2.6: Message Authentication Code (MAC) nach ? ].

Wir sprechen bei einem MAC nicht weiter von einer Signatur, um Verwechslungen mit asymme-trischen Signaturverfahren zu verhindern. Ein MAC gewahrleistet im Unterschied zu einer asym-metrischen Signatur keine Zurechenbarkeit. Denn sowohl Signiererin Alice als auch Verifizierer Bobkonnen den MAC erzeugen. Gegenuber Dritten (z.B. einem Richter) kann Bob also nicht beweisen,dass nicht er, sondern Alice die Prufsumme berechnet hat.

Da beide Kommunikationspartner Zugriff auf den geheimen Schlussel k haben, kann auch jederder beiden den Schlussel erzeugen. Das ist analog zu den symmetrischen Verschlusselungsverfahren.

2.3. SIGNATURVERFAHREN 39

Sehen wir uns noch die Vor- und Nachteile eines MAC an. Der zentrale Vorteil ist wie bei densymmetrischen Verschlusselungsverfahren ihre Schnelligkeit. Die Algorithmen besitzen einen hohenDatendurchsatz und konnen somit große Datenmengen in kurzer Zeit signieren sowie verifizieren.Auch die Lange der Schlussel ist im Vergleich zu asymmetrischen Signaturverfahren relativ kurz.Nachteilig an einem MAC ist das aufwendige Schlusselmanagement sowie die Schlusselverteilung.Bei einem MAC besteht also das Schlusselaustauschproblem.

Beispiele fur einen MAC konnen wir Ihnen an dieser Stelle noch nicht angeben, dazu benotigenwir noch Inhalte aus Kapitel 3. Daher werden Sie konkrete moderne Message Authentication Codesin Abschnitt 3.4 kennenlernen. Sie sollten aber das Konzept eines MAC verstanden haben.

2.3.2 Asymmetrische Signaturverfahren – Elektronische Signaturen

Asymmetrische Signaturverfahren werden als Elektronische Signaturverfahren bezeichnet. Mittelseiner elektronischen Signatur sollen die Schutzziele Datenauthentizitat, Integritat sowie Zurechen-barkeit erreicht werden. In Abbildung 2.7 finden Sie die prinzipielle Funktionsweise einer elektro-nischen Signaturfunktion.

Alice mochte Bob ein Dokument m uber einen unsicheren Kanal zukommen lassen, so dass Bobsicher ist, dass das Dokument von Alice stammt (Datenauthentizitat) sowie dass es unverandertbei ihm eingeht (Integritat). Er mochte auch gegenuber unbeteiligten Dritten die Urheberschaftdes Dokuments m von Alice nachweisen (Zurechenbarkeit). Ahnlich wie bei asymmetrischen Ver-schlusselungsverfahren verwenden Senderin Alice und Empfanger Bob dazu Public Key Krypto-graphie.

Im Falle einer elektronischen Signatur muss die Signiererin Alice ein asymmetrischesSchlusselpaar besitzen. Ihren Public Key bezeichnen wir wie bei den asymmetrischen Ver-schlusselungsverfahren mit e, ihren Private Key mit d. Alice signiert das Dokument m mittelseiner Signaturerzeugungsfunktion S. Eingabe der Funktion S sind das zu signierende Dokumentm sowie ihr geheimer Schlussel d, die ausgegebene Signatur bezeichnen wir mit s. Die SigniererinAlice berechnet also S(m, d) = s.

Dann schickt Alice das Dokument m sowie die elektronische Signatur s uber einen unsicherenKanal an Bob. Die Angreiferin Eve kann in diesem Fall wie auch schon im AnwendungsbeispielMAC das Dokument m und die Signatur s lesen sowie diese Daten verandern.

Nach Erhalt des Dokuments m benotigt Bob noch den authentischen offentlichen Schlussel evon Alice. Dieser kann uber einen unsicheren Kanal ausgetauscht werden, sofern er dabei nichtverandert wird. Bob verifiziert die Signatur s mittels einer Verifikationsfunktion V. Bob benotigtdazu drei Eingaben, namlich das erhaltene Dokument m, die Signatur s sowie den offentlichenSchlussel e der Signiererin Alice. Ausgabe der Verifikationsfunktion V ist entweder true oderfalse, je nachdem ob die Signatur gultig ist oder nicht.

Da die Senderin Alice zum Signieren ihren Private Key benotigt, wird das Schlusselpaar derSenderin genutzt. Entsprechend kann nur sie d und daraus e erzeugen. Das ist ein wichtiger Un-terschied zur Public Key Verschlusselung, bei der das Schlusselpaar des Empfangers verwendetwird.

Sehen wir uns noch die Vor- und Nachteile eines elektronischen Signaturverfahrens an. Derzentrale Vorteil im Vergleich zum MAC ist, dass hier auch das Schutzziel Zurechenbarkeit erreichtwird. Weiterhin ist im Unterschied zum MAC das Schlusselaustauschproblem gelost (bis auf dieEchtheit des Public Key der Senderin Alice). Nachteilig an elektronischen Signaturverfahren imVergleich zu einem MAC sind der geringe Datendurchsatz sowie die relativ langen Schlussel.

Um den Nachteil des geringen Datendurchsatzes zu losen, signieren elektronische Signaturver-fahren nicht direkt das Dokument m, sondern eine sehr kurze, daraus abgeleitete Datenstruktur,die sehr effizient berechenbar ist. Dazu werden Hashfunktionen verwendet, auf die wir in Ab-schnitt 2.4 eingehen.

Das bekannteste elektronische Signaturverfahren ist das RSA Verfahren (wie schon bei derPublic Key Verschlusselung). Wir gehen auf RSA im Detail in Abschnitt 3.6 ein. Weitere wichtigeSignaturverfahren verwenden Elliptische Kurven (z.B. das ECDSA Verfahren).


Abbildung 2.7: Elektronische Signatur nach ? ] und ? ].

Kontrollaufgabe 7 (Signaturverfahren). 1. Welche Schutzziele (vgl. Abschnitt 1.3)gewahrleistet ein Message Authentication Code?

2. Welche Schutzziele werden von einer elektronischen Signatur gewahrleistet, aber nicht voneinem MAC?

2.4 Hashfunktionen

Hashfunktionen spielen eine sehr wichtige Rolle in der modernen Kryptographie. Ihr zentralesSchutzziel ist der Integritatsschutz, d.h. zu erkennen, ob Daten verandert wurden. Daraus ergebensich dann weitere Anwendungsgebiete, zum Beispiel im Kontext von Message Authentication Co-des (MAC), elektronischen Signaturverfahren wie RSA oder Pseudozufallszahlengeneratoren (d.h.Funktionen, die eine zufallig und gleichverteilt ’aussehende’ Folge von Bits ausgibt).

Eine Hashfunktion bezeichnet eine mathematische Funktion, die eine Bitfolge beliebiger Langeauf eine Bitfolge mit fester Lange abbildet (siehe Definition 20). Die Menge der Bitstrings belie-biger Lange bezeichnen wir mit {0, 1}∗ (das ist also der Definitionsbereich der Hashfunktion), dieMenge der Bitstrings der Lange N ∈ N bezeichnen wir mit {0, 1}N (das ist der Bildbereich derHashfunktion).

Definition 20 (Hashfunktion). Es sei N eine naturliche Zahl. Eine Funktion H : {0, 1}∗ →{0, 1}N heißt Hashfunktion der Lange N .

Der Funktionswert einer Hashfunktion wird auch als Hashwert oder Fingerabdruck bezeichnet.Denn der im Vergleich zur Eingabe typischerweise sehr kurze Hashwert dient als Identifikatordieser Eingabe – quasi wie ein Fingerabdruck den zugehorigen Menschen identifizieren soll. InAbbildung 2.8 stellen wir Ein- und Ausgabe einer Hashfunktion bildlich dar. Weil die AusgabenBitstrings der Lange N sind, gibt es insgesamt 2N mogliche Hashwerte.

Wie bei Verschlusselungsverfahren verarbeitet eine Hashfunktion haufig große Datenmengen.Die Berechnung von Hashwerten muss daher effizient sein, d.h. fur gegebenes m ∈ {0, 1}∗ muss

2.4. HASHFUNKTIONEN 41

{0, 1}∗Unendliche Menge

{0, 1}N2N Elemente

Hashfunktion H

Abbildung 2.8: Eingabe- und Ausgabemenge einer Hashfunktion.

H(m) schnell berechnet werden konnen. Zum Beispiel werden Hashfunktionen in der Krypto-graphie bei der Erzeugung und Uberprufung elektronischer Signaturen verwendet. Da oft großeelektronische Dateien signiert werden und Public-Key-Verfahren im Allgemeinen langsam sind,wird nicht die gesamte Datei signiert, sondern lediglich der Hashwert der Datei – also ihr kleinerFingerabdruck.

Hashfunktionen werden in vielen Bereichen der Informatik verwendet. Fur kryptographischeZwecke mussen jedoch einige Sicherheitsanforderungen an die Hashfunktion gestellt werden. Dochwelche Aspekte machen die Sicherheit einer kryptographischen Hashfunktion aus?

Damit das Erstellen einer elektronischen Signatur sicher ist, muss zunachst Folgendesgewahrleistet sein: zu einem gegebenen Hashwert darf in der Praxis kein Dokument gefundenwerden, welches den gegebenen Hashwert besitzt. Da eine Hashfunktion gemaß Definition 20 nichtinjektiv ist, existieren aber stets solche Dokumente (sogar unendlich viele Eingaben fur einengegebenen Hashwert). Man verlangt nun, dass das Auffinden eines dieser Eingaben zeitlich zulange dauert. Umgekehrt soll der Hashwert zu einer gegebenen Eingabe effizient berechnet werdenkonnen. Daher heißt diese Eigenschaft Einwegeigenschaft, wir formulieren diese Anforderung inDefintion 21.

Definition 21 (Einwegfunktion). Es sei H : {0, 1}∗ → {0, 1}N eine Hashfunktion. H heißtEinwegfunktion, falls es praktisch unmoglich ist, zu einem gegebenen Hashwert h ∈ {0, 1}N eineEingabe m ∈ {0, 1}∗ zu finden mit H(m) = h.

Bei dieser Definition stellt sich die Frage, was genau unter praktisch unmoglich zu verstehenist. Einfach ausgedruckt bedeutet praktisch unmoglich, dass ein Algorithmus in der Praxis im All-gemeinen nicht erfolgreich terminiert: er benotigt entweder zu viel Zeit oder zu viel Speicher, umein korrektes Ergebnis zu liefern. In der Sicherheits-Community legt man dazu eine Sicherheits-schwelle fest, ab der es praktisch unmoglich ist, ein Sicherheitsverfahren zu brechen. Aktuell liegtdiese Schwelle bei 100 Bit: das ist so zu verstehen, dass der effizienteste Angriff mindestens 2100

elementare Operationen benotigt. Was unter einer elementaren Operation zu verstehen ist, hangtvom betrachteten Sicherheitsverfahren ab. Fur Hashfunktionen werden wir das unten klaren.

In der folgenden Definition 22 fuhren wir den Begriff Kollision ein.

Definition 22 (Kollision). Es sei H : {0, 1}∗ → {0, 1}N eine Hashfunktion. Ein Tupel (m,m′) ∈{0, 1}∗ × {0, 1}∗, m 6= m′ heißt Kollision, falls H(m) = H(m′) gilt.

Eine Kollision liegt also vor, wenn wir zwei unterschiedliche Eingaben finden, die denselbenHashwert besitzen. Mit dem Begriff der Kollision sind wir nun in der Lage, eine kryptographischsichere Hashfunktion zu definieren.

Definition 23 (Kryptographisch sichere Hashfunktion). Es sei H : {0, 1}∗ → {0, 1}N eine Hash-funktion. Die Hashfunktion heißt kryptographisch sicher, falls sie folgende Anforderungen erfullt:

1. Es sei ein Hashwert h ∈ {0, 1}N gegeben. Die Hashfunktion H heißt Preimage resistant,falls es praktisch unmoglich ist, einen Bitstring m ∈ {0, 1}∗ zu finden mit H(m) = h. H istalso eine Einwegfunktion.


2. Es sei eine Eingabe m ∈ {0, 1}∗ gegeben. Die Hashfunktion H heißt Second preimageresistant oder schwach kollisionsresistent, falls es praktisch unmoglich ist, einen Bitstringm′ ∈ {0, 1}∗ zu finden mit m 6= m′ und H(m) = H(m′).

3. Die Hashfunktion H heißt Collision resistant oder stark kollisionsresistent, falls es praktischnicht moglich ist, irgendwelche zwei Eingaben m,m′ ∈ {0, 1}∗ so zu finden, dass m 6= m′

und H(m) = H(m′) gilt.

Wir nennen eine Hashfunktion H : {0, 1}∗ −→ {0, 1}N kryptographisch stark oder kryptogra-phisch sicher, wenn sie die genannten drei Bedingungen erfullt.

Oben haben Sie die Sicherheitsschwelle von 2100 elementaren Operationen kennengelernt, damitein Verfahren als praktisch sicher eingestuft wird. Bei Hashfunktionen bedeutet dies folgendes:

1. Preimage resistance: eine kryptographisch sichere Hashfunktion erzeugt zufallig und gleich-verteilte Ausgaben. Damit ein Angreifer also zu gegebenem Hashwert h ∈ {0, 1}N einenBitstring m ∈ {0, 1}∗ findet mit H(m) = h, muss er ca. 1

2 · 2100 = 299 Eingaben testen. Also

muss N ≥ 100 gelten, damit die Hashfunktion eine Einwegfunktion ist.

2. Second preimage resistance: eine analoge Uberlegung wie eben bei der Einwegeigenschaftzeigt, dass auch hierN ≥ 100 gelten muss, damit die Hashfunktion schwach kollisionsresistentist.

3. Collision resistant: ein moglicher Angriff ist Brute Force. Wahle dazu n zufallige Wertem1, . . . ,mn ∈ {0, 1}∗ und prufe, ob darunter zwei Werte sind, die eine Kollision von H bilden.Bei einem Sicherheitsniveau ≥ 100 Bit bedeutet dies, ein Angreifer benotigt ≥ 2100 Versuche,bis er eine Kollision gefunden hat (mit hoher Wahrscheinlichkeit). Er muss mindestens 2100

Werte m1, . . . ,m2100 wahlen. Um diesen Angriff auszuschließen, muss der Bildbereich vonH mindestens 2200 Elemente enthalten, also N ≥ 200 gelten (es gilt der Zusammenhang√

2N ≥ 2100, siehe Geburtstagsangriff, Beweis in der Vorlesung Kryptologie).

Die dritte Forderung ist die starkste, wir mussen also N ≥ 200 verlangen, damit H die Chancehat, kryptographisch sicher zu sein. Diese sehr wichtige Erkenntnis formulieren wir als Merksatz 4.

Merksatz 4 (Sicherheitsanforderung an kryptographisch sichere Hashfunktion). Eine notwendigeBedingung an eine kryptographisch sichere Hashfunktion ist, dass die Hashwerte mindestens 200Bit lang sind.

Kontrollaufgabe 8 (Hashfunktionen). 1. Geben Sie zwei Beispiele an, wofur Hashfunktionenverwendet werden.

2. Erklaren Sie den Unterschied der Eigenschaften schwach kollisionsresistent (second preimageresistant) und kollisionsresistent (collision resistant) von Hashfunktionen.

Kapitel 3

Moderne kryptographischeVerfahren

3.1 Einfuhrung

Im letzten Studienbrief haben Sie grundlegende Konzepte fur kryptographische Verfahren ken-nengelernt. Dieser Abschnitt konkretisiert diese Konzepte nun dadurch, dass Sie fur moderne(d.h. heutige, IT-basierte) Kryptoverfahren konkrete Umsetzungsparadigmen dieser Konzepte so-wie konkrete Beispiele kennenlernen. Als Literaturgrundlage dienen die Bucher von ? ], ? ], ? ]und ? ].

MitArbeiten mit Bits dem Einzug der Computer entstanden Ende der 1960er Jah-re moderne Verschlusselungsverfahren. Ein bedeutender Unterschied zu traditionellen Ver-schlusselungsverfahren ist hierbei das verwendete Alphabet. Wahrend klassische Kryptosystemebis Mitte des 20. Jahrhunderts noch auf Basis von Klartextbuchstaben arbeiteten (beispielsweiseRotor-Maschinen wie die deutsche Enigma), arbeiten moderne Verfahren auf Bits. Das Alphabet– also die verwendeten Zeichen – besteht dabei lediglich aus der Menge {0, 1}.

Heutige Kryptoverfahren sollen ein Sicherheitsniveau von ≥ 100 Bit haben. Das bedeutet,dass der effizienteste Algorithmus zum Angriff auf das Kryptoverfahren mindestens 2n Versuchebenotigt, um das Verfahren zu brechen. Weil 2100 Versuche nicht praktisch durchfuhrbar sind,gelten solche Verfahren damit als praktisch sicher.

Zur Erinnerung: nach dem Prinzip von Kerckhoffs ist eine Durchsuchung des Schlusselraums(Brute-Force-Angriff oder auch Schlusselexhaustion) ein Angriff, der immer moglich ist. Fur eingutes Kryptosystem ist der Brute-Force-Angriff auch der beste Angriff. Dann folgt aus einem Si-cherheitsniveau ≥ 100 Bit, dass es mindestens 2100 Schlussel geben muss. Fur einen Schlusselraumder Form {0, 1}n gilt also n ≥ 100. Weil in der Informatik gerne Zweierpotenzen genutzt werden,ist eine typische Schlussellange fur ein symmetrisches Verfahren 128 Bit.

3.2 Symmetrische Kryptosysteme

Sie haben in Abschnitt 2.2.1 die grundlegende Funktionsweise symmetrischer Ver-schlusselungsverfahren kennengelernt. Die Bezeichnung ’symmetrisch’ ergibt sich dadurch,dass fur die Ver- und Entschlusselung entweder der gleiche Schlussel genutzt wird oder derDechiffrierschlussel aus dem Verschlusselungsschlussel einfach berechnet werden kann. Diesymmetrischen Verfahren besitzen zwar einen hohen Datendurchsatz, erfordern jedoch einaufwendiges Schlusselmanagement.

In diesem Abschnitt gehen wir im Detail auf Realisierungen fur symmetrische Kryptosystemeein. Zunachst lernen Sie die zwei Klassen moderner Verschlusselungsverfahren kennen: Strom-chiffren (engl.: stream cipher) in Abschnitt 3.2.1 sowie Blockchiffren (engl.: block cipher) in Ab-

43

44 KAPITEL 3. MODERNE KRYPTOGRAPHISCHE VERFAHREN

schnitt 3.2.2. Danach lernen Sie mit dem Data Encryption Standard (DES) in Abschnitt 3.2.3und dem Advanced Encryption Standard (AES) in Abschnitt 3.2.4 zwei bekannte symmetrischeBlockchiffren kennen. Zum Abschluss uber symmetrische Kryptosysteme gehen wir noch auf Mehr-fachverschlusselung in Abschnitt 3.2.5 ein.

3.2.1 Stromchiffren

Stromchiffren nutzen als Rechenoperation das in der Informatik verbreitete XOR (ExklusivesOder). Das XOR wird oft durch den Operator ⊕ dargestellt. Eingabe des XOR-Operators sindzwei Bits, die per XOR wie folgt kombiniert werden:

0⊕ 0 = 0, 1⊕ 0 = 1, 0⊕ 1 = 1, 1⊕ 1 = 0.

Eine Besonderheit des XOR ist, dass b ⊕ b = 0 fur beide moglichen Eingaben gilt. Genau dasmacht man sich bei einer Stromchiffre zu nutze (siehe Gleichung (3.1)).

Stromchiffren verdanken ihren Namen der Eigenschaft, dass ein Schlusselstrom verwendet wird.Der Schlusselstrom wird aus dem verwendeten symmetrischen Verschlusselungsschlussel e berech-net. Da e nur in der Großenordnung 128 bis 256 Bit liegt, der Schlusselstrom aber eine (beliebig)lange Bitfolge sein muss, benotigt eine Stromchiffre eine geeignete Funktion, die den Schlusselstromaus dem Verschlusselungsschlussel e berechnet.

Da die Bits im Schlusselstrom zufallig und gleichverteilt sein sollen, verwenden Strom-chiffren dazu einen Pseudozufallszahlengenerator. Dessen Eingabe ist der relativ kurze Ver-schlusselungsschlussel e, seine Ausgabe ist eine beliebig lange Bitfolge, deren Bits zufallig undgleichverteilt ’aussehen’ – ein Angreifer kann die pseudozufalligen Bits nicht von echt zufalligenBits unterscheiden.

Zur Verschlusselung wird je ein Bit des Klartextes per XOR mit einem Bit aus demSchlusselstrom zu dem zugehorigen Chiffretextbit kombiniert. Es gilt also

P = C = {0, 1}, mi ⊕ ki = ci

wobei mi das aktuelle Klartextbit, ki das aktuelle Schlusselstrombit und ci das daraus berechneteChiffretextbit bezeichnen. Die Funktionsweise der Verschlusselung einer Stromchiffre finden Siein Abbildung 3.1. Aus dem Verschlusselungsschlussel e ∈ {0, 1}n, n ≥ 100, wird zunachst derzugehorige pseudozufallige Schlusselstrom generiert. Der Schlusselstrom wird dann komponenten-weise mit dem Klartext per XOR kombiniert.

-

Schlussele = (e1, . . . , en) Pseudozufalls-

zahlengenerator

Schlusselstromk = 01100011 · · ·

HHHHj⊕ -

Chiffretextc = 11110110 · · ·

Klartext m = 10010101 · · · ��*

Abbildung 3.1: Verschlusselung mittels einer Stromchiffre

Zur Entschlusselung muss auch Bob (der Empfanger) Zugriff auf den Verschlusselungsschlussele haben (es gilt also d = e), wie es bei einem symmetrischen Verschlusselungsverfahren der Fallist. Daraus berechnet er wie Senderin Alice den Schlusselstrom und verknupft Chiffretext undSchlusselstrom per XOR. Bob berechnet also

ci ⊕ ki = (mi ⊕ ki)⊕ ki = mi ⊕ (ki ⊕ ki) = mi. (3.1)

Das Ergebnis ist wieder das zugehorige Klartextbit. Die Funktionsweise der Entschlusselung einerStromchiffre finden Sie in Abbildung 3.2.

3.2. SYMMETRISCHE KRYPTOSYSTEME 45

-

Schlussele = (e1, . . . , en) Pseudozufalls-

zahlengenerator

Schlusselstromk = 01100011 · · ·

HHHHj⊕ -

Klartextm = 10010101 · · ·

Chiffretext c = 11110110 · · · ��*

Abbildung 3.2: Entschlusselung mittels einer Stromchiffre

An dieser Stelle soll nicht weiter auf technische Details einer Stromchiffre eingegangen wer-den, sondern lediglich der Sicherheitsaspekt solcher Verfahren kurz zusammengefasst werden. Die’Intelligenz’ und damit die Sicherheit von Stromchiffren hangt entscheidend von der Gute desPseudozufallszahlengenerators ab. Wir benotigen ’nur’ praktische Sicherheit, d.h. ein Angreifer(mit beschrankten Ressourcen) sollte keinen Unterschied feststellen zwischen echtem Zufall undPseudozufall, der von einem Pseudozufallszahlengenerator stammt. Fur uns sind folgende dreiBedingungen wichtig:

• Die Bits sind zufallig und gleichverteilt.

• Aus Teilen des Schlusselstroms durfen keine Nachfolger bestimmt werden konnen (sieheAbbildung 3.3).

• Aus Teilen des Schlusselstroms durfen keine Vorganger bestimmt werden konnen (siehe Ab-bildung 3.3).

-Schlussel Pseudozufalls-zahlengenerator

-01100011001︸︷︷︸Vorganger ←

101011100011︸︷︷︸Erratener Teil

00111101001︸︷︷︸→ Nachfolger

Abbildung 3.3: Zur Sicherheit eines Pseudozufallszahlengenerators

Die bekannteste Stromchiffre geht auf Ron Rivest (das ist auch das ’R’ in RSA) zuruck. RC4soll zum Beispiel an Ron’s Cipher erinnern. Eingesetzt werden Stromchiffren beispielsweise bei derVerschlusselung von Funkverbindungen (etwa Wi-Fi Protected Access (WPA)).

Kontrollaufgabe 9 (Stromchiffre). Gegeben ist Ihnen ein Klartext 01101110 sowie einSchlusselstrom 11010001. Berechnen Sie daraus den zugehorigen Chiffretext. Uberzeugen Sie sichauch, dass die Entschlusselung das richtige Ergebnis liefert.

3.2.2 Blockchiffren

Die allgemeine Funktionsweise von Blockchiffren sehen Sie in Abbildung 3.4. Blockchiffren unter-teilen den Klartext in t Blocke m1 bis mt jeweils gleicher Lange. Die Lange eines Blocks bezeichnenwir mit n, sie wird in Bits gezahlt (weil das Alphabet {0, 1} ist). Eine heute typische Blocklange istn = 128, altere Verfahren nutzen noch n = 64. Die Verschlusselungsfunktion erwartet als Eingabeeinen Klartextblock der Lange n, verschlusselt diesen mit Hilfe des Verschlusselungsschlussels undgibt einen Chiffretextblock der Lange n aus. Es gilt als

P = C = {0, 1}n.

Typischerweise ist die Lange des gesamten Klartextes kein Vielfaches der Blocklange, d.h. derletzte Klartextblock besteht aus weniger als n Bits. Dann muss dieser Block auf n Bits aufgefulltwerden. Ein solches Auffullverfahren heißt Padding.


Abbildung 3.4: Allgemeine Funktionsweise von Blockchiffren

Beispiel 10 (Padding). Sie nutzen eine symmetrische Blockchiffre mit Blocklange 128 Bit. IhrKlartext (z.B. ein jpg-Bild) hat die Lange 5.005 Byte. Weil ein Byte aus 8 Bit besteht, gilt

t =5005 · 8

128=

40040

128=

39936 + 104

128= 312 +

104

128.

Also gibt es 312 volle n-Bit Klartextblocke, der letzte Klartextblock muss per Padding mit denfehlenden 24 Bit aufgefullt werden.

Claude Shannon formulierte zudem zwei wichtige Eigenschaften moderner Blockchiffren, ge-nannt Konfusion und Diffusion. Diese Eigenschaften sind in Definition 24 beschrieben.

Definition 24 (Konfusion und Diffusion). • Konfusion: Diese Eigenschaft beschreibt dasVerbergen der Beziehung zwischen Geheimtext auf der einen Seite sowie Schlussel und Klar-text auf der anderen Seite. Der Zusammenhang zwischen diesen Objekten ist zu komplex.Ein Angreifer hat nicht die Moglichkeit, bei Betrachtung des Geheimtextes Informationenuber den verwendeten Schlussel oder den zugrundeliegenden Klartext zu erhalten.

• Diffusion: Jedes Zeichen bzw. Bit des Geheimtextes soll von moglichst vielen Zeichen/Bitsdes Klartextes sowie des Schlussels abhangen.

Die Basistechnik Permutation dient zur Erhohung der Diffusion. Eine Permutation ist eineUmordnung der Bits in einem Block, sie andert aber nicht die Anzahl der Nullen bzw. Einsen ineinem Block. Eine Permutation von Bits in einem Block finden Sie in Abbildung 3.5 dargestellt. Indiesem Beispiel wird das Nullbit an erster Stelle im oberen Block an die zweite Stelle im unterenBlock umgeordnet, das Einsbit von der zweiten Stelle an die vierte Stelle, und so weiter.

0 0 0 1 1 0 0. . .

BBBBBN

PPPPPPPPPPPPPq

JJJJJ

��)

JJJJJ

�

��

��

0 1 0 0 0 0 1. . . . . .

Abbildung 3.5: Permutation von Bits in einem Block


Eine zweite wichtige Basistechnik erhoht die Konfusion. Sie heißt Substitution. Eine Substitu-tion ist eine Ersetzung eines Blocks bzw. Teilblocks von Bits gemaß der Substitutionsvorschrift.Typischerweise ersetzt eine Substitution einen Block der Lange 8 Bit, da solche Substitutionsvor-schriften einfach als Tabellen gespeichert und damit effizient implementiert werden konnen. BeiBlocken der Lange 8 Bit enthalt die Tabelle z.B. 28 = 256 Eintrage, die angeben, wie das jeweiligeByte (also 8 Bit) zu ersetzen sind. Eine Substitution von Bits stellen wir in Abbildung 3.6 dar. Indiesem Beispiel werden Blocke der Lange 8 Bit mittels einer Substitution ersetzt, wobei wir dieSubstitutionsfunktion wie ublich als S-Box bezeichnen.

0 0 0 1 1 0 0 0 0 0 1 1 0 0 0 1. . .

0 0 0 1 1 0 0 0 0 0 1 1 0 0 0 1. . .

S-Box S-Box. . .

Abbildung 3.6: Substitution von Bits mittels S-Boxen

Den gewunschten Effekt von Permutation und Diffusion sieht man erst nach mehreren Runden.Daher werden geeignete Substitutionen (S) sowie Permutationen (P) hinreichend oft hintereinanderausgefuhrt – so entsteht aus relativ einfachen Basisfunktionen S und P eine sehr komplexe Block-chiffre. Zum Beispiel realisieren SP-Netzwerke diesen Ansatz. Ein Beispiel fur ein SP-Netzwerk istdie Blockchiffre AES (Advanced Encryption Standard), die Sie in Abschnitt 3.2.4 kennenlernen.

Werden Konfusion und Diffusion durch Substitution und Diffusion nach mehreren Runden hin-reichend gut in einem Verschlusselungsverfahren implementiert, resultiert das Andern eines Bitsdes Klartextes oder des Schlussels in einem neuen und zufalligen (=unvorhersehbaren) Geheim-text, in dem sich jedes Bit mit einer Wahrscheinlichkeit von 50% gegenuber dem ursprunglichenChiffretext andert. Dies wird als sogenannter Lawineneffekt bezeichnet (im Englischen AvalancheEffect).

Kontrollaufgabe 10 (Lawineneffekt). Erklaren Sie, was unter dem Lawineneffekt zu verstehenist.

Kontrollaufgabe 11 (Konfusion, Diffusion). Erlautern Sie kurz Konfusion und Diffusion sowiemit welcher Basistechnik man sie erreicht.

Betriebsmodi symmetrischer Blockchiffren

Eine Blockchiffre wird in einem Betriebsmodus genutzt, wie wir es schon in Abbildung 3.4 in derVerschlusselungsfunktion dargestellt haben. Im Folgenden werden wir Ihnen drei wichte Betriebs-modi naher erlautern: den Electronic Code Book Modus (ECB), den Cipher Block Chaining Modus(CBC) sowie den Counter Modus (Ctr). Sie werden sehen, dass der ECB zentrale Schwachen hat,wahrend der CBC sowie der Ctr sichere Modi sind.

Electronic Code Book Mode Die naheliegendste Art der Verschlusselung eines beliebig langenTextes mittels einer Blockchiffre ist ihre Verwendung im Electronic Code Book Mode (ECB Mo-de). Ein beliebig langer Klartext wird in Blocke der Lange n Bit geteilt (Padding beachten).Anschließend verschlusselt man jeden Klartextblock der Lange n Bit unter Verwendung des Ver-schlusselungsschlussels e sowie der Verschlusselungsfunktion E unabhangig voneinander. Fur denKlartexblock mi gilt dann einfach

E(mi, e) = ci fur alle 1 ≤ i ≤ t.


Der Chiffretext ist einfach die Folge der Chiffretextblocke c1 bis ct. Die Verschlusselung imECB Mode ist in Abbildung 3.7 dargestellt.

Abbildung 3.7: Verschlusselung im Electronic Code Book Mode nach ? ]

Die Entschlusselungsfunktion D mit dem zu e korrespondierenden Entschlusselungsschlusseld wird unabhangig auf jeden Chiffretexblock ci der Lange n Bit angewendet. Die Ent-schlusselungsvorschrift lautet also

D(ci, d) = mi fur alle 1 ≤ i ≤ t.

Der Klartext ist dann die Folge der Klartextblocke m1 bis mt, im letzten Block mt mussen gege-benfalls die Paddingbits wieder entfernt werden. Die Entschlusselung im ECB Mode ist in Abbil-dung 3.8 dargestellt.

Abbildung 3.8: Entschlusselung im Electronic Code Book Mode nach ? ]

Der ECB ist ein schwacher Blockmodus, er besitzt zentrale Nachteile:

1. Strukturerhaltung: Bei der Verwendung des ECB Mode werden gleiche Klartextblocke je-weils zu gleichen Chiffretextblocken verschlusselt. Regelmaßigkeiten des Klartextes fuhrenzu Regelmaßigkeiten des Schlusseltextes. Deshalb konnen Informationen uber den Klartextaus dem Schlusseltext gezogen werden, auch wenn dieser nicht entschlusselt werden kann.Solche Informationen konnen die Kryptoanalyse erleichtern.

2. Manipulation: Ein Angreifer kann Nachrichten andern, ohne dass dies dem Empfanger auf-fallen muss. Der Angreifer kann zum Beispiel einen Chiffretextblock einfugen, der mit demgleichen Verschlusselungsschlussel e verschlusselt worden ist. Genauso kann ein Angreiferunbemerkt die Reihenfolge der Schlusseltextblocke verandern.

Aus diesen Grunden ist der ECB Mode zur Verschlusselung langer Nachrichten ungeeignet. Dieangesprochenen Regelmaßigkeiten lassen sich in Abbildung 3.9 erkennen. Bei der Verschlusselungder Pixelinformationen des Originalbildes fuhren die großflachigen geometrischen Formen einerFarbe zu einem entsprechenden Muster (3.9b).

Die Sicherheit des ECB Mode lasst sich zwar dadurch steigern, indem die Blocke nur teilweiseaus dem Klartext und teilweise durch zufallige Zeichen gebildet werden. Dadurch werden aber


(a) Originalbild (b) ECB Mode (c) CBC Mode

Abbildung 3.9: Verschlusselung mittels AES und unterschiedlicher Blockmodi.

viele nicht benotigte Daten ubertragen. Als Losungsoption wahlt man daher den Ansatz, dass einChiffretextblock nicht nur von Schlussel und Klartextblock abhangt, sondern von einem weiterenParameter. Sie lernen zwei solcher Betriebsarten in den folgenden Abschnitten naher kennen:

• Cipher Block Chaining Mode (CBC): als zusatzlicher Parameter wird der Kontext verwen-det, indem der vorhergehende Chiffretextblock in die Verschlusselung des aktuellen Klar-textblocks eingeht.

• Counter Mode (Ctr): ein Zahler dient als zusatzlicher Parameter.

Weitere bekannte Betriebsarten sind der Cipher Feedback Mode (CFB) sowie der Output FeedbackMode (OFB). Auf diese gehen wir aber nicht weiter ein.

Cipher Block Chaining Mode Der Cipher Block Chaining Mode (CBC Mode) behebt dieeben genannten Nachteile des ECB Mode. Die Idee des CBC Mode ist es, dass die Verschlusselungdes Klartextblocks mi auch von dem vorhergehenden Chiffretextblock ci−1 neben dem Ver-schlusselungsschlussel e als zusatzlichem Parameter abhangt. Der CBC Mode verschlusselt Klar-textblocke also kontextabhangig. Die Verschlusselungsfunktion sieht im CBC Mode wie folgt aus:

E(mi ⊕ ci−1, e) = ci fur alle 1 ≤ i ≤ t.

Da es keinen Chiffretextblock c0 gibt, benotigen wir fur die Verschlusselung des Klartext-blocks m1 einen zusatzlichen Block. Dieser heißt Initialisierungsvektor (IV), und man setztc0 := IV . Der IV ist kein Chiffretextblock im eigentlichen Sinn, er dient nur dazu, dass m1

im CBC Mode verschlusselt werden kann. Der IV sollte fur jede Verbindung neu gewahlt wer-den (also Session abhangig sein). Der Chiffretext ist dann die Folge der Chiffretextblocke c0bis ct. Die Verschlusselung im CBC Mode ist in Abbildung 3.10 dargestellt. Sie sollen die Ent-schlusselungsfunktion im CBC Mode in Kontrollaufgabe 12 bestimmen.

Abbildung 3.10: Verschlusselung im Cipher Block Chaining Mode nach ? ]

Die Verschlusselung ist somit kontextabhangig, d.h. gleiche Muster in unterschiedlichem Kon-text werden verschieden verschlusselt. Nachtragliche Veranderungen des Schlusseltextes (z.B.


Einfugen von Chiffretextblocken oder Vertauschung der Reihenfolge) konnen daran erkannt wer-den, dass die Entschlusselung nicht mehr funktioniert. Gleiche Texte werden im CBC Mode ver-schieden verschlusselt, wenn der Initialisierungsvektor verandert wird. Dies sind wichtige Vorteiledes CBC Mode gegenuber dem ECB Mode.

Der CBC Mode ist zum Verschlusseln langer Nachrichten gut geeignet. Im Vergleich zumECB Mode benotigt der CBC Mode lediglich eine zusatzliche XOR-Operation pro Klartextblock.Diese zusatzliche Laufzeit ist aber vernachlassigbar, so dass die Laufzeiten des ECB und desCBC Mode praktisch identisch sind.

Kontrollaufgabe 12 (Entschlusselung im CBC Mode). Geben Sie die Entschlusselungsfunktionim CBC Mode fur die Chiffretextblocke c0 bis ct an.

Kontrollaufgabe 13 (ECB vs. CBC). Erlautern Sie die Verschlusselungsmodi ECB und CBC.Begrunden Sie, welchen der beiden Modi Sie bevorzugen wurden. Beziehen Sie sich dabei auf dieSicherheit sowie Effizienz der Betriebsmodi.

Counter Mode Der Counter Mode (Ctr Mode) begegnet den oben genannten Nachtei-len des ECB Mode, indem in die Verschlusselung des Klartextblocks mi neben dem Ver-schlusselungsschlussel e auch eine Zufallszahl sowie ein Zahler eingehen. Die Zufallszahl wird auchals Nonce (Number Only Used Once) bezeichnet. Die Nonce wird wie auch der Initialisierungs-vektor im CBC Mode nur fur eine Kommunikation (also eine Session) pseudozufallig ausgewahlt.Der Zahler wird mit 1 initialisiert und fur jeden weiteren Klartextblock um 1 hochgezahlt. DerCtr Mode verschlusselt Klartextblocke, indem die Nonce und der aktuelle Wert des Zahlers mittelsder Verschlusselungsfunktion verschlusselt werden und diese Ausgabe per XOR auf den akutellenKlartextblock mi addiert wird. Die Verschlusselungsfunktion sieht im Ctr Mode also wie folgt aus:

E(nonce ‖ i, e)⊕mi = ci fur alle 1 ≤ i ≤ t.

Die Blockchiffre wird also als Pseudozufallszahlengenerator genutzt, sie verschlusselt nicht denKlartextblock. Die Verschlusselung im Ctr Mode ist in Abbildung 3.11 dargestellt. Die Noncewird ebenfalls ubermittelt.

Abbildung 3.11: Verschlusselung im Counter Mode

Wie bei Stromchiffren ublich, erhalten wir den Klartextblock mi zuruck, indem wir per XORden Schlusselstrom auf den Chiffretextblock ci addieren (Schlusselstrom ⊕ Schlusselstrom =(0, 0, 0, . . . )). Sie sollen in Kontrollaufgabe 14 die Entschlusselung im Ctr Mode angeben.

Wichtig bei der Sicherheitsbetrachtung im Counter Mode sind folgende zwei Aspekte:

1. Im Rahmen der Betrachtung von Stromchiffren in Abschnitt 3.2.1 haben wir als Sicher-heitsbedingungen fur den Schlusselstrom formuliert, dass Schlusselbits gleichverteilt seinmussen und aus Teilen des Schlusselstroms weder Nachfolger noch Vorganger bestimmt wer-den konnen. Wenn die Blockchiffre sicher ist (aus bekanntem Chiffretext kann der Schlusselnicht berechnet werden), dann sind diese Bedingungen erfullt.


2. Die Nonce darf bei gleichem Schlussel nicht mehrfach verwendet werden. Ansonsten wirdder selbe Schlusselstrom generiert und der Angreifer kann erkennen, ob die selben Klartexteverschlusselt wurden. Bitte beachten Sie aber, dass die Nonce nicht geheim gehalten werdenmuss. Die Sicherheit liegt allein an der Geheimhaltung des Schlussels.

Kontrollaufgabe 14 (Entschlusselung im Counter Mode). Geben Sie die Ent-schlusselungsfunktion im Ctr Mode fur die Chiffretextblocke c1 bis ct sowie gegebene Noncean.

3.2.3 Data Encryption Standard

Der Data Encryption Standard war knapp drei Jahrzehnte lang der weltweite Ver-schlusselungsstandard fur symmetrische Blockchiffren. DES wurde 1976 vom US-amerikanischenNational Institute of Standards and Technologies (NIST) standardisiert. Vorangegangen war eineoffentliche Ausschreibung mit der Bitte um Einreichungen von standardisierungswurdigen sym-metrischen Blockchiffren. IBM reichte die Chiffre Lucifer ein, dessen geistiger Vater der beruhmteKryptologe Horst Feistel war. Unter Mitwirkung der National Security Agency (NSA) wurde ausLucifer das spater als DES standardisierte Block-Verschlusselungsverfahren. Weil im Rahmen die-ser Uberarbeitung die Schlussellange von 128 auf effektive 56 Bit (siehe unten) verkurzt wurde,gibt es bis heute Spekulationen uber die Absichten der NSA.

DES ist eine Blockchiffre mit Blocklange 64. Es gilt also P = C = {0, 1}64. Die Schlusselstammen zwar ebenfalls aus {0, 1}64, allerdings gibt es die Einschrankung, dass jeweils sieben Bit ineinem Byte das achte Bit festlegen (Paritatsbit). Daher haben DES-Schlussel eine effektive Bitlangevon 56 (d.h. es gibt nur 256 unterschiedliche DES-Schlussel). Wir schreiben daher K = {0, 1}56

DES ist kein SP-Netzwerk (siehe Seite 47), sondern eine leicht veranderte Feistel-Chiffre (zu Eh-ren ihres Erfinders Horst Feistel). Die Anzahl der Runden betragt 16, in jeder Runde werden zweiPermutationen sowie eine Substitution durchgefuhrt. Diese Funktionen sind schlusselunabhangig,sie konnen daher effizient und statisch implementiert werden. Als vierte Rundenfunktion kommtnoch die Verknupfung mit einem der 16 aus dem Verschlusselungsschlussel abgeleiteten Runden-schlussel hinzu.

Beispiel 11 (DES-Verschlusselung mittels OpenSSL). Alice schreibt an Bob den folgenden Textund speichert diesen in der Datei klartext.txt: Lieber Bob, ich schenke dir 100 EUR. DeineAlice. Alice verschlusselt diese Datei mittels openssl im CBC-Mode. Der zugehorige openssl-Befehl lautet:

$ openssl enc -des-cbc -in klartext.txt -out chiffretext.bin \

-pass pass:rT2_nIsSP!

Der openssl-Befehl enc stellt Verschlusselungsfunktionen zur Verfugung, hier rufen wir mittelsdes Switches -des-cbc den CBC Mode von DES auf. Die Eingabedatei wird mittels des Switches-in festgelegt, die Ausgabedatei mittels -out.

Wir mussen ein Passwort eingeben, aus dem der Verschlusselungsschlussel e bestimmt wird.Das Passwort ubergeben wir mit dem Switch -pass. Da der aus dem Passwort abgeleitete DES-Schlussel die effektive Bitlange 56 hat, muss das verwendete Passwort mindestens soviele ’zufallige’Bit enthalten. Weil wir uber die Tastatur typischerweise nur aus einer Menge von ungefahr 64 = 26

Zeichen auswahlen, tragt jedes Passwortzeichen mit 6 Bit zum DES-Schlussel bei. Daher sollte dasPasswort mindestens 10 Zeichen lang sein. In unserem Fall lautet es rT2_nIsSP!.

Sehen wir uns die Chiffretextdatei mit einem Hexdump-Viewer an, also einer Applikation, dieuns die Rohdaten der Datei anzeigt. Wir verwenden den Hexdump-Viewer xxd.

$ xxd chiffretext.bin

0000000: 5361 6c74 6564 5f5f d5ae ff24 8a78 911d Salted__...$.x..

0000010: cb0a 5579 5e0f 7969 2300 6f8a 052f 794e ..Uy^.yi#.o../yN

0000020: dc02 2903 8e5c 8a47 4ba0 d8ed 8f1c 2285 ..)..\.GK.....".

0000030: 6ef0 c44f 5aa7 3b84 6c38 332d 2828 5f21 n..OZ.;.l83-((_!

0000040: 4b0e 96d6 e107 7edd K.....~.


In der linken Spalte steht die Position der Bytes in der Datei, also das jeweilige Offset. Bittebeachten Sie, dass die Zahlen im Hexadezimalsystem angegeben sind, also 0x10 stellt z.B. die Zahl16 dar. In der Mitte sieht man die Rohdaten der Datei, rechts werden die Rohdaten als ASCII-Zeichen dargestellt (ein nicht-druckbares Byte wird als ’Punkt’ ausgegeben). In der ersten Zeilesehen wir zunachst den String Salted__, er gibt an, dass ein Salt verwendet wird. Ein Salt ist einzusatzlicher Parameter, der gleiche Inhalte verschleiern soll. Das Salt selbst besteht aus 8 Byte undbeginnt ab Offset 8 (d.h. es stehen 8 Byte in der Datei vor dem Salt – Informatiker zahlen meistbeginnend mit Null), es hat hier den Wert 33f9 3e58 17d5 6c8f. Das Salt dient z.B. dazu, denIV fur den CBC Mode zu berechnen. Unsere Datei besteht aus 50 Byte, also bei einer Blocklangevon 64 Bit = 8 Byte aus insgesamt 7 Blocken. Diese sehen Sie ab Offset 16. Den IV, das Saltsowie den aus dem Passwort abgeleiteten Verschlusselungsschlussel e konnen Sie sich mit demSwitch -p anzeigen lassen.

Dann ubermittelt Alice die Datei chiffretext.bin an Bob uber einen unsicheren Kanal. Bobentschlusselt mittels des ihm ebenfalls bekannten Passworts wie folgt:

$ openssl enc -des-cbc -d -in chiffretext.bin -out klartext.txt

enter des-cbc decryption password:

Der Switch -d gibt an, dass enc die Entschlusselungsroutine des DES aufruft. Anschließend stehtBob der Klartext in der Datei klartext.txt zur Verfugung.

Das einfache DES-Verfahren gilt aber nicht mehr als sicher genug, denn die Sicherheit liegtmit 56 Bit deutlich unter der heute gultigen Sicherheitsschwelle von 100 Bit. Eine wichtige Er-kenntnis ist aber, dass Brute-Force bis heute der beste praktisch relevante Angriff auf DES ist,obwohl es Angriffe auf DES uber sogenannte lineare oder differentielle Kryptoanalyse gibt. Sogesehen ist DES also bis auf die kurzen Schlussel ein vorbildliches Verschlusselungsverfahren. Alssichere symmetrische Blockchiffre wird mittlerweile das 2001 standardisierte AES eingesetzt (sieheAbschnitt 3.2.4). Als sicher gilt aber nach wie vor die Mehrfachverschlusselung von DES in derDreifachvariante Triple-DES (oder DES-EDE). Mehrfachverschlusselung bzw. Triple-DES lernenSie in Abschnitt 3.2.5 kennen. Ein wichtiger Nachteil von Triple-DES im Vergleich zu AES istdessen ineffiziente Laufzeit.

Kontrollaufgabe 15 (Eigenschaften des DES). Geben Sie P, C sowie K fur den DES an. Auswie vielen Runden besteht eine DES-Verschlusselung bzw. -Entschlusselung?

Kontrollaufgabe 16 (Dauer eines Brute-Force-Angriffs auf DES). Sie fuhren mit Ihrem Com-puter einen Brute-Force-Angriff auf DES durch und konnen 225 Schlussel pro Sekunde testen. DieSchlussel wahlen Sie zufallig und gleichverteilt. Wie viele Jahre dauert der Angriff? Wie langedauert der Angriff, wenn Sie 1000 Computer parallel nutzen konnen?

3.2.4 Advanced Encryption Standard

Da der Data Encryption Standard Ende der 1990er Jahre auf Grund seiner zu kurzen Schlusselunsicher wurde, rief das US-amerikanische National Institute of Standards and Technology (NIST)im September 1997 einen Wettbewerb aus, um einen Nachfolger fur den DES zu finden. AES wurdeam 26.11.2001 als Federal Information Processing Standard FIPS 197 standardisiert. Der Standardist offen, d.h. jeder kann ihn einsehen. Er ist kostenfrei uber das Internet erhaltlich1.

Im Unterschied zum Auswahlprozess bei DES sollte AES durch ein offentliches Verfahren ge-funden werden. Im Verlaufe des von der NIST durchgefuhrten Wettbewerbs fanden insgesamtvier Konferenzen statt. Zunachst startete 1997 der Auswahlwettbewerb mit einem ’Requirement-Workshop’ (AES0), auf dem die Anforderungen an AES herausgearbeitet werden sollten. Dieveroffentlichten Anforderungen an AES waren wie folgt2:

1. AES ist ein symmetrisches Verschlusselungsverfahren.

1FIPS 197 Download: http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf2http://csrc.nist.gov/archive/aes/

http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf

http://csrc.nist.gov/archive/aes/


2. AES ist eine Blockchiffre mit Blocklange 128 Bit. Es gilt also P = C = {0, 1}128.

3. AES erlaubt drei verschiedene Schlussellangen: 128 Bit, 192 Bit und 256 Bit. Die zugehorigenSchlusselraume sind also K128 = {0, 1}128, K192 = {0, 1}192 und K256 = {0, 1}256. Anders alsbei DES konnen beliebige Bitstrings dieser Schlusselraume verwendet werden, d.h. das vonDES bekannte Prufbit pro Byte entfallt.

4. Die Sicherheit von AES soll mindestens so stark sein wie diejenige von Triple-DES. Allerdingssoll die Effizienz (also die Dauer der Ver- bzw. Entschlusselung) deutlich hoher sein.

5. AES soll als Verschlusselungsverfahren mindestens uber einen Zeitraum von 30 Jahren ein-setzbar sein, also bis ca. 2030.

6. Die mit AES verschlusselten Daten sollen mindestens 100 Jahre geschutzt sein, also bis ca.2100. Das bedeutet, dass AES zwar nur bis 2030 eingesetzt wird, die Daten aber deutlichlanger vertraulich bleiben sollen.

7. Der ausgewahlte Algorithmus muss ’royalty free’ sein, also ohne Lizenzgebuhr implementier-bar und nutzbar sein.

Im Marz 1999 fand in Rom die dritte Konferenz AES2 statt, auf denen die funf Finalisten be-kannt gegeben wurden. Auf der letzten Konferenz AES3 im April 2000 in New York wurden dieTeilnehmer befragt, welche der funf Finalisten sie fur geeignet halten. Die Teilnehmer konnten einVotum abgeben, ob sie den Algorithmus fur geeignet halten oder nicht. Dabei zeichnete sich einklares Bild ab, das in Tabelle 3.1 zusammengefasst ist. Danach kommen nur Rijndael und Serpentals AES in Frage. NIST entschied sich fur Rijndael und veroffentlichte diese Entscheidung AnfangOktober 2000. Bis zur Veroffentlichung als Standard verging dann noch ein knappes Jahr.

Algorithmus Urheber geeignet nicht geeignet

MARS IBM (USA) 13 83

RC6 Ron Rivest, RSA (USA) 23 37

Rijndael J. Daemen, V. Rijmen (Belgien) 86 10

Serpent R. Anderson, E. Biham, L. Knudsen 59 7(UK, Israel, Danemark)

Twofish B. Schneier (USA) 31 21

Tabelle 3.1: Ergebnis der Befragung der Teilnehmer der Konferenz AES3.

Anders als die Feistel-Chiffre DES ist AES ein SP-Netzwerk (siehe Seite 47). Die Anzahl derRunden ist schlusselabhangig, sie betragt 10 fur 128 Bit Schlussel, 12 fur 192 Bit Schlussel sowie14 fur 192 Bit Schlussel. In jeder Runde werden zwei Permutationen sowie eine Substitutiondurchgefuhrt. Wie schon beim DES sind diese Rundenfunktionen schlusselunabhangig. Als vierteRundenfunktion kommt noch die XOR-Verknupfung mit dem jeweiligen Rundenschlussel hinzu.

Beispiel 12 (AES-Verschlusselung mittels OpenSSL). Alice schreibt an Bob den gleichen Text wiein Beispiel 11. Alice verschlusselt dieses mal die Datei mittels AES im Counter Mode und einerSchlussellange von 128 Bit. Sie nutzt wiederum openssl. Damit Sie den Chiffretext nachvollziehenkonnen, verzichten wir hier auf ein Salt mittels des Switches -nosalt (bitte aber in der Praxisstets ein Salt nutzen!!). Der zugehorige openssl-Befehl lautet:

$ openssl enc -aes-128-ctr -in klartext.txt -out chiffretext.bin \

-pass pass:g3EerDtm_ng6TwhB5lO8Qq -nosalt -p

key=25207744928A13EBFC2D347CCF8A99F0

iv =996455329C5145E93F522EC94635E6A3

Zunachst ist es wichtig, die Anzahl der Passwortzeichen zu bestimmen. Da wir einen 128 BitSchlussel e ableiten wollen und jedes Zeichen des Passworts 6 unabhangige Bit beisteuert, benotigen


wir insgesamt mindestens 1286 = 21, 3 Zeichen. Unser Passwort besteht daher aus 22 Zeichen. Den

daraus abgeleiteten Verschlusselungsschlussel e lassen wir uns mittels des Switches -p ausgeben.Betrachten wir nun den Chiffretext. Wir verwenden wiederum xxd, um uns die Rohdaten an-

zusehen.

$ xxd chiffretext.bin

0000000: c3d7 ff22 1ea3 e8bc 6d9a 05b6 8e2c 3364 ..."....m....,3d

0000010: 12f2 7b18 f335 f9f6 62f9 cccd 2147 8853 ..{..5..b...!G.S

0000020: 5f96 7df5 81be 438b cb2a ac82 e3c4 647a _.}...C..*....dz

0000030: 9b90 ..

Es fallt auf, dass der Chiffretext aus genau 50 Byte besteht, also exakt solange ist wie der Klartext.Anders als im ECB oder CBC Mode findet also kein Padding des Klartextes statt.

3.2.5 Mehrfachverschlusselung

In diesem Abschnitt beschreiben wir, wie wir die Sicherheit einer gegebenen Blockchiffre steigernkonnen. Die gangigste Methode ist denkbar einfach: Die gegebene Blockchiffre wird mehrmalshintereinander mit verschiedenen Schlusseln angewandt. Der einfachste Fall ist, die Verschlusselungzweimal mit verschiedenen Schlusseln durchzufuhren. Ist eine Klartexteinheit m ∈ P gegeben, sowahlen wir zwei Schlussel e1, e2 ∈ K. Die zugehorige Geheimtexteinheit c wird wie folgt berechnet:

c = E(E(m, e1), e2).

Damit tatsachlich ein Sicherheitsgewinn erfolgt, darf kein Schlussel e ∈ K existieren, derE(E(m, e1), e2) = Ee(m) fur ’viele’ Klartexte m erfullt3. Denn dann musste ein Angreifer nure finden, nicht aber die zwei einzelnen Schlussel e1 sowie e2. Es gabe also gar keinen Sicherheits-gewinn. Viele der gangigen Verschlusselungsverfahren haben die Eigenschaft, dass es kein solchese gibt, darunter die Verfahren DES und AES.

Aber selbst wenn es kein solches e gibt, bietet Zweifachverschlusselung im Hinblick auf dieLaufzeit keine ausreichende Sicherheit. Denn wenn wir zwei unabhangige Schlussel verwenden,so ist Zweifachverschlusselung nur sinnvoll, wenn bei einem Brute-Force Angriff auf diese Ver-schlusselungsmethode tatsachlich die Bitlange des Schlussels verdoppelt wird (also z.B. bei DESder Brute-Force-Angriff erst nach 1

2 ·2112 = 2111 Versuchen erfolgreich ware). Mit dem sogenannten

Meet-in-the-Middle-Angriff lasst sich diese Verschlusselung jedoch effizienter, d.h. mit ahnlichemRechenaufwand wie bei der einfachen Verschlusselung, durchfuhren.

Der Meet-in-the-Middle Angriff ist ein Known-Plaintext-Angriff. Dabei ist ein Paar bestehendaus Klartext und dazugehorigem Geheimtext (m, c) gegeben, die Aufgabe des Angreifers ist es, zudiesem Paar die passenden Schlussel e1 sowie e2 zu finden. Das ist ein gangiges Angriffsszenarioin der Kryptographie, z.B. wenn der Sender zu Beginn immer eine feste Botschaft verschlusselt(etwa Guten Tag, meine sehr verehrten Damen und Herren.). Nach einem erfolgreichen Known-Plaintext-Angriff konnte der Angreifer auch die ubrigen Chiffretexteinheiten entschlusseln. DerMeet-in-the-Middle-Angriff besteht aus zwei Schritten:

1. Der erste Schritt besteht darin, den gegebenen Klartext m mit allen moglichen Werten vone1 zu verschlusseln und die jeweiligen Ergebnisse sortiert zwischenzuspeichern. Der Angreifererzeugt also eine sortierte Tabelle mit zwei Spalten, in jeder Zeile steht ein Kandidat fur e1sowie das zugehorige Chiffrat E(m, e1).

2. Im zweiten Schritt wahlt der Angreifer sukzessive Kandidaten fur e2, bestimmt den jeweiligenEntschlusselungsschlussel d2 und berechnet

D(c, d2) = D(E(E(m, e1), e2), d2) = E(m, e1). (3.2)

Nach jeder einzelnen Entschlusselung wird das Ergebnis aus Gleichung (3.2) mit der im erstenSchritt erstellten Tabelle verglichen. Falls dabei eine Ubereinstimmung gefunden wird, hat

3An dieser Stelle soll die intuitive Vorstellung von ’viel’ genugen.

3.3. HASHFUNKTIONEN (INFORMATIV) 55

man mit sehr hoher Wahrscheinlichkeit mit der aktuellen Wahl von e2 und dem Wert vone1 aus der Tabelle die richtigen Schlussel gefunden.

Der Meet-in-the-Middle Angriff erfordert einen hohen Speicheraufwand, namlich fur n BitSchlussel die Speicherung von 2n Paaren von Klartext-Schlussel-Paaren. Fur den DES (Blocklange64 Bit, effektive Schlussellange 56 Bit) beispielsweise sind das

256 · (64 + 56) Bit = 256 · (8 + 7) · 8 Bit = 256 · 15 Byte = 15 · 216 · 240 Byte ≈ 1 Mio. TiB.

Im Hinblick auf die Laufzeit mussen im Fall des DES anstelle von erwarteten 12 · 2

2·56 = 2111

lediglich im Mittel 256 + 12 · 2

56 = 256 + 255 Verschlusselungsoperationen durchgefuhrt werden.Der Meet-in-the-Middle Angriff kann mittels Dreifachverschlusselung ausgeschlossen werden.

Dabei werden drei Schlussel e1, e2, e3 ∈ K der Blockchiffre gewahlt und die Verschlusselung wiefolgt definiert:

c = E(E(E(m, e1), e2), e3).

Gebrauchlicher ist aber der EDE-Dreifachansatz (Encryption-Decryption-Encryption). Durch denEinsatz der EDE-Verschlusselung entsteht aus einem Klartext m der Chiffretext c durch folgendeVerschlusselungsvorschrift:

c = E(D(E(m, e1), d2), e3).

Dabei bezeichnet d2 den zu e2 gehorenden Entschlusselungsschlussel. In der EDE-Verschlusselungwerden insgesamt drei Funktionen nacheinander ausgefuhrt:

1. Zunachst wird auf den Klartext m die Verschlusselungsfunktion E mit dem Ver-schlusselungsschlussel e1 angewendet.

2. Auf die Ausgabe der ersten Operation wird die Entschlusselungsfunktion D mit dem Ent-schlusselungsschlussel d2 angewendet.

3. Zuletzt wird auf das Ergebnis von Schritt 2 die Verschlusselungsfunktion E mit dem Schlussele3 angewendet.

Auf diese Weise wird eine erhebliche Vergroßerung des Schlusselraums erreicht. Soll dieSchlussellange nur verdoppelt werden, wird e1 = e3 gesetzt. In jedem Fall muss dafur Sorgegetragen werden, dass d2 nicht der zu e1 gehorende Dechiffrierschlussel ist. Bei zufalliger Wahl derei und hinreichend großem Schlusselraum (z.B. 256) ist das praktisch immer gegeben.

Die Dreifachverschlusselung der Variante EDE hat sich aus zwei Grunden durchgesetzt:

1. Um den Meet-in-the-Middle-Angriff auszuschließen, mussen wenigstens drei Ver- oder Ent-schlusselungsoperationen durchgefuhrt werden.

2. Die EDE-Verschlusselung ist abwartskompatibel: Wird e1 = e2 = e3 gewahlt, entspricht dieEDE-Verschlusselung der einfachen DES-Verschlusselung mit e1.

Kontrollaufgabe 17 (DES-EDE). Triple-DES arbeitet nach dem Verfahren EDE. Wie vieleSchlussel mussen dafur mindestens verwendet werden, um einen Sicherheitsgewinn gegenuber ein-fachem DES zu haben?

Kontrollaufgabe 18 (AES vs. Triple DES). Triple-DES genugt genauso wie AES den heutigenSicherheitsstandards. Aus welchem Grund wird AES aber Triple-DES vorgezogen?

3.3 Hashfunktionen (informativ)

In Abschnitt 2.4 haben Sie die Definition einer Hashfunktion sowie weitere Begriffe in diesemKontext wie Kollision, Einwegfunktion oder kryptographisch sichere Hashfunktion kennengelernt.Ist wie ublich H : {0, 1}∗ → {0, 1}N eine kryptographisch sichere Hashfunktion, dann wissen Sieaus Merksatz 4, dass N ≥ 200 gelten muss.


Die meisten Hashfunktionen folgen dem Konstruktionsprinzip nach Merkle und Damgard. Dar-auf gehen wir gleich ein. Der neue weltweite Hashstandard fur kryptographisch sichere Hashfunk-tionen SHA-3 verwendet ein anderes Prinzip, das Sponge-Prinzip (Sponge ist englisch und bedeutetSchwamm).

m1

-

IV-��

@@f

m2

--

��

@@f

m3

--

��

@@f

- · · ·

mt

--

��

@@f

-H(m)

Abbildung 3.12: Merkle-Damgard-Konstruktion

Das Konstruktionsprinzip nach Merkle-Damgard ist in Abbildung 3.12 dargestellt. Es nutzteine Kompressionsfunktion, die wir mit f bezeichnen. f wird wiederholt angewendet, sie erhaltzwei Eingaben:

1. Eine Datenstruktur der Lange N Bit. Das ist genau die Bitlange der Hashwerte und bis aufdie erste Iteration die Ausgabe der vorhergehenden Iteration.

2. Eine Datenstruktur der Lange l Bit. Oft wird l = 512 verwendet. Das sind die einzelnenTextblocke.

Ausgabe der Kompressionsfunktion f ist ein Bitstring der Lange N . Dafur schreibt man auch

f : {0, 1}N × {0, 1}l −→ {0, 1}N .

Die zu hashende Nachricht m wird in Blocke m1, . . . ,mn der Lange l Bit aufgeteilt. Typischerweisemussen Sie auf den letzten Block einen Padding-Algorithmus anwenden. Dann wird jeder Blockzusammen mit dem vorherigen Ergebnis mittels f verarbeitet. Fur den ersten Schritt wird einInitialsierungsvektor (IV) benotigt (das ist analog zum CBC Mode).

Die Kompressionsfunktion muss sowohl eine Einwegfunktion als auch kollisionsresistent sein.Dann erbt die Hashfunktion diese Eigenschaften. Daher mussen im Konstruktionsprinzip nachMerkle-Damgard diese Eigenschaften nur fur f , nicht aber H gezeigt werden.

Hashfunktion Konstruktionsprinzip Bitlange Kryptographisch sicher

MD5 Merkle-Damgard 128 neinSHA-1 Merkle-Damgard 160 nein

SHA-256 Merkle-Damgard 256 jaSHA-512 Merkle-Damgard 512 ja

SHA-3 Sponge 224 bis 512 ja

Tabelle 3.2: Bekannte Hashfunktionen

In Tabelle 3.2 finden Sie prominente Beispiele kryptographischer Hashfunktionen. Nicht alledieser Hashfunktionen sind aber kryptographisch sicher. Die Hashfunktionen SHA-256 sowie SHA-512 gehoren zur Familie SHA-2. Der neue Hashstandard SHA-3 wurde wie auch AES vom US-amerikanischen NIST in einem jahrelangen Wettbewerb gesucht, der Sieger und damit SHA-3 hießursprunglich Keccak4. Keccak wurd 2012 als SHA-3 standardisiert.

Ziel von Hashfunktionen ist der Integritatsschutz einer Nachricht. Zum Beispiel speichern SieNachricht m und Hashwert H(m) (auf verschiedenen Systemen), dann konnen Sie spater prufen,

4http://csrc.nist.gov/groups/ST/hash/sha-3/

http://csrc.nist.gov/groups/ST/hash/sha-3/

3.4. MESSAGE AUTHENTICATION CODE (INFORMATIV) 57

ob die Nachricht m verandert wurde. Dazu berechnen Sie noch einmal den Hashwert aus demDokument und vergleichen diesen mit dem auf einem anderen System hinterlegten Wert H(m).Hierfur ist die Second preimage resistance wichtig: ein Angreifer darf keine zweite Nachricht mitdem selben Hashwert erzeugen konnen. Oft finden Sie Hashwerte beim Download von Softwa-re. Bitte beachten Sie, dass Sie sich hier nicht gegen einen aktiven Angreifer schutzen konnen,denn dieser kann einfach selbst ein geandertes Dokument samt Hashwert erzeugen. Es lasst sichauch nicht feststellen, wer die Nachricht erzeugt hat. Dazu benotigen Sie einen kryptographischenSchlussel, wie sie z.B. von einem Hash-basierten MAC verwendet werden (siehe Abschnitt 3.4.

Beispiel 13 (Kryptographisch sichere Hashfunktion). Wir betrachten die kryptographisch siche-re Hashfunktion SHA-256. Ihre Hashwerte haben die Lange 256 Bit. Typischerweise wird derHashwert als Folge von Hexadezimalzeichen (Hex-Zeichen) dargestellt, es werden also jeweils 4Bit zu einem Hex-Zeichen zusammengefasst. Daher enthalt eine Ausgabe von SHA-256 insgesamt2564 = 64 Hex-Zeichen.

SHA-256 konnen wir mittels openssl aufrufen. Der entsprechende openssl-Befehl heißt dgst.Es stehen eine Vielzahl von Hashfunktionen zur Verfugung, wir verwenden den Switch -sha256.Wenn wir den String Hallo Bob, wie geht es? hashen wollen, nutzen wir den Linux-Befehl echo,der diesen String auf die Standardausgabe ausgibt. Der Befehl samt Ausgabe lautet dann:

$ echo ’Hallo Bob, wie geht es?’ | openssl dgst -sha256

(stdin)= 16ce77d5249ba4701ba0eb49f391abcdb1b50b677e70a52cb11cd170c215ab4f

Kryptographisch sichere Hashfunktionen erzeugen eine pseudozufallige Ausgabe. Analog zu sym-metrischen Chiffren gibt es auch bei Hashfunktionen den Lawineneffekt. Wenn wir die Eingabenur marginal andern (wir lassen das Komma weg), andert sich jedes Bit der Ausgabe mit einerWahrscheinlichkeit von 50%, bei SHA-256 statistisch also 128 Bit. Die neue Ausgabe ist also vonder ursprunglichen sehr verschieden:

$ echo ’Hallo Bob wie geht es?’ | openssl dgst -sha256

(stdin)= 536017c35d904830d028a6c8960403c83c4dc5455e0ec2205e0e0df1d0a9878d

Kontrollaufgabe 19 (Hashfunktionen). Nennen Sie je eine kryptographisch sichere sowie un-sichere Hashfunktion samt Bitlange der Hashwerte. Wie viele Hashwerte mussen Sie statistischberechnen, damit Sie eine Kollision fur SHA-384 finden?

Kontrollaufgabe 20 (Berechnung von Hashwerten). Berechnen Sie den SHA-512 Hashwert desStrings IT-Sicherheit. Aus wie vielen Hex-Zeichen besteht die Ausgabe.

3.4 Message Authentication Code (informativ)

Eine kryptographisch sichere Hashfunktion schutzt lediglich die Integritat einer Nachricht gegeneinen passiven Angreifer, sie liefert also nur Integritatsschutz. Um die Schutzziele Integritat sowieDatenauthentizitat zu erreichen, benotigt man eine symmetrische Signatur, die wir wie ublich alsMessage Authentication Code bezeichnen. Das Konzept ist aus Abschnitt 2.3.1 bekannt. Wie schonsymmetrische Verschlusselungsverfahren und Hashfunktionen mussen auch MAC-Verfahren zumTeil sehr große Datenmengen effizient verarbeiten konnen.

Fur heutige MAC-Verfahren gibt es zwei Konstruktionsprinzipien: entweder der MAC basiertauf einer symmetrischen Blockchiffre (z.B. CBC-MAC) oder auf einer kryptographisch sicherenHashfunktionen (z.B. HMAC). Wir stellen beide Konstruktionsprinzipien im Folgenden kurz vor.

Der CBC-MAC basiert auf dem CBC Mode einer sicheren Blockchiffre. Dabei wird wie in Ab-bildung 3.13 dargestellt die Nachricht m zunachst in die Blocke m1, . . . ,mt zerlegt, die als Langegerade die Blocklange der symmetrischen Blockchiffre haben. Dann werden die Blocke im CBCMode mit Hilfe des geheimen symmetrischen Schlussels k verschlusselt. Weil der letzte Chiffre-textblock von allen vorhergehenden Klartextblocken (und damit dem gesamten Klartext) abhangt,wahlt man ct als MAC (also als Prufsumme). Es gilt also MAC(m, k) = ct. Die MAC-Berechnungist so schnell wie die CBC Verschlusselung des Dokuments m.


Abbildung 3.13: Konstruktionsprinzip eines CBC-MAC

Beim HMAC handelt es sich um einen Hash-basierten MAC. Grundlage ist nun eine krypto-graphisch sichere Hashfunktion H. Im einfachsten Fall setzt man MAC(m, k) = H(k ‖ m), d.h.Eingabe der Hashfunktion ist der Bitstring, an dessen Anfang der symmetrische Schlussel k unddahinter die zu schutzende Nachricht m steht. Eine etwas ausgefeiltere und sicherere Variante istder HMAC, bei dem man

HMAC(m, k) := H((k ⊕ opad) ‖ H((k ⊕ ipad) ‖ m))

Dabei sind opad := 0x5C · · · 0x5C und ipad := 0x36 · · · 0x36 Konstanten (die Sicherheit hangtnicht von der konkreten Wahl der Konstanten ab). Die Laufzeit zur Berechnung des MACs ist imWesentlichen die Zeit, um den Hashwert H(m) zu berechnen.

Bitte beachten Sie, dass ein MAC als symmetrische Signatur nur die Schutzziele Integritat undDatenauthentizitat gewahrleistet, nicht aber Verbindlichkeit. Der Vorteil von MACs im Vergleichzu asymmetrischen Signaturverfahren ist deren Laufzeiteffizienz.

3.5 Secure Messaging (informativ)

Nachdem Sie nun wissen, dass Sie mittels symmetrischer Verschlusselung große Datenmengen ver-traulich ubermitteln konnen und mittels eines Message Authentication Codes die Schutzziele Inte-gritat sowie Datenauthentizitat fur große Datenmengen erreichen, gehen wir in diesem Abschnittauf die Frage ein, wie man einen sicheren Kanal zwischen Alice und Bob in folgendem Sinne reali-siert: die eigentlichen Daten sollen vertraulich, authentisch und unverfalscht ubermittelt werden.Dabei setzen wir voraus, dass eine Authentifikation der Kommunikationspartner entweder nichterforderlich ist oder bereits wahrend des Verbindungsaufbaus geschehen ist. Hier geht es also ’nur’um die Datenauthentizitat, nicht Instanzauthentizitat.

Es sind mehrere Umsetzungen denkbar, die bekannten Basistechniken Verschlusselung undMAC zu kombinieren:

1. Sie verschlusseln zuerst den Klartext und berechnen danach den MAC uber den zugehorigenGeheimtext. Chiffretext und MAC werden versendet. Ein bekanntes Protokoll, dieses Para-digma zu realisieren, ist das Sicherheitsprotokoll IPsec.

2. Es wird zuerst der MAC uber den Klartext berechnet und danach der Klartext verschlusselt.Der MAC wird samt Chiffretext versendet. Dieses Konzept verwendet beispielsweise SSH.

3. Es wird zuerst der MAC uber den Klartext berechnet und danach der Klartext samt MACverschlusselt. Dieser Chiffretext wird dann verschickt. Das Sicherheitsprotokoll TLS imple-mentiert diese Vorgehensweise.

3.6. DAS ASYMMETRISCHE VERSCHLUSSELUNGSVERFAHREN RSA 59

Wichtig ist, dass aus Sicherheitssicht die erste Umsetzung am besten geeignet ist. Der wesentli-che Grund ist, dass eine Weiterverarbeitung von Daten nur stattfinden sollte, wenn der Sender derDaten bekannt ist, also das Schutzziel Datenauthentizitat als erstes gepruft wird. Dieses Vorgehenverhindert beispielsweise die Entschlusselung von Schadsoftware. Bitte beachten Sie auch, dassVertraulichkeit ein anderes Schutzziel ist als Datenauthentizitat bzw. Integritat. MAC-Verfahrenmussen nicht die Vertraulichkeit garantieren, sie konnen problemlos im Klartext versendet werden.

Wir mochten noch einmal auf das kryptographische Grundprinzip Trenne, wo du trennenkannst hinweisen. Konkret bedeutet das fur Secure Messaging, dass fur Verschlusselung und MACverschiedene Schlussel genutzt werden sollten. Wird der Schlussel fur ein Verfahren kompromit-tiert, ist nicht automatisch das zweite Verfahren betroffen.

Zusammengefasst sollte Secure Messaging fur eine Klartextnachricht m wie folgt genutzt wer-den: Alice nutzt einen Schlussel k fur den MAC und e fur die symmetrische Verschlusselung. BeideSchlussel sind verschieden. Sie versendet die beiden Datenstrukturen

c := E(m, e) sowie MAC(c, k).

Der Empfanger Bob pruft zunachst den MAC. Nur wenn dieser gultig ist, wird c entschlusselt.Andernfalls wird c verworfen.

3.6 Das asymmetrische Verschlusselungsverfahren RSA

Bevor wir die asymmetrische Verschlusselung am prominentesten Verfahren RSA erklaren, solldie Funktionsweise der Public-Key-Verschlusselung noch einmal kurz dargelegt werden. Wie inAbschnitt 2.2.2 beschrieben, wird die Verschlusselung und Entschlusselung des Klartextes mit zweiunterschiedlichen Schlusseln, einem Schlusselpaar, durchgefuhrt. Inhaber des Schlusselpaares istder Empfanger. Der Sender nutzt den offentlichen Schlussel des Empfangers, um den vertraulich zuubermittelnden Klartext zu verschlusseln. Der Empfanger nutzt nach der Erhalt des Chiffretextesseinen privaten Schlussel, um diesen zu entschlusseln.

An dieser Stelle wollen wir auf ein gangiges Missverstandnis hinweisen. Asymmetrische Ver-schlusselungsverfahren gelten weder als sicherer noch sind sie ein Ersatz fur symmetrische Ver-fahren. Die Sicherheit der asymmetrischer Verfahren beruht auf einem anderen Paradigma, imWesentlichen soll das Schlusselaustauschproblem gelost werden.

Ein bedeutender Unterschied zu symmetrischen Verfahren stellt der zugrundeliegende Algo-rithmus dar. Wahrend bei der symmetrischen Verschlusselung Permutationen und Substitutionenals Basisfunktionen im Rahmen von Rundenfunktionen verwendet werden, basiert die Sicherheiteines Public-Key-Verfahrens auf einer Einwegfunktion mit Falltur. Im Englischen heißt eine solcheFunktion Trapdoor one way function. Den Begriff Einwegfunktion kennen Sie bereits aus dem Kon-text von Hashfunktionen (siehe Definition 21). Eine Einwegfunktion f ist durch zwei wesentlicheEigenschaften charakterisiert:

• Funktionswerte von f sind effizient berechenbar.

• Die Umkehrfunktion von f ist praktisch nicht berechenbar. Zu einem Funktionswert f(m)ist es also praktisch nicht moglich, m zu finden.

Im Zusammenhang mit einem Public-Key-Verfahren besitzt f nun aber eine Falltur : Mit zusatzli-chem Wissen lasst sich auch die Umkehrfunktion effizient berechnen. Dieses Wissen ist der privateSchlussel.

Eine heutige Trapdoor one way function basiert auf einem schwierigen mathematischen Pro-blem, meist aus der Zahlentheorie. Ohne Kenntnis des privaten Schlussels ist das Problem praktischnicht losbar. Kandidaten fur eine solche schwere mathematische Problemstellung sind:

• Faktorisierungsproblem großer naturlicher Zahlen: die Asymmetrie besteht darin, dass dieMultiplikation von ganzen Zahlen deutlich einfacher ist als das Faktorisieren (d.h. das Zer-legen einer gegebenen ganzen Zahl in ihre Primfaktoren). Im Englischen spricht man vomInteger Factorisation Problem (IFP).


• Das diskrete Logarithmusproblem: das Potenzieren von Elementen ist deutlich einfacher alsdie Berechnung eines Logarithmus. Im Englischen spricht man vom Discrete Logarithm Pro-blem (DLP).

Das am haufigsten eingesetzte und wichtigste Public-Key-Verfahren ist das RSA-Verfahren. Eswurde 1978 publiziert und ist benannt nach seinen drei Erfindern Ron Rivest (MIT, USA), AdiShamir (Weizmann Institute, Israel) und Leonard Adleman (Stanford University, USA). Es giltals das erste bekannte asymmetrische Verschlusselungsverfahren. Die Sicherheit von RSA hangtzusammen mit der vermuteten Schwierigkeit des Faktorisierens großer Zahlen (die tatsachlicheSchwierigkeit ist also bisher nicht bewiesen). Das Faktorisierungsproblem im Kontext von RSAbedeutet:

• Gegeben: Zusammengesetzte naturliche Zahl n = p · q ∈ N, p, q Primzahlen.

• Losung: Finde die beiden Primfaktoren p und q.

Auf RSA werden wir im Folgenden eingehen. Zuerst werden die notwendigen mathematischenGrundlagen in Abschnitt 3.6.1 vorgestellt. Anschließend stellen wir in Abschnitt 3.6.2 das Prinzipder RSA-Verschlusselung vor und verdeutlichen es an einem Beispiel. Zum Abschluss betrachtenwir in Abschnitt 3.6.3 noch Sicherheistaspekte von RSA.

3.6.1 Mathematische Grundlagen von RSA

In diesem Abschnitt beschaftigen wir uns mit den mathematischen Grundlagen, die RSA oderandere kryptographische Verfahren nutzen und die Sie daher kennen lernen. Ausgangspunkt vonRSA ist die Modulorechnung, die wir nun besprechen. Dazu mochten wir als Alltagsbeispiel dieumgangssprachliche Angabe der Uhrzeit nennen. Wenn Sie um 15 Uhr nach der Uhrzeit gefragtwerden, antworten Sie sicher oft, dass es 3 Uhr sei. Sie geben die Uhrzeit also nur mittels Zahlen imBereich 1 bis 12 Uhr an. Ist es ’spater’ als 12 Uhr, ziehen Sie einfach 12 von der Nachmittagsuhrzeitab. Mathematisch teilen Sie die Uhrzeit durch 12 mit Rest. Diesen Rest geben Sie als Uhrzeit an.Also entspricht 14 Uhr der Uhrzeit 2 Uhr am Nachmittag und 20 Uhr der Uhrzeit 8 Uhr amAbend. Anders ausgedruckt ist die Differenz der beiden unterschiedlichen Angaben der Uhrzeitdurch zwolf teilbar: 14−2 ist durch zwolf ebenso teilbar wie 20−8. Das fuhrt uns zu Definition 25.

Definition 25 (Modulorechnung). Es seien a, b, n ∈ Z gegeben, n > 0. Dann heißt a kongruentzu b modulo n, falls b− a durch n teilbar ist. In diesem Fall schreibt man a ≡ b mod n. Die Zahln heißt der Modulus.

In unserem Uhrzeitbeispiel gilt n = 12, a und b sind dann die beiden Varianten, die Uhrzeitanzugeben (also im 12- bzw. 24-Stundenzyklus). Allgemein kann man sich klar machen, dassa ≡ b mod n genau dann gilt, wenn a und b jeweils bei Division durch n den gleichen Rest lassen.In Beispiel 14 sehen wir uns einige konkrete Zahlenbeispiele an.

Beispiel 14 (Modulorechnung). 1. 13 ≡ 28 mod 5, weil 28− 13 = 15 durch 5 teilbar ist.

2. 16 6≡ 100 mod 9, weil 100− 16 = 84 nicht durch 9 teilbar ist.

3. 15 ≡ −13 mod 7, weil −13− 15 = −28 durch 7 teilbar ist.

4. −5 ≡ 13 mod 6, weil 13− (−5) = 18 durch 6 teilbar ist.

In einer hoheren Programmiersprache gibt es den Modulooperator, geschrieben als %. Er erhaltals Eingabe eine ganze Zahl a und eine naturliche Zahl n. Der Aufruf a % n liefert als Ruckgabeden Rest der ganzzahligen Division a / n, wobei der Rest das gleiche Vorzeichen hat wie a.


Sehen wir uns wichtige Rechenregeln der Modulorechnung an. Dazu seien a, b, c, d, n ∈ Z gege-ben, n > 0. Es gelte a ≡ c mod n und b ≡ d mod n. Dann gilt:

a+ b ≡ c+ d mod n (3.3)

a · b ≡ c · d mod n. (3.4)

Die Formeln sagen aus, dass wir zur Berechnung der Summe oder des Produkts modulo n frei sindin der Wahl, ob wir a oder c bzw. b oder d wahlen. Zu gegebenen a und b werden wir uns alsoimmer Zahlen c und d aussuchen, fur die die Berechnung sehr einfach ist. Typischerweise wahltman einfach den Rest, der sich bei Division durch n ergibt. Auch dazu geben wir in Beispiel 15eine Beispielrechnung an.

Beispiel 15 (Rechenregeln der Modulorechnung). Es seien die beiden ganzen Zahlen a = 345 undb = 6789 sowie der Modulus n = 5 gegeben. Wir sollen a+ b mod n sowie a · b mod n bestimmen.Dazu nutzen wir die Rechenregeln der Modulorechnung. Zunachst ist a durch n teilbar, wir wahlenalso c = 0 (denn a ist durch n mit Rest 0 teilbar). Weiterhin wahlen wir d = 4 (denn b lasst beiDivision durch n den Rest 4). Damit erhalten wir:

1. 345 + 6789 ≡ 0 + 4 mod 5, also a+ b ≡ 4 mod 5.

2. 345 · 6789 ≡ 0 · 4 mod 5, also a · b ≡ 0 mod 5.

Kontrollaufgabe 21 (Modulorechnung). Bestimmen Sie bitte jeweils ohne technische Hilfsmitteldie kleinste nicht-negative ganze Zahl a, die jeweils die gegebene Kongruenz lost:

1. a ≡ 307 mod 30

2. a ≡ −307 mod 30

3. a ≡ 12345678 mod 3.

Kontrollaufgabe 22 (Effiziente Modulorechnung). Berechnen Sie ohne technische Hilfsmittel:

1. 3456 + 9875 mod 3

2. −100 · 57 mod 11

Im RSA-Verfahren spielen Berechnungen der Form me mod n eine wichtige Rolle. Dabei ist neine große ganze Zahl. Diese Berechnung heißt modulare Exponentiation. Um den Wert me mod neffizient zu berechnen, kann die folgende Regel angewendet werden: anstatt zuerst die (exorbitant)große ganze Zahl me zu berechnen und erst am Ende modulo n zu reduzieren, kann nach denRechenregeln fur die Modulorechnung in jedem Zwischenschritt modulo n reduziert werden. DasBeispiel 16 zeigt eine solche Umformung.

Beispiel 16 (Modulare Exponentation). Wir berechnen den Ausdruck 38 mod 7 in einer effizien-ten Weise:

38 = 34 · 34 = 81 · 81

≡ 4 · 4 = 16

≡ 2 mod 7.

Dabei haben wir 81 ≡ 4 mod 7 sowie 16 ≡ 2 mod 7 ausgenutzt.

Eine effiziente RSA-Implementierung minimiert die Anzahl der Multiplikationen modulo n.Dazu gibt es einen einfachen Algorithmus, der schnelle Exponentiation heißt. Wir werden diesenhier nicht erklaren, bei Interesse finden Sie diesen in jeder Standardliteratur.


3.6.2 RSA-Verschlusselung

Die RSA-Verschlusselung besteht – wie auch ein allgemeines Public-Key-Verschlusselungsverfahren– aus drei Schritten. Dazu nehmen wir wie ublich an, dass Alice ein elektronisches Dokument mverschlusselt – und damit vertraulich – an Bob schicken will. Die einzelnen Schritte dafur sind:

1. Setup: das ist ein vorbereitender Schritt, der unabhangig von der Verschlusselung des Do-kuments m ist. Im Setup wird das Schlusselpaar erzeugt.

2. Verschlusselung: Alice verschlusselt m zum zugehorigen Chiffretext c und sendet diesen anBob.

3. Entschlusselung: Bob entschlusselt c zum zugehorigen Klartext m. Dazu nutzt er seinengeheimen Schlussel.

Wir erlautern die drei Schritte im Folgenden und beginnen mit dem Setup. Bob fuhrt folgendeSchritte durch:

1. Er wahlt zwei ungefahr gleich große, unterschiedliche Primzahlen p und q aus. Diese halt ergeheim. Daher schreiben wir diese rot.

2. Bob berechnet aus p und q seinen RSA-Modulus n = p·q. Er veroffentlicht n. Daher schreibenwir den Modulus grun.

3. Bob wahlt seinen offentlichen Exponenten e aus: diesen Exponenten benotigt dieSenderin Alice beim Verschlusseln. Damit der unten dargestellte Ver- und Ent-schlusselungsalgorithmus funktioniert, muss eine zahlentheoretische Bedingung erfullt sein:

ggT(e, (p− 1) · (q − 1)) = 1. (3.5)

Das bedeutet, dass der großte gemeinsame Teiler der beiden Zahlen e sowie (p− 1) · (q − 1)den Wert 1 hat.

4. Bob berechnet seinen geheimen Exponenten d: der geheime Exponent ist die eindeutige Zahld mit

e · d ≡ 1 mod (p− 1) · (q − 1) 1 ≤ d ≤ (p− 1) · (q − 1) . (3.6)

Wichtig ist die Beobachtung, dass zwar n und e offentlich bekannt sind, dass aber die Zahl din Gleichung (3.6) nur von Bob bestimmt werden kann, weil zur Berechnung von (p−1)(q−1)die Kenntnis der geheim gehaltenen Primzahlen p sowie q notwendig ist. Kenntnis von p oderq ist die Falltur der RSA Trapdoor one way function.

5. Bobs offentlicher Schlussel ist das Paar (n, e), sein geheimer Schlussel ist (p, q, d). Zwar wer-den p sowie q konzeptionell nicht weiter benotigt, sobald Bob d kennt, aus Effizienzgrundenspeichern aber viele Anwendungen auch die beiden Primfaktoren, weil die Berechnungenzunachst modulo dieser beiden Primzahlen durchgefuhrt werden.

Alice besorgt sich Bobs offentlichen Schlussel (n, e) und verschlusselt damit ihren Klartext mwie folgt:

c ≡ me mod n . (3.7)

Mittels RSA konnen also Klartexteinheiten 1 ≤ m ≤ n verschlusselt werden. Ist eine Klartext-einheit großer, mussen wir einen der bekannten Blockmodi verwenden. Den Chiffretext c schicktAlice uber ein ungesichertes Netzwerk an Bob, daher gilt c als offentlich bekannt.

Will Bob diese vertrauliche Nachricht von Alice lesen, dann entschlusselt er den erhaltenenChiffretext c mit Hilfe seines geheimen Schlussels (p, q, d) wie folgt:

m ≡ cd mod n . (3.8)


Wie oben erwahnt, werden aus Effizienzgrunden oft zunachst m ≡ cd mod p sowie m ≡ cd mod qberechnet und daraus das Ergebnis modulo n bestimmt (denn die Primfaktoren von n haben nurungefahr halbe Bitlange). Dazu benotigt die Applikation aber die beiden Primteiler, weshalb wirsie zu dem privaten Schlussel hinzuzahlen.

Um die Korrektheit von RSA zu zeigen, benotigt man weiteres zahlentheoretisches Wissen.Letztlich sind das aber relativ einfache und altbekannte mathematische Aussagen, die dabei re-levant sind. Die zentrale Eigenschaft ist, dass fur ggT(m,n) = 1 die Eigenschaft m(p−1)(q−1) ≡1 mod n gilt. Wir setzen ϕ(n) = (p− 1)(q − 1) und erhalten

(me)d

= me·d = m1+k·ϕ(n) = m1 ·mk·ϕ(n) = m ·(mϕ(n)

)k≡ m · 1k ≡ m mod n.

Fur alle weiteren Klartexte m mit ggT(m,n) > 1 gilt diese Beziehung auch, sie musste aber nochgetrennt bewiesen werden.

Ein Beispiel zur RSA-Verschlusselung geben wir in Beispiel 17 an. Der Einfachheit halbernehmen wir sehr kleine Zahlen, die RSA-Parameter sind daher weit davon entfernt, praktischsicher zu sein.

Beispiel 17 (RSA-Verschlusselung). Im ersten Schritt fuhren wir das RSA-Setup durch und ge-ben kleine RSA-Parameter an. Fur die Primzahlen p und q wahlen wir p = 11 und q = 17.Hieraus ergibt sich die RSA-Zahl n = p · q = 11 · 17 = 187. Nun mussen wir den offentlichenVerschlusselungsexponenten e bestimmen. Hierbei gilt die Voraussetzung 1 < e < ϕ(n) mitϕ(n) = (p−1)(q−1). Der offentliche Exponent muss teilerfremd zu ϕ(n) sein, d.h. ggT(e, ϕ(n)) = 1erfullen. Um diese Bedingungn prufen zu konnen, geben wir die Primfaktorisierung von ϕ(n) an:

ϕ(n) = (11− 1) · (17− 1) = 10 · 16 = 25 · 5.

Fur e = 3, e = 7, e = 9 usw. ist die Bedingung erfullt. Wir wahlen e = 7. Damit ist die Erstellungdes offentlichen Schlussels (n, e) abgeschlossen.

Als nachstes muss der private Exponent d berechnet werden. Dieser erfullt nach Gleichung (3.6)die Kongruenz

7 · d ≡ 1 mod 160.

In der Praxis verwendet man zur Berechnung von d den erweiterten Euklidischen Algorithmus.Dieser liefert d = 23. Wir prufen das nach und erhalten

7 · 23 = 161 ≡ 1 mod 160.

Damit erhalten wir fur das Schlusselpaar:

• Public Key: (n, e) = (187, 7).

• Private Key (p, q, d) = (11, 17, 23).

Nachdem der offentliche Schlussel (187, 7) an den Sender der Nachricht ubertragen wurde, ver-schlusselt dieser die Nachricht m = kryptographie. Jedes Klartextzeichen stellt er entsprechendder folgenden Tabelle als eine Zahl dar:

a 3 h 10 o 17 v 24b 4 i 11 p 18 w 25c 5 j 12 q 19 x 26d 6 k 13 r 20 y 27e 7 l 14 s 21 z 28f 8 m 15 t 22g 9 n 16 u 23


Der mittels Dezimalzahlen kodierte Klartext lautet dann

mdec = 13 20 27 18 22 17 9 20 3 18 10 11 7.

Der Sender verschlusselt jedes Zeichen mittels der RSA-Verschlusselung ci = mei mod n. Fur den

Klartextbuchstaben k ergibt sich beispielsweise das Geheimtextzeichen

c0 ≡ 137 = 131 · 132 · 134 ≡ 106 mod 187.

Der resultierende Geheimtext lautet

c = 106 147 124 171 44 85 70 147 130 171 175 88 182.

Fur die Entschlusselung der Nachricht wird fur jedes Zeichen mi ≡ cdi mod n berechnet.

3.6.3 Sicherheit von RSA

Nachdem Sie nun die Funktionsweise der RSA-Verschlusselung verstanden haben, gehen wir indiesem Abschnitt auf die Sicherheit des RSA-Verfahrens ein. Insbesondere stellen wir dar, wieein Angreifer das RSA-Verfahren brechen kann und welche konkreten RSA-Parameter sich darausergeben.

Der Angreifer kennt die offentlich bekannten Zahlen c, n und e, sein Ziel ist es, die ganze Zahlm zu berechnen, die c ≡ me mod n erfullt. Diese Aufgabe des Angreifers heißt RSA-Problem, eslasst sich wie folgt formulieren: finde zu einer vorgegebenen Zahl c eine e-te Wurzel modulo n vonc.

Doch wie kann der Angreifer das RSA-Problem losen? Das RSA-Problem hangt eng mit demFaktorisierungsproblem zusammen. Kennt der Angreifer namlich die Primteiler von der RSA-Zahln, dann kann er ϕ(n) = (p−1)(q−1) und damit gemaß Gleichung (3.6) den geheimen Exponentend berechnen. Der heute bekannte, effizienteste Weg zur Losung des RSA-Problems sieht also wiefolgt aus:

1. Lose das Faktorisierungsproblem: Das heißt, berechne die Primfaktoren p und q der RSA-Zahl n.

2. Berechne ϕ(n) = (p− 1) · (q − 1).

3. Berechne d gemaß Gleichung (3.6) mit e · d ≡ 1 mod ϕ(n).

4. Rekonstruiere den Klartext mittels m ≡ cd mod n.

Auch fur RSA gilt die Sicherheitsschwelle von 100 Bit, d.h. der beste Faktorisierungsalgorith-mus muss mindestens 2100 elementare Operationen benotigen, um n zu faktorisieren. Ein einfacherAnsatz ware die Probedivision:

• for i = 1 to√n

• if n/i ∈ N stopp

• return i, n/i

Eine elementare Operation fur die Probedivision ist ein Schleifendurchlauf. Um die Sicherheits-schwelle zu erreichen, muss daher

√n ≥ 2100 gelten, also n ≥ 2200. Es gibt aber deutlich bes-

sere Faktorisierungsalgorithmen. Der heute bekannteste, effizienteste Faktorisierungsalgorithmusist das allgemeine Zahlkorpersieb (im Englischen General Number Field Sieve, GNFS). Um dasSicherheitsniveau 100 Bit zu erreichen, benotigen wir Primzahlen der Große ca. 21000. Weil inder Informatik gerne mit Zweierpotenzen gearbeitet wird, erhalten wir fur heutige sichere RSA-Parameter die in Merksatz 5 angegebene Großenordnung.


Merksatz 5 (Sichere RSA-Parameter). Ist (n, e) ein offentlicher RSA-Schlussel, dann ist ausheutiger Sicht die folgende Bedingung einzuhalten:

p ≈ 21024 ≈ q ⇒ n ≈ 22048.

n sollte also eine Bitlange von mindestens 2048 haben.

An die Große von e gibt es keine Sicherheitsanforderung (aber Gleichung (3.5) muss erfulltwerden). Aus Effizienzgrunden wird fur e gerne eine kleine Primzahl mit einfacher Zweierdarstel-lung gewahlt, z.B. e = 24 + 1 = 17 oder e = 216 + 1 = 65537.

Wichtig fur die Sicherheit von RSA ist, dass d in der Großenordnung von n liegt. Diese Ei-genschaft ist aber typischerweise von selbst erfullt (auch bei kleinem e).

In Beispiel 18 gehen wir die einzelnen Schritte der Losung des RSA-Problems mittels desFaktorisierungsproblems an Hand von kleinen Zahlen durch.

Beispiel 18 (Losung des RSA-Problems). Ein Angreifer belauscht die vertrauliche Kommunika-tion zwischen Alice und Bob. Ihm liegt Bobs offentlicher Schlussel (n, e) sowie der Chiffretext cvor:

Bobs offentlicher Schlussel: (n, e) = (391, 17),

Chiffretext: c = 236.

Im ersten Schritt faktorisiert der Angreifer die RSA-Zahl n. Wir wenden nicht das Zahlkorpersieban, sondern finden die Primteiler mittels Probedivision. Es gilt n = 17 · 23. Somit gilt p = 17 undq = 23. Damit ergibt sich

ϕ(n) = (p− 1) · (q − 1) = 16 · 22 = 352.

Im nachsten Schritt ist Bobs privater Exponent d zu bestimmen mit d · e ≡ 1 mod ϕ(n). Dazunutzt der Angreifer den erweiterten Euklidischen Algorithmus und erhalt d ≡ 145 mod 352. Derfolgende Test zeigt die Korrektheit:

d · e = 145 · 17 = 2465 = 7 · 352 + 1 ≡ 1 mod 352.

Abschließend berechnet der Angreifer den Klartext mittels

m ≡ cd ≡ 236145 = 23627+24+1 ≡ 2362

7

· 23624

· 236 ≡ 151 mod 391.

Die Losung des betrachteten RSA-Problems und damit der gesuchte Klartext lautet m = 151.

Zwar ist die theoretische Laufzeit des Zahlkorpersiebs als bestem Faktorisierungsverfahrenbekannt, zur Bestimmung der tatsachlichen praktischen Leistungsfahigkeit von Faktorisierungsal-gorithmen gab es einen Wettbewerb, RSA-Zahlen zu faktorisieren5. Tabelle 3.3 zeigt einige RSA-Zahlen dieser RSA-Challenge mit einer Lange ab 530 Bit. Wie Sie sehen, benotigt man einenentsprechend großen RSA-Modulus, damit das Faktorisierungsproblem fur den Angreifer prak-tisch nicht losbar ist. Tabelle 3.3 zeigt auch, dass mit der empfohlenen Bitlange aus Merksatz 5ein hinreichend großer Sicherheitsabstand erreicht wird.

Die Faktorisierung der RSA-Zahl RSA-768 wurde im Zeitraum August 2007 bis Dezember 2009

5http://www.emc.com/emc-plus/rsa-labs/historical/the-rsa-factoring-challenge.htm

http://www.emc.com/emc-plus/rsa-labs/historical/the-rsa-factoring-challenge.htm


RSA-Zahl (Bit) Status Datum der Faktorisierung Preisgeld

530 faktorisiert 2003 5.000 USD576 faktorisiert 2003 10.000 USD640 faktorisiert 2005 20.000 USD663 faktorisiert 2005 20.000 USD704 nicht faktorisiert – 30.000 USD768 faktorisiert 2009 50.000 USD1024 nicht faktorisiert – 100.000 USD

Tabelle 3.3: Faktorisierte RSA-Zahlen zwischen 530 und 1024 Bit.

durchgefuhrt. Die Zahl heißt RSA-768, weil der Modulus n die Bitlange 768 besitzt. Es gilt

n = 123018668453011775513049495838496272077285356959533479219732245\215172640050726365751874520219978646938995647494277406384592519\255732630345373154826850791702612214291346167042921431160222124\0479274737794080665351419597459856902143413

= 334780716989568987860441698482126908177047949837137685689124313\88982883793878002287614711652531743087737814467999489 ·367460436667995904282446337996279526322791581643430876426760322\83815739666511279233373417143396810270092798736308917

= p · q.

Die Schlussellangen mussen immer wieder kritisch gepruft werden und neuen EntwicklungenRechnung tragen. Allgemein sind Fortschritte in folgenden Bereichen zu erwarten:

1. Algorithmischer Fortschritt: Ein Forscher findet einen neuen, effizienteren Faktorisierungs-algorithmus. Zum Beispiel ist das Zahlkorpersieb effizienter als das Quadratische Sieb.

2. Fortschritt konventioneller Hardware: Nach dem Mooreschen Gesetz verdoppelt sich die Re-chenleistung alle 18 Monate. Das bedeutet, dass die Faktorisierung auf einer neuen Rechner-generation nach 18 Monaten nur noch ca. die Halfte der Zeit benotigt.

3. Neuartige Hardware: Durch die Realisierung neuartiger Hardware auf Basis eines anderenBerechnungsmodells kann sich die Rechenzeit dramatisch verkurzen. So wurde die Realisie-rung eines Quantencomputers das Faktorisierungsproblem deutlich vereinfachen. Sollte einsolcher Quantencomputer mit hinreichend großen Registern gebaut werden konnen, wareRSA gebrochen, weil fur Quantencomputer effiziente Faktorisierungsmethoden bekannt sind.Ob das aber so kommen wird, ist seit Jahren unklar.

Zusammengefasst gilt, dass die Losung des RSA-Problems hochstens so schwer ist wie dieZerlegung der RSA-Zahl in ihre Primfaktoren. Denn aktuell losen wir das RSA-Problem mittelsFaktorisierung. Allerdings ist bis heute nicht bewiesen, ob das RSA-Problem oder das Faktorisie-rungsproblem wirklich schwer zu losen ist. Jedoch ist zur Zeit kein Algorithmus bekannt, der dasRSA-Problem oder die Faktorisierung von großen RSA-Zahlen in einem geeigneten zeitlichen Maßdurchfuhren kann.

Kontrollaufgabe 23 (RSA-Problem vs. Faktorisierungsproblem). Beschreiben Sie, in welcherBeziehung das Faktorisierungsproblem und das RSA-Problem zueinander stehen.

3.7 Das RSA-Signaturverfahren

In diesem Abschnitt lernen Sie, wie Sie mit Hilfe von RSA ein asymmetrisches Signaturverfahrenrealisieren konnen. In Abschnitt 2.3.2 haben Sie das Konzept asymmetrischer Signaturverfahren

3.7. DAS RSA-SIGNATURVERFAHREN 67

kennengelernt, insbesondere sollten Sie Abbildung 2.7) verstanden haben. Darin sehen Sie, dassAlice fur die Signaturerzeugung ihren privaten Schlussel d verwendet. Die Verifikation wird vomKommunikationspartner Bob mit Hilfe des offentlichen Schlussels, der Alice zugeordnet ist, durch-gefuhrt.

Das Szenario ist, dass Alice ein Dokument m authentisch, unverfalscht und nicht abstreitbaran Bob senden mochte. Analog zu der RSA-Verschlusselung sind auch bei der RSA-Signatur dreiSchritte notwendig:

1. Setup.

2. Signaturerzeugung.

3. Signaturprufung.

Auch bei der RSA-Signatur wird im Rahmen des Setups die Erzeugung des Schlusselpaares durch-gefuhrt. Im Fall der RSA-Signatur ist Senderin Alice Inhaberin des Schlusselpaares. Das Setup istidentisch zur Schlusselerzeugung bei der RSA-Verschlusselung, Sie finden es auf Seite 62 darge-stellt.

Anders als in Abbildung 2.7 dargestellt, verwendet die Signaturerzeugung eine kryptographischsichere Hashfunktion H. Dafur gibt es im Wesentlichen zwei Grunde, namlich Laufzeiteffizienz undSicherheit. Auf den Sicherheitsgewinn konnen wir erst spater eingehen, wenn Sie neben der Signa-turerzeugung auch die Signaturprufung kennen. Im Hinblick auf den Gewinn an Laufzeiteffizienzwissen Sie bereits, dass die geringe Geschwindigkeit der zentrale Nachteil von Public-Key Verfah-ren ist. Daher sollen Public-Key-Verfahren nur auf moglichst kurze Datenstrukturen angewendetwerden (das kennen Sie bereits von der Hybridverschlusselung). Im Falle von Signaturen soll alsoeine moglichst kurze Datenstruktur signiert werden. Daher wird nicht die Nachricht beziehungs-weise das Dokument m signiert, das mehrere MB oder gar GB lang sein kann, sondern lediglich derdazugehorige Hashwert der Lange ca. 256 Bit = 32 Byte. Die Funktionsweise einer RSA-Signaturfinden Sie in Abbildung 3.14.

Zur Signaturerzeugung benotigt Alice das zu signierende Dokument m, eine kryptographischsichere Hashfunktion H und ihren Private Key (p, q, d). Die Signaturerzeugung aus Abbildung 2.7lautet dann

s := S(H(m), d) ≡ H(m)d mod n. (3.9)

Alice ubermittelt das Dokument m und die Signatur s an Bob. Weiterhin schickt sie ihm ihrenoffentlichen Schlussel (n, e), sofern Bob diesen noch nicht besitzt. Schließlich muss Bob noch dieHashfunktion H bekannt sein.

Im dritten Schritt wird die Signatur durch Bob verifiziert. Dazu benotigt Bob das signierteDokument m, die zur Signaturerzeugung verwendete Hashfunktion H, den Public Key (n, e) vonAlice sowie die Signatur s. Die Signaturprufungsfunktion erhalt die drei Eingaben H(m), (n, e)sowie s und pruft folgende Kongruenz:

H(m) ≡ se mod n? (3.10)

Falls die Antwort ’ja’ lautet, gibt die Signaturprufung den Wert true zuruck, andernfalls gibt siefalse zuruck. Im ersten Fall ist die Signatur gultig, im zweiten Fall ist sie ungultig.

Die Korrektheit der RSA-Signatur ergibt sich analog zur Korrektheit der RSA-Verschlusselung.Fur ggT(H(m), n) = 1 gilt wieder die Eigenschaft H(m)(p−1)(q−1) ≡ 1 mod n gilt. Wir setzenwiederum ϕ(n) = (p− 1)(q − 1) und erhalten

(H(m)d

)e= H(m)e·d = H(m)1+k·ϕ(n) = H(m)1 ·H(m)k·ϕ(n) = H(m) ·

(H(m)ϕ(n)

)k≡ H(m) · 1k ≡ H(m) mod n.

Wir mussen noch erklaren, welchen Sicherheitsgewinn die Signierung des Hashwerts H(m)bringt. Angenommen, Gleichung (3.9) ware von der Form s ≡ md mod n. Die zugehorige


Abbildung 3.14: Signaturerzeugung und -prufung einer RSA-Signatur.

Pruffunktion ware m ≡ se mod n. Dann konnte Angreiferin Eve eine gultige Signatur erstellen,ohne den privaten Schlussel zu kennen. Eine solche Signatur nennt man existenzielle Falschung.Dazu geht sie so vor. Sie wahlt sich irgend eine Zahl s mit 1 ≤ s ≤ n. Das wird die Signa-tur sein, das Dokument dazu kennt sie noch nicht. Dann berechnet sie m ≡ se mod n. Dann ists eine gultige Signatur fur das Dokument m, weil Eve m mittels der Signaturprufungsfunktionerzeugt hat. Naturlich wird m typischerweise kein sinnvolles Dokument sein, aber eine gultigeSignaturerzeugung ohne Kenntnis des privaten Schlussels ist eben moglich. Bei Verwendung einerHashfunktion musste Eve nun aber noch ein Dokument m finden mit H(m) ≡ se mod n, wasihr aber auf Grund der Einwegeigenschaft der Hashfunktion H nicht gelingt. Daher verhindertdie Nutzung einer kryptographisch sicheren Hashfunktion wie in Gleichung (3.9) eine existenzielleFalschung.

Im folgenden Beispiel 19 gehen wir die Signaturerstellung und -prufung einer RSA-Signaturdurch.

Beispiel 19 (RSA-Signaturerstellung und -prufung). Die Parameter des RSA-Setups werden ausBeispiel 17 ubernommen. Gegeben sind der offentliche Schlussel (n, e) = (187, 7) von Alice und ihrprivater Schlussel (p, q, d) = (11, 17, 23).

Die zu signierende Nachricht sei der String m = KRY PTO als Sequenz von ASCII Zeichen.Zuerst sind mittels einer ASCII-Tabelle die Zeichen mi der Nachricht m auf die entsprechendenDezimalwerte abzubilden. Hieraus folgt:

m = 72 82 89 80 84 79.

Fur die Signatur wird eine geeignete Hashfunktion H(m) benotigt. Da in diesem Beispiel die Si-gnatur mit Papier und Bleistift berechnet wird und nicht weiter auf technische Details der gangigenkryptographischen Hashfunktionen eingegangen wird, einigen sich die Kommunikationspartner auf

3.8. SCHLUSSELAUSTAUSCHVERFAHREN NACHDIFFIE UNDHELLMAN (INFORMATIV)69

eine einfache mathematische Funktion:

H(m) ≡|m|−1∑i=0

c(i) ·mi mod 11, c(i) =

7 falls i ≡ 0 mod 3,

3 falls i ≡ 1 mod 3,

1 falls i ≡ 2 mod 3

Dabei ist |m| die Anzahl der Zeichen in m. Die Zeichen werden also je nach ihrer Position imString beginnend am Anfang zunachst mit 7, dann mit 3, dann mit 1 multipliziert, anschließendwieder mit 7, dann mit 3, usw. Fur den Hashwert ergibt sich hieraus

H(m) = 7 · 72 + 3 · 82 + 1 · 89 + 7 · 80 + 3 · 84 + 1 · 79 ≡ 3 mod 11.

Fur die RSA-Signatur unter m erhalten wir damit

s ≡ H(m)d = 323 ≡ 181 mod 187.

Nun schickt Alice ihrem Kommunikationspartner Bob die Nachricht m, die Signatur s und ihrenoffentlichen Schlussel (n, e) = (187, 7). Bob berechnet ebenfalls den Hashwert der Nachricht m (dieHashfunktion ist ihm bekannt) und verifiziert die Signatur mittels

se ≡ 1817 ≡ 3 mod 187 H(m) = 3.

Weil beide Werte gleich sind, akzeptiert Bob die Signatur.

3.8 Schlusselaustauschverfahren nach Diffie und Hellman(informativ)

Mit den Verschlusselungsverfahren und digitalen Signaturverfahren wurden bereits zwei wich-tige Primitive der asymmetrischen Kryptographie vorgestellt. Im Weiteren werden sogenannteSchlusselaustauschverfahren thematisiert. Dabei ist das Problem zu losen, geheime Schlussel mitdem Kommunikationspartner uber einen unsicheren (= abhorbaren, manipulierbaren) Kanal aus-zutauschen.

Stellen Sie sich folgendes Szenario vor: Alice und Bob wollen mit Hilfe eines symmetrischenVerschlusselungsverfahrens vertraulich kommunizieren und sind uber einen unsicheren Kanal mit-einander verbunden. Der geheime Schlussel soll bzw. muss infolge dessen uber diesen Kanal aus-getauscht werden, ohne dass ein Angreifer den Schlussel erfahrt. Mit Hybridverfahren haben Siein Abschnitt 2.2.3 einen Losungsansatz kennengelernt. In diesem Abschnitt lernen Sie mit demDiffie-Hellman Protokoll einen weiteren Losungsansatz kennen.

Das Verfahren von Diffie und Hellman wurde 1976 von Whitefield Diffie und Martin Hell-man veroffentlicht. Es war die Geburtsstunde der Public Key Kryptographie. Das Diffie-Hellman-Verfahren ist alter als das RSA-Verfahren, es ist aber weder ein Verschlusselungs- noch ein Signa-turverfahren. Es ist das wichtigste Schlusselaustauschverfahren. Die Sicherheit des Diffie-Hellman-Verfahrens beruht nicht auf dem Faktorisierungsproblem fur naturliche Zahlen6, sondern auf einemanderen zahlentheoretischen Problem, dem Diskreten-Logarithmus-Problem (DLP) in einer geeig-neten Gruppe. Darauf gehen wir weiter unten ein.

Wir stellen das ursprungliche Diffie-Hellman-Verfahren vor. Heute gibt es Varianten in anderenGruppen. Alice und Bob wollen sich auf einen gemeinsamen Schlussel k fur ein symmetrischesVerfahren (z.B. einen MAC oder AES) einigen, haben aber nur eine Kommunikationsverbindungzur Verfugung, die abgehort werden kann. Sie fuhren folgende Schritte durch:

1. Alice und Bob einigen sich auf eine große Primzahl p und eine Zahl 2 ≤ g ≤ p − 2 mitder besonderen Eigenschaft, dass die Potenzen gi mod p bei Durchlaufen der Moglichkeiten1 ≤ i ≤ p−1 alle p−1 Reste modulo p durchlauft. Ein solches g heißt Primitivwurzel modulop. Die Primzahl p und die Primitivwurzel g sind offentlich bekannt.

6Wie im Falle des RSA Verfahrens.


2. Alice wahlt eine naturliche Zahl a ∈ {0, 1, ..., p − 2} zufallig und gleichverteilt. Das ist ihrprivater Schlussel. Sie berechnet

A ≡ ga mod p.

Das errechnete Ergebnis A ist ihr offentlicher Schlussel, sie schickt A uber den unsicherenKanal an Bob. Sie halt allerdings den Exponenten a geheim.

3. Bob wahlt eine naturliche Zahl b ∈ {0, 1, ..., p − 2} zufallig und gleichverteilt. Das ist seinprivater Schlussel. Er berechnet

B ≡ gb mod p.

Das errechnete Ergebnis B ist sein offentlicher Schlussel, er schickt B uber den unsicherenKanal an Alice. Den Exponenten b halt er geheim.

4. Um den gemeinsamen, geheimen Schlussel k zu berechnen, nutzen beide jeweils ihren eigenengeheimen Schlussel sowie den Public Key des Anderen. Konkret berechnen sie

Alice: Ba ≡(gb)a ≡ ga·b mod p

Bob: Ab ≡ (ga)b ≡ ga·b mod p.

Der gemeinsame Schlussel, welcher fur die weitere Kommunikation verwendet wird, ist k ≡ga·b mod p.

Wir gehen das Diffie-Hellman-Verfahren in Beispiel 20 an Hand sehr kleiner Zahlen exempla-risch durch.

Beispiel 20 (Diffie-Hellman Schlusselaustausch). Sei p = 17 und g = 3. Alice wahlt a = 7,berechnet A ≡ ga ≡ 37 ≡ 11 mod 17 und schickt das Ergebnis A = 11 an Bob. Bob wahlt b = 4,berechnet B ≡ gb ≡ 34 ≡ 13 mod 17. Das Ergebnis B = 13 sendet er an Alice. Dann bestimmenBeide das gemeinsame Geheimnis wie folgt:

Alice: Ba ≡ 137 ≡ 4 mod 17

Bob: Ab ≡ 114 ≡ 4 mod 17.

Der gemeinsame Schlussel ist also k = 4.

Wir betrachten die Sicherheit des Diffie-Hellman-Verfahrens. Seine Sicherheit basiert nicht aufdem Faktorisierungsproblem, sondern auf dem Diffie-Hellman-Problem (DHP) bzw. dem diskretenLogarithmus Problem (DLP). Auf diese beiden Probleme sowie deren Zusammenhang gehen wirim Folgenden ein.

Bedingt durch die Kommunikation uber einen unsicheren Kanal kennt ein Angreifer die Pa-rameter p, g, A und B. Damit kann er A · B ≡ ga · gb ≡ ga+b mod p berechnen. Sein Ziel ist esaber, den geheimen Schlussel k ≡ ga·b mod p zu berechnen. Diese Aufgabe heißt Diffie-HellmanProblem (DHP).

Das DLP des Diffie-Hellman-Verfahrens in der vorgestellten Version ist dadurch definiert, zugegebener Primzahl p, Basis g und Ergebnis der Exponentiation A den unbekannten, geheimenExponenten a zu bestimmen mit A ≡ ga mod p. Diese Aufgabe ist analog zur Logarithmusbe-rechnung, wie Sie es von den reellen Zahlen kennen, also z.B. zu gegebener Gleichung 64 = 2x

den unbekannten Exponenten x = 6 zu bestimmen – nur, dass das DLP modulo p ein schwierigesProblem ist.

Eine mogliche Losung des DHP ist es, entweder das DLP fur A zur Basis g oder fur B zur Basisg zu losen, also entweder a oder b zu bestimmen. Mit Hilfe eines dieser geheimen Exponenten kannder Angreifer k berechnen. Ein Angreifer, der das DLP losen kann, ist daher auch in der Lage, dasDiffie-Hellman Problem zu losen. Also ist das DHP hochstens so schwer wie das DLP.

Da das DHP in der Praxis mittels des DLP gelost wird, mussen wir die Diffie-Hellman-Parameter so wahlen, dass die Sicherheitsschwelle von 100 Bit eingehalten wird, also mindes-tens 2100 Operationen benotigt werden, um das DLP zu losen. Es zeigt sich, dass das allgemeine

3.9. ZUSAMMENFASSUNG 71

Zahlkorpersieb in einer Variante auch zur Losung des DLP modulo p verwendet werden kann.Folglich wahlt man die Primzahl p im Diffie-Hellman-Verfahren in einer gleichen Großenordnungwie die RSA-Zahl n. Damit haben wir die Aussage aus dem Merksatz 6 motiviert.

Merksatz 6 (Sichere Diffie-Hellman-Parameter). Ist p eine Primzahl fur das Diffie-Hellman-Verfahren, dann muss

p ≈ 22048

gelten. Die privaten Exponenten a sowie b sollen zufallig und gleichverteilt gewahlt werden. Siesind damit von der gleichen Großenordnung wie p.

Ein wichtiges praktisches Problem besteht darin, dass Alice und Bob nicht sicher sein konnen,dass der jeweilige offentliche Diffie-Hellman-Parameter des Kommunikationspartners tatsachlichvom jeweils anderen kommt. Hintergrund ist, dass ein Man-In-The-Middle Angriff erfolgen kann.Dabei tauscht ein Dritter sowohl mit Alice als auch mit Bob einen geheimen Schlussel aus. Ali-ce glaubt, der Schlussel komme von Bob und Bob glaubt, der Schlussel komme von Alice. AlleNachrichten, die Alice anschließend an Bob sendet, fangt der Dritte ab, entschlusselt diese undverschlusselt sie mit dem zweiten Schlussel, welchen er mit Bob ausgetauscht hat. Schließlich kanndie Nachricht weiter an Bob gesendet werden.

Ein offentlicher Schlussel muss also authentisch sein. Vor dem eigentlichen Diffie-HellmanSchlusselaustausch mussen die Kommunikationspartner Alice und Bob ein digitales Zertifikat be-sitzen, das den jeweiligen offentlichen Schlussel an die zugehorige Identitat bindet. Auf solcheZertifikate sowie die zugrundeliegende Public Key Infrastruktur gehen wir in Studienbrief 4 ein.

Kontrollaufgabe 24 (Diskretes Logarithmus Problem). Definieren Sie, was unter dem Begriff

”Diskretes-Logarithmus-Problem“ zu verstehen ist.

3.9 Zusammenfassung

In diesem Studienbrief wurden Ihnen die grundlegende Funktionsweise der heute verwendetenkryptographischen Verfahren erlautert. Im Besonderen sollen Sie hierbei beurteilen konnen, un-ter welchen Voraussetzungen ein kryptographisches Verfahren nach aktuellem Stand als sichergilt und fur den praktischen Einsatz empfehlenswert ist. Allerdings sind diese Sicherheitsanfor-derungen abhangig von der technischen Entwicklung der Hardware und neuer Angriffe auf dieKryptosysteme.

Gangige kryptographische Hashfunktionen mussen hierbei eine Mindestlange des Hashwertsvon 200 Bit aufweisen, um die Berechnung von Kollisionen zu vermeiden. Empfehlenswert fur diepraktische Verwendung sind die Hashfunktionen der SHA-2 Familie ab einer Bitlange von 256 Bit.

Bei den symmetrischen Verschlusselungsverfahren bietet der Advanced Encryption Standard(AES) selbst mit 128 Bit eine ausreichende Sicherheit im praktischen Umfeld. Ein wichtiges Krite-rium der Blockchiffren ist allerdings auch die gewahlte Betriebsart. So gilt beispielsweise der ECBModus aufgrund der kontextfreien Verschlusselung generell als unsicher. Empfehlenswert ist einModus, der einen zusatzlichen Parameter nutzt, z.B. der CBC Mode oder der Counter Mode.

Weiterhin haben Sie das asymmetrische RSA-Verfahren kennengelernt, das als Ver-schlusselungs- sowie Signaturverfahren eingesetzt werden kann. Bei Public Key Verfahren muss esdem Angreifer praktisch unmoglich sein, den geheimen Schlussel aus den offentlichen Parameternzu berechnen und so das Verfahren zu brechen. Public Key Verfahren basieren auf einem schwie-rigen mathematischen Problem, z.B. dem RSA-Problem (bzw. dem Faktorisierungsproblem).

In diesem Kapitel wurden auch Kombinationen von symmetrischen und asymmetrischen Ver-fahren (Hybridverfahren) vorgestellt.


Kapitel 4

Public Key Infrastruktur

4.1 Einfuhrung

InLeitfrage den bisherigen Studienbriefen haben Sie grundlegende Konzepte und konkreteBeispiele fur kryptographische Verfahren kennengelernt. Sie kennen AES als symmetrischesVerschlusselungsverfahren sowie RSA als Public Key Verfahren. RSA kann sowohl als Ver-schlusselungs- als auch als Signaturverfahren eingesetzt werden. Sie wissen auch, dass Signatur-verfahren der Erreichung des Schutzziels Authentizitat dienen. Allerdings haben wir bei all diesenBetrachtungen bisher ein zentrales Problem ausgeklammert. Die Leitfrage, der wir in diesem Stu-dienbrief nachgehen, lautet:

Ist der Signaturprufschlussel echt, d.h. nutzt der Verifizierer Bob den authentischen Schlussel vonAlice zur Prufung der Signatur?

DieMan-In-The-Middle Frage nach der Notwendigkeit der Echtheit des Schlussels kann anhandeines einfachen Szenarios deutlich gemacht werden: Alice und Bob wollen vertraulich und authen-tisch miteinander kommunizieren. Dazu besorgen sie sich jeweils den offentlichen Schlussel desKommunikationspartners. Doch ein Angreifer setzt sich in die Mitte der Verbindung, man nenntihn daher Man-in-the-Middle (MitM, manchmal auch Monkey-In-The-Middle-Angriff). Dieses Sze-nario ist in Abbildung 4.1 dargestellt. Gegenuber Alice tritt der MitM als Bob auf, gegenuber Bobhingegen als Alice. Der MitM schickt an Alice seinen offentlichen Schlussel und behauptet, das seider Public Key von Bob. Analog schickt er auch an Bob seinen offentlichen Schlussel und behaup-tet, das sei der Public Key von Alice. Er fangt alle Nachrichten ab, die Alice und Bob austauschen.Damit kann er alle ausgetauschten Nachrichten lesen oder auch manipulieren.

Zur Losung des Problems der Echtheit von offentlichen Schlusseln benotigen wir also Vertrauenin die Echtheit von Schlusseln. Wir stellen in Abschnitt 4.2 die drei gangigen Vertrauensmodellevor. Anschließend besprechen wir in Abschnitt 4.3 den Aufbau einer Public Key Infrastruktur.

Abbildung 4.1: Man-In-The-Middle Angriff

73

74 KAPITEL 4. PUBLIC KEY INFRASTRUKTUR

4.2 Vertrauensmodelle

ZurVertrauensmodelle Losung des Problems der Echtheit von offentlichen Schlusseln benotigen wiralso Vertrauen in die Echtheit von Schlusseln. Wir unterscheiden drei Vertrauensmodelle: DirectTrust, Web of Trust sowie Hierarchical Trust (auch Public Key Infrastruktur, PKI), auf die wirim Folgenden eingehen.

ImDirect Trust Vertrauensmodell Direct Trust erhalt ein Nutzer den offentlichen Schlussel di-rekt vom Schlusselinhaber, zum Beispiel bei einem personlichen Treffen via DVD oder USB Stick.Oder der Schlussel wird per E-Mail ausgetauscht und anschließend per Telefon authentifiziert (z.B.weil der Hashwert uber den Schlussel mundlich per Telefon abgeglichen wird). Allerdings gibt eshier wie bei symmetrischen kryptographischen Verfahren das Schlusselaustauschproblem. Bei n

Teilnehmern werden insgesamt n(n−1)2 Schlussel benotigt, wenn jeder Teilnehmer mit jedem ande-

ren einen Schlussel austauscht. Kommt noch ein weiterer Teilnehmer hinzu, muss dieser n Schlusselpersonlich mit jedem anderen Teilnehmer austauschen. Direct Trust skaliert daher schlecht, es istnur in uberschaubaren Nutzergruppen wie kleinen Virtual Private Networks sinnvoll.

ImWeb of Trust Web of Trust signieren Nutzer gegenseitig ihre offentliche Schlussel. Sie ga-rantieren so fur die Authentizitat des Schlussels Anderer. In einem kleinen Beispiel erlautern wirein Web of Trust bestehend aus Alice, Bob und Carl:

• Alice kennt Bobs offentlichen Schlussel, weil sie diesen per Direct Trust erhalten hat.

• Bob kennt Carls offentlichen Schlussel. Er signiert diesen mit seinem privaten Schlussel.

• Carl schickt Alice seinen offentlichen Schlussel sowie die Signatur uber diesen Schlussel, dieBob erzeugt hat.

Dann pruft Alice mit Bobs offentlichem Schlussel dessen Signatur von Carls offentlichem Schlussel.Wenn Alice Bob vertraut, nur authentische Schlussel zu signieren, also vor der Signierung dieBindung zwischen Schlussel und Schlusselinhaber zu prufen (z.B. uber Direct Trust), dann ist siesicher, Carls authentischen Public Key zu haben.

Bekannte Applikationen, die ein Web of Trust nutzen, sind PGP (Pretty Good Privacy) oderGNU-PG. Diese implementieren das Vorgehen nach RFC 2440 (OpenPGP Message Format). JederNutzer im Web of Trust hat einen Schlusselbund (key ring) mit offentlichen Schlusseln andererNutzer. Dabei ist jedem offentlichen Schlussel im Schlusselbund folgende Information zugeordnet:

• Name des Schlusselinhabers

• Owner Trust: 5 Stufen, Grad des Vertrauens in die Pruffahigkeit des Schlusselinhabers

• Key Legitimacy: 3 Stufen, Grad des Vertrauens in den offentlichen Schlussel. Die Key Legi-timacy leitet sich ab aus den Owner Trusts der Signierer und der Anzahl der Signaturen.

• Signaturen des offentlichen Schlussels

ImHierarchical Trust – PKI Vertrauensmodell Hierarchical Trust verwaltet eine zentrale In-stanz die offentlichen Schussel der Teilnehmer und garantiert deren Echtheit. Diese zentrale In-stanz steht damit ’uber’ den Teilnehmern, daher die Bezeichnung als hierarchisches Vertrauens-modell. Die zentrale Instanz agiert als vertrauenswurdiger Dritter (Trusted Third Party). Einegebrauchliche Bezeichnung dieses Vertrauensmodells ist Public Key Infrastruktur, abgekurzt alsPKI. Auf dieses Vertrauensmodell gehen wir im Rest dieses Studienbriefs im Detail ein. Das Ver-trauensmodell einer PKI wird zum Beispiel eingesetzt fur qualifizierte elektronische Zertifikatenach Signaturgesetz, in der Public Key Infrastruktur des Deutschen Forschungsnetzes oder beider Server-Authentisierung im Internet via https.

4.3. AUFBAU EINER PKI 75

4.3 Aufbau einer PKI

ZentralesZiele einer PKI Ziel einer PKI ist es, asymmetrische kryptographische Verfahren in großenoffenen Netzen wie z.B. dem Internet effektiv nutzen zu konnen. Eine PKI leistet daher folgendes:

• Zuordnung eines offentlichen Schlussels zum Schlusselinhaber.

• Festlegung der Schlusselnutzung (Verschlusselung, Authentisierung, Signatur).

• Etablierung einer gemeinsamen Sicherheitsinfrastruktur: dabei garantiert die zentrale In-stanz zum Beispiel, wie sicher kryptographische Schlussel gelagert, erzeugt oder vernichtetwerden (private Schlussel sind auf einer Smartcard sicherer gespeichert als in einer Soft-waredatei auf dem PC). Ein weiterer moglicher Aspekt ist die Aussage uber die Starkeder Bindung zwischen Schlussel und Schlusselinhaber (z.B. wie wird die Identitat desSchlusselinhabers gepruft). Muss der Schlusselinhaber etwa personlich bei der zentralenInstanz erscheinen und sich mit einem amtlichen Lichtbildausweis (z.B. Personalausweis,Reisepass) ausweisen, ist die Bindung viel starker als wenn nur eine E-Mail-Adresse gepruftwird.

DieZertifikat Bindung des Schlusselinhabers an dessen offentlichen Schlussel wird mittels einerspeziellen, signierten Datenstruktur erreicht, die Zertifikat heißt. Der Inhaber eines Zertifikats wirdauch als Certificate Holder (CH) bezeichnet. Im Zertifikat selber wird der Inhaber des zertifiziertenoffentlichen Schlussels als Subject bezeichnet. Jeder Certificate Holder erhalt also ein ZertifikatCerti fur seinen jeweiligen offentlichen Schlussel pki. Den zugehorigen geheimen Schlussel skihalt er geheim. Der geheime Schlussel kann sowohl vom Zertifikatsinhaber selber erzeugt werden,dann hat er die volle Kontrolle uber ski. Oder der private Schlussel wird von einer Instanz derPKI erzeugt und zum Beispiel auf einer Smartcard ausgeliefert. Dann muss der Zertifikatsinhaberdarauf vertrauen, dass es keine Kopien des privaten Schlussels gibt.

ZertifikateCertificate Authority, CA werden von einer vertrauenswurdigen Instanz innerhalbder PKI ausgestellt. Diese Instanz heißt Zertifizierungsstelle (Certification Authority, CA). Die CAbesitzt ein Schlusselpaar (pkCA, skCA). Das digitale Zertifikat Certi des Endnutzers (CertificateHolder) wird mit dem privaten Schlussel skCA der Zertifizierungsstelle signiert. Damit konnen dieInformationen im Zertifikat Certi nicht mehr verandert werden. Mittels des offentlichen SchlusselspkCA kann ein Nutzer, der den offentlichen Schlussel von Nutzer i verwenden will, die Signaturunter Certi prufen. Ist diese gultig, ist der offentliche Schlussel pki tatsachlich Nutzer i zugeordnet.

AufgrundRegistration Authority, RA der Große der PKI und der hiermit zusammenhangendenAnzahl an Zertifizierungsantragen sind Zertifizierungsstellen oftmals nicht in der Lage, Antrageselbst entgegenzunehmen, die Daten zu validieren und das Zertifikat dem Antragssteller zuubersenden. In diesem Fall ubernimmt die Registrierungsstelle (Registration Authority, RA) ei-ne vermittelnde Rolle zwischen dem Antragssteller und der Zertifizierungsstelle ein. Weiterhin istes in der IT-Sicherheit verbreitet, Rollen zu trennen (Segregation of Functions). Daher ist dieTrennung der Rollen CA und RA auch aus Sicherheitssicht wunschenswert. Im Einzelnen sind dieAufgaben der Registration Authority:

• Legt Sicherheitsrichtlinien fest, z.B. wie die Identitat von Zertifikatsinhabern gepruft wird.

• Legt Inhalte der Zertifikate fest.

• Pruft Zertifizierungsantrage (certificate requests).

• Leitet nach erfolgreicher Prufung der Daten des Antragsstellers die Zertifikatsantrage an diezustandige Certification Authority weiter.

• Erhalt nach Ausstellung das Zertifikat von der CA und ubersendet es an den Antragsteller.

Abbildung 4.2Prozess der Zertifikatsausstellung zeigt den Prozess der Zertifikatsausstellung.Nutzer i, nennen wir ihn Bob, stellt einen entsprechenden Antrag (certificate request) bei der Regis-trierungsstelle. Zur Erzeugung seines Schlusselpaares (pki, ski) stehen Bob zwei Moglichkeiten zur


Abbildung 4.2: Antrag und Ausstellung eines digitalen Zertifikats.

Verfugung: er kann das Schlusselpaar selbst generieren und den offentlichen Schlussel pki zusam-men mit dem Antrag an die Registrierungsstelle senden oder die Generierung des Schlusselpaareswird im weiteren Verlauf von der Zertifizierungsstelle ubernommen. Die Registrierungsstelle vali-diert Bobs Identitat sowie Bobs Antragsdaten und leitet den Zertifikatsantrag an die entsprechen-de Zertifizierungsstelle weiter. Diese erstellt und signiert das Zertifikat Certi mit ihrem privatenSchlussel skCA. Das digitale Zertifikat Certi geht anschließend uber die RA an den Antrags-steller zuruck. Weiterhin wird das Zertifikat Certi in einem allgemein zuganglichen Verzeichnisveroffentlicht.

CertificationAuthority (CA)(pkCA, skCA)

↙ ↓ ↘Nutzer 1

(pk1, sk1), Cert1, pkCA· · · Nutzer n

(pkn, skn), Certn, pkCA

Abbildung 4.3: Schematischer Aufbau einer einfachen PKI

EinVertrauensanker einfacher schematischer Aufbau einer PKI ist in Abbildung 4.3 dargestellt.Die Echtheit der Nutzerschlussel pki wird zuruckgefuhrt auf die Echtheit eines einzigen Schlussels,namlich des offentlichen Schlussels pkCA der CA. Dieser heißt daher Vertrauensanker. Besitzt einNutzer den authentischen Schlussel pkCA, so kann er alle von der CA ausgestellten Zertifikateprufen und so die Authentizitat des jeweiligen offentlichen Schlussel pki des Nutzers i verifizieren.Bitte beachten Sie, dass jeder – auch Nichtinhaber von Zertifikaten – den Schlussel pkCA nutzenkann. Der offentliche Schlussel pkCA muss z.B. uber Direct Trust auf seine Echtheit gepruft werden.Aber wenn ein Nutzer diesem vertraut, kann er mit dem einen Schlussel pkCA alle n offentlichenSchlussel pki auf ihre jeweilige Echtheit prufen. Daher skaliert eine PKI gut.

TypischerweiseZertifikatskette gibt es aber mehrere Stufen in der Zertifikatshierarchie. Dasfuhrt uns zu dem Begriff der Zertifikatskette. Ein Beispiel einer dreistufigen Zertifikatshierarchieist in Abbildung 4.4 dargestellt. Ausgangspunkt ist der Vertrauensanker pkRCA der obersten CA.Weil diese an der Wurzel der Vertrauenskette steht, heißt sie auch Wurzelinstanz (Root CA, ab-gekurzt als RCA). Organisatorisch ist es oft sinnvoll, die Erstellung von Zertifikaten zu delegieren,gerade wenn in einer PKI mehrere Tausend oder Millionen Zertifikate zu erstellen und zu ver-

4.3. AUFBAU EINER PKI 77

WurzelinstanzRegistration-

authority (RA)Certification-

authority (CA)(pkRCA, skRCA)

↙ ↓ ↘Teilinstanz 1

Teil-RA 1 Teil-CA 1(pkTCA1

, skTCA1)

· · ·Teilinstanz r

Teil RA r Teil-CA r(pkTCAr

, skTCAr)

↙ ↘ ↙ ↘Nutzer 1(pk1, sk1)

· · · Nutzer s(pks, sks)

· · · Nutzer t(pkt, skt)

· · · Nutzer n(pkn, skn)

Abbildung 4.4: Schematische Darstellung einer 3-stufigen Public Key Infrastruktur

walten sind. Die Wurzelinstanz delegiert daher oft die Erstellung der Nutzerzertifikate an eineTeilinstanz, die fur einen bestimmten organisatorischen Bereich der PKI verantwortlich ist. Da-zu erhalt jede CA einer Teilinstanz ein eigenes CA-Zertifikat CertTCA. Jedes CA-Zertifikat einerTeilinstanz CertTCA wird signiert mit dem privaten Schlussel der Wurzelinstanz, also mit skRCA.Die CA der Teilinstanz erstellt dann die eigentlichen Nutzerzertifikate Certi. Ein Nutzer, derden authentischen offentlichen Schlussel pkRCA der Root CA besitzt, kann zunachst die Echtheitdes Zertifikats CertTCA und damit das eigentliche Zertifikat Certi prufen. Mit einem offentlichenSchlussel konnen so prinzipiell Millionen von nachgeordneten Zertifikaten gepruft werden. In Bei-spiel 21 betrachten wir eine vierstufige Zertifikatskette.

Beispiel 21 (Zertifikatskette). Wir betrachten die Zertifikatskette fur den Nutzer Harald Bai-er. Die Zertifikatskette ist im Feld Certificate Hierarchy dargestellt. Am Ende der Zertifikatsket-te steht das Nutzerzertifikat. Das Nutzerzertifikat ist ausgestellt von der Teilinstanz HochschuleDarmstadt. Diese stellt Zertifikate fur Hochschulmitglieder aus. Die CA der Hochschule Darmstadtbesitzt ein Zertifikat, das von der CA des Deutschen Forschungsnetzes (DFN) ausgestellt wurde.Der DFN Verein ist der Internet Service Provider deutscher wissenschaftlicher Einrichtungen. DieDFN CA stellt Zertifikate fur deutsche Hochschulen aus. Die Wurzelinstanz der Zertifikatskettewird von der Deutschen Telekom betrieben. Diese hat z.B. das DFN CA Zertifikat erstellt.


InSelbst-signiertes Zertifikat einer Zertifikatskette hangt das Vertrauen in die Echtheit allerSchlussel bzw. Zertifikate der PKI an dem Vertrauen in die Echtheit des offentlichen SchlusselspkRCA. Zwar gibt es oft fur diesen Schlussel ein Zertifikat, allerdings gibt es keine ubergeordneteCA, die das Zertifikat CertRCA signieren konnte. Daher signiert die Root CA ihr Zertifikat unddamit ihren Public Key pkRCA mit dem eigenen geheimen Schlussel skRCA. Ein solches Zertifikatheißt selbst-signiertes Zertifikat. Hierbei handelt es sich also lediglich um eine Selbstauskunft.Daher muss die Echtheit von pkRCA auf eine andere Weise garantiert werden. In der ’Internet-PKI’, also der von Browsern genutzten PKI, werden die offentlichen Schlussel pkRCA mit demBrowser ausgeliefert. Der Nutzer des Browsers vertraut daher implizit allen offentlichen SchlusselnpkRCA, fur die sich die Entwickler des Browsers entschieden haben. Dieser Tatsache muss mansich als Endanwender bewusst sein, denn die per default mitgelieferten vertrauenswurdigen RootCAs sind nicht mehr uberschaubar.

Es kannRevokation vorkommen, dass ein Zertifikat zuruckgezogen werden muss, also furungultig erklart wird. Das Zuruckziehen eines Zertifikats heißt auch Revokation. Die Revokati-on eines Zertifikats kann zum Beispiel aus folgenden Grunden notwendig sein:

• Bei Sicherheitsvorfallen (z.B. Kompromittierung eines privaten Schlussels ski oder skCA,kryptographische Algorithmen werden unsicher).

• Eine Instanz halt sich nicht an Sicherheitsvorgaben.

• Ein Mitarbeiter eines Unternehmens scheidet aus diesem Unternehmen aus.

Zur Verbreitung der Information uber den Gultigkeitsstatus von Zertifikaten kann in einer PKIeine Liste zuruckgezogener Zertifikate (Certificate Revocation List, CRL) herausgegeben werden.Die CRL wird seitens der CA signiert, sie wird in bestimmten Abstanden oder auch bei Bedarfherausgegeben. Alternativ fragt der Nutzer vor Prufung der Signatur eines Zertifikats bei der CA

4.4. ZERTIFIKATE 79

nur den Status dieses Zertifikats ab. Diese dezidierte Abfrage geschieht uber das Online Certifi-cate Status Protocol OCSP. Der Nutzer erhalt dann eine signierte Antwort uber den Status desabgefragten Zertifikats.

Kontrollaufgabe 25 (Zertifikatskette). Geben Sie die Zertifikatskette der Webseite https: //

www. deutsche-bank. de an.

Kontrollaufgabe 26 (Vertrauensanker). Sehen Sie sich in dem Browser, den Sie uberwiegendnutzen, die Root CA Zertifikate an, denen Sie vertrauen (Vertrauensanker). Bilden Sie sich eineMeinung, ob Sie all diesen Root CAs wirklich vertrauen.

4.4 Zertifikate

InStandards diesem Abschnitt lernen Sie Details zu Zertifikaten kennen. Es gibt zwei wichtigeStandards fur unterschiedliche Anwendungsfalle:

1. X.509 ist der am weitesten verbreitete Standard fur Zertifikate. Er wurde verabschiedetvon der Internationalen Fernmeldeunion (International Telecommunication Union, ITU) alsStandard ITU-T X.509 (ITU Telecommunication Standardization Sector, ITU-T) und liegtauch als ISO Standard vor. Auf X.509 gehen wir im Detail ein. Es wird z.B. in der ’Internet-PKI’ verwendet.

2. Card Verifiable Certificates (CVC) werden eingesetzt zur sicheren Kommunikation zwi-schen/zu Geraten mit beschrankten Rechenressourcen (z.B. Smart Cards). Insbesondere imKontext von elektronischen Reisepassen benotigen Lesegerate ein CVC, weil der Reisepassein X.509 Zertifikat nicht effizient prufen kann.

ZentralesInhalte eines X.509-Zertifikats Ziel eines X.509-Zertifikats ist die Bindung einer Iden-titat an einen offentlichen Schlussel. Daher mussen zumindest Inhaber und pki im Zertifikat ste-hen. Diese Bindung wird durch eine elektronische Signatur uber das Zertifikat vor Veranderunggeschutzt. Wichtig fur den Nutzer des Zertifikats sind aber noch weitere Informationen, von denenwir in Abbildung 4.5 einige nennen. Neben Inhaber und offentlichem Schlussel muss der Nutzer des

Certi = (Inhalt, Signatur) =

Angaben zum Inhaber:Name, Organisation, E-Mail-Adresse, usw.

Offentlicher Schlussel des Inhabers pkiAlgorithmus von pki (z.B. RSA, DH)Algorithmus zum Signieren des Zertifikatsz.B. RSA, ECDSAGultigkeitszeitraum: von – bisAngaben zur Certification Authority:Name, Kontaktdaten usw.Schlusselnutzungz.B. Signatur, Authentisierung, VerschlusselungRichtlinien der CA zur Zertifikatserteilung

Signatur der CA (erzeugt mit skCA)

Abbildung 4.5: Einige Felder eines X.509-Zertifikats fur Inhaber i

Zertifikats wissen, mit welchem Algorithmus das Zertifikat signiert wurde. Des weiteren enthaltein X.509-Zertifikat einen Gultigkeitszeitraum, in dem der zertifizierte offentliche Schlussel alsecht eingestuft wird. Von besonderer Bedeutung ist zu wissen, wer das Zertifikat ausgestellt hat,denn das Vertrauen in den Aussteller ist essenziell die Nutzung des Schlussels pki. Oft enthalt einX.509-Zertifikat auch weitergehende Informationen zu erlaubten Nutzungszwecken von pki oder

https://www.deutsche-bank.de

https://www.deutsche-bank.de


uber die Richtlinien, unter welcher Voraussetzung Certi erteilt wird (z.B. der Inhaber muss sichpersonlich per amtlichem Lichtbildausweis authentisieren).

ZurASN.1-Definition eines X.509-Zertifikats genauen Spezifikation der in einem X.509-Zertifikat enthaltenen Datenstrukturen nutzt der X.509-Standard die verbreitete Beschreibungs-sprache ASN.1 (Abstract Syntax Notation Nr. 1). In Abbildung 4.6 finden Sie die Definition einesX.509-Zertifikats. Diese Definition erinnert an eine hohere Programmiersprache. In Abbildung 4.6

Certificate ::= SEQUENCE {

tbsCertificate TBSCertificate,

signatureAlgorithm AlgorithmIdentifier,

signatureValue BIT STRING }

Abbildung 4.6: ASN.1-Definition eines X.509-Zertifikats

wird ein neuer Datentyp Certificate festgelegt. Das ist ein X.509-Zertifikat. Dazu wird der ’De-finitionsoperator’ ::= genutzt, der die linke Seite als neuen Datentyp festlegt, seine Bedeutungwird rechts von dem Operator beschrieben. Ein X.509-Zertifikat ist danach einfach eine geordneteAbfolge (in der Sprache von ASN.1 also eine SEQUENCE) von drei Feldern (bitte beachten Sie, dassin ASN.1 der Datentyp rechts und der Bezeichner der Variablen links stehen):

1. TBSCertificate enthalt alle Datenfelder des Zertifikats, die signiert werden, denn TBS stehtfur die englischen Worte to be signed. Die zugehorige Variable heißt tbsCertificate. Aufdiesen Datentyp gehen wir weiter unten ein, insbesondere in Abbildung 4.7.

2. AlgorithmIdentifier gibt an, mit welchem Algorithmus die Signatur unter dem Zertifikatzu prufen ist. Da dieses Feld nicht Teil der ’to be signed’-Struktur ist, ist diese Angabe nichtdurch die Signatur geschutzt.

3. Das dritte und letzte Feld BIT STRING ist die Signatur unter das Zertifikat.

InSignierte Datenfelder Abbildung 4.7 geben wir die ASN.1-Definition der ’to be signed’-Datenstruktur an. Darin stehen alle Felder des X.509-Zertifikats, die durch die Signatur der CAvor Veranderung geschutzt werden. Aus Abbildung 4.5 kennen Sie schon einige der Felder eines

TBSCertificate ::= SEQUENCE {

version [0] EXPLICIT Version DEFAULT v1,

serialNumber CertificateSerialNumber,

signature AlgorithmIdentifier,

issuer Name,

validity Validity,

subject Name,

subjectPublicKeyInfo SubjectPublicKeyInfo,

extensions [3] EXPLICIT Extensions OPTIONAL

-- If present, version shall be v3 }

Abbildung 4.7: ASN.1-Definition der ’to be signed’ Datenstruktur

X.509-Zertifikats. Der Name des Inhabers des Zertifikats steht in der Variablen subject, seinoffentlicher Schlussel pki steht im Feld subjectPublicKeyInfo. Die Variable issuer gibt den Na-men der ausstellenden CA an. Weitere Informationen sind die Seriennummer des Zertifikats sowiedie signierte Angabe des Algorithmus, mit dem das Zertifikat signiert wurde. Die Zahlen [0] bzw.[3] benotigt der ASN.1-Parser, um Mehrdeutigkeiten zu vermeiden.

InErweiterungen Abbildung 4.5 haben wir noch weitere Felder als in Abbildung 4.7 dargestellterwahnt, z.B. Angaben zur Schlusselnutzung oder Richtlinien zur Zertifikatserteilung. Solche Anga-ben finden Sie in Erweiterungsfeldern (Extensions) des Zertifikats. Die ASN.1-Definition der wich-tigen Extension KeyUsage zur Angabe erlaubter Schlusselnutzungen von pki ist in Abbildung 4.8

4.4. ZERTIFIKATE 81

dargestellt. Standardisierte Schlusselnutzungen konnen zum Beispiel Erzeugung von Signaturen(digitalSignature), Nichtabstreitbarkeit (nonRepudiation) oder die Verschlusselung von Daten(dataEncipherment) sein. Weitere wichtige Zertifikatserweiterungen sind ExtendedKeyUsage zur

KeyUsage::= BIT STRING {

digitalSignature (0),

nonRepudiation (1),

keyEncipherment (2),

dataEncipherment (3),

keyAgreement (4),

keyCertSign (5),

cRLSign (6),

encipherOnly (7),

decipherOnly (8) }

Abbildung 4.8: ASN.1-Definition der Extension KeyUsage

weiteren Angabe von Schlusselnutzungen (z.B. fur einen TLS-Webserver), CertificatePolicieszur Angabe der zugrundeliegenden Zertifikatsrichtlinien oder BasicConstraints zur Angabe, obder Inhaber eine CA ist oder nicht.

X.509-ZertifikateKodierungen werden in einer von zwei Formaten kodiert (also gespeichert).In openssl ist das Standardformat PEM (Privacy Enhanced Mail), das noch ein Uberbleibselaus einem Mailstandard von Mitte der 1990er Jahre ist. PEM nutzt nur 64 druckbare Zeichenzur Kodierung, die sogenannte Base64-Kodierung. Die zweite Kodierung ist DER (DistinguishedEncoding Rules), die im X.509-Standard vorgesehen ist. Weil die Base64-Kodierung nur 6 Bit ineinem Byte nutzt, ist die PEM-Kodierung eines Zertifikats großer als die DER-Kodierung (ca. umden Faktor 1/3 großer, weil 4 PEM Bytes durch 3 DER Bytes dargestellt werden). In Beispiel 22sehen Sie den openssl-Befehl, um den Inhalt eines X.509-Zertifikats auszugeben.

Beispiel 22 (Inhaltsausgabe eines X.509-Zertifikats mittels openssl). Der openssl-Befehl zurAusgabe eines X.509-Zertifikats lautet x509. Da wir ein DER-kodiertes Zertifikat vorliegen haben,mussen wir openssl die Kodierung explizit mitteilen. Der Switch -text sorgt fur die menschen-lesbare Ausgabe des Zertifikats, der Switch -noout unterdruckt die DER-kodierte Ausgabe desZertifikats.

$ openssl x509 -inform DER -in HaraldBaier.der -text -noout

Certificate:

Data:

Version: 3 (0x2)

Serial Number: 6239734473606166 (0x162b0164cac416)

Signature Algorithm: sha1WithRSAEncryption

Issuer: C=DE, L=Darmstadt, O=Hochschule Darmstadt, \

CN=Hochschule Darmstadt/[email protected]

Validity

Not Before: Aug 14 13:19:16 2013 GMT

Not After : Aug 13 13:19:16 2016 GMT

Subject: C=DE, O=Hochschule Darmstadt, \

OU=Fachbereich Informatik, CN=Harald Baier

Subject Public Key Info:

Public Key Algorithm: rsaEncryption

Public-Key: (2048 bit)

Modulus:

00:d9:e2:22:f7:e8:a7:da:c1:16:c6:02:eb:62:dd:

0d:bc:d7:4b:59:97:01:47:3f:63:f3:3e:c9:b1:59:

[REMOVED]

64:e9:d7:2b:8b:aa:60:e3:c1:57:0d:83:c3:2f:de:


d6:e9

Exponent: 65537 (0x10001)

[REMOVED]

Wir sehen, dass das Zertifikat die Seriennummer 6239734473606166 tragt und 3 Jahre gultigist. Herausgebende CA ist die Hochschule Darmstadt, Inhaber ist Harald Baier. Der zertifizier-te Schlussel ist ein RSA Schlussel, die Moduluslange ist 2048 Bit, der offentliche Exponent ist dievierte Fermatzahl F4 = 22

4

+ 1 = 65537. Weitere Angaben, insbesondere zahlreiche Zeilen zumRSA-Modulus sowie die Extensions sind entfernt.

EineExtended Validation Zertifikat gesicherte HTTP-Verbindung erkennen Sie im Browseran einem https in der URL sowie einem vorangestellten Schloss. Dabei schickt der Web-Serversein X.509-Zertifikat beim Verbindungsaufbau zum Client. Das Serverzertifikat kann detailliertinnerhalb des Browsers betrachtet werden. Um eine einfach erkennbare Abstufung des Sicherheits-niveaus der Verbindung zu erreichen, hinterlegen gangige Browser das Schloss in der Adresszeilegrun, wenn ein sogenanntes Extended Validation Zertifikat (EV-Zertifikat) verwendet wird. DieAusstellung eines EV-Zertifikats ist an strengere Kriterien gebunden. Dies bezieht sich auf einedetaillierte Prufung der Antragstellerdaten sowie hohere Gebuhren.

Kapitel 5

Netzwerksicherheit

5.1 Grundlagen

Computernetzwerke wie das Internet bestimmen heute einen sehr großen Teil unseres taglichenprivaten und geschaftlichen Lebens. Sie werden fur fast jede denkbare Anwendung von Telefonieuber Online-Banking bis hin zur Steuerung von Atomkraftwerken eingesetzt. Der Vernetzungs-grad nimmt stetig zu, die Art der vernetzten Gerate verandert sich. Vor ein paar Jahren warennur Computer miteinander vernetzt, heute wird wie selbstverstandlich die Netzwerkfahigkeit derSmartphones benutzt. Auch die Vernetzung der Industrieproduktion (Stichwort Industrie 4.0) so-wie von Geraten im Haushalt (Smart Home, Smart Meter) bringt Komfort, aber auch erheblicheneue Bedrohungen mit sich.

Daher ist die Sicherheit der Netzwerke und auch der Kommunikation von entscheidender Bedeu-tung fur Gesellschaft und Wirtschaftsunternehmen. Dieser Abschnitt beinhaltet eine Einfuhrung inNetzwerke sowie deren zentrale Sicherheitsfragen und thematisiert insbesondere folgende Aspekte:

1. Sicherer Datenaustausch: Hierunter ist die Absicherung der Kommunikation bezuglich vor-her definierter Schutzziele zu verstehen. Zum Beispiel soll eine E-Mail vom Sender zumEmpfanger vertraulich ubermittelt werden.

2. Sichere Netzknoten, insbesondere sichere Endpunkte: Damit ist der Schutz von Netzknoten(z.B. Ihrem Computer oder einem Router) im Hinblick auf die Verfugbarkeit oder unautori-sierten Zugriff gemeint.

In Abbildung 5.1 wird exemplarisch die Kommunikation zwischen einem Browser und einemWebserver dargestellt. Der Browser wird auch als Client bezeichnet, weil dieser eine Anfrage anden Server stellt und dessen Dienste nutzt. Zunachst gibt der Nutzer die fur ihn lesbare Adresse desWebservers in seinen Browser ein, die sogenannte URL (URL bedeutet Uniform Resource Locator).In diesem Beispiel will der Nutzer auf den Webserver unter der URL www.webseite.de zugreifen.Im Unterschied zum Menschen adressieren Netzwerkgerate allerdings mittels maschinenlesbarerAdressen. Im Internet sind dies die Adressen des Internet-Protokolls (IP-Adressen). Aktuell werdendabei noch Adressen der Version 4 des Internet-Protokolls (IP) verwendet. Diese haben eine Langevon 32 Bit, die als vier Zahlen der Lange 8 Bit dargestellt werden (d.h. vier Zahlen im Bereich 0bis 255). Der Webserver aus diesem Beispiel besitzt die IP-Adresse 124.23.45.200.

Fur die Umsetzung einer menschenlesbaren URL in eine maschinenlesbare IP-Adresse ist einwichtiges Netzprotokoll zustandig, das Protokoll des Domain Name System (DNS-Protokoll).Bevor der Client auf den Server zugreifen kann, stellt dieser eine DNS-Anfrage an einen DNS-Server. In unserem Beispiel fragt der Client nach der IP-Adresse des Webservers unter der URLwww.webseite.de und erhalt diese als Antwort zuruck. Mit dem Erhalt der IP-Adresse kann derClient anschließend eine HTTP-Anfrage an den Webserver stellen und bekommt als Antwort dieWebseite zugesendet, die der Webbrowser auf dem Client verarbeitet und anzeigt.

83

www.webseite.de

www.webseite.de

84 KAPITEL 5. NETZWERKSICHERHEIT

Abbildung 5.1: Kommunikation zwischen Client und Webserver mit DNS-Abfrage.

Abbildung 5.2: Netzgerate zwischen Client und Webserver.

5.1. GRUNDLAGEN 85

Ebene Name (deutsch) Name (englisch) Beispielprotokolle

7 Anwendungsschicht Application layer HTTP, SMTP, FTP6 Darstellungsschicht Presentation layer5 Sitzungsschicht Session layer4 Transportschicht Transport layer TCP, UDP3 Vermittlungsschicht Network layer IP, ICMP2 Sicherungsschicht Data link layer Ethernet1 Bitubertragungsschicht Phyiscal layer

Tabelle 5.1: Sieben OSI-Schichten

Wie in Abbildung 5.2 verdeutlicht wird, durchlaufen die Datenpakete auf ihrem Weg vom Cli-ent zum Server zahlreiche weitere Netzgerate, z.B. Switches im lokalen Netz des Client oder Serverbzw. Router im Netzsegment der Internet Service Provider (ISP). Jedes dieser Netzgerate kanndie gesamten Informationen sehen, die uber diesen Knoten laufen. Außerdem muss das Gerat be-stimmen, an welche Stelle das Paket weiterzuleiten ist. Dazu werden im Internet die IP-Adressenbenotigt. Im lokalen Netz hingegen wird eine spezielle Hardware-Adresse des Gerats verwendet.Diese wird Media Access Control-Adresse (MAC-Adresse) genannt und ist 48 Bit lang und soll ein-deutig fur jede Netzwerkkarte weltweit sein. Das Weiterleiten der Daten auf einem Zwischenknotenwird Forwarding genannt. Oft existieren alternative Routen fur die Weiterleitung von Paketen.Somit muss ein Router entscheiden, zu welchem benachbarten Netzknoten das Paket geschicktwerden soll. Die Festlegung der Wege, die die Datenpakete nehmen sollen, wird als Routing be-zeichnet. Dazu nutzt ein Router interne Routing-Tabellen, die fortlaufend mit anderen Routernsynchronisiert werden.

5.1.1 OSI-Referenzmodell

In der Informatik ist Kapselung ein wesentlicher Losungsansatz zur Reduktion der Komplexitat.In Netzwerken haben Sie bereits eine grobe Idee, wie komplex eine Losung sein muss, damitunterschiedlichste Gerate miteinander kommunizieren konnen. Daher kapselt die Informatik dieKommunikation in unterschiedlichen Schichten, die jeweils eine dezidierte Funktion haben, derenKomplexitat aber einfacher zu beherrschen ist als die Komplexitat des ursprunglichen Problems.Das am meisten referenzierte Netzwerkmodell ist das Open Systems Interconnection Model (OSI-Referenzmodell) der internationalen Standardisierungsorganisation ISO.

Das OSI-Modell dient sowohl der Interoperabilitat verschiedener Hersteller als auch der Ein-ordnung und Veranschaulichung der Netzwerkkomponenten samt deren Konzepten, deren Softwaresowie deren Protokollen. Dazu sind sieben aufeinander folgende Schichten (engl.: layers) definiert,die jeweils genau spezifizierte Aufgaben ubernehmen. Jede dieser Schichten kann nur mit einerdirekt benachbarten Schicht uber eine standardisierte Schnittstelle kommunizieren. Dadurch blei-ben Veranderungen in einer Schicht fur andere Schichten transparent, solange die Schnittstelleunverandert bleibt. Eine Ubersicht uber die Schichten des OSI-Modells finden Sie in Tabelle 5.1.

Die vier unteren Schichten definieren, wie die Daten mit Hilfe von Netzwerkkomponenten(Switch, Router) uber physikalische Leitungen zum gewunschten Zielort ubertragen und dort andie Anwendung ubergeben werden:

1. Layer 1 ist die Bitubertragungsschicht, welche die einzelnen Bits von einem Netzknoten zumbenachbarten Netzknoten transportiert, z.B. uber eine Glasfaser oder durch die Luft.

2. Die Sicherungsschicht gruppiert als Layer 2 die einzelnen Bits zu einer Dateneinheit zu-sammen, die Frame heißt. Sender und Ziel werden uber ihre jeweilige Hardware-Adresse,die MAC-Adresse, definiert. Eine MAC-Adresse besteht aus 48 Bit, die als 12 Hexadezimal-ziffern dargestellt werden, z.B. 04:25:6a:49:98:4e. Durch Prufsummen im Frame konnenUbertragungsfehler entdeckt werden.


3. Auf Layer 3 stellt die Vermittlungsschicht eine logische Verbindung zwischen den beidenEndgeraten her. Die Dateneinheit heißt Paket. Sender und Ziel werden uber ihre jeweiligeIP-Adresse adressiert. IP-Pakete der Version 4 (IPv4) sind 32 Bit, IPv6-Pakete 128 Bit lang.Beispielsweise lautet eine IPv4-Adresse 193.99.144.85.

4. Die Transportschicht sorgt fur eine tatsachliche Ende-zu-Ende-Verbindung aus Sicht derAnwendung. Sie nimmt auf Senderseite die Daten der oberen Schicht entgegen, segmentiertdiese und sorgt dafur, dass die Daten am anderen Endpunkt in richtiger Reihenfolge deroberen Schicht ubergeben werden. Die Dateneinheit heißt ebenfalls Paket, die jeweiligenAnwendungen auf Sender- und Empfangerseite werden uber Ports adressiert. Ports sindZahlen der Lange 16 Bit, wobei die Ports 0 bis 1023 sogenannte privilegierte Ports sind, alsofesten Anwendungen zugeordnet sind1. Zum Beispiel werden Daten an einen Webserver perHTTP uber den Port 80 adressiert.

Die drei obersten Schichten des OSI-Referenzmodells werden als Anwendungsschichten bezeich-net. Sie befassen sich mit der Darstellung und Separierung der Daten verschiedener Anwendun-gen. Die wichtigste der drei Schichten ist die Anwendungsschicht, ihre Dateneinheit ist ebenfallsdas Paket. Wichtige Anwendungsprotokolle sind HTTP (Hyper Text Transfer Protocol) fur dieKommunikation zwischen Browser und Webserver, SMTP (Simple Mail Transfer Protocol) zumVersenden von E-Mails oder FTP (File Transfer Protocol) fur den Austausch von Dateien.

5.1.2 Sichere Kommunikationsprotokolle

Sicherheitsaspekte spielten in den Anfangszeiten des Internets kaum eine Rolle. Insbesondere bietendie in Abschnitt 5.1.1 genannten Protokolle keinen Schutz vor Angreifern. Das Internet ist aber seitdessen Entstehen in standiger Weiterentwicklung, so dass im Nachhinein Losungen zur Sicherungder Kommunikation im Internet konzeptioniert und implementiert wurden. Diese Protokolle sollenin diesem Abschnitt kurz angerissen werden. Zwei wichtige Protokolle werden spater im Detailbetrachtet.

Sicherheitsprotokolle konnen auf unterschiedlichen Schichten des OSI-Modells konzipiert undeingesetzt werden, namlich

”unten“,

”in der Mitte“ oder

”oben“:

1. Die abgesicherte Variante des IP-Protokolls heißt IPsec. IPsec ist auf Layer 3 angesiedelt undbietet die Option, die Schutzziele Vertraulichkeit, Integritat und Authentizitat zu erreichen.Sofern IPsec eingesetzt wird, konnen ab Layer 3 aufwarts alle Daten vor unautorisiertemLesen oder Verandern abgesichert werden. IPsec setzt also

”unten“ im OSI-Modell an.

2. Das Transport Layer Security Protocol (TLS, fruher auch SSL) setzt – wie der Name schonsagt – auf Layer 4 auf. Wie auch IPsec bietet TLS die Moglichkeit, die Schutzziele Ver-traulichkeit, Integritat und Authentizitat zu erreichen. Mit TLS konnen Anwendungsdatengeschutzt werden. Es liegt

”in der Mitte“ des OSI-Schichtenmodells. TLS durfte das heute

am weitesten verbreitete Sicherheitsprotokoll sein. In Abschnitt 5.2 wird auf TLS im Detaileingegangen.

3. Auf Anwendungsebene existieren eine Reihe von”spezialisierten“ Sicherheitsprotokollen, also

solchen Protokollen, die nur einen ganz bestimmten Anwendungsfall abdecken. Beispiele sinddie Secure Shell ssh fur den sicheren Zugriff auf einen entfernten Rechner, S/MIME zursicheren Ubertragung von Mails oder DNSSEC als sichere Variante des klassischen DNS-Protokolls.

5.1.3 Netz-basierte Angriffe

In diesem Abschnitt lernen Sie kurz wichtige Angriffe in oder unter Nutzung von Netzwerkenkennen. Der vermutlich bedeutendste Angriff im Internet zielt auf die Verfugbarkeit von IT-Ressourcen. Mittels eines Denial of Service Angriffs (DoS) wird beispielsweise die Erreichbarkeit

1Eine Liste dieser und anderen Ports konnen Sie unter http://www.iana.org/assignments/

service-names-port-numbers/ einsehen.

http://www.iana.org/assignments/service-names-port-numbers/

http://www.iana.org/assignments/service-names-port-numbers/

5.1. GRUNDLAGEN 87

Abbildung 5.3: Man-In-The-Middle Angriff

des Webservers eines Online-Shops eingeschrankt. Heute werden dazu typischerweise viele hun-dert oder tausend fremdgesteuerte Gerate genutzt, weshalb auch von einem Distributed Denial ofService Angriff (DDoS) gesprochen wird.

Ein verbreiteter Angriff im Netzwerk ist das Sniffing (vgl. Abschnitt 1.4.2). Darunter ist das un-autorisierte Mitlesen von Daten zu verstehen, z.B. weil der Angreifer Zugriff auf einen Netzknotenhat und dort alle Kommunikation spiegelt. Dabei verhalt sich der Angreifer passiv und verletzt dasSchutzziel Vertraulichkeit. Schutz gegen Sniffing bietet Verschlusselung (z.B. auf Layer 3 mittelsIPsec oder auf Layer 4 mittels TLS).

Spoofing bezeichnet das Vorgeben einer falschen Identitat und verletzt daher das SchutzzielAuthentizitat. Ein Beispiel ist das Vortauschen, ein Online-Banking-Server zu sein. Typische Pro-tokolle zur Vermeidung von Spoofing sind wiederum IPsec oder TLS. Anzumerken ist an dieserStelle aber, dass auch dezidierte Protokolle wie etwa DNSSEC existieren, die mittels PKI dieAuthentizitat von DNS-Servern gewahrleisten.

Ein Man-In-The-Middle-Angriff (manchmal auch Monkey-In-The-Middle-Angriff) ist eineMoglichkeit, einen Spoofing-Angriff durchzufuhren. Will Alice z.B. mit Bob kommunizieren, dannsetzt sich der Angreifer Oskar in die ’Mitte’ (siehe Abbildung 5.3). Gegenuber Alice tritt Oskarals Bob auf, gegenuber Bob hingegen als Alice. Weil ein Man-In-The-Middle-Angriff ein promi-nentes Beispiel fur einen Spoofing-Angriff2 ist, wird es ebenso wie Spoofing durch IPsec, TLS oderdezidierte Protokolle verhindert.

Unter dem Begriff Port-Scanning wird das Durchprobieren aller Ports auf einem Zielrechnerverstanden. Der Angreifer will damit herausfinden, unter welchen Ports auf dem gescannten IT-System ein Dienst erreichbar ist. Port-Scanning ist fur sich kein Angriff, es ist vielmehr vergleichbarmit einem ’Anklopfen’ an die Tur, ob jemand zu Hause ist. Angreifer setzen diese Scans jedochein um Angriffe vorzubereiten, weil z.B. unter einem bestimmten Port ein Dienst mit einer be-kannten Schwachstelle lauft. Jedoch wird Port-Scanning auch zu legitimen Einsatzen genutzt, umdie eigenen IT-Ressourcen auf unerwunscht offene Ports zu prufen. So konnte z.B. ein unautori-siert betriebener Webserver unter einem anderen Port als die Standardports 80 (HTTP) oder 443(HTTPS) gefunden und dann abgeschaltet werden.

Honeypots werden eingesetzt, um Netz-basierte Angriffe zu analysieren. Ein Honeypot ist einabsichtlich verwundbares System, das nur dem einen Zweck dient, angegriffen zu werden. DerBetreiber des Honeypots kann spater die Vorgehensweise des Angreifers analysieren. Hierbei wirdzwischen low-interactive sowie high-interactive Honeypots unterschieden. Erstere bieten nur Diens-te an (z.B. einen verwundbaren Webserver) und mussen vom Angreifer gefunden und infiltriertwerden. Letztere simulieren aktives Nutzerverhalten (z.B. Webbrowsing) und sollen z.B. durcheinen Drive-by-Exploit3 infiziert werden.

Bei der sicheren Datenubertragung werden die folgenden zwei Ansatze unterschieden:

1. Ende-zu-Ende-Sicherheit bedeutet, die gesamte Ubertragungsstrecke vom Endgerat des Sen-ders bis zum Endgerat des Empfangers bezuglich der vorher festgelegten Schutzziele abzu-sichern. Im Fall einer vertraulichen E-Mail bedeutet dies z.B., dass der Sender die Mail auf

2Der Angreifer gibt als Quell-IP-Adresse jeweils die Adresse von Alice bzw. Bob an.3Drive-By-Exploits bezeichnen die automatisierte Ausnutzung von Sicherheitslucken auf einem PC. Dabei wer-

den beim Betrachten einer Webseite ohne weitere Nutzerinteraktion Schwachstellen im Browser, in Browser-Pluginsoder im Betriebssystem ausgenutzt, um Schadsoftware unbemerkt auf dem PC zu installieren.


Abbildung 5.4: Unterschied zwischen End-to-End und Hop-by-Hop Sicherheit

seinem Gerat verschlusselt, die verschlusselte Mail bis zum Gerat des Empfangers ubertragenwird und der Empfanger die Mail erst dort entschlusselt.

2. Hop-by-Hop-Sicherheit bedeutet, die Schutzziele nur jeweils auf den einzelnen Teilstreckender Ubertragungsstrecke zu erreichen, namlich von einem Netzknoten zum nachsten. Im Falleiner vertraulichen E-Mail bedeutet dies, dass der Sender eine vertrauliche Verbindung zu sei-nem Mailserver aufbaut, die Mail selbst aber nicht auf seinem Gerat verschlusselt (abgesicher-ter Hop 1). Danach baut der Mailserver eine sichere Verbindung zu dem Empfangermailserverauf (Hop 2) und abschließend der Empfanger zu seinem Mailserver (Hop 3). Die Mail selbstliegt im Klartext auf jedem Zwischenknoten vor (als roter Briefumschlag dargestellt).

Hop-by-Hop-Sicherheit hat den wesentlichen Nachteil, dass die Datenstrukturen auf Zwischenk-noten ungeschutzt vorliegen. Zum Beispiel kann ein Angreifer, der auf den sendenden oder empfan-genden Mailserver Zugriff hat, die Mail im Klartext lesen. Daher sollte Ende-zu-Ende-Sicherheitbevorzugt werden.

Kontrollaufgabe 27 (Netzwerkgrundlagen). • Beschreiben Sie einen Spoofing-Angriff mit-tels des DNS-Protokolls.

• Erklaren Sie den Unterschied zwischen SHTTP und HTTPS.

• Erlautern Sie den Unterschied zwischen Hop-by-Hop und Ende-zu-Ende Sicherheit.

5.2 SSL/TLS

Im Jahr 1994 veroffentlichte Netscape die erste Version des Protokolls Secure Sockets Layer (SSL).Damals ging es spezifisch um den Aufbau sicherer HTTP-Verbindungen. Im Verlauf der Zeit

5.2. SSL/TLS 89

adaptierte die Internet Engineering Task Force (IETF) SSL als Internet Standard fur beliebigeProtokolle der Anwendungsschicht. Dieser Standard wird mittlerweile von der IETF als TransportLayer Security (TLS) aktiv weiterentwickelt. Da die Kernkonzepte von TLS und SSL identischsind, wird im Folgenden zur Erklarung der Grundlagen das modernere TLS beschrieben.

Mit TLS hat sich ein de facto Internetstandard fur die Absicherung von Protokollen der Anwen-dungsschicht etabliert. Die aktuelle Version ist 1.2, die als RFC 52464 von der IETF standardisiertist. TLS wird insbesondere fur HTTP-Verbindungen genutzt, da das Protokoll von gangigen Web-browsern unterstutzt wird. Dabei fugt TLS eine weitere Schicht zwischen die OSI-Schichten 4 und5 ein, wobei das Standard-TLS auf Layer 4 das TCP-Protokoll voraussetzt. Sofern eine HTTP-Verbindung mit SSL bzw. TLS abgesichert ist, wird von

”HTTP over TLS“ oder auch kurz HTTPS

gesprochen.

5.2.1 TLS Protokollstack

In Abbildung 5.5 sehen Sie, dass TLS aus mehreren Teilprotokollen besteht, die als TLS-Protokollstack bezeichnet werden. Insgesamt existieren funf TLS-Teilprotokolle, die auf zwei TLS-Schichten angesiedelt sind. Dabei sind vier TLS-Teilprotokolle auf der oberen TLS-Schicht sowiedas TLS Record Protocol auf der unteren Schicht.

Abbildung 5.5: Der TLS Protokollstack

Das TLS Record Protocol setzt auf TCP und damit auf Layer 4 des OSI-Schichtenmodells aufund ist das einzige TLS-Teilprotokoll auf der unteren TLS-Schicht, dem TLS-Layer1. Das TLSRecord Protocol stellt die operativen Dienste von TLS bereit: auf Senderseite nimmt es die Datender oberen Schicht entgegen, teilt sie in Datenstrukturen passender Große und wendet darauf dieausgehandelten Sicherheitsmaßnahmen wie Verschlusselung und Message Authentication Codesan. Das Ergebnis der Verarbeitung heißt TLS Record. Die TLS Records werden an die TCP-Schicht ubergeben.

Auf TLS-Layer2 gibt es insgesamt vier Protokolle, auf die wir in Abschnitt 5.2.3 noch genauereingehen:

1. Das TLS Handshake Protocol dient dem Verbindungsaufbau zwischen Client und Server. Au-ßerdem fuhrt dieses Protokoll die Authentifikation durch und handelt die kryptographischenVerfahren sowie Schlussel aus.

4http://www.ietf.org/rfc/rfc5246.txt

http://www.ietf.org/rfc/rfc5246.txt


2. Das TLS Change Cipher Spec Protocol signalisiert, auf die gerade im Rahmen des HandshakeProtocols ausgehandelten Sicherheitsparameter zu wechseln.

3. Das TLS Alert Protocol ist zustandig fur die Behandlung von Fehlern, insbesondere imRahmen des Handshakes.

4. Das TLS Application Data Protocol leitet die Daten zwischen Anwendungsschicht und TLS-Layer1 durch. Dies ist mittels der beiden Pfeile in Abbildung 5.5 visualisiert.

5.2.2 Sicherheitsparadigmen und CipherSuites

TLS soll je nach Wunsch der beiden Kommunikationspartner die Sicherheitsziele Vertraulichkeit,Instanzauthentizitat, Datenauthentizitat sowie Datenintegritat erreichen. Als potenzielle krypto-graphische Verfahren stehen daher symmetrische Verschlusselung (Vertraulichkeit), asymmetrischePublic Key Verfahren (Instanzauthentizitat) sowie MACs auf Basis von Hashfunktionen (Daten-authentizitat und -integritat) zur Verfugung. Dabei realisiert TLS zwei wichtige Sicherheitspara-digmen, die wir zunachst kurz vorstellen und dann erlautern:

1. Verwende einen kryptographischen Schlussel nur fur einen dezidierten Zweck.

2. Tausche moglichst wenig Informationen zu geheimen kryptographischen Schlusseln uber dasnicht vertrauenswurdige Internet aus.

Wie bereits erwahnt, wird bei einer TLS-Verbindung zur Erreichung der Sicherheitsziele Ver-traulichkeit bzw. Datenauthentizitat die symmetrische Verschlusselung bzw. MACs eingesetzt.Das erste Paradigma setzt TLS dadurch um, dass fur jedes unidirektionale Sicherheitsziel je einkryptographischer Schlussel genutzt wird. Konkret werden fur TLS mindestens vier symmetrischeSchlussel benotigt: zunachst zwei Schlussel fur den Client als Sender (zum Verschlusseln und furden MAC) und zwei weitere fur den Client als Empfanger (d.h. fur den Server als Sender). DieEmpfangerschlussel des Clients sind die Senderschlussels des Servers und umgekehrt. Tatsachlichbenutzt TLS oft je drei Senderschlussel pro Seite, insgesamt also sechs. Hintergrund ist, dass furbestimmte Verschlusselungsmodi ein Initialisierungsvektor benotigt wird.

Um das zweite Paradigma zu berucksichtigen, werden diese Schlussel aber nie uber ein unsi-cheres Medium ubermittelt. Stattdessen tauschen Alice und Bob via TLS nur eine einzige Daten-struktur aus: das Pre-Master-Secret (PMS). Das PMS ist eine Basisinformation zwischen Clientund Server, mit der die beteiligten Partner dann dezentral zunachst das gemeinsame Master Secret(MS) und daraus ihre symmetrischen Sender- bzw. Empfanger-Schlussel ableiten.

Die Informationen zu den gewunschten Kombinationen kryptographischer Verfahren aus ei-nem asymmetrischen Algorithmus zum Schlusselaustausch, der symmetrischen Verschlusselungund einer Hashfunktion wird bei TLS mittels einer CipherSuite dargestellt. Der Client schlagtbeim Verbindungsaufbau eine Reihe von CipherSuites vor, der Server wahlt daraus eine Cipher-Suite aus, die zur Absicherung der Client-Server-Verbindung genutzt wird. Nachfolgend werdenein paar Beispiele fur diese Kombinationen vorgestellt.

Die CipherSuites in SSL/TLS werden nach einem bestimmtem Muster angegeben. Dieses Mus-ter ist eine Zeichenkette, in der die jeweiligen Abkurzungen der unterschiedlichen Verfahren durchUnterstriche verbunden werden. Fur TLS startet die CipherSuite immer mit TLS. Das Muster lau-tet dann TLS_<KeyExchange>_WITH_<Cipher>_<Mac>, wobei die spitzen Klammern als Platzhalterfur Verfahren dienen. Die drei Bereiche bedeuten:

1. KeyExchange: Diese Bezeichnung aus dem TLS-Standard ist leider irrefuhrend, da zwei Auf-gaben mit diesem Feld beschrieben werden: das Verfahren zum Austausch des Pre-Master-Secrets (PMS) (d.h. fur den Schlusselaustausch) sowie das asymmetrische Verfahren zurInstanzauthentifikation. Je nach Verfahren ist dazu die Angabe eines oder zweier asymme-trischer Verfahren notwendig.

2. Cipher: Gibt das symmetrische Verschlusselungsverfahren zur Verschlusselung der TLS Re-cords an. Ist die Schlussellange nicht durch das Verfahren festgelegt, wird sie an dieser Stelle

5.2. SSL/TLS 91

noch angegeben. Sofern die Chiffre eine Blockchiffre ist, wird zusatzlich der Betriebsmodus(oft CBC, GCM) angegeben.

3. Mac: Gibt das Hashverfahren zur Berechnung des MACs zur Datenauthentizitat und -integritat der TLS Records an.

In Beispiel 23 werden einige konkrete CipherSuites aus TLS 1.2 vorgestellt.

Beispiel 23 (CipherSuites von TLS 1.2 gemaß RFC 5246). In der folgenden Tabelle finden Sieeinige standardisierte CipherSuites aus dem Standard TLS 1.2. Eine komplette Liste der standar-disierten CipherSuites konnen Sie RFC 52465 entnehmen.

------------------------------------------------------------------------

Cipher Suite Key Cipher Mac

Exchange

TLS_NULL_WITH_NULL_NULL NULL NULL NULL

TLS_RSA_WITH_RC4_128_MD5 RSA RC4_128 MD5

TLS_RSA_WITH_RC4_128_SHA RSA RC4_128 SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA RSA 3DES_EDE_CBC SHA

TLS_RSA_WITH_AES_128_CBC_SHA RSA AES_128_CBC SHA

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 DHE_RSA AES_128_CBC SHA256

------------------------------------------------------------------------

Das erste Beispiel nutzt keine Sicherheitsmechanismen: weder Client noch Server authentisie-ren sich, es wird weder eine symmetrische Chiffre noch ein MAC genutzt.

Beim zweiten Beispiel steht RSA fur den Schlusselaustausch und die Instanzauthentifikation.Der Schlusselaustausch geschieht wie folgt: Der Client wahlt das PMS und verschlusselt diesesmit dem offentlichen RSA Schlussel des Servers. Anschließend wird dieser Chiffretext an denServer geschickt. Die Authentifikation des Servers geschieht implizit durch Nachweis der Kenntnisdes PMS. Als symmetrische Chiffre wird die Stromchiffre RC4 mit einer Schlussellange 128 Bitverwendet, der MAC verwendet MD5 als Hashfunktion.

In der letzten CipherSuite dient das Diffie-Hellman-Verfahren zum Austausch des PMS. DHEsteht dabei fur Diffie-Hellman-Ephemeral: Client und Server nutzen jeweils einen einmaligenoffentlichen Diffie-Hellman-Schlussel. Das RSA-Verfahren dient zur Instanzauthentifikation desServers. Als symmetrische Chiffre wird AES mit einer Schlussellange 128 Bit im CBC-Modusverwendet, der MAC verwendet SHA256 als Hashfunktion. Diese Chiffre ist – eine hinreichendeSchlussellange fur RSA und das Diffie-Hellman-Verfahren vorausgesetzt – als sehr sicher einzu-stufen.

5.2.3 Funktionsweise

Dieser Abschnitt beschreibt die Funktionsweise von TLS im Detail. Dabei ist vor allem wichtigzu wissen, welche Aufgaben die einzelnen Protokolle des TLS-Protokollstacks ubernehmen. Diesewurden bereits kurz in Abschnitt 5.2.1 erwahnt. Zunachst aber sollen die in TLS verwendetenSchlussel beschrieben werden.

Kryptographische Schlussel, Pre-Master-Secret, Master-Secret In Abschnitt 5.2.2 wur-de bereits erlautert, dass TLS sechs symmetrische Schlussel verwendet und diese dezentral be-rechnet. Client und Server tauschen nur das Pre-Master-Secret als geheime Information uber dasunsichere Internet aus.

Dient RSA zum Schlusselaustausch, so bestimmt der Client alleine das Pre-Master-Secret(PMS). Es ist in diesem Fall eine 48-Byte lange Datenstruktur: 46-Byte stammen von einer Zufalls-zahl, die verbleibenden zwei Byte sind die TLS-Versionsnummer. Der Client ubermittelt das PMS

5Der RFC ist https://www.ietf.org/rfc/rfc5246.txt abrufbar. Ab Seite 82 ist eine Liste der in TLS1.2standardisierten Cipher Suites.

https://www.ietf.org/rfc/rfc5246.txt


an den Server, indem er es mit dem offentlichen RSA Schlussel des Servers verschlusselt. Daraufhinkann nur der Server daraus das PMS mit seinem zugehorigen privaten Schlussel berechnen. Im Fallvon Diffie-Hellman als Schlusselaustauschverfahren erzeugen beide Seiten zunachst ein einmaligesDiffie-Hellman-Schlusselpaar, aus dem nach dem klassischen Diffie-Hellman-Verfahren das PMSabgeleitet wird. Beide Seiten kennen also das PMS, obwohl dieses nie im Klartext ubermitteltwurde.

Aus dem Pre-Master-Secret berechnen der Client und der Server dezentral mit Hilfe von Has-hfunktionen das 48-Byte lange Master-Secret (MS). Neben dem Pre-Master-Secret gehen nochPseudozufallswerte von Client und Server sowie aktuelle Zeitstempel in das Master-Secret ein.Aus dem MS berechnen beide Kommunikationspartner abschließend die sechs kryptographischenSchlussel:

• Ein symmetrischer Schlussel KC fur die Verschlusselung der Daten, die der Client an denServer sendet. In der TLS-Notation wird dieser mit client_write_key bezeichnet.

• Ein symmetrischer Schlussel KS fur die Verschlusselung der Daten vom Server. TLS bezeich-net diesen Schlussel als server_write_key.

• Ein symmetrischer MAC-Schlussel KMAC−C zur Integritatssicherung der TLS-Records, dieder Client an den Server schickt. TLS nennt diesen Schlussel client_write_MAC_key.

• Ein symmetrischer MAC-Schlussel KMAC−S zur Integritatssicherung der Daten, dieder Client vom Server empfangt. Die TLS-Notation bezeichnet diesen Schlussel alsserver_write_MAC_key.

• Im Falle einer symmetrischen Blockchiffre existieren noch die beiden Initialisierungsvektorenclient_write_IV sowie server_write_IV.

Bitte erinnern Sie sich, dass aus Sicherheitsgrunden immer nur ein Schlussel fur eine Operationbenutzt wird und niemals ein Schlussel fur mehrere Operationen, da ansonsten die Gefahr besteht,aus den verschlusselten Daten auf den geheimen, symmetrischen Schlussel Ruckschlusse zu ziehen.

TLS-Layer1 Auf TLS-Layer1 gibt es nur das TLS Record Protocol. Eine Ubersicht zu diesemProtokoll finden Sie in Abbildung 5.6. Zu den Aufgaben des Record Protocols gehort zunachst dieFragmentierung der Daten des TLS-Layer2 in Fragmente m1, m2 usw. Ein Fragment ist hochstens214 Byte groß, also 16 KiB.

Jedes Fragment erhalt einen Header1, aus dem das TLS-Layer2-Protokoll sowie die TLS-Version hervorgehen. Dieses Fragment samt Header wird komprimiert, sofern das im TLS-Handshake festgelegt wurde. Oft wird keine Komprimierung eingesetzt. Das komprimierte Frag-ment erhalt einen neuen Header2 mit den gleichen Informationen wie Header1. Anschließend wirdder MAC uber Header2 und komprimiertes Fragment berechnet, danach wird das gesamte Frag-ment samt Header2 verschlusselt.

TLS-Layer2 Auf TLS-Layer2 sind vier Protokolle vorzufinden, die schon in Abschnitt 5.2.1 kurzerlautert wurden. In diesem Abschnitt werden nun weitere Details beschrieben, insbesondere zumTLS-Handshake.

Das TLS Application Data Protocol hat eine einfache Aufgabe, namlich die Durchleitung derDaten zwischen Anwendungsschicht und TLS-Layer1. Das ist in Abbildung 5.5 durch die bei-den Pfeile dargestellt. Das Application Data Protocol stellt also die operative Schnittstelle zurAbsicherung der Anwendungsschicht dar.

Die ubrigen drei Protokolle auf TLS-Layer2 heißen TLS Handshaking Protokolle. Diese sind imRahmen des TLS Handshakes relevant und sie haben keine Schnittstelle zur Anwendungsschicht.Bitte beachten Sie, dass das TLS Handshake Protocol eines der drei TLS Handshaking Proto-kolle ist und dass Sie die beiden Begrifflichkeiten nicht verwechseln. Im Folgenden werden dieseProtokolle kurz vorgestellt:

5.2. SSL/TLS 93

Abbildung 5.6: Das TLS Record Protocol

• TLS Handshake Protocol: Dieses Protokoll dient dem Verbindungsaufbau zwischen Cli-ent und Server. Im Rahmen des TLS Handshakes findet die Authentifikation des oder derKommunikationspartner, das Aushandeln der zu verwendenden kryptographischen Verfahrenund der Austausch benotigter geheimer Informationen statt. Dabei sind fur die Authenti-fikation drei Moglichkeiten vorhanden: keine Authentifikation, nur der Server authentisiertsich oder beide authentisieren sich. Eine vierte Moglichkeit, dass sich ein Client an einemnicht-authentisierten Server authentisiert, ist nicht zugelassen. Wenn der TLS Handshake ab-geschlossen ist, liegen die kryptographischen Verfahren fest und beide Seiten haben Zugriffauf alle sechs Sitzungsschlussel.

• TLS Change Cipher Spec Protocol: Das Change Cipher Spec Protocol umfasst ledig-lich eine Nachricht bestehend aus dem Klartext-Byte 0x01. Sie wird im Rahmen des TLSHandshakes gesendet. Mit dieser Nachricht signalisiert der Sender, dass er fur die folgendenTLS-Records auf die gerade festgelegten Verfahren und Schlussel umsteigt.

• TLS Alert Protocol: Mit diesem Protokoll werden TLS-spezifische Warnungen an denKommunikationspartner ubermittelt. Eine Alert-Nachricht besteht aus zwei Bytes. Mit demersten Byte wird die Schwere der Warnmeldung angezeigt. Wird ein fataler Zustand si-gnalisiert, fuhrt das zum sofortigen Abbruch der Verbindung. Ebenso werden keine neuenVerbindungen fur diese Sitzung mehr eroffnet. Das zweite Byte kodiert Hinweise zum Fehler,z.B. dass ein Zertifikat bereits abgelaufen oder zuruckgerufen ist.

TLS-Handshake Der Aufbau einer durch TLS gesicherten Verbindung wird auch als TLS-Handshake bezeichnet. Die wesentlichen Ziele des TLS Handshakes sind:

1. Festlegung der verwendeten kryptographischen Verfahren fur die Absicherung der TLS-Records.

2. Festlegung der Komprimierung bzw. ob uberhaupt komprimiert wird.

3. Festlegung, wer sich authentisiert sowie Durchfuhrung der Authentifikation durch den Kom-munikationspartner. In den meisten Fallen authentisiert sich nur der Server mittels TLS, es


ist allerdings auch zugelassen, dass sich keiner oder beide Seiten authentisieren. Lediglichdie Authentisierung eines Clients an einem nicht-authentifzierten Server ist verboten.

Denken Sie exemplarisch an einen TLS-Handshake, bei dem ein Nutzer mit seinem Browserauf einen TLS-gesicherten Webserver zugreifen will. Meist authentisiert sich nur der Servergegenuber dem Client mittels TLS, wahrend der Nutzer Passwort-basiert authentifiziertwird.

Der gesamte TLS-Handshake wird in Abbildung 5.7 gezeigt. Im nachstehenden Abschnitt wer-den die einzelnen Schritte diskutiert.

Client Server

ClientHello -------->

ServerHello

Certificate*

ServerKeyExchange*

CertificateRequest*

<-------- ServerHelloDone

Certificate*

ClientKeyExchange

CertificateVerify*

[ChangeCipherSpec]

Finished -------->

[ChangeCipherSpec]

<-------- Finished

Application Data <-------> Application Data

* Indicates optional or situation-dependent messages that are not

always sent.

Note: To help avoid pipeline stalls, ChangeCipherSpec is an

independent TLS protocol content type, and is not actually a TLS

handshake message.

Abbildung 5.7: Der TLS-Handshake gemaß RFC 5246.

Zunachst signalisiert der Client dem Server, dass er mit ihm eine TLS-Sitzung aufbauen mochte.Dazu sendet der Client eine ClientHello-Nachricht. Darin teilt der Client die von ihm unterstutztenCipherSuites mit. Außerdem werden zur Vermeidung von Replay-Angriffen eine ID sowie eine vomClient gewahlte Zufallszahl RND1 an den Server gesendet.

Der Server antwortet mit einer ServerHello-Nachricht. Darin teilt der Server die von ihm festge-legte CipherSuite fur diese Sitzung mit. Außerdem wird die Client-ID sowie seine Zufallszahl RND2zuruckgeschickt. Anzumerken ist, dass der Client lediglich eine Liste der von ihm unterstutztenVerfahren sendet und der Server uber das Verfahren entscheidet.

Soll der Server authentifiziert werden, sendet dieser anschließend mit der Certificate-Nachricht die Zertifikatskette, die mit seinem eigenen Zertifikat beginnt. Durch Angabe geeig-neter CipherSuites zeigt der Client, dass sich der Server mittels TLS authentisieren soll (z.B.TLS_DHE_RSA_WITH...). Soll der Server sich nicht authentisieren, unterbleibt die Certificate-Nachricht. Daher ist sie in Abbildung 5.7 als optional markiert. Des Weiteren wird vom Serverje nach festgelegter CipherSuite eine ServerKeyExchange-Nachricht gesendet, beispielsweise wennDiffie-Hellman als Schlusselaustauschmethode verwendet wird. Im Fall einer CipherSuite der FormTLS_RSA_WITH... sendet der Server diese Nachricht nicht, da der Client das Pre-Master-Secretwahlt und RSA-verschlusselt an den Server schickt (siehe Beispiel 23).

5.2. SSL/TLS 95

Optional verlangt der Server eine TLS-Client-Authentifikation: dazu sendet er eine Cerfica-teRequest-Nachricht. Zum Abschluss sendet der Server eine ServerHelloDone-Nachricht, um demClient zu signalisieren, dass der Server auf die Client-seitigen Nachrichten wartet.

Sofern der Server eine TLS-Client-Authentisierung wunscht, sendet der Client mittels einerCertificate-Nachricht seine Zertifikatskette an den Server. Andernfalls entfallt diese Nachricht. Injedem Fall sendet der Client eine ClientKeyExchange-Nachricht. Im Fall von Diffie-Hellman alsSchlusselaustauschverfahren sendet der Client seinen DH-Public-Key an den Server, im Fall vonRSA wahlt er das PMS, verschlusselt dieses mit dem offentlichen RSA Schlussel des Servers undsendet es als ClientKeyExchange-Nachricht. Im Falle einer TLS-Client-Authentisierung signiertder Client mit dem zu seinem Zertifikat gehorenden privaten Schlussel alle bisherigen Handshake-Nachrichten. Er sendet diese Signatur als CertificateVerify-Nachricht zum Server.

Der letzte Schritt des Clients beginnt mit der ChangeCipherSpec-Nachricht, die angibt, dass derClient fortan seine gesendeten Nachrichten mit den ausgehandelten kryptographischen Verfahrenund Schlusseln absichert. Direkt darauffolgend wird eine Finished-Nachricht gesendet, die einenHashwert enthalt, der uber alle empfangenen und gesendeten Nachrichten gebildet wird und mitden neuen Sicherheitseinstellungen abgesichert wird. Dadurch zeigt der Client, dass er das PMSkennt.

Der TLS-Handshake wird dadurch abgeschlossen, dass auch der Server den Umstieg der von ihmgesendeten TLS-Records auf die neuen Sicherheitseinstellungen mittels einer ChangeCipherSpec-Nachricht signalisiert. Danach weist der Server durch eine gultig abgesicherte Finished-Nachrichtnach, dass auch er das PMS kennt, weil er die daraus abgeleiteten Schlussel nutzt. Ab diesenZeitpunkt werden alle Informationen mit den neuen Sicherheitseinstellungen abgesichert: das TLSApplication Data Protocol wird genutzt, um Daten zwischen TLS Layer1 und der Anwendungs-schicht auszutauschen.

5.2.4 Sicherheit von TLS

Eine Sicherheitsbetrachtung des TLS-Verfahrens schließt die Betrachtung von TLS ab. Eine wich-tige Beobachtung ist, dass TLS selbst als sicher zu betrachten ist. Allerdings wird in der Praxisoft der Mensch zu einer Fehlhandlung ’motiviert’ (Social Engineering) oder eine Implementierungstellt sich als fehlerhaft heraus.

Ein erster wichtiger Punkt zur Sicherheit von TLS ist die Art der Authentifikation. Zunachstbestimmt allein der Server die CipherSuite und damit das Authentifikationsverfahren. Der Clientmuss also seine Vorschlagsliste auf CipherSuites beschranken, die er fur sicher halt. Weiterhin istdie Prufung der Zertifikatskette des Public Key des Servers sicherheitskritisch; diese ubermitteltder Server mit seiner Certificate-Nachricht. Die Zertifikatskette muss aus vertrauenswurdigen Zer-tifikaten bestehen, insbesondere mit einem solchen enden. Andernfalls sind Phishing-Angriffe auchuber eine HTTPS-Verbindung moglich.

Die ubertragenen Daten werden nicht signiert, TLS erzielt also keine Verbindlichkeit von Ak-tionen. Das ist meist nicht weiter wichtig. Relevanter ist, dass TLS keine Maßnahmen zur Abwehrvon Verkehrsflussanalysen bereitstellt, da nur die Nutzdaten in den TCP/IP-Paketen verschlusseltwerden. Das Sicherheitsziel Pseudonymitat oder gar Anonymitat ist außerhalb des Fokus von TLS.

Die Sicherheit des Protokolls hangt auch von den verwendeten kryptografischen Verfahren ab,die die Kommunikationspartner im Handshake miteinander abstimmen. Falls ein Angreifer dafursorgen kann, dass die Kommunikationspartner schwache Verschlusselungsverfahren oder schwa-che Schlussel aushandeln, konnte er anschließend versuchen, den verwendeten Kommunikations-schlussel zu brechen.

Eine wichtige Eigenschaft in diesem Kontext ist Forward Secrecy. Das bedeutet, dass ein inder Vergangenheit ausgetauschtes PMS weiterhin sicher bleibt, selbst wenn ein Private Key (ty-pischerweise der des TLS-Servers) heute kompromittiert wird und die alte TLS-Kommunikationgespeichert wurde. Die CipherSuite TLS_RSA_WITH_... gewahrleistet kein Forward Secrecy, weildas PMS mit dem kompromittierten RSA-Private Key berechnet werden kann. Daher verwendenheutige TLS-Verbindungen CipherSuites der Form TLS_DHE_RSA_WITH_..., da die Diffie-Hellman-Schlussel genau einmal verwendet werden. Eine Kompromittierung der DH-Schlussel betrifft also


nur die aktuelle Verbindung.Des Ofteren lesen Sie uber Angriffe, die SSL/TLS ’gebrochen’ haben sollen. Meist wird nicht

das TLS-Konzept selber kompromittiert, sondern der Angreifer hat spezielle Voraussetzungen aufdem Zielrechner oder der Angriff betrifft eine bestimmte Implementierung. Beispiele sind BEAST(hier muss der Angreifer Zugriff auf ein Java Applet haben), CRIME (hier muss Komprimierungeingesetzt werden), Heartbleed (siehe unten) oder der Poodle-Angriff.

Letzteren Angriff wird genauer beschrieben. Poodle zielt auf die Ruckwartskompatibilitat vonTLS ab. Bei diesem Angriff wird veranlasst, dass sich Server und Client auf das nun veraltete SSLv3Protokoll anstelle von TLS einigen. Dazu muss der Angreifer allerdings als Man-In-The-Middlefungieren. Sofern einer der beiden Kommunikationspartner SSLv3 ablehnt, ist der Angriff nichtmoglich. Eine weitere Hurde fur den Angreifer besteht darin, dass er diesen Code auf dem Geratdes Opfers ausfuhren konnen muss. Das wird beispielsweise durch das Einbauen des Codes in eineunverschlusselte Web-Seite erreicht, die der Anwender gerade offnet. Durch eine wohlbekanntePadding-Attacke auf den CBC-Mode kann der Angreifer einzelne Bytes der SSLv3-Verbindungerfahren. Der Angreifer kann somit nicht die ganze SSLv3-Verbindung dechiffrieren, sondern Byte-weise ausgewahlte Teile davon [? ].

Der Heartbleed-Angriff nutzt eine Schwachstelle in der Heartbeat-Erweiterung der verbreitetenTLS-Implementierung openssl aus. Uber eine Heartbeat-Anfrage kann der Client den Serverfragen, ob dieser noch verfugbar ist. Dazu wird eine Nachricht gesendet, die der Server wiederholensoll (echo-Nachricht). Die Schwachstelle besteht darin, dass der Client mehr Zeichen vom Serverzuruckfordert als er sendet. In diesem Fall liest der Server zum Auffullen seiner echo-Antwortbenachbarte Inhalte seines Hauptspeichers aus und sendet diese an den Client. In dem betroffenenRAM-Bereich des Servers konnen aber sensible Daten (z.B. private Schlussel) gespeichert werden,weil die Speicherseiten zum openssl-Prozess gehoren.

Kontrollaufgabe 28 (TLS). 1. Erlautern Sie, was unter ’Forward Secrecy’ zu verstehen ist.

2. Welche TLS Handshaking Protokolle gibt es?

3. Wozu dient die Finished-Nachricht?

4. Welche Aufgabe hat das TLS Change Cipher Spec Protocol?

5. Erlautern Sie fur die folgenden CipherSuites jeweils, welche kryptographischen Verfahrenzum Austausch des PMS, zur Instanzauthentifikation sowie zur Datenvertraulichkeit bzw.-integritat genutzt werden. Bewerten Sie auch kurz die Verfahren.

(a) TLS_RSA_WITH_3DES_EDE_CBC_SHA aus Beispiel 23.

(b) TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

(c) Wie funktioniert die Verhandlung bzgl. einer Ciphersuite zwischen den beiden Kommu-nikationspartnern? Worin sehen Sie bei dieser Verhandlung Probleme?

Kapitel 6

IT-Forensik

6.1 Einfuhrung

In den letzten Jahren hat die Verbreitung und der Gebrauch von elektronischen Geraten drastischzugenommen. Traditionelle Informationstrager wie Bucher, Fotos, Briefe und Schallplatten wurdendurch E-Books, digitale Fotografie, E-Mails und MP3s ersetzt. Dieser Wandel geht einher mit derwachsenden Speicherkapazitat von heutigen Datentragern, die von ein paar Megabyte auf mehrereTerabyte anwuchsen. Somit konnen Anwender ihre kompletten Informationen auf einer einfachenFestplatte speichern anstelle einer analogen Ablage in Hunderten Kartons auf dem Dachboden.Auch wenn der physikalisch eingenommene Platz sich um ein Vielfaches verringert, so bleibt die In-formationsmenge zumindest dieselbe. Oftmals ubersteigt sie diese aber signifikant. Zur Sicherung,Selektion, Analyse und Auswertung dieser enormen Datenmenge bedarf es geschulten Personals –eines IT-Forensikers.

Bei der IT-Forensik geht es darum, strafbare bzw. anderweitig rechtswidrige oder sozialschadli-che Handlungen nachzuweisen und aufzuklaren, indem digitale Spuren gerichtsverwertbar gesichertund ausgewertet werden1. Die Ziele einer solchen Ermittlung sind nach einem Systemeinbruch odereinem anderen Sicherheitsvorfall in der Regel

• die Identifikation der Methode oder der Schwachstelle, die zum Systemeinbruch gefuhrt ha-ben konnte,

• die Ermittlung des entstandenen Schadens,

• die Identifizierung der Tater/Angreifer und

• die Sicherung der Spuren fur weitere juristische Aktionen.

Die wachsende Bedeutung der IT-Forensik spiegelt sich auch in einem immer breiteren An-gebot an Arbeitgebern wider. Typische Arbeitsplatze eines IT-Forensikers sind neben Strafver-folgungsbehorden wie dem Bundeskriminalamt (BKA), den Landeskriminalamtern (LKA) undPolizeiprasidien auch immer mehr spezialisierte IT-Forensikunternehmen. Weiterhin unterhaltendie großen Wirtschaftsprufungsgesellschaften wie Ernst&Young, Deloitte, PricewaterhouseCoopersoder KPMG eigene IT-Forensik-Abteilungen, die typischerweise bei Wirtschaftskriminalitat zumEinsatz kommen. Insbesondere Alexander Geschonneck von KPMG gilt als einer der Pioniere derIT-Forensik im deutschsprachigen Raum. Schließlich arbeiten IT-Forensiker auch als unabhangigeSachverstandige.

Mit seinem Standardwerk Computer Forensik hat Geschonneck das Standardwerk in deut-scher Sprache zur IT-Forensik veroffentlicht. Weitere wichtige Literatur zu dem allgemeinen The-ma IT-Forensik stammt von Eoghan Casey. Das Standardwerk zur Analyse von Dateisystemenhat Brian Carriergeschrieben, der auch Autor des verbreiteten IT-Forensik Toolkits TSK (The

1https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m06/m06126.html

97

https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m06/m06126.html

98 KAPITEL 6. IT-FORENSIK

SleuthKit)2 ist. Weiterfuhrende Literatur ist auch uber Studienmaterialien des Weiterbildungs-projekts OpenC3S (Open Competence Center for Cyber Security)3 verfugbar, in dessen Rahmendie Hochschule Darmstadt unter Anderem Module zu dem Thema IT-Forensik entwickelt. Schließ-lich weisen wir noch hin auf das Wahlpflichtmodul Einfuhrung in die digitale Forensik, das imRahmen des Bachelorprogramms an der Hochschule Darmstadt belegt werden kann.

In diesem Kapitel starten wir zunachst in Abschnitt 6.2 mit den Grundlagen der IT-Forensik– wir erklaren zentrale Begriffe der Forensik sowie der Teildisziplin IT-Forensik. Danach gehenwir in Abschnitt 6.3 auf grundlegende Prinzipien sowie Vorgehensmodelle der IT-Forensik ein.In Abschnitt 6.4 stellen wir unterschiedliche Abstraktionsebenen analysefahiger Datenstrukturenvor.

6.2 Grundlagen und Begriffsklarung

In diesem Abschnitt fuhren wir zunachst den allgemeinen Begriff der Forensik ein und diskutierenzentrale Begriffe (z.B. Spur, Beweis) und Prinzipien (z.B. das Locardsche Austauschprinzip) derForensik. Zum Abschluss gehen wir dann auf das Teilgebiet IT-Forensik ein.

Die deutschsprachige Seite der Online-Enzyklopadie Wikipedia beschreibt den allgemeinenBegriff Forensik als ’... wissenschaftliche und technische Arbeitsgebiete, in denen z.B. kriminelleHandlungen systematisch untersucht werden.’4 Ursprunglich stammt der Begriff vom lateinischenWort ‘forum’ (Marktplatz) ab, da Gerichtsverfahren, Untersuchungen, Urteilsverkundungen sowieder Strafvollzug im antiken Rom offentlich und meist auf dem Marktplatz durchgefuhrt wurden.Im Unterschied zu fruheren Wikipedia-Beschreibungen werden kriminelle Handlungen nur beispiel-haft erwahnt. Fruher waren sie stets als Ausgangspunkt einer forensischen Untersuchung genanntworden.

Die englischsprachige Seite von Wikipedia verwendet folgende Beschreibung: ’Forensic scienceis the application of science to criminal and civil laws.’5 Im Marz 2014 stand dort noch: ’Forensicscience is the scientific method of gathering and examining information about the past.’ DieseBegriffsklarung ist jeweils allgemeiner, sie fuhrt den Begriff der forensischen Wissenschaft aufden etablierten Begriff der wissenschaftlichen Methodik zur Untersuchung von Begebenheiten derVergangenheit zuruck. Das trifft auch unser Verstandnis der Forensik.

Letztlich geht es bei einer forensischen Untersuchung stets darum, in die Vergangenheit zu bli-cken, um eine Frage des Rechts zu beantworten. Zur Beantwortung werden dann erprobte wissen-schaftliche Methoden unterschiedlicher Fachdisziplinen herangezogen, so dass der Begriff Forensikviele Teilgebiete umfasst. Einige Beispiele sind:

• Forensische Medizin / Rechtsmedizin: im Zusammenhang mit einer vermuteten nicht-naturli-chen Todesursache eines Menschen ist eine typische Fragestellung, wann und warum der Todder Person eingetreten ist. Dazu fuhrt der Rechtsmediziner im Auftrag eines Rechtsorgans(z.B. Staatsanwaltschaft, Gericht) eine Autopsie (Leichenschau) durch. Durch den Zeitpunktdes Todes konnen dann weitere Fragen gestellt werden, z.B. ob eine verdachtige Person zudiesem Zeitpunkt ein Alibi vorweisen kann oder nicht.

• Forensische Toxikologie: als interdisziplinares Gebiet zwischen Pharmakologie, Medizin, Che-mie und Biologie fuhrt der Rechtsmediziner oft auch toxikologische Untersuchungen durch.Eine mogliche Fragestellung ist, ob ein unnaturlicher Tod durch eine Vergiftung herbeigefuhrtwurde und falls ja, durch welche Stoffe. Eine andere typische Frage beschaftigt sich mit derSchuldfahigkeit eines Beschuldigten, z.B. ob dieser auf Grund von Drogenmissbrauchs zueinem bestimmten Zeitpunkt uberhaupt bewusst handlungsfahig war.

• Ballistik: im Zusammenhang mit forensischen Fragestellungen bezeichnet die Ballistik dieUntersuchung von Geschossen. Eine typische Aufgabe der Ballistik ist die Beantwortung der

2www.sleuthkit.org3openc3s-project.de4de.wikipedia.org, abgerufen am 06.12.20155en.wikipedia.org, abgerufen am 06.12.2015

www.sleuthkit.org

openc3s-project.de

de.wikipedia.org

en.wikipedia.org

6.2. GRUNDLAGEN UND BEGRIFFSKLARUNG 99

Frage, ob ein an einem Tatort gefundenes Geschoss zu einer Waffe passt. Dadurch kann derErmittler dann die Zuordnung zu einer bestimmten Person (etwa dem Eigentumer der Waffe)oder zu anderen Verbrechen vornehmen, die mit der gleichen Waffe begangen wurden. DieBallistik ist eine klassische Aufgabe der Kriminalistik und wird oft von Kriminaltechnikerninnerhalb einer Strafverfolgungsbehorde durchgefuhrt.

Die Ziele einer forensischen Untersuchung sind das Identifizieren, Sicherstellen, Selektierenund Analysieren von Spuren, die im weiteren Verlauf der Ermittlungen zu Indizien und Bewei-sen werden konnen (siehe unten). Dabei soll der Forensiker so wenig wie moglich in den Unter-suchungsgegenstand eingreifen. Grundsatzlich gilt das Paradigma der Integritat von Spuren. ImBereich der IT-Forensik bedeutet das beispielsweise bei der Untersuchung einer Festplatte, dassdiese unverandert bleiben muss. In einigen Bereichen der IT-Forensik ist es aber nicht moglich, denUntersuchungsgegenstand nicht zu verandern, z.B. im Bereich der Smartphones oder Netzwerkfo-rensik. Dann gilt es, minimalinvasiv in das System einzugreifen und jeden Untersuchungsschrittzu dokumentieren.

Uberhaupt ist Dokumentation eine der wichtigsten Tatigkeiten eines Forensikers, um gegenuberDritten jeden Schritt von der Datenakquise bis zum Analyseergebnis nachzuweisen. Dies wird durchden Begriff Chain of Custody beschrieben: es muss luckenlos dokumentiert sein, wer wann was miteinem Beweismittel gemacht hat.

Ausgangspunkt einer forensischen Untersuchung ist eine Spur. Dieser Begriff ist auch gebrauch-lich in anderem Zusammenhang, z.B. bei Tieren. Nimmt ein Hund eine Spur auf, so meint mandamit, dass er eine Fahrte gefunden hat, um etwa ein anderes Tier zu verfolgen. Ahnlich ist dieBedeutung in der Forensik. Fur unsere Zwecke bedeutet Spur, dass wir ein hinterlassenes Zeichengefunden haben, das Ausgangspunkt fur eine Untersuchung ist (z.B. ein Blutfleck an einem Tat-ort, eine Fußspur in einem Blumenbeet oder eine Bilddatei auf einem Computer). Eine Spur imkriminalistischen Sinne sind also Gegenstande oder Hinweise im Rahmen einer Untersuchung, dieeine Theorie uber einen Vorgang bestatigen oder widerlegen konnen. Spuren unterteilt man in ma-terielle (z.B. Fingerabdrucke, Schuhabdruck, Haar) oder immaterielle Spuren (z.B. menschlichesVerhalten).

Wahrend bei einer Spur noch unklar ist, inwiefern eine Frage des Rechts damit beantwortetwerden kann oder nicht, so versteht man unter einem Indiz einen Hinweis, der mit anderen Indi-zien zusammen auf das Vorliegen eines Sachverhalts schließen lasst. Der starkste Begriff in diesemZusammenhang ist der eines Beweises, denn ein Beweis bezeichnet die Feststellung eines Sach-verhalts als Tatsache in einem Gerichtsverfahren aufgrund richterlicher Uberzeugung. Damit wirdzumindest juristisch die Wahrheit ermittelt.

Schon 1920 beschrieb der franzosische Kriminologe und Forensiker Edmond Locard das Locard-sche Austauschprinzip, wonach es immer zu einem Austausch zwischen Tater, Opfer und Tatortkommt, d.h. sowohl Tater als auch Opfer bringen etwas zum Tatort hin, nehmen etwas mit undtauschen untereinander Spuren aus. Dieses axiomatische Prinzip besagt damit, dass es das perfekteVerbrechen nicht gibt, sondern dass die Aufklarung am Nichtentdecken von Spuren scheitert.

Eine beruhmte Beschreibung des Locardschen Austauschprinzips weist noch einmal ausdruck-lich darauf hin, dass es immer Spuren zur Aufklarung eines Sachverhalts gibt:

Wherever he steps, whatever he touches, whatever he leaves, even unconsciously,will serve as a silent witness against him. Not only his fingerprints or his footprints,but his hair, the fibers from his clothes, the glass he breaks, the tool mark he leaves, thepaint he scratches, the blood or semen he deposits or collects. All of these and more,bear mute witness against him. This is evidence that does not forget. It is not confusedby the excitement of the moment. It is not absent because human witnesses are. It isfactual evidence. Physical evidence cannot be wrong, it cannot perjure itself, it cannotbe wholly absent. Only human failure to find it, study and understand it, can diminishits value.

Wir schließen diesen Abschnitt mit dem uns interessierenden Teilgebiet IT-Forensik. DieseDisziplin hat sich innerhalb der Informatik entwickelt. Sie beantwortet Fragen des Rechts, wenn


IT-Systeme Ziel oder Tatmittel in einer forensischen Untersuchung sind. Ein IT-System kann dabeiein Computer eines Endanwenders sein (z.B. um die Frage zu beantworten, ob auf dem Computerkinderpornographische Schriften gespeichert oder gar verbreitet wurden), ein Server (z.B. weildieser kompromittiert wurde, um Malware auszuliefern) oder ein Smartphone (z.B. um Kontakteeines Beschuldigten zu extrahieren oder ein Bewegungsprofil von diesem zu erstellen). Wahrendvor einigen Jahren noch der Begriff ’Computerforensik’ als Standardbegriff verwendet wurde, soist dieser auf Grund der wachsenden Bedeutung von mobilen Geraten wie Smartphones oderTablets zu speziell. Daher bevorzugen wir den allgemeineren Terminus ’IT-Forensik’. Synonym zuIT-Forensik verwenden wir auch den Begriff ’digitale Forensik’.

6.3 Prinzipien und Vorgehensmodelle

In diesem Abschnitt stellen wir zunachst Prinzipien der Forensik vor, die auch fur die IT-Forensikgelten. Danach stellen wir das Vorgehensmodell des Bundesamtes fur Sicherheit in der Informati-onstechnik zur Durchfuhrung einer IT-forensischen Untersuchung vor.

6.3.1 Prinzipien

In Abschnitt 6.2 haben wir erklart, dass Forensik die Anwendung wissenschaftlicher Methodenauf Fragen des Rechts bedeutet. Manche Fragen sind inherent fur eine Untersuchung, namlich dieberuhmten 7 W-Fragen der Kriminalistik. Damit soll ein behaupteter Tathergang bewiesen oderwiderlegt werden. Die beruhmten 7 W-Fragen lauten:

• Wer?

• Was?

• Wo?

• Wann?

• Womit?

• Wie?

• Weshalb?

Damit die Resultate einer forensischen Untersuchung als Beweise vor Gericht oder gegenuberanderen Auftraggebern verwendet werden konnen (zu Beginn einer Untersuchung ist oft nichtklar, ob eine gerichtliche Auseinandersetzung stattfinden wird), ist eine grundliche und sorgfaltigeVorgehensweise notig. An einen Ermittlungsprozess werden die folgenden Anforderungen gestellt:

• Akzeptanz: Bei der Untersuchung sollen Verfahren und Methoden eingesetzt werden, diein der Fachwelt beschrieben und allgemein akzeptiert sind. Bei Einsatz von neuen Verfahrenoder Methoden muss ein Nachweis uber die korrekte Funktionsweise erbracht werden.

• Glaubwurdigkeit: Die Robustheit und Funktionalitat der eingesetzten Methoden und Ver-fahren muss sichergestellt oder bewiesen werden. Diese Anforderung hangt eng mit der Ak-zeptanz der Methoden zusammen. Weiterhin muss der Forensiker als Person glaubwurdigsein, z.B. weil er eine Sicherheitsprufung durchlaufen hat und einschlagige Fachkenntnissenachweisen kann.

• Wiederholbarkeit: Durch Anwendung der gleichen Verfahren, Methoden und Hilfsmitteldurch Dritte mussen, ausgehend vom selben Ausgangsmaterial, die gleichen Ergebnisse erzieltwerden. Diese Anforderung leitet sich insbesondere aus der Anwendung wissenschaftlicherMethoden ab, die Reproduzierbarkeit als Kernelement enthalten.

6.3. PRINZIPIEN UND VORGEHENSMODELLE 101

• Ursache und Auswirkungen: Mit den verwendeten Verfahren und Methoden muss esmoglich sein, logisch nachvollziehbare Beziehungen zwischen Ereignissen, Beweismitteln undPersonen herzustellen. Gerade die Zuordnung einer digitalen Spur zu einer naturlichen Personist meist eine Herausforderung.

• Dokumentation: Wahrend der Ermittlung mussen alle Arbeitsschritte angemessen unddetailliert dokumentiert werden (Verlaufsprotokoll). Zum Abschluss wird dann je nach Ziel-gruppe ein Ergebnisprotokoll erstellt.

• Luckenlosigkeit: Der Verbleib der digitalen Spuren und der Ergebnisse muss ab dem Zeit-punkt der Erfassung luckenlos nachgewiesen werden, um jederzeit potentielle Manipulationenausschließen zu konnen (das ist die oben genannte

”chain of custody“).

• Integritat: Wahrend einer Untersuchung durfen Spuren weder bewusst noch unbewusstgeandert werden. Die Integritat und die Sicherung der Integritat der digitalen Beweise mussdokumentiert werden und zu jeder Zeit belegbar sein. Hierzu wird – sofern moglich – zu Be-ginn der Untersuchung eine 1:1-Kopie des Untersuchungsgegenstandes (z.B. einer Festplatte)erstellt (die sogenannte Masterkopie) und daraus wiederum Arbeitskopien. Damit wird dasOriginal so wenig wie moglich verwendet, womit die Wahrscheinlichkeit einer (typischerweiseunbeabsichtigten) Veranderung sinkt.

• Authentizitat: Es muss gewahrleistet werden, dass zum einen das Vorgehen der Ermittlerund zum anderen die erhobenen und gewonnenen Daten authentisch sind. Dazu mussen alledokumentierten Arbeitsschritte der forensischen Untersuchung sowie die daraus extrahiertenErkenntnisse geschutzt werden, z.B. durch eine eigenhandige Unterschrift oder eine digitaleSignatur.

6.3.2 Vorgehensmodelle

Es gibt eine Reihe von Vorgehensmodellen, die den Ablauf einer IT-forensischen Untersuchung be-schreiben. Neben allgemeinen Vorgehensmodellen, die wir in diesem Abschnitt darstellen, gibt esauch spezifischere Modelle, etwa zur IT-forensischen Untersuchung mobiler Endgerate wie Smart-phones.

Das einfachste allgemeine Vorgehensmodell ist das S-A-P-Modell, das die 3 Phasen S ichern,Analysieren sowie Prasentieren beschreibt. Die Inhalte dieser Phasen sind selbsterklarend:zunachst werden relevante Spuren identifiziert und gesichert (z.B. Erstellung der Master- sowieArbeitskopien), die gesicherten Spuren werden anschließend analysiert sowie korreliert und fureine bestimmte Zielgruppe (z.B. Techniker, Management, Richter) aufbereitet und prasentiert.

Im folgenden gehen wir auf das Vorgehensmodell des Bundesamtes fur Sicherheit in der Infor-mationstechnik ein, das im BSI-Leitfaden IT-Forensik beschrieben wird. Das BSI-Vorgehensmodellerweitert das S-A-P-Modell durch eine Unterteilung der einzelnen Phasen. Es besteht nunmehraus 6 Phasen.

Strategische Vorbereitung: Diese Phase liegt vor Eintritt eines Zwischenfalls – statt Zwi-schenfall spricht der BSI-Leitfaden von Symptom. Zentrales Ziel dieser Phase ist die Bereitstel-lung von Datenquellen (z.B. Logfiles bei Webdiensten, Verbindungsdaten von Routern) sowiedas Einrichten einer forensischen Workstation samt Bereitstellung von IT-forensischen Tools (En-Case, FTK, Hardware-Writeblocker). Des weiteren werden konkrete Handlungsanweisungen furbestimmte Schadensfalle festgelegt. Alle Schritte der strategischen Vorbereitung (wie auch alleSchritte in den folgenden Phasen) werden dokumentiert und moglichst in Standardterminologie(z.B. nach CERT) beschrieben.

Operationale Vorbereitung: Diese liegt nach Eintritt eines Zwischenfalls/Symptoms. ImRahmen der operationalen Vorbereitung findet eine Bestandsaufnahme und Sichtung des Tatortsstatt. Der Rahmen der IT-forensischen Untersuchung sowie das exakte Ziel werden festgelegt.Hierzu sollte der Fall so konkret wie moglich beschrieben und ebenso Fragen der Privatsphareangesprochen werden (z.B. welche Datenquellen sind tabu fur Ermittler). In vielen Fallen ist


es wichtig, juristische Unterstutzung zu haben. Außerdem legt der Ermittler die zu sicherndenDatenquellen fest (z.B. Beschlagnahme von Datentrager oder Live-Sicherung) und wahlt die Toolsfur das weitere Vorgehen aus.

Datensammlung: Alternative (und auch bessere) Bezeichnungen fur diese Phase sind Da-tenakquise oder Datensicherung. In dieser Phase sichert der IT-Forensiker die im Rahmen deroperationalen Vorbereitung festgelegten Daten. Bei der Sicherung der Daten am Live-System wirdfolgende Reihenfolge vorgeschlagen, die sich an der Order of Volatility (d.h. der Fluchtigkeit derDaten) orientiert:

• Erfassung von aktueller Systemzeit und Systemdatum und Vergleich mit der korrekten Zeit,um spater den tatsachlichen Zeitpunkt eines Vorgangs zu bestimmen.

• Erfassung der momentan auf dem System laufenden Prozesse (Systemzustand).

• Erfassung der am System geoffneten Netzwerkverbindungen (Sockets).

• Erfassung der am System angemeldeten Nutzer.

• Eigentliche forensische Duplikation, dabei auf Authentizitat und Integritat der Datentragerachten (typischerweise mittels Hashverfahren).

Die Beweismittelkette sollte wahrend der gesamten Sicherungsphase erhalten werden. Dazu musssichergestellt werden, dass Beweise nicht verandert werden und dass die Arbeitsumgebung ge-gen weitere Zugriffe ausreichend geschutzt ist, z.B. sollte weder physischer noch Netzwerkzugriffmoglich sein. Oft ist es auch nutzlich, einen Zeugen hinzuzuziehen und nach dem Vier-Augen-Prinzip zu verfahren.

Datenuntersuchung: Diese Benennung ist etwas irrefuhrend, denn im Rahmen der Datenun-tersuchung findet eine Vorverarbeitung der gesicherten Daten statt, um diese im anschließendenSchritt zu analysieren. Der initiale Schritt befasst sich meist mit der Datenreduktion. Irrelevan-te Dateien und Informationen werden verworfen. Hierfur wird ublicherweise eine Whitelist mitHashwerten des US-amerikanischen National Institute of Standards and Technology (NIST) ver-wendet, namlich das Reference Data Set (RDS) der National Software Reference Library (NSRL)6.Die RDS indexiert Hashwerte (SHA-1, MD5) von irrelevanten Dateien (z.B. Dateien des Betriebs-systems oder von Standardanwendungen wie Firefox, Thunderbird). Analog konnen mittels einerBlacklist (z.B. Hashwerte inkriminierter Dateien) direkt Kandidaten fur das Vorliegen eines Indizesgefunden werden.

Bei manchen Ermittlungen kann der Datenbestand auf einen bestimmten Dateityp reduziertwerden, z.B. im Falle kinderpornographischer Schriften auf Bilddateien wie JPG, GIF, PNG undBMP sowie Videos (MPG, AVI, ...). Hier sollte der IT-Forensiker jedoch bevorzugt den Dateikopf(File Header) untersuchen und sich nicht auf die Dateiendung verlassen. Des weiteren werdenBilder aus Archiven, Mails, zip-, pdf-, doc-Files extrahiert und fur die Ermittlung bereitgestellt.

Im Rahmen der Datenuntersuchung wird oft eine Datenrekonstruktion durchgefuhrt, bei dergeloschte Dateien, Dateifragmente und File-Slacks (das sind nicht-allozierte Bereiche auf demDatentrager) untersucht werden, um Hinweise auf das Vorliegen von strafbaren Inhalten zu finden.

Falls Logfiles von Webanwendungen, Firewalls oder Intrusion Detection Systemen relevantsind, werden diese aufgearbeitet (z.B. in ein menschenlesbares Format). Auch eine Timeline kannim Rahmen der Datenuntersuchung erstellt werden, also welche Dateien zu welchem Zeitpunktangelegt, gelesen, geandert oder geloscht wurden bzw. welche zeitliche Abfolge von Ereignissensich aus einer Logdatei ergibt.

Manchmal ist es notwendig, eine erneute Datensammlung durchzufuhren, z.B. wenn festge-stellt wird, dass ein bestimmter USB-Stick am System zur Speicherung relevanter Dateien genutztworden sein konnte.

Datenanalyse: Diese Phase beschreibt die eigentliche Analyse der vorverarbeiteten Daten,insbesondere deren Korrelation aus unterschiedlichen Datenquellen (z.B. mehrere Logfiles oder

6nsrl.nist.gov

nsrl.nist.gov

6.4. ABSTRAKTIONSEBENEN DER IT-FORENSIK UND TOOLS 103

Urheber von Bildern). Dabei soll die Frage beantwortet werden, ob die gefundenen Erkenntnissezusammenpassen und einen runden Gesamtuberblick des Systems ergeben. Auch die Zuordnungvon digitalen Spuren zu naturlichen Personen ist Teil der Datenanalyse.

Auch hier kann es passieren, dass der Ermittler zur Datenuntersuchung zuruckkehren muss,etwa um eine geloschte Datei wiederherzustellen, die gemaß Metadaten des Dateisystems rekon-struierbar sein musste.

Dokumentation: Dokumentation ist ein elementarer Bestandteil einer IT-forensischen Unter-suchung. Neben der Protokollierung aller Einzelschritte im Laufe der verschiedenen Ermittlungs-phasen (Verlaufsprotokoll) fasst der Ermittler am Ende zielgruppenspezifisch die wesentlichen Be-funde in Form eines Ergebnisprotokolls zusammen. Eine IT-Belegschaft wird ein sehr technischesErgebnisprotokoll verlangen, wohingegen techisch-ferne Zielgruppen wie Management / Gericht /Staatsanwalt einen mehr abstrakten Bericht inklusive der wesentlichen Ergebnisse bevorzugen.

Soweit moglich sollte bei der Protokollierung eine standardisierte Terminologie verwendet wer-den, etwa die Terminologie zum Austausch von Informationen zwischen Computer EmergencyResponse Teams (CERT-Taxonomie). Diese beschreibt Angreifer (z.B. Hacker, Spione, Terroris-ten, professionelle Kriminelle, Voyeure), deren Werkzeuge (z.B. Einschleusen von Kommandos,Physikalischer Angriff, Autonome Agenten), die ausgenutzte Schwachstelle (Design, Implementie-rung, Konfiguration) sowie Aktion, Ziel, Resultat und Absicht eines Angriffs.

Kommt es zu einer Prasentation der Ergebnisse, so steht die Glaubwurdigkeit des IT-Forensikersim Mittelpunkt, die aus zweierlei Hinsicht gewertet werden kann. Zum einen sollte die Dokumen-tation vollstandig und detailliert genug sein, zum anderen zahlt aber auch das personliche Er-scheinungsbild. Klassische Herausforderungen als sachverstandiger Zeuge vor Gericht ist das nichttechnische Publikum.

6.4 Abstraktionsebenen der IT-Forensik und Tools

In diesem Abschnitt geben wir an, auf welchen unterschiedlichen Abstraktionsebenen eine IT-forensische Untersuchung nach analysefahigen Datenstrukturen sucht. Wir stellen wir die dreirelevanten Abstraktionsebenen dar und beschreiben diese im Folgenden kurz.

Die tiefste Ebene ist die Datentragerebene, auf die wir in Abschnitt 6.4.1 eingehen. Danachbeschreiben wir in Abschnitt 6.4.2 die Analyse auf Dateisystemebene. Auf die hochste Ebene,die Anwendungsebene, gehen wir nicht weiter ein. Ihr Ziel ist die Interpretation von Inhal-ten der Benutzerdaten. In vielen Fallen geht es dabei um die Analyse von Datenbanken (oftSQLite-Datenbanken), weil diese von vielen Anwendungen wie Browser, Mail-Client oder Instant-Messenger zur persistenten Speicherung ihrer Daten verwendet werden. Auch die Analyse derWindows-Registry fallt in diese Kategorie.

Wir erlautern die grundlegende Vorgehensweise an Hand von ausgewahlten Tools. Die wich-tigsten sind dd sowie die Befehle aus dem Sleuthkit (The Sleuthkit, TSK7) von Brian Carrier.Wir empfehlen, eine spezielle IT-Forensik-Distribution auf Basis des Linux-Betriebssystems zuverwenden. Kali Linux8 ist zur Zeit sehr beliebt, es stellt die verwendeten Tools zur Verfugung.

6.4.1 Datentragerebene

Dieser Abschnitt befasst sich mit analysefahigen Datenstrukturen auf Datentragerebene. TypischeBeispiele fur Datentrager sind magnetische Festplatten (Hard Disc Drives, HDDs), Halbleiterlauf-werke (Solid State Discs, SSDs) oder Flashspeicher in USB Sticks oder SD Karten.

Auf Datentragerebene bezeichnet ein Sektor die kleinste adressierbare Einheit des Daten-tragers. Eine heute verbreitete Große eines Sektors ist 512 Byte, bei moderneren Datentragernfindet man auch oft schon 4096 Byte. Da auf Datentragerebene immer ein ganzzahliges Vielfachesder Sektorgroße zum Speichern von Dateien alloziert wird, bleibt im ’letzten’ Sektor ein Teil desSpeichers ungenutzt. Diesen ungenutzten Bereich nennt man Slack Space. Wenn beispielsweise der

7www.sleuthkit.org8www.kali.org

www.sleuthkit.org

www.kali.org


Nutzer eine kleine Textdatei von 20 Byte anlegt, so alloziert der Datentrager einen Sektor fur dieseTextdatei, so dass ein Großteil der Speicherkapazitat des Sektors nicht genutzt wird.

Zum Kopieren und Extrahieren von Datentragern verwendet man in der IT-Forensik typischer-weise das Linux-Tool dd. Das Tool hat eine Reihe von Kommandooptionen, die wir in Beispiel 24beschreiben.

Beispiel 24 (Das Tool dd). Wir nehmen an, wir sollen die Sektoren mit den Sektoradressen2048 bis 10000 (jeweils einschließlich) von der internen Festplatte mittels dd kopieren. Die interneFestplatte ist uber die Geratedatei /dev/sda eingehangt. Die Große eines Sektors betragt 512 Byte.Der Befehl lautet dann:

# dd if=/dev/sda of=copy.dd bs=512 skip=2048 count=7953

Die Bedeutung der Kommandooptionen ist wie folgt:

• if bezeichnet die Eingabedatei (input file), hier das Gerat /dev/sda. Das ist die interneFestplatte.

• of legt entsprechend die Ausgabedatei (output file) fest.

• Das Flag bs beschreibt die Blockgroße (block size), die als Maßeinheit der Zahlen der anderenOptionen genutzt wird. Die Blockgroße ist hier gleich der Sektorgroße 512 Byte.

• skip gibt die Anzahl der Blocke an, die von Beginn der Eingabedatei ubersprungen werden.

• count legt die Anzahl der herauszuschreibenden Blocke fest. Als kleine Ubung versuchen Siebitte nachzuvollziehen, warum wir hier 7953 Blocke herausschreiben.

Wichtige Prinzipien der Forensik sind Wiederholbarkeit, Integritat sowie Authentizitat. Insbe-sondere Beweismittel sind gegen Veranderungen zu schutzen. Wir nehmen daher an, dass das zusichernde IT-System mittels eines geeigneten Schreibschutzes (z.B. Hardware Write Blocker) gegenVeranderung geschutzt ist. Des weiteren wird mit dem Original so selten wie moglich gearbeitet –wir legen uns daher Kopien an.

Damit wir die Ubereinstimmung von originalem Beweismittel mit unseren Kopien nachweisenkonnen, berechnen wir zunachst den SHA-256-Wert des Datentragers. Danach sichern wir mittelsdes Linux Befehls dd den Datentrager zu unserer Masterkopie und prufen deren Integritat (d.h.Ubereinstimmung mit dem originalen Datentrager) mittels der SHA-256-Hashwerte von Master-kopie und Original. Um im Falle einer Manipulation unserer Kopie nicht erneut den originalenDatentrager zu nutzen, legen wir uns mittels dd unsere Arbeitskopie an, auf der wir arbeiten.Auch deren Integritat wird mittels SHA-256 gepruft. Falls wir diese verandern, konnen wir auf dieMasterkopie zuruckgreifen, um uns eine neue Arbeitskopie zuzulegen. Die Datentragersicherunggehen wir in Beispiel 25 durch.

Beispiel 25 (Datentragersicherung einer externen Festplatte). Im Rahmen einer Ermittlung solleine externe Festplatte IT-forensisch untersucht werden. Diese wird uber die USB-Schnittstelle undeinen Schreibschutz (einen Hardware-Write-Blocker) an die forensische Workstation angeschlos-sen, auf der Kali Linux lauft. Die externe Festplatte wird als Gerat /dev/sdb eingehangt. Zunachstberechnen wir die SHA-256-Hashsumme uber die originale externe Festplatte, dann erstellen wirmittels dd zunachst die Masterkopie und anschließend die eigentliche Arbeitskopie und berechnendanach die Hashsumme uber beide Kopien. Wenn die Kopiervorgange funktioniert haben, stim-men die Hashwerte der Kopien mit dem Hashwert der externen Festplatte uberein. Die folgendenBefehle zeigen den Ablauf (wir mussen root sein, um auf die Geratedatei /dev/usb zugreifen zukonnen).

# sha256sum /dev/sdb

6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef36381842dc3921 /dev/sdb

# dd if=/dev/sdb of=mastercopy.dd bs=512

# dd if=mastercopy.dd of=workingcopy.dd bs=512

# sha256sum mastercopy.dd workingcopy.dd

6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef36381842dc3921 mastercopy.dd

6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef36381842dc3921 workingcopy.dd


Von zentraler Bedeutung bei einer IT-forensischen Analyse eines Datentragers ist dessen Par-titionierung , d.h. die Unterteilung des Datentragers in kleinere Bereiche. Grunde fur eine Partitio-nierung sind vielseitig. Manche Anwender nutzen mehrere Betriebssysteme auf einer Arbeitssta-tion, andere mochten ihre Dateien auf unterschiedlichen Partitionen verwalten (z.B. Partition 1:Betriebssystem, Partition 2: personliche Daten). Die Partitionierung ist vom Betriebssystem undden unterschiedlichen Hardwareplattformen abhangig. Im Privatbereich finden wir noch meist dasDOS-Partitionsschema vor, durch Einfuhrung von (U)EFI statt BIOS wird aber nach und nachauf das modernere GPT-Partitionsschema umgestiegen.

Die Basis einer Partitionierung bildet die Partitionstabelle, die das Layout des Datentragersbeschreibt – ahnlich dem Inhaltsverzeichnis eines Buches. Typische Eintrage sind der Start unddas Ende einer Partition (oft auch durch Beginn und Große der Partition beschrieben) sowie dasDateisystem, mit dem die Partition formatiert ist. Allerdings muss das in der Partitionstabellebehauptete Dateisystem mit dem tatsachlichen nicht ubereinstimmen – hier ist also Vorsicht furden IT-Forensiker geboten, er muss dies durch Betrachten der jeweiligen Partition validieren bzw.widerlegen.

Sehen wir uns nun das verbreitete DOS-Partitionsschema etwas naher an. Die primare Parti-tionstabelle und damit die zentrale Datenstruktur des DOS-Partitionsschematas liegt im erstenSektor des Datentragers (d.h. Sektor 0), dem Master Boot Record (MBR). Ihre Lage in Sektor 0sowie ihr Aufbau sind fest vorgegeben, sie beginnt ab Offset 446 = 0x1be des MBR und belegtstatisch vier Eintrage zu je 16 Byte. Durch ein DOS-Partitionsschema konnen also hochstens vierPartitionen durch die Partitionstabelle des MBR beschrieben werden. Sofern man mehr Partitio-nen allozieren mochte, muss man erweiterte Partitionen anlegen, die eigene Partitionstabellen inihrem ersten Sektor speichern (sogenannte sekundare Partitionstabellen).

Zur Analyse der Partitionierung gibt es zwei verbreitete Tools: das allgemeine Linux-Toolfdisk sowie mmls aus dem Sleuthkit (der Bezeichner soll an den klassischen List-Befehl ls vonLinux erinnern). Wahrend fdisk auch zur Partitionierung eingesetzt werden kann, ist mmls spe-ziell fur IT-forensische Analysezwecke entwickelt worden. Daher gehen wir im Folgenden auf mmlsein. Eingabe fur mmls ist ein Datentrager oder dessen Abbild, Ausgabe ist die Angabe des Parti-tionsschemas, die Sektorgroße sowie das Layout des Datentragers. Wir stellen die Interpretationder Ausgaben von mmls in Beispiel 26 im Detail vor.

Beispiel 26 (DOS-Partitionsschema und mmls). In diesem Beispiel analysieren wir das Parti-tionsschema der externen Festplatte aus Beispiel 25. Wir arbeiten auf der Arbeitskopie, die unsals Image workingcopy.dd vorliegt. Die Anwendung von mmls liefert folgende Informationen (wirarbeiten wieder im nicht-privilegierten Modus, weil kein Geratezugriff notig ist):

$ mmls workingcopy.dd

DOS Partition Table

Offset Sector: 0

Units are in 512-byte sectors

Slot Start End Length Description

00: Meta 0000000000 0000000000 0000000001 Primary Table (#0)

01: ----- 0000000000 0000002047 0000002048 Unallocated

02: 00:00 0000002048 0960237567 0960235520 Win95 FAT32 (0x0C)

03: ----- 0960237568 0960239615 0000002048 Unallocated

04: Meta 0960239614 0976771071 0016531458 DOS Extended (0x05)

05: Meta 0960239614 0960239614 0000000001 Extended Table (#1)

06: 01:00 0960239616 0976771071 0016531456 Linux Swap (0x82)

07: ----- 0976771072 0976773167 0000002096 Unallocated

Wir sehen, dass es sich um eine DOS-Partitionierung handelt (DOS Partition Table), dass dieZahlung am Beginn des Datentragers startet (Offset sector: 0) und dass die Zahlen in derMaßeinheit Sektoren zu je 512 Byte angegeben werden.

Die Aufteilung des Datentragers wird dann in den Spalten Start, End und Length angegeben,die jeweils den ersten bzw. letzten Sektor sowie die Große des jeweiligen Bereichs in Sektoren ange-ben. Die Spalte Description gibt Details zum Zeileneintrag an, wahrend Slot eine Nummerierung


der Bereiche ermoglicht. Ein Eintrag Meta bedeutet, dass als Metadaten eine Partitionstabelle indem jeweiligen Bereich vorhanden ist, die Zahlung xx:yy gibt zunachst die Nummer der Parti-tionstabelle xx und danach die Nummer des Eintrags yy in dieser Partitionstabelle an. 00:00

bedeutet also, dass diese Partition im ersten Eintrag der primaren Partitionstabelle beschriebenwird, wahrend die Partition 01:00 als erster Eintrag der erweiterten Partitionstabelle aus Sektor960239614 beschrieben wird.

Wir sehen insgesamt zwei Partitionstabellen: die primare Tabelle steht im MBR(Primary Table (#0) im Eintrag 00), die zweite Partitionstabelle findet sich im ersten Sektorder erweiterten Partition als Eintrag 05. Wir finden drei nicht-allozierte Bereiche (Eintrage 01,03 und 07) sowie zwei Dateisystempartitionen vor (Eintrage 02 und 06). In der ersten Datei-systempartition vermuten wir ein FAT32-Dateisystem, das in der DOS-Partitionierung als Typ0x0C kodiert wird. Weiterhin ist der Eintrag 06 vom Typ 0x82 vermutlich eine Swap-Partition.

Zur Untersuchung einzelner Partitionen bzw. der nicht-allozierten Bereiche empfiehlt es sich,jeden Bereich zu extrahieren und einer separaten Analyse zu unterziehen. Nachdem wir die Be-reiche einzeln gesichert haben, konnen wir Dateisystempartitionen durch eine Dateisystemanalyseweiter untersuchen.

Kontrollaufgabe 29 (Herausschreiben einer Partition). Wie lautet der Befehl zum Herausschrei-ben der FAT32 Partition in Beispiel 26?

Kontrollaufgabe 30 (Vierter Eintrag in einer DOS-Partitionstabelle). Geben Sie die Bytes an,die vom vierten Eintrag der primaren Partitionstabelle belegt werden.

Kontrollaufgabe 31 (Anzahl der Eintrage in einer DOS-Partitionstabelle). Gegeben ist Ihnenfolgender Ausschnitt des MBR:

# xxd /dev/sdb

[REMOVED]

00001b0: 0000 0000 0000 0000 94f1 7dcd 0000 0021 ..........}....!

00001c0: 0300 8316 2c50 0008 0000 0060 0900 0000 ....,P.....‘....

00001d0: 0000 0000 0000 0000 0000 0000 0000 001c ................

00001e0: 1950 833e 3485 6069 0900 0040 0600 0000 .P.>4.‘i...@....

00001f0: 0000 0000 0000 0000 0000 0000 0000 55aa ..............U.

Wie viele Partitionen sind allokiert?

6.4.2 Dateisystemanalyse

Ein wichtiger Bestandteil jedes Betriebssystems ist das Dateisystem. Dieses dient als Schnittstel-le zwischen dem Betriebssystem und den verbundenen Datentragern. Das Dateisystem legt fest,wie Dateien benannt, gespeichert, organisiert und verwaltet werden. Es ist hierarchisch aufgebautund speichert die einzelnen Dateien in einem Verzeichnisbaum. In der Regel sind die Dateisys-teme unabhangig von Hardware oder Betriebssystem, es kann jedoch auf Grund der fehlendenStandardisierung bzw. Offenlegung der Dateisystemstruktur (insbesondere bei Microsoft Datei-systemen) zu Unterschieden bis hin zu Inkompatibilitaten kommen, wenn von unterschiedlichenBetriebssystemen auf ein Dateisystem zugegriffen wird.

Auf Datentragerebene haben wir bereits den Begriff Sektor als kleinste adressierbare Einheitdes Datentragers kennengelernt. Auf Dateisystemebene heißt die kleinste adressierbare EinheitCluster oder Dateisystemblock. Die Clustergroße hangt von dem Dateisystem ab und bei manchenDateisystemen auch von der Große der Dateisystempartition. Eine gangige Große eines Clusters ist4096 Byte, in jedem Fall ist sie ein ganzzahliges Vielfaches der Sektorgroße. Da Dateien eine ganzeZahl an Clustern belegen, bleibt wie bei Sektoren im ’hintersten’ Cluster ein Teil des Speichersungenutzt. Dieser ungenutzte Bereich heißt File Slack . File Slack ist aus IT-forensischer Sichtinteressant, weil dort noch Reste von vorhergehenden Dateien oder sogar Datenstrukturen ausdem Hauptspeicher liegen konnen.


Wir gehen kurz auf wichtige Dateisysteme sowie ihr Einsatzgebiet ein. Ein IT-Forensiker durftemit all diesen Dateisystemen in Kontakt kommen. In der Linuxwelt ist die Familie der Extended Fi-lesystems (extX-Dateisystemen) etabliert. Die aktuelle Version ist ext4. Es ist mittlerweile auch dasStandarddateisystem unter Android. Unter Microsoft-Betriebssystemen findet man typischerweisedas New Technology File System (NTFS). Es hat das fruher bereits unter MS-DOS gebrauchlicheMicrosoft Dateisystem FAT abgelost. FAT verdankt seinen Namen der File Allocation Table, diein einem FAT Dateisystem unter Anderem den Belegtstatus der Cluster angibt. Je nach Langeder Clusteradresse (in Bits) unterscheidet man FAT12 (d.h. die Clusteradresse wird durch einen12-Bit-Integer dargestellt), FAT16 sowie FAT32. Auch wenn FAT ein sehr altes Dateisystem ist, sokommt es heute oft noch auf Wechseldatentragern wie USB-Sticks oder SD-Karten vor, weil alleBetriebssysteme sehr gut mit FAT umgehen konnen. Auf Apple-Geraten kommt das HierarchicalFile System (HFS) oder dessen Weiterentwicklung HFS+ zum Einsatz.

Brian Carrier schlagt die Suche nach analysefahigen Strukturen auf Dateisystemebene in 5Kategorien vor. Im folgenden stellen wir die drei Kategorien Dateisystemdaten, Metadaten undDateinamen kurz vor.

1. Dateisystemdaten: zu dieser Kategorie gehoren grundlegende Informationen uber dasDateisystem, z.B. Angaben uber die Clustergroße, die Große des Dateisystems, welche Clus-ter alloziert sind oder wo man weitere Informationen uber das Dateisystem findet. Typischer-weise findet man einen wesentlichen Teil der Dateisystemdaten am ’Anfang’ des Dateisys-tems, d.h. im ersten Cluster bzw. dem ersten Sektor der vom Dateisystem belegten Partition.Der erste Sektor hat daher einen besonderen Namen, er heißt Bootsektor. Der Bootsektorsollte nicht mit dem Master Boot Record verwechselt werden (der MBR ist der erste Sektoreines DOS-partitionierten Datentragers).

2. Metadaten: unter Metadaten versteht man ’Daten uber Daten’, d.h. Informationen ubereine Datei ohne deren Inhaltsdaten oder Dateinamen. Wichtige Metadaten sind die Zeitstem-pel einer Datei, der Speicherort (d.h. die Clusteradressen) der Inhaltsdaten, die Dateigroßeoder Zugriffsrechte. In den meisten Dateisystemen gibt es wenigstens drei Zeitstempel zurAngabe des letzten schreibenden Zugriffs (last modified), des letzten lesenden Zugriffs (lastaccessed) sowie des Anlegens der Datei (created). Daher spricht man auch oft von den MAC-Zeitstempeln. Die Analyse der Zeitstempel ermoglicht die Angabe einer Timeline, also wieauf welche Dateien in chronologischer Zeitreihe zugegriffen wurde. Man muss aber beachten,dass Zeitstempel beliebig manipulierbar sind, ohne die Funktionalitat des Dateisystems zubeeintrachtigen. Ihre Aussagekraft kann daher eingeschrankt sein.

3. Dateinamen: Carrier verwendet fur den Dateinamen eine eigene Kategorie. Er ist da-bei von der Familie der extX-Dateisysteme geleitet. Ein Verzeichniseintrag in einem extX-Dateisystem verknupft den Dateinamen (also die Bezeichnung, die der Anwender nutzt) mitden Metadaten dieser Datei (sogenannte Inodes). Das ist vergleichbar mit der URL einesWebservers sowie seiner IP-Adresse: die URL nutzt der Anwender, die IP-Adresse das IT-System.

Ein gebrauchliches Tool zur Untersuchung eines Dateisystems ist fsstat aus dem Sleuthkit.Dieses analysiert zunachst den Bootsektor des Dateisystems und gegebenenfalls weitere Datenquel-len des Dateisystems und gibt grundlegende Informationen uber das zu untersuchende Dateisystemaus. Dabei orientiert sich fsstat an Brian Carriers Kategorien, indem es die Informationen grup-piert in FILE SYSTEM INFORMATION, METADATA INFORMATION, CONTENT INFORMATION und je nachDateisystem weitere Informationen. In Beispiel 27 analysieren wir ein FAT-Dateisystem, das alsImage partition-fat.dd vorliegt.

Beispiel 27 (Ausgabe von fsstat fur ein FAT-Dateisystem). Wir analysieren ein FAT-Dateisystem, das als partition-fat.dd vorliegt. Die Ausgabe des fsstat-Befehls sieht wie folgtaus:

$ fsstat partition-fat.dd


FILE SYSTEM INFORMATION

--------------------------------------------

File System Type: FAT16

File System Layout (in sectors)

Total Range: 0 - 204799

* Reserved: 0 - 3

** Boot Sector: 0

* FAT 0: 4 - 203

* FAT 1: 204 - 403

* Data Area: 404 - 204799

** Root Directory: 404 - 435

** Cluster Area: 436 - 204799

METADATA INFORMATION

--------------------------------------------

Range: 2 - 3270342

Root Directory: 2

CONTENT INFORMATION

--------------------------------------------

Sector Size: 512

Cluster Size: 2048

Total Cluster Range: 2 - 51092

FAT CONTENTS (in sectors)

--------------------------------------------

440-503 (64) -> 556

504-555 (52) -> EOF

556-931 (376) -> EOF

3024-7899 (4876) -> EOF

In der ersten Kategorie FILE SYSTEM INFORMATION sehen wir, dass es sich um ein FAT16-Dateisystem handelt und die Adressierung der Sektoren von 0 bis 204799 reicht – mit der Sek-torgroße 512 Byte = 1

2 KiB ergibt das eine Dateisystemgroße von

204800 · 1

2KiB = 100 · 1024 KiB = 100 MiB .

Die weiteren Informationen in der Kategorie FILE SYSTEM INFORMATION beschreiben die Lage derdrei Bereiche eines FAT-Dateisystems, namlich den reservierten Bereich, die beiden File AllocationTables (FAT0 bzw. deren Backup FAT1) sowie den Datenbereich. Wir gehen darauf hier nichtnaher ein.

In der zweiten Kategorie METADATA INFORMATION erhalten wir Informationen uber den Adress-bereich der ’Inodes’ (der Begriff ’Inode’ passt unter FAT nicht wirklich, weil einfach potenzielleVerzeichniseintrage durchnummeriert werden). Das Wurzelverzeichnis des Dateisystems hat dieInode-Nummer 2, Inodes 0 oder 1 gibt es unter FAT nicht.

Unter CONTENT INFORMATION erfahren wir die Sektor- und die Clustergroße (bitte beachten,dass die Sektorgroße vom Datentrager, nicht aber vom Dateisystem festgelegt wird). Der Adressbe-reich der Cluster ist 2 bis 51092. Auch hier gilt, dass es weder einen Cluster 0 noch einen Cluster1 gibt.

Schließlich erfahren wir in der Kategorie FAT CONTENTS Informationen uber die Anzahlund Fragmentierung allozierter Dateien und Verzeichnisse. Wir sehen, dass insgesamt 3 Datei-en/Verzeichnisse alloziert sind, wobei die in Sektor 440 startende Datei fragmentiert ist. Ihre


Inhaltsdaten liegen in den Sektoren 440 bis 503 sowie 556 bis 931. Ein Eintrag EOF bedeutet, dassdie Datei mit diesem FAT-Eintrag endet (End of file).

Um einen Uberblick uber alle allozierten sowie nicht-allozierten Dateien des Dateisystems zuerhalten, verwenden wir den Befehl fls aus dem Sleuthkit. Das vorangestellte f dieses List-Befehlssoll an die Kategorie filename erinnern. fls geht einfach sukzessive alle moglichen Verzeichnisein-trage durch und gibt das Ergebnis aus. Fur unser Beispieldateisystem partition-fat.dd sehenwir die Ausgabe von fls in Beispiel 28.

Beispiel 28 (Ausgabe von fls fur ein FAT-Dateisystem). Wir wenden den Befehlt fls ausdem Sleuthkit auf ein FAT-Dateisystem an, um Informationen uber Dateien des Dateisystems zuerhalten, insbesondere auch uber geloschte. Die Ausgabe von fls sieht wie folgt aus:

$ fls -ar partition-fat.dd

r/r 4: pubform.doc

r/r * 5: _N_JOR~1.JPG

r/r 8: tn_jordan_021a.jpg

r/r * 10: ab-sepa.zip

r/r 12: AB-SEPA.xls

v/v 3270339: $MBR

v/v 3270340: $FAT1

v/v 3270341: $FAT2

d/d 3270342: $OrphanFiles

In der ersten Spalte zeigt r/r, dass es sich um eine regulare Datei handelt. Ein v/v steht fur einevirtuelle (d.h. nicht existierende) Datei, die das Sleuthkit einfugt. d/d bezeichnet ein Verzeichnis,wobei das angegebene Verzeichnis $OrphanFiles nur virtuell fur das Sleuthkit existiert. Die zweiteSpalte gibt an, ob eine Datei oder ein Verzeichnis alloziert oder geloscht ist. Im ersten Fall gibtfls die Inode-Nummer an, im Falle eines geloschten Objekts zusatzlich ein *. Wie bereits durchdie Ausgabe von fsstat bekannt, sind in unserem Beispiel-Image drei Objekte alloziert. Durchfls erfahren wir, dass es sich um regulare Dateien handelt, die durch die Inodes 4, 8 sowie 12beschrieben werden. Weiterhin sind zwei geloschte Verzeichniseintrage vorhanden, die durch dieInodes 5 sowie 10 beschrieben wurden. Es fallt auf, dass die Dateinamen beider geloschter Dateienzu sehen sind.

Um nun weitere Details uber eine Datei zu erfahren, verwenden wir den Befehl istat. DerPrafix i zeigt an, dass wir uber eine Inode-Nummer Informationen uber ein Objekt des Datei-systems erfahren wollen – wir mussen also diesem Befehl eine Inode-Nummer ubergeben. istatgreift dann auf den unter dieser Inode-Nummer gespeicherten Verzeichniseintrag zu und gibt dieseInformationen aus.

Fur eine allozierte Datei halt das Dateisystem in jedem Fall zahlreiche Informationen vor,namlich die Dateigroße, die MAC-Zeitstempel sowie die von der Datei belegten Dateisystemclusteroder alternativ die Datentragersektoren. In Beispiel 29 analysieren wir einen Inode einer alloziertenDatei.

Beispiel 29 (Ausgabe von istat fur eine allozierte Datei). Wir analysieren einen Inode einesFAT-Dateisystems, der im Image partition-fat.dd eine allozierte Datei beschreibt. Aus Bei-spiel 28 wissen wir, dass die Datei mit Inode 4 den Namen pubform.doc besitzt und nicht geloschtist. Die Ausgabe des istat-Befehls fur diesen Inode sieht wie folgt aus:

$ istat partition-fat.dd 4

Directory Entry: 4

Allocated

File Attributes: File, Archive

Size: 224768


Name: PUBFORM.DOC

Directory Entry Times:

Written: Thu Apr 3 11:48:34 2014

Accessed: Thu Apr 3 00:00:00 2014

Created: Thu Apr 3 11:48:34 2014

Sectors:

440 441 442 443 444 445 446 447

[REMOVED]

496 497 498 499 500 501 502 503

556 557 558 559 560 561 562 563

[REMOVED]

924 925 926 927 928 929 930 931

Das Tool istat liefert uns eine Reihe von Metainformationen uber die Datei pubform.doc: sie istalloziert, ihre Große ist 224768 Byte. Bei den Zeitstempeln, die allesamt vom 03.04.2014 datieren,fallt auf, dass der last accessed Zeitstempel vor dem created Zeitstempel liegt. Dieser Wider-spruch ist der Tatsache geschuldet, dass Zeitstempel unter FAT mit unterschiedlicher Genauigkeitabgespeichert werden: last accessed wird nur auf den Tag genau gespeichert (daher gibt istateinfach 0 Uhr als Zeit aus), die beiden ubrigen Zeitstempel auf 2 Sekunden genau (daher jeweils ei-ne gerade Sekundenzahl). Schließlich sehen wir noch die von der Datei allozierten Sektoren, wobeiwir sequenzielle Sektoradressen durch [REMOVED] weglassen. Wir erkennen die beiden Fragmenteder Datei, das Ergebnis ist konsistent zur Ausgabe von fsstat in Beispiel 27.

Sehen wir uns nun an, welche Ausgaben istat fur eine geloschte Datei ausgibt. Die im Datei-system noch vorhandenen Informationen zu einer geloschten Datei hangen von zahlreichen Rand-bedingungen ab, z.B. Konzeption des Dateisystems sowie dessen Nutzung seit Loschung. In Bei-spiel 30 sehen wir uns fur ein FAT-Dateisystem an, welche Informationen mittels istat uber diegeloschte Datei mit Inode 10 aus Beispiel 27 aus dem Dateisystem extrahierbar sind.

Beispiel 30 (Ausgabe von istat fur eine nicht-allozierte Datei). Wir analysieren einen Inodeeines FAT-Dateisystems, der im Image partition-fat.dd eine geloschte Datei beschreibt. DieAusgabe des istat-Befehls sieht wie folgt aus:

$ istat partition-fat.dd 10

Directory Entry: 10

Not Allocated

File Attributes: File, Archive

Size: 1070132

Name: _B-SEPA.ZIP

Directory Entry Times:

Written: Thu Apr 3 11:49:42 2014

Accessed: Thu Apr 3 00:00:00 2014

Created: Thu Apr 3 11:49:42 2014

Sectors:

932 933 934 935 936 937 938 939

[REMOVED]

3012 3013 3014 3015 3016 3017 3018 3019

3020 3021 3022 0

Die Datei mit Inode 10 wird im Augenblick nicht genutzt. Die Datei hatte eine Große von 1070132Byte. Der vermutliche Dateiname war _B-SEPA.ZIP, das erste Zeichen ist nicht bekannt (das ist


immer so bei geloschten Dateien im FAT-Dateisystem). Fur die Zeitstempel gilt das in Beispiel 29Gesagte. Interessant ist die Ausgabe der von der Datei ehemals allozierten Sektoren. Diese In-formation liegt so nicht als Metadatum im Dateisystem vor, sondern lediglich der ehemals ersteallozierte Sektor der Datei sowie die Dateigroße. Aus diesen Informationen berechnet das Sleuthkitdiese Sektoradressen, wobei es eine nicht-fragmentierte Datei unterstellt. Belegte der DateianfangSektor 932, so ergibt sich aus der Dateigroße, dass 1070132

512 = 2090, 1 und damit 2091 Sektoren vonder Datei belegt waren. Daraus ergibt sich als letzter Sektor 932 + 2091− 1 = 3022. War die Dateifragmentiert, ist die Angabe der Sektoradressen falsch. Auffallig ist auch die Angabe des letztenSektors 0, was nicht stimmen kann, da dort der Bootsektor des Dateisystems liegt.

Interessant fur eine IT-forensische Untersuchung ist die Frage der Wiederherstellung geloschterDateien. Dazu gibt es unterschiedliche Ansatze. Auf Dateisystemebene hangt die Erfolgswahr-scheinlichkeit zur Wiederherstellung geloschter Dateien vom verwendeten Dateisystem sowie derFragmentierung der Datei ab. Mit Hilfe des Befehls icat aus dem Sleuthkit kann man versuchen,aus noch vorliegenden Metainformationen einer Datei deren Inhalt wiederherzustellen. Der Nameicat lehnt sich an den allgemeinen Linux Befehl cat zur Anzeige von Dateiinhalten an. Wir ratendazu, den Switch -r zu verwenden, um icat in den Recovery Modus fur geloschte Dateien zuschalten. In Beispiel 31 versuchen wir, eine geloschte Datei unter FAT wiederherzustellen.

Beispiel 31 (Wiederherstellung einer geloschten Datei unter FAT). Wir versuchen, im FAT-Imagepartition-fat.dd die geloschte Datei mit Inode 10 (siehe auch Beispiel 30) wiederherzustellen.Dazu rufen wir icat im Recovery-Modus auf und schreiben die Ausgabe dieses Befehls in die Dateifile.out. Da wir vermuten, dass es sich um eine zip-Datei handelt (das suggeriert der Name ausBeispiel 30), rufen wir anschließend unzip auf.

$ icat -r partition-fat.dd 10 > file.out

$ unzip -l file.out

Archive: file.out

Length Date Time Name

--------- ---------- ----- ----

2494976 2014-03-08 15:16 AB-SEPA.xls

--------- -------

2494976 1 file

Die Ausgabe von unzip zeigt, dass die Wiederherstellung funktioniert hat. Das zip-File enthalt nureine Datei, vermutlich eine Tabellendatei im xls-Format.

Kontrollaufgabe 32 (File Slack). Die Clustergroße eines Dateisystems ist 4 KiB. Eine Dateider Große 10.000 Byte wird gespeichert. Wie groß ist der File Slack?


Kapitel 7

Authentifikation

Dieser Studienbrief baut auf gangigem IT-Wissen sowie auf den kryptographischen Grundlagenauf und dient dazu, ein Verstandnis fur alltaglich genutzte Authentifikationsverfahren zu erlangen.Dabei frischen Sie wichtige Grundlagen auf und legen den Grundstein zum sicheren Einsatz dieserVerfahren. Daher sollten Sie diesen Studienbrief auf jeden Fall bearbeiten.

Grundlage fur dieses Kapitel ist, sofern nicht explizit angegeben, das Buch von Claudia Eckert.Dieses Buch konnen Sie daher zur Vertiefung des Stoffes nutzen.

7.1 Grundlegende Begriffe und Authentifikationsklassen

In diesem Abschnitt lernen Sie grundlegende Begriffe im Zusammenhang mit der Authentifikationvon Subjekten sowie die vier unterschiedlichen Klassen von Authentifikationsverfahren kennen.

In Kapitel 3 haben Sie zentrale Schutzziele wie Vertraulichkeit, Integritat sowie Authentizitatkennengelernt. Dabei wurde klar, dass Authentizitat der Subjekte typischerweise eine Vorausset-zung fur die Schutzziele Vertraulichkeit und Integritat darstellt. Denken Sie z.B. an das Beispieleiner PKI: Bevor die Absenderin Alice eine vertrauliche Nachricht an den Empfanger Bob schickt,will sie sicher sein, dass sie wirklich mit Bob kommuniziert und nicht mit dem Angreifer Eve– andernfalls wurde Alice die geheime Information an Eve statt an Bob senden. In diesem Fallmuss die Identitat des Empfangers Bob zuverlassig festgestellt werden konnen. Dazu lernen Sie indiesem Kapitel die in der Praxis eingesetzten Verfahren kennen.

Bitte rufen Sie sich zwei zentrale Begriffe dieses Kapitels in Erinnerung und grenzen diesevoneinander ab: Authentifikation und Authentisierung, die in Definition 1 beschrieben sind. DieFunktion der Authentifikation ist die Prufung der Korrektheit einer behaupteten Identitat durchden angefragten Dienst, nachdem im ersten Schritt der Authentisierung das Subjekt den Nachweiserbracht hat.

Als Beispiel soll an dieser Stelle Online-Banking dienen. Ein Nutzer mochte sich am Online-Banking-Server mit Benutzerkennung und Passwort anmelden. Die Benutzerkennung ist die be-hauptete Identitat, das zum Server ubermittelte Passwort liefert als Authentisierungsinformationden Nachweis dazu. Der Server fuhrt mittels dieser Information die Authentifikation durch.

Nach erfolgreicher Authentifikation ist sicher, wer der andere Kommunikationspartner ist. DieAuthentifikation kann jedoch nicht nur zwischen Personen stattfinden, sondern auch zwischenMensch und IT-System bzw. zwischen zwei IT-Systemen. Wird dabei nur einer der beiden Kom-munikationspartner authentifiziert, so wird dies als einseitige Authentifikation bezeichnet. Damitist gemeint, dass die Identitat der authentifizierenden Seite fur den authentifizierten Partner un-gepruft bleibt. Werden hingegen beide Seiten authentifiziert, so sprechen wir von zweiseitigerAuthentifikation. Einseitige Authentifikation ist oft sicherheitskritisch, weil der authentisierendeKommunikationspartner einen Nachweis seiner Identitat erbringt, ohne zu wissen, an wen er diesenNachweis schickt. Denken Sie daran, wenn Sie z.B. Ihr Passwort an einen Webserver ubermitteln.

113

114 KAPITEL 7. AUTHENTIFIKATION

Innerhalb der IT-Sicherheit werden die folgenden vier Klassen von Authentifikationsverfahrenunterschieden:

1. Wissens-basiert : Zur Authentisierung dient eine Information, die nur die zu authentifizieren-de Person weiß (z.B. Passwort, PIN). Plakativ wird diese Klasse auch als

”was man weiß“

bezeichnet.

2. Besitz-basiert : Zur Authentisierung dient etwas, auf das nur die zu authentifizierende PersonZugriff hat (z.B. Schlussel, Reisepass, Token). Plakativ nennen wir diese Klasse auch

”was

man hat“.

3. Biologische biometrische Charakteristik : Zur Authentisierung dient eine biologische Eigen-schaft der zu authentifizierenden Person (z.B. Fingerabdruck, Iris, Gesicht). Plakativ wirddiese Klasse auch

”was man ist“ genannt. Oft wird diese Klasse auch als statische Biometrie

bezeichnet.

4. Verhaltens-basierte biometrische Charakteristik : Zur Authentisierung dient eine Verhaltens-weise der zu authentifizierenden Person (z.B. Sprechererkennung, Gang). Plakativ nennenwir diese Klasse auch

”was man kann“. Diese Klasse wird auch als dynamische Biometrie

bezeichnet.

Die in der Praxis wohl am meisten verbreitete Form ist die Wissens-basierte Authentifikation,wie sie bei der Anmeldung am Betriebssystem oder beim Zugriff auf einen Webshop oder einenahnlichen Dienst genutzt wird. Auch die Besitz-basierte Authentifikation ist weit verbreitet, bei-spielsweise erhalt eine Person Zugang zu sensiblen Raumlichkeiten nur dann, wenn sie im Besitzeiner Schlusselkarte ist. Die Gesichtserkennung als biologisches biometrisches Merkmal wenden wiran, sofern ein Identitatsdokument wie der neue Personalausweis oder der Reisepass zur Authen-tifikation genutzt wird. Alle diese Beispiele nutzen genau ein Verfahren, weshalb diese auch als1-Faktor Authentifizierung beschrieben werden konnen.

Zur Erhohung der Sicherheit werden in der Praxis haufig mehrere dieser Authentifikationsme-thoden miteinander kombiniert. Hierbei wird von der sogenannten Mehrfaktor-Authentifizierunggesprochen. Um erfolgreich eine Identitat zu missbrauchen, muss der Angreifer alle mit-einander kombinierten Methoden uberwinden. Ein alltagliches Beispiel fur eine Zweifaktor-Authentifizierung ist die Authentifikation eines Kunden an einem Geldausgabeautomaten. DieIdentitat wird durch den Besitz der Bankkarte und das Wissen der PIN bewiesen. Allerdings fin-det die Authentifikation in diesem Falle nur einseitig statt, d.h. nur der Nutzer authentifiziertsich gegenuber dem System (siehe oben). Das liefert Angriffsmoglichkeiten, um die Daten derBankkarte sowie die PIN zu kopieren.

Bevor die einzelnen Methoden der Reihe nach detailliert betrachtet werden, losen Sie bitte dienachstehenden Kontrollaufgaben.

Kontrollaufgabe 33 (Authentifikationsklassen). Nennen Sie die vier Klassen von Authentifika-tionsverfahren. Geben Sie jeweils mindestens drei Beispiele an.

Kontrollaufgabe 34 (Mehrfaktor-Authentifikation). Was wird unter dem Begriff Mehrfaktor-Authentifikation verstanden?

7.2 Wissens-basierte Authentifikation

In der Praxis wird die Authentifikation durch Wissen sehr haufig eingesetzt. Hierbei muss sichdas Subjekt, beispielsweise der Nutzer oder das System, durch ein Geheimnis authentisieren. Imfolgenden Abschnitt wird detailliert auf Verfahren der Wissens-basierten Authentifikation einge-gangen. Zuerst werden in Abschnitt 7.2.1 die Funktionsweise der Passwort-basierten Verfahrenund deren Vor- und Nachteile aufgefuhrt. Anschließend wird in Abschnitt 7.2.2 die Authentifi-kation an einem Unix-artigen Betriebssystem vorgestellt, das eine konkrete Implementierung furPasswort-basierte Verfahren ist.

7.2. WISSENS-BASIERTE AUTHENTIFIKATION 115

7.2.1 Passwort-basierte Verfahren

Passwort-basierteDas Authentifikationsverfahren kennen Sie von der alltaglichen Nutzung einesIT-Systems. Gangige Beispiele sind die Anmeldung an Ihrem lokalen Betriebssystem, an IhremMailserver oder einem Webdienst. Trotz andauernder Diskussionen rund um das Thema Pass-wortsicherheit bleibt Passwort-basierte Authentifiaktion allgegenwartig. Das hat zwei wesentlicheGrunde: das Konzept ist sehr einfach und die Realisierungskosten sind gering.

In diesem Abschnitt wird zunachst die sichere Speicherung von Passwortern diskutiert. An-schließend werden die Anforderungen an ein sicheres Passwort sowie Angriffe auf Passwort-basierte Verfahren thematisiert. Zum Abschluss werden Nutzer-generierte mit System-erzeugtenPasswortern verglichen.

Passwortspeicherung

Das Szenario einer Passwort-basierten Authentifikation lauft typischerweise so ab, dass sich derAnwender mit der behaupteten Identitat (der Benutzerkennung) und der Eingabe des Passwortsam IT-System anmelden will. Das IT-System verarbeitet die Eingabedaten und entscheidet aufBasis der systeminternen Datenbank, ob die Authentifikation erfolgreich ist oder nicht.

Das System ist dabei fur die sichere Speicherung und Verwaltung der Passworter zustandig.Gelingt dem Angreifer der Zugriff auf die interne Datenbank, so soll er dennoch nicht das Passwortkennen bzw. herausbekommen. Aus diesem Grund erfolgt die Speicherung der Passworter nichtim Klartext. Stattdessen dient das Nutzerpasswort als Eingabe fur eine Einwegfunktion, derenAusgabe in der Systemdatenbank hinterlegt wird. Einwegfunktion bedeutet, dass man bei Kenntnisdes Funktionswerts keine dazu passende Eingabe berechnen kann (den Begriff Einwegfunktionkennen Sie bereits aus dem Kontext von kryptographischen Hashfunktionen, siehe Definition 21).Im Zusammenhang mit Passwortern wird eine solche Einwegfunktion als Key Derivation Functionbezeichnet und mitKDF abgekurzt. Oft wird eine KDF durch eine kryptographische Hashfunktionwie SHA-512 realisiert. Bezeichnet also PW das Passwort, so ist

s = KDF (PW ) (7.1)

der im System hinterlegte Vergleichsstring. Die Abbildung 7.1 zeigt den allgemeinen Ablauf einerKDF in zwei Varianten. Dabei ist der linke Ablauf der eben beschriebene. Beim rechten Ablaufwird ein weiterer Eingabewert verwendet, der im weiteren Verlauf dieses Abschnitts erklart wird.

Password Password

| |

v v Salt

+-------+ +-------+ |

| KDF | | KDF |<--/

+-------+ +-------+

| |

v v

Derived Key Derived Key

Abbildung 7.1: Key Derivation Function mit und ohne Salt.

Beim Login berechnet der fur die Authentifikation verantwortliche Systemdienst aus dem vomNutzer eingegebenen Passwort PW den Wert KDF (PW ) und vergleicht die Ausgabe mit demim System hinterlegten Vergleichsstring s. Bei Ubereinstimmung ist der Nutzer authentifiziert,andernfalls nicht.

Ein Angreifer, der unautorisierten Zugriff auf die Datenbank erhalt, kennt somit den Ver-gleichsstring s. Allerdings soll er daraus kein gultiges Passwort PW berechnen konnen mits = KDF (PW ). Bitte beachten Sie, dass ihm das auf Grund der Einwegeigenschaft von KDFnicht gelingt.


Die Gleichung (7.1) hat aber einen entscheidenden Nachteil: ein Passwort PW wird immerzum gleichen Vergleichsstring s verarbeitet. Nutzen also unterschiedliche Anwender ein gleichesPasswort, so fallt dies an Hand der zugehorigen Vergleichsstrings auf. Daher wird zusatzlich einsogenannter Salt verwendet, der ebenfalls in der Datenbank der Vergleichsstrings gespeichert wird.Der Vergleichsstring s wird nun unter Zuhilfenahme des Salts und des Nutzerpassworts wie folgtberechnet:

s = KDF (PW,Salt). (7.2)

Bei gleichem Passwort, aber unterschiedlichem Salt, resultieren nun verschiedene Vergleichsstrings.Gleiche Passworter sind also nicht auf Anhieb erkennbar.

Hierbei existieren unterschiedliche Realisierungen einer KDF. Sehr verbreitet sind Variantenauf Basis kryptographischer Verfahren wie Hashfunktionen (vgl. Abschnitt 2.4 sowie Definiti-on 22) oder symmetrischen Blockchiffren. Mehr Details zur sicheren Speicherung erhalten Sie inAbschnitt 7.2.2. Dort wird die Authentifikation in Unix-Systemen und die dazu verwendete Pass-wortdatei beschrieben.

Auf Seiten des Systems ist die sichere Speicherung des Passworts nicht nur von der Starkeder verwendeten KDF abhangig, sondern auch von der Rechtevergabe und Zugriffskontrolle aufdie Passwortdatenbank. Das bedeutet, mit der Vergabe geeigneter Lese- und Schreibrechte kanndas unautorisierte Auslesen oder Uberschreiben eines Passworts verhindert und damit sogenanntePasswort-Cracking-Angriffe erschwert werden. Im Zusammenhang mit verteilten Systemen undNetzen ergeben sich weitere Faktoren. Hierbei muss ebenfalls ein sicherer Transfer der Eingabe-daten zum IT-System und die Authentizitat des Systems gewahrleistet sein.

Im Weiteren hangt die Sicherheit der Passworter auch von den nicht-technischen Vorgaben undRichtlinien ab. Besonders kritisch ist die Wahl geeigneter Passworter und der Umgang mit ihnen.Alle technisch realisierten Sicherheitsrichtlinien haben keinen Nutzen, wenn besonders schwachePassworter gewahlt werden oder ein Angreifer auf einfache Weise in Besitz des Passworts gelangenkann.

Anforderungen und Auswahl sicherer Passworter

Ein gutes Passwort ist ein Passwort, das durch die weiter unten beschriebenen Angriffe nicht invertretbarer Zeit von einem Angreifer gefunden wird. Im Zusammenhang mit der Frage, wie eingutes Passwort aussieht, horen Sie typischerweise folgende Tipps: Das Passwort sollte eine schwie-rige Zusammensetzung aufweisen, d.h. mindestens acht Zeichen lang sein und aus einem großenZeichenvorrat schopfen, z.B. Groß- und Kleinbuchstaben sowie Sonderzeichen. Daruber hinaussollte nicht ein Standardpasswort fur unterschiedliche Anwendungen verwendet werden, vielmehrsollten unterschiedliche Passworter fur unterschiedliche Dienste gewahlt werden. Zusatzlich solltendie Passworter in einem regelmaßigen Zeitraum geandert werden. Daher wird auch scherzhaft da-von gesprochen, dass Passworter wie Zahnbursten behandelt werden sollen. Eine Zahnburste wirdtaglich verwendet, jedoch regelmaßig gewechselt.

Die Anforderungen an Passworter sind in Merksatz 7 zusammengefasst.

Merksatz 7 (Anforderungen an Passworter). Ein Passwort sollte

1. nur fur genau einen Dienst genutzt werden.

2. einen moglichst großen Zeichenvorrat nutzen (Klein-/Großbuchstaben, Ziffern, Sonderzei-chen).

3. eine Mindestlange von acht Zeichen besitzen.

4. kein Wort sein, welches in einem Worterbuch nachgeschlagen werden kann. Insbesonderesollte es kein Eigenname sein oder einen Teil des eigenen Vor- und Nachnamens enthalten.

5. aus jeder Zeichenklasse (Groß- und Kleinbuchstabe, Ziffer, Sonderzeichen) mindestens einZeichen enthalten.


6. nicht aus einer Folge von Zeichen bestehen, die auf der Tastatur unmittelbar nebeneinan-der liegen, wie beispielsweise qwertz bei einer deutschen oder qwerty bei einer englischenTastaturbelegung.

7. regelmaßig nach Ablauf eines Zeitraums geandert werden (oft sind das 100 Tage).

8. sich von den vorangegangen Passwortern des jeweiligen Dienstes unterscheiden.

Ein praktikabler Ansatz, ein sicheres Passwort zu finden, besteht z.B. darin, einen hinreichendlangen Satz zu wahlen und von jedem Wort jeweils den Anfangsbuchstaben zu nutzen (sieheBeispiel 32. Dabei sollte in geeignetem Maße Sonderzeichen, Zahlen oder ahnliches eingestreutwerden (z.B. ’ !’ statt ’I’, ’?’ statt ’S’). Um sich das Passwort uber einen langeren Zeitraum merkenzu konnen, sollte der Satz eine Bedeutung fur den Nutzer haben.

Beispiel 32 (Ein Passwort von einem Satz ableiten). Um ein gutes Passwort zu wahlen wird derSatz ’Der Studienbrief zu IT-Sicherheit gibt mir viele gute Tipps!’ gewahlt. Bei Verwendung derAnfangsbuchstaben ergibt das zunachst das Passwort ’DSzI-SgmvgT!’. Das sind schon 12 Zeichen,also ein langes Passwort. Anschließend wird das erste ’S’ durch ’2’ sowie das erste ’g’ durch ’§’ersetzt. Das Passwort lautet daher ’D2zI-S§mvgT!’. Auch wenn der Großbuchstabe am Anfangsowie das Ausrufezeichen am Ende des Passworts leicht vorhersagbar sind, sollte das Passwortgangigen Angriffen widerstehen.


Sie werden sich sicher fragen, wieso an dieser Stelle Anforderungen und Auswahl sichererPassworter thematisiert wird. Schließlich ist das Thema fur Sie sicherlich nicht neu und fur jedenNutzer erscheint die Auswahl eines sicheren Passworts trivial. Tatsachlich neigen wir Menschenaber dazu, leicht zu erratende Passworter zu nutzen. Sie konnen sich davon mittels Tabelle 7.1und Abbildung ?? uberzeugen.

Rang Passwort

1 1234562 password3 123456784 qwerty5 abc1236 1234567897 1111118 12345679 iloveyou10 adobe123

Tabelle 7.1: Meistgenutzte Passworter im Jahr 2013. Quelle ? ].

Zu sehen sind die meistgenutzten Passworter in den Jahren 2013 (Tabelle 7.1), zusammen-gefuhrt aus den im Internet zuganglichen Login-Daten, die beispielsweise durch den Einbruch beider Firma Adobe von Angreifern erbeutet und veroffentlicht wurden.

Bevor im Folgenden Angriffe auf Passwort-basierte Authentifikationsverfahren erklart werden,sollen Sie gedanklich noch einmal zuruck zu Kapitel 1 gehen. Alle getroffenen Sicherheitsvorkeh-rungen greifen ineinander und bilden sozusagen eine Kette. Das primare Ziel eines Angreifers ist,mit moglichst geringem Aufwand ein Maximum an Informationen zu gewinnen, typischerweise alsodas schwachste Glied dieser Kette zu finden und anzugreifen. In vielen Fallen ist das der Benutzer.Alle technischen Maßnahmen sind hinfallig, wenn ein Mitarbeiter die Burotur nicht abschließt undPost-Its mit den Passwortern an den Monitor klebt.

Beispiel 33 (Schwachstelle Mensch: TV5 Monde). Ein bekanntes Beispiel fur den schlechten Um-gang mit Passwortern ist der Angriff auf den franzosischen Fernsehsender TV5 Monde im April2015. Dabei verfremdeten die Angreifer die Webseite des franzosischen Fernsehsenders, unterbra-chen die Ausstrahlung des Fernsehprogramms sowie nutzten unautorisiert Accounts des Sendersbei sozialen Medien.

Kurze Zeit spater stellte sich heraus, dass ein wesentlicher Grund fur diesen Vorfall der schlam-pige Umgang mit Passwortern war. Ein Redakteur des Senders ließ sich von Kamerateams inden eigenen Redaktionsraumen interviewen, dabei waren im Hintergrund auf ausgedruckten Pa-pieren in Großschrift Passworter zu erkennen. Das Passwort fur den Youtube-Kanal lautete z.B.lemotdepassedeyoutube (auf Deutsch also ’das Passwort fur Youtube’). Dann ist nicht viel Krea-tivitat notwendig, um Kandidaten fur den Twitter- oder Facebookaccount zu erhalten.

Angriffe auf Passwort-basierte Verfahren

In diesem Abschnitt lernen Sie Mittel des Angreifers kennen, um Passwort-basierte Authentifika-tionsverfahren anzugreifen und sich so das Passwort eines oder mehrerer Nutzer mit vertretbaremAufwand anzueignen.

Eine erste wesentliche Unterscheidung besteht darin, ob der Angreifer mit dem Authentifi-kationsdienst kommunizieren muss, um uber die Richtigkeit des Passworts zu entscheiden. Indiesem Fall wird von einem Online-Angriff gesprochen. Muss er dazu nicht mit dem Authen-tifikationsdienst kommunizieren, wird dies als Offline-Angriff bezeichnet. Ein Beispiel fur einenOnline-Angriff ist das Eintippen einer PIN auf dem gesperrten Smartphone-Bildschirm, bei einemOffline-Angriff liegt dem Angreifer typischerweise der hinterlegte Vergleichsstring s sowie das Salt


vor, so dass er diese einfach mit dem Kandidaten fur das Passwort in die KDF einsetzen und dieAusgabe mit s vergleichen kann.

Zunachst sollen Online-Angriffe betrachtet werden. Der Angreifer kennt den Vergleichsstringnicht, er muss seine Kandidaten fur ein Passwort dem Authentifikationsdienst ubermitteln. Da-durch entstehen fur den Angreifer zwei wesentliche Nachteile: die Kommunikation und Entschei-dung seitens des Authentifikationsdienstes kostet Zeit (z.B. das Eintippen einer PIN auf demGeldausgabeautomat) und der Authentifikationsdienst kann uber die Anzahl erfolgloser Authen-tifikationsversuche fur einen Nutzer Buch fuhren. Haufig wird nach drei erfolglosen Versuchen dieBankkarte gesperrt. Ein solches Vorgehen seitens Apple hatte vermutlich das im September 2014offentlich bekannt gewordene unautorisierte Verbreiten der Nacktbilder von US-Schauspielerinnen(The Fappening) verhindert. Apples iCloud-Dienst hatte uber die genutzte Schnittstelle

”Find my

iPhone“ keine Begrenzung erfolgloser Login-Versuche vorgesehen.

Bei Online-Angriffen uber ein Netzwerk gibt es folgende verbreitete Szenarien:

1. Replay-Angriff: Hierbei belauscht der Angreifer die Kommunikation zwischen dem NutzerBob und dem IT-System. Spater versucht er, sich durch Wiedereinspielen (d.h. einem Replay)der abgehorten Informationen als Bob zu authentisieren.

2. Man-In-The-Middle-Angriff: Bei einem Man-In-The-Middle-Angriff nutzt der Angreifer aus,dass sich oft das IT-System gegenuber dem Nutzer Bob nicht authentisiert. Der Angreifertritt daher gegenuber Bob als IT-System auf und gegenuber dem IT-System als Bob. Andersformuliert: Der Angreifer schiebt sich in die Mitte der beiden eigentlichen Kommunikations-parteien.

3. Password-Cracking: Beim Password-Cracking probiert der Angreifer mogliche Passworteraus, um das Passwort zu finden. Im Detail wird dieser Angriff im Rahmen der Offline-Angriffe erlautert.

Online-Angriffe uber ein Netzwerk werden verhindert, indem

• jeder Authentifikationsversuch eine Einmaldatenstruktur enthalt (zur Verhinderung vonReplay-Angriffen),

• das IT-System als echt gepruft wird (um Man-in-the-Middle-Angriffe zu verhindern) sowie

• nur eine endliche Anzahl an erfolglosen Login-Versuchen toleriert werden (zur Verhinderungdes Password-Crackings).

Offline-Angriffe bedeuten typischerweise, dass das Passwort durch eine geeignete Strategiegefunden wird. Dies wird oft auch als Password-Cracking-Angriff bezeichnet. Password-Crackersind in vielen frei verfugbaren Softwareprodukten enthalten (z.B. John the Ripper). Methodischgeht der Angreifer oft in folgender Reihenfolge vor:

1. Dictionary-Angriff oder Worterbuchangriff: Hierbei verwendet ein Passwort-Cracker, wie derName vermuten lasst, ein hinterlegtes Worterbuch mit moglichen Passwortern. Zusatzlichzu den hinterlegten Wortern erzeugt er auch Abwandlungen dieser Worter nach bestimmtenRegeln. Mit dieser Art Angriff konnen gangige Passworter (beispielsweise in Tabelle 7.1) undderen Abwandlungen ohne Probleme gefunden werden.

2. Rainbow Tables: Bei dieser Methode wird eine Tabelle mit zwei Spalten verwendet. In derersten Spalte stehen Passworter, in der zweiten die zugehorigen vorberechneten Vergleichss-trings. Die Tabelle ist nach den Vergleichsstrings sortiert, so dass sofort entschieden werdenkann, ob der gesuchte Vergleichsstring in der Rainbow Table steht oder nicht. Bedenken Sie,dass das richtige Passwort fur die entsprechende Nutzerkennung nicht benotigt wird, sondernnur eine Eingabe, die den gleichen Vergleichsstring liefert.


3. Brute-Force-Angriff: Bei einem Brute-Force-Angriff probiert der Angreifer alle moglichenKombinationen von Passwortern durch. Im Gegensatz zum Worterbuch existiert bei diesemAngriff keine Priorisierung der Passwortkandidaten. Bedenken Sie, dass der Brute-Force-Angriff die letzte Alternative ist, da der Zeitaufwand wesentlich hoher ist als bei den beidenvorhergehenden Angriffen.

Offline-Angriffe werden verhindert, indem der Angreifer keinen Zugriff auf Vergleichsstringssowie ggf. das jeweilige Salt erhalt.

Einen Schutzmechanismus gegen Rainbow Tables bietet der Einsatz des oben genannten Saltsbei der Passwortspeicherung. Denn fur jede Kombination aus Passwort und Salt existiert einEintrag fur einen Vergleichsstring in der Rainbow Table. Besteht das Salt z.B. aus 16 unabhangigenBits, so mussen in der Rainbow Table fur jedes Passwort 216 = 65536 unterschiedliche Eintragegespeichert werden – die Rainbow Table ’explodiert’ also mit wachsendem Salt und erschwertdaher dem Angreifer die Nutzung dieser vorberechneten Tabellen.

System-generierte und Einmal-Passworter

Oft erzeugt der Nutzer sein Passwort selbst. Das fuhrt zu Sicherheitsproblemen, wenn das Passwortmit einem Worterbuch- oder Rainbow-Table-Angriff schnell gefunden werden kann. In diesem Ab-schnitt lernen Sie alternative Erzeugungsverfahren fur Passworter kennen: vom System-generiertePassworter sowie Einmal-Passworter.

BeiSystem-generierten Passwortern erzeugt ein Dienst des IT-Systems ein Passwort fur denNutzer unter Berucksichtigung vorgegebener Richtlinien (z.B. gemaß Merksatz 7). Der Vorteildieser Passworter ist, dass diese (sofern richtig umgesetzt) den geforderten Sicherheitsrichtlinienentsprechen und daher von einem Angreifer nicht (technisch) gebrochen werden konnen. Allerdingsbesitzt das Verfahren auch einen erheblichen Nachteil. Benutzer konnen sich einfacher ein Passwortim Gedachtnis behalten, zu dem sie einen Bezug haben. Genau dies ist bei System-generiertenKennwortern in aller Regel nicht der Fall. Dieser Umstand kann vermehrt dazu fuhren, dass sichNotizzettel mit dem Passwort am Arbeitsplatz des Rechners befinden (oder im schlimmsten Falldie klassischen Klebezettel am Monitor).

Eine mogliche Losungsstrategie ist, dass Nutzer sich fur die unterschiedlichen Dienste jeweilsein System-generiertes Passwort erzeugen lassen. Diese Passworter werden in einer Passwortdateigespeichert, die wiederum durch ein Nutzerpasswort geschutzt ist. Dieses Nutzerpasswort heißtMasterpasswort, die Datei selbst wird oft als Keyring bezeichnet. Das Masterpasswort sowie derKeyring sind besonders sicherheitskritisch, der Zugriff darauf muss daher besonders geschutztwerden (etwa durch restriktive Zugriffsrechte). Man spricht auch von einem Single Point of Fai-lure. Gangige Browser bieten an, Passworter fur unterschiedliche Webseiten zu speichern unddurch ein Masterpasswort zu schutzen. Es gibt auch spezialisierte Programme zur Speicherungvon Passwortern. Diese Programme heißen Passwortmanager. Bekannte Passwortmanager sindKeePass1 oder Password Safe2.

Eineweitere Alternative bieten Passworter, welche nur fur die einmalige Nutzung vorgesehensind und nach einer Sitzung verfallen. Diese werden als Einmal-Passworter bezeichnet. Durch dieeinmalige Nutzung ist sichergestellt, dass ein moglicher Angreifer dieses nicht mehr fur seine Zweckemissbrauchen kann. Das Problem besteht nun darin, dass beide Seiten die Einmal-Passworterkennen mussen. Zur Losung gibt es zwei typische Ansatze:

1. Passwortlisten: Beide Kommunikationspartner verwenden eine Liste vorberechneterPassworter. Beispiele solcher Einmal-Passworter sind Transaktionsnummern (TANs) beimOnline-Banking in unterschiedlichen Varianten. Bei der klassischen Nutzung von TANs (be-liebige Auswahl) wahlt der Nutzer eine TAN seiner Wahl und ubermittelt diese an denAuthentifikationsdienst. Dadurch wird das Raten einer TAN fur den Angreifer vereinfacht,weil die Menge gultiger TANs relativ groß ist (z.B. 100 TANs bei einer neuen Liste). Bei der

1http://keepass.info2https://www.pwsafe.org/

http://keepass.info

https://www.pwsafe.org/


indizierten Auswahl gibt der Server den Index einer TAN vor, die der Nutzer dann nennenmuss. Daneben gibt es heute noch das mTAN-Verfahren; hierbei schickt die Bank zur Frei-gabe einer Transaktion eine Zahl (in vielen Fallen 6-stellig) an ein Mobiltelefon des Kunden.Zur Autorisation muss der Kunde diese Einmalzahl im Browser zur Bank ubermitteln.

2. Passwortgeneratoren: Diese basieren auf einem statischen gemeinsamen Geheimnis g. DasEinmal-Passwort wird dann zeit- oder ereignisgesteuert von beiden Seiten berechnet. Zeitge-steuert bedeutet z.B., dass das Einmal-Passwort h(g, t) ist, wobei t ein aktuelles Zeitfensterist (z.B. die aktuelle Zeit auf eine Minute genau) und h eine kryptographische Hashfunktion.Bei ereignisgesteuerten Passwortgeneratoren konnte man im k-ten Authentifikationsversuchh(g, k) als Einmal-Passwort verwenden.

Kontrollaufgabe 35 (Passwort-basierte Authentifikation). Wieso wird die Passwort-basierte Au-thentifikation verwendet, obwohl immer wieder zu schwache Passworter von Nutzern gewahlt wer-den?

Kontrollaufgabe 36 (Key Derivation Function). Was wird unter einer Key Derivation Function(KDF) verstanden? Wozu dient ein Salt in diesem Zusammenhang?

7.2.2 Authentifikation in Unix-Systemen

In Abschnitt 7.2.1 haben Sie die Grundlagen zur Passwortsicherheit kennengelernt. In diesemAbschnitt lernen Sie dazu eine konkrete Realisierung kennen, namlich die Authentifikation inUnix-Systemen (und damit auch in Linux-Derivaten wie Ubuntu). Dabei werden insbesonderezwei Aspekte beleuchtet:

1. Zugriffsschutz auf die Passwortdatei.

2. Realisierung der KDF sowie Nutzung des Salts.

Fur die Authentifikation in Unix-Systemen verwendet das System zunachst die Informationenaus der Datei /etc/passwd/. Denn diese Datei fuhrt Buch uber grundlegende Informationen zuallen im System hinterlegten Subjekten. Die Datei /etc/passwd ist eine einfache Textdatei (dieDatei passwd im Verzeichnis /etc), welche den Nutzernamen, eine eindeutige numerische Nutzer-ID, eine Gruppen-ID und weitere Informationen fur jeden Nutzer enthalt.

Beispiel 34 (Auszug aus der passwd-Datei). $ less /etc/passwd

[removed]

bob:x:1000:1000:bob,,,:/home/bob:/bin/bash

[removed]

$ ls -l /etc/passwd

-rw-r--r-- 1 root root 1740 Nov 5 2014 /etc/passwd

Das Beispiel 34 zeigt einen Auszug aus dieser Datei. Im oberen Teil existiert ein Eintrag furden Nutzer bob. Jede Information zu Bob ist durch einen Doppelpunkt voneinander getrennt. Ausder Datei wird ersichtlich, dass Bob sowohl die Nutzer- als auch die Gruppen-ID 1000 besitzt. SeinNutzerverzeichnis ist /home/bob, seine Standardshell die bash. Weitere Nutzer wurden fur diesesBeispiel entfernt.

Ein besonders sicherheitskritischer Aspekt entsteht durch die Berechtigungen der passwd -Datei.Diese kann von allen Nutzern des Systems gelesen werden. Der untere Teil von Beispiel 34 zeigt,dass alle drei Nutzergruppen das Leserecht ’r’ auf die Datei gewahrt wurde. Wurden der Ver-gleichsstring sowie das Salt fur alle Benutzer in der passwd-Datei gespeichert, so hatten auch alleNutzer des Systems Zugriff darauf – jeder Nutzer konnte diese Informationen extrahieren undeinen Offline-Angriff auf alle Passworter des Systems starten. Aus diesem Grund wurde der Ver-gleichsstring aus der passwd -Datei entfernt. Anstelle des Vergleichsstrings steht nur noch ein ’x’als zweiter Eintrag fur jeden Nutzer in der passwd-Datei.


Um solche Offline-Angriffe zu vermeiden, wird in den heutigen Unix-Systemen eine sogenannteSchattenpasswortdatei verwendet. Hierbei wird der Vergleichsstring samt Salt statt in der Datei/etc/passwd in der Datei /etc/shadow gespeichert. Der obere Teil von Beispiel 35 zeigt, dass nichtmehr alle Nutzer des Systems lesenden Zugriff auf die shadow-Datei haben: neben dem Besitzer derDatei (der Superuser root3, erkennbar an dem Eingabeprompt # statt $) erhalt auch die Gruppeshadow lesenden Zugriff. Lauft der Authentifikationsdienst also nicht mit root-Rechten, muss erdie Rechte der shadow-Gruppe besitzen, um auf die shadow-Datei lesend zuzugreifen.

Beispiel 35 (Auszug aus der shadow-Datei). # ls -l /etc/shadow

-rw-r----- 1 root shadow 1073 Nov 5 2014 /etc/passwd

# less /etc/shadow

[removed]

bob:$6$cQ2r$G1vzQGssinB27hv9DeihC0wKTmGqWfOMgQkjQWfWipZAOa8TsyggeG

UH55Ew72xz7gXTdVQaymZESCWBDKv.F1:16392:0:99999:7:::

[removed]

In Unix-Systemen stellt die Funktion crypt(3) die Funktionalitat der KDF bereit. Die Zahl ’3’soll diese Funktion von der gleichnamigen Verschlusselungsfunktion unterscheiden. Die Signaturder crypt(3)-Funktion ist

char *crypt(const char *key, const char *salt).

Sie erwartet also zwei konstante Strings als Eingabe, namlich das Nutzer-Passwort key sowiedas Salt. Der Ruckgabewert ist der String, der mit dem im System hinterlegten Vergleichsstringabgeglichen wird.

Im unteren Teil von Beispiel 35 ist der Eintrag fur Bob in der Schattendatei von einem aktuellenUnix-System zu sehen. Dieser beginnt mit $6$ und enthalt die uns interessierenden Informationen,namlich den Vergleichsstring sowie das Salt.

Beispiel 36 (Auszug aus der man-page der crypt(3)-Funktion). # man crypt

[removed]

If salt is a character string starting with the characters "$id$"

followed by a string terminated by "$":

$id$salt$encrypted

then instead of using the DES machine, id identifies the encryption

method used and this then determines how the rest of the

password string is interpreted. The following values of id are

supported:

ID | Method

----------------------------------------------------

1 | MD5

2a | Blowfish (not in mainline glibc; added in some

| Linux distributions)

5 | SHA-256 (since glibc 2.7)

6 | SHA-512 (since glibc 2.7)

Der Aufbau des Eintrags ist in Beispiel 36 erlautert. Dort sehen Sie einen Auszug aus der Hil-feseite der crypt(3)-Funktion. Der Eintrag enthalt insgesamt drei Datenstrukturen, die durchdas Dollarzeichen $ getrennt sind. Zunachst gibt die ID an, welche konkrete kryptographischeFunktion von crypt(3) verwendet wird. In diesem konkreten Fall von Beispiel 35 ist das die

3Innerhalb von Linux wird der Systemadministrator root auch als Superuser bezeichnet.

7.3. BIOMETRISCHE AUTHENTIFIKATION 123

’6’ – somit wird SHA-512 genutzt, eine aus heutiger Sicht hinreichend sichere kryptographischeHashfunktion. Danach steht das Salt, in diesem Fall der String cQ2r. Da jedes Zeichen aus ei-nem Zeichenvorrat von 64 Zeichen stammt (wegen der Base64-Kodierung), existieren insgesamt644 = 26·4 = 224 = 16.777.216 unterschiedliche Salt-Werte. Das ist zur Verhinderung von effizientnutzbaren Rainbow Tables ausreichend. Als letzte Datenstruktur sehen Sie den Base64-kodiertenSHA-512-Wert und damit den Vergleichsstring s uber das Passwort und den Salt.

Zur erfolgreichen Durchfuhrung eines Offline-Angriffs mittels Password-Cracking musste derAngreifer also zu gegebenem Hashwert und gegebenem Salt eine gultige Eingabe key fur SHA-512finden. Das ist aber nicht moglich, sofern das Passwort stark ist, weil SHA-512 eine Einwegfunktionist.

Altere Implementierungen von crypt(3) nutzen eine Variante des DES-Algorithmus. Das vomBenutzer gewahlte Passwort dient hierbei als Chiffrierschlussel. Mit diesem wird ein konstanter 64Bit langer Eingabeblock, bestehend aus Nullen, verschlusselt. Der daraus resultierende Geheimtextdient anschließend erneut als Eingabe fur eine Verschlusselung unter Verwendung des gleichenSchlussels. Dieser Vorgang wird insgesamt 25 mal durchgefuhrt. Das Salt ist eine 12 Bit Zahl undwird einmalig beim Einrichten des Passwortes vom Authentifikationsdienst erzeugt. Gespeichertwird das Salt in den ersten beiden Zeichen des Passworteintrags. Durch die Einbeziehung des Saltssoll sichergestellt werden, dass durch Verschlusselung mit dem gleichen Passwort unterschiedlicheVergleichsstrings entstehen.

Eine Zusammenfassung der Authentifikation am Unix-System am Beispiel der alterencrypt(3)-Implementierung: Nach Eingabe der Benutzerkennung und des Passwortes wird derNutzereintrag in der Datei /etc/passwd gesucht und der entsprechende Salt-Wert aus /etc/shadowgelesen. Nach der Durchfuhrung der oben beschriebenen Verschlusselung der Nullkonstante wirddie Ausgabe, also der endgultige Geheimtext nach der 25. Iteration, mit dem Eintrag in dershadow-Datei verglichen.

7.3 Biometrische Authentifikation

Zum Abschluss dieses Studienbriefes wird eine weitere mogliche Form der Authentifikation vorge-stellt. Im Gegensatz zu wissensbasierten Verfahren soll die Authentifikation nicht anhand spezi-fischen Wissens oder durch den Besitz eines Gegenstands nachgewiesen werden, sondern anhandmessbarer Eigenschaften bzw. Merkmale einer Person. Hierfur orientiert sich der Abschnitt an denBuchern von ? ] und ? ]4.

Gehen Sie davon aus, eine Person klingelt an Ihrer Haustur. Bevor Sie diese herein bitten,vergewissern Sie sich i.d.R., ob Ihnen die Person bekannt ist. Hierbei achten Sie auf individu-elle Merkmale der Person wie beispielsweise die Gesichtszuge, die Stimme und ahnliche. Wirddies in den technischen Bereich ubertragen, soll hierbei das System anhand dieser biometrischenEigenschaften entscheiden, ob die Identitat der Person bekannt ist oder nicht.

Die Historie der Biometrie lasst sich weit in der Geschichte zuruckverfolgen. Im asiatischenRaum dienten Fingerabdrucke bereits im Jahr 900 vor Christus als Siegel fur Briefe und Ver-trage. Angeblich wurden Sie im alten China bereits bei Strafprozessen eingesetzt. Im britischverwalteten Kolonialgebiet Indien stellte Sir William J. Herschel einen Antrag fur den Einsatz vonFingerabdrucken, um den Betrug fur Pensionszahlungen zu verhindern. Hierzu musste jeder pen-sionsberechtigte Inder seinen Fingerabdruck registrieren und die Pensionsauszahlung quittieren.Mit diesem Verfahren war die Identitat nachweisbar. In der Kriminalistik konnten im fruhen 20.Jahrhundert die ersten Delikte mit Hilfe des Fingerabdrucks aufgeklart werden.

Definition 26 (Biometrisches Charakteristikum, biometrische Modalitat). Unter einem biometri-schen Charakteristikum versteht man ein biologisches oder verhaltensabhangiges Charakteristikumeines Individuums, von welchem sich zur Unterscheidung von Personen verwendbare, reproduzier-bare Merkmale ableiten lassen, die zum Zwecke der automatischen Erkennung einsetzbar sind. Einbiometrisches Charakteristikum wird auch als biometrische Modalitat bezeichnet.

4Falls Sie tiefer in das Thema einsteigen mochten ist das Buch von ? ] zu empfehlen.


Definition 26 beschreibt, was wir unter einem biometrischen Charakteristikum verstehen. Da-bei unterscheiden wir zwischen biologischen (synonyme Bezeichnungen sind statisch oder physio-logisch) sowie verhaltensabhangigen (dynamischen) Modalitaten. Diese Eigenschaften andern sichim Laufe der Lebenszeit nur in sehr seltenen Ausnahmen. Beispiele fur statische bzw. dynamischeCharakteristika sind:

1. Biologische Charakteristika:

• Fingerabdruck (z.B. im deutschen Reisepass)

• Gesicht (z.B. im deutschen Reisepass)

• Iris (Regenbogenhaut)

• Weitere: Ohren, Handgeometrie, Venen, Retina (Netzhaut), DNA (Vorsicht: eineiigeZwillinge/Drillinge)

2. Verhaltens-Charakteristika:

• Stimme (Sprechererkennung)

• Tippverhalten (z.B. auf einer Computertastatur)

• Gang

• Weitere: EKG, dynamische Unterschrift

Definition 27 (Biometrie). Unter Biometrie versteht man die Beobachtung und Messung vonCharakteristika des menschlichen Korpers zum Zwecke der (Wieder-)Erkennung.

In Definition 27 fuhren den Begriff Biometrie ein. Internationale Standards wie ISO-Standardsbeschreiben das so: Automated recognition of individuals based on their behavioral and biologi-cal characteristics. Wichtig ist, dass wir Biometrie als eine automatisierte, technische (Wieder-)Erkennung von Personen auffassen.

7.3.1 Biometrisches System

Ein biometrisches System hat die Aufgabe, eine oder auch mehrere statische oder dynamischeModalitaten der Person zu erfassen und, in Abhangigkeit des Einsatzes, die Identitat zu ermittelnoder zu verifizieren.

Die generische Funktionsweise eines biometrischen Systems ist wie folgt:

1. Im ersten Schritt wird der Benutzer dem System ’vorgestellt’. Dazu wird die biometrischeCharakteristik des Benutzers aufgezeichnet und im System gespeichert. Dieser Vorgang heißtEnrolment.

2. Beim Authentisierungsversuch wird die Charakteristik wiederum aufgenommen und mit dergespeicherten Referenz verglichen. Wird ein Schwellwert uberschritten, gilt der Benutzer alsauthentisiert. Der Vergleich kann auf unterschiedlichem Wege durchgefuhrt werden. Wirdeine behauptete Identitat einer Person gepruft (d.h. die Person gibt ihre Identitat an unddas System pruft diese Behauptung), so spricht man von Verifikation oder 1:1-Vergleich(weil nur gegen eine Referenz gepruft wird). Wird keine Identitat behauptet, sondern solldie Person erkannt werden, so spricht man von Identifikation oder 1:n-Vergleich. Bei derIdentifikation wird also solange gegen im System gespeicherte Referenzen gepruft, bis eseinen Treffer gibt oder bis alle Referenzen erfolglos gepruft wurden.

3. Wahrend der Authentifikation laufen Prozesse zur Erkennung von Falschungen ab, um An-griffe auszuschließen (so genannte Lebend-Erkennung).


Enrolment Wie oben bereits erklart, muss der Benutzer zunachst im biometrischen System hin-terlegt werden. Dieses Enrolment ist in Abbildung ?? durch die rot gepunktete Linie dargestellt.Erfasst wird die Charakteristik mittels eines geeigneten Sensors, der zentraler Teil der Daten-erfassungskomponente (im Englischen Data Capture Subsystem) ist. Die vom Sensor erfasstendigitalisierten Rohdaten der Person heißen biometrisches Sample.

Im nachsten Arbeitsschritt fuhrt das Signalverarbeitungssystem (im Englischen Signal Pro-cessing Subsystem) die Vorverarbeitung des biometrischen Samples durch. Zunachst pruft dasSignalverarbeitungssystem, ob das Sample in geeigneter Qualitat vorliegt (es konnte durch Rau-schen oder sonstige Storungen nicht oder schlecht nutzbar sein). Sollte die Qualitat schlecht sein,versucht das System, die Rohdaten qualitativ zu verbessern. Ist das biometrische Sample nichtnutzbar, fuhrt das System eine erneute Erfassung der Charakteristik durch (Re-capture).

Da biometrische Rohdaten fur einen direkten Vergleich zu komplex sind, extrahiert das Si-gnalverarbeitungssystem im nachsten Schritt charakteristische Merkmale aus dem biometischenSample, die sogenannten Features. Ein Feature bezeichnet also ein markantes Kennzeichen, das auseinem biometrischen Sample extrahiert wird und zum Vergleich verwendet werden kann. Featuresdienen der Komplexitatsreduktion. Fur einen Fingerabdruck gibt es charakteristische Punkte (sogenannte Minutien).

Features werden zu einem biometrischen Template zusammengefasst. Dieses bezeichnet eineMenge von gespeicherten biometrischen Merkmalen, die direkt vergleichbar zu den biometrischenMerkmalen einer biometrischen Probe sind.

Im letzten Schritt des Enrolment werden die biometrischen Informationen einer Person zuge-ordnet. Unter einer biometrischen Referenz (oft auch Referenzdatensatz) versteht man ein odermehrere gespeicherte biometrische Samples oder biometrische Feature, die einer Person zugeord-net wurden und als Objekt zum biometrischen Vergleich verwendet werden. Diese biometrischeReferenz wird im Datenspeichersystem des biometrischen Systems gespeichert. Damit ist das En-rolment beendet, die Person ist im System mit Namen und zugehoriger biometrischer Referenzhinterlegt.

Verifikation (1:1-Vergleich) Bei der Verifikation (oder auch 1:1-Vergleich) uberpruft das Sys-tem die behauptete Identitat des Anwenders. In Abbildung ?? ist die Verifikation mittels derdurchgezogenen blauen Linie dargestellt. Der Nutzer gibt zunachst seine Identitat an (biometricclaim), die im Folgenden vom System gepruft wird. Analog zum Enrolment nimmt die Datenerfas-sungskomponente das biometrische Sample auf. Anschließend fuhrt das Signalverarbeitungssystemdie Qualitatskontrolle durch und extrahiert die Features. Das im Rahmen der Authentisierungerfasste biometrische Sample bzw. die daraus extrahierten biometrischen Merkmale heißen biome-trische Probe. Die biometrische Probe dient als Eingabe zu einem Algorithmus zum Vergleich miteiner biometrischen Referenz.

Im nachsten Schritt fuhrt das Vergleichssystem den biometrischen Vergleich durch. Darunterversteht man die Schatzung, Berechnung oder Messung der Ahnlichkeit oder Unterschiedlichkeitzwischen der gerade erfassten biometrischen Probe und der im System hinterlegten biometrischenReferenz. Ausgabe des biometrischen Vergleichs ist ein Ahnlichkeitswert (comparison score). Wirdein hoher Grad an Ahnlichkeit erreicht (d.h. ein bestimmter Schwellwert (threshold) uberschritten),wird die behauptete Identitat bestatigt, im anderen Fall abgewiesen.

Die Verifikationsentscheidung des Entscheidungssystems kann falsch sein. Dafur konnen zumeinen biometrische Algorithmenfehler oder andererseits Systemfehler verantwortlich sein. Sehenwir uns zwei wichtige Fehlerraten an:

1. False Match Rate (FMR): Die FMR ist ein Algorithmenfehler. Der Vergleichsalgorithmusliefert also die Ausgabe Person verifiziert, obwohl die biometrische Probe nicht zur behaup-teten Identitat passt. Die Wahrscheinlichkeit (in der Praxis typischerweise durch die relativeHaufigkeit berechnet), mit der dieser Fall eintritt, beschreibt die FMR.

2. False Non-Match Rate (FNMR): Die FNMR ist ebenfalls ein Algorithmenfehler. Der Ver-gleichsalgorithmus liefert also die Ausgabe Person nicht verifiziert, obwohl die biometrische


Probe zur behaupteten Identitat passt. Die Wahrscheinlichkeit (in der Praxis typischerweisedurch die relative Haufigkeit berechnet), mit der dieser Fall eintritt, beschreibt die FNMR.

Identifikation (1:n-Vergleich) Identifikation bedeutet Ermittlung der Identitat. Im Gegensatzzur Verifikation wird keine Identitat vorgegeben. Die Vorgehensweise ist in Abbildung ?? durch dieblau gestrichelte Linie dargestellt. Das erfasste biometrische Sample der Person wird nach und nachmit allen in der Datenbank hinterlegten Referenzen verglichen. Daher wird die Identifikation auchals 1:n-Vergleich bezeichnet. Die Ausgabe des Vergleichssystems besteht bei der Identifikation auseiner Liste mit n Vergleichswerten. Jede Referenz, fur die der Vergleichswert uber dem eingestelltenSchwellwert liegt, ist ein Kandidat fur die Identitat der Person. Je nach Entscheidungsrichtlinie(decision policy) gibt das System dann eine Liste von moglichen Personen an, die zu der erfasstenbiometrischen Probe gehort. Diese Liste kann leer sein, dann ist die Person vermutlich bisher imSystem nicht erfasst.

Anforderungen an biometrische Modalitat sowie System Wie bereits erwahnt, kommenzahlreiche biometrische Modalitaten fur eine biometrische Authentifikation in Frage, beispielswei-se der klassische Fingerabdruck, die Iris, das Gesicht oder die Sprechererkennung. Eine wichtigeFrage ist nun, wann eine Modalitat fur eine biometrische Authentifikation geeignet ist. Dabei istunabhangig von statischer oder dynamischer Charakteristik die Eignung an mehrere Vorausset-zungen gebunden, die wir im Folgenden angeben und kurz erlautern.

1. Universalitat (universality): Jede Person sollte die Charakteristik haben. Universalitatwird auch als Verbreitung bezeichnet.

2. Unverwechselbarkeit (distinctiveness): Die Charakteristik ist fur jede Person hinrei-chend unterschiedlich ausgepragt. Unverwechselbarkeit wird auch als Einzigartigkeit bezeich-net.

3. Bestandigkeit (permanence): Die Charakteristik ist uber einen ausreichend großen Zeit-raum unveranderlich.

4. Erfassbarkeit (collectability): Die Charakteristik lasst sich quantitativ von einem Sensormit geringem Aufwand erfassen. Erfassbarkeit wird auch als Messbarkeit bezeichnet.

5. Performanz (performance): Die Erkennungsleistung des Systems ist fur einen praktischenEinsatz hinreichend gut. Auch die Geschwindigkeit ist schnell genug fur eine praktischeAnwendung.

6. Akzeptabilitat (acceptability): Die Charakteristik sowie das System werden von denNutzern im Alltag angenommen.

7. Falschungssicherheit (circumvention): Es ist schwer, das System zu umgehen (zumBeispiel ist es schwer, ein Replikat der Charakteristik zu erstellen).

Jede statische oder dynamische Eigenschaft kann fur die biometrische Identifikation und Veri-fikation eingesetzt werden, solange die eben genannten Anforderungen erfullt werden. Als Beispielsoll an dieser Stelle der Fingerabdruck dienen. Diese Merkmal ist bei jeder Person vorhanden(Universalitat). Auch eine Unverwechselbarkeit des Fingerabdrucks ist bestatigt. Da sich der Fin-gerabdruck erst wahrend des Wachstums bis zum vierten Embryonalmonat entwickelt und sich imLaufe des Lebens mit seltenen Ausnahmen nicht mehr andert, ist ebenfalls eine hohe Bestandigkeitgegeben. Und der Fingerabdruck ist quantitativ durch Sensoren erfassbar (z.B. als JPG-Bild). BeiFingerabdrucken ist die Performanz des Systems im Hinblick auf die Erkennungsleistung und dieGeschwindigkeit gegeben. Fingerabdrucke werden von der Bevolkerung angenommen. Im Hinblickauf die Falschungssicherheit ergibt sich aber aus der ’Fluchtigkeit’ des Fingerabdrucks: Fingerab-drucke sind relativ offentliche Daten, da im Alltag Fingerabdrucke in vielfaltiger Weise hinterlassenwerden. Daher ist eine Lebenderkennung hier sehr wichtig.


7.3.2 Biometrische Modalitaten

Dieser Abschnitt gibt einen Uberblick zu heute eingesetzten biometrischen Modalitaten. Aller-dings werden nur ausgewahlte Techniken genauer betrachtet. Wir stellen dabei nur grundlegendeInformationen vor, auf technische Details und Algorithmen gehen wir nicht weiter ein.

Fingerabdruckverfahren Fingerabdruckverfahren werden auch als daktyloskopische Verfahrenbezeichnet. Sie sind noch heute das am meisten eingesetzte biometrische Authentifikationsverfah-ren. Ein Grund dafur sind die geringen Kosten und die geringe Flache, die der Sensor einnimmt.Solche spezifischen Sensoren befinden sich heute beispielsweise in Notebooks oder anderen mobilenEndgeraten (z.B. iPhone). Ein weiterer Grund ist die hohe Erkennungsperformanz des Verfahrens.Somit stellt sich die Frage, was einen Fingerabdruck so einzigartig macht.

Die Fingerabdrucke, die von Menschen hinterlassen werden, entstehen durch die sogenanntenPapillarlinien. Papillarlinien sind Erhebungen auf der Leistenhaut, die unterschiedliche Musterbilden. Diese Struktur der Linien bildet sich schon im Mutterleib auf Basis von Erbgut und Um-welteinflussen. Sie wird dann im Laufe des weiteren Lebens identisch reproduziert und bleibt inder Regel bis zum Tod erhalten. Minutien sind charakteristische Punkte und Verzweigungen derPapillarlinien.

Die Lage der Minutien im Fingerabdruck wird oft als Features bei der Fingerabdruckerkennunggenutzt. Zuerst wird der Scan des Fingerabdrucks, vom Sensor erfasst wird. Im nachsten Schrittwird dieses Bild qualitatsgesichert und vorverarbeitet. Danach werden die Minutien detektiertund schließlich als Punktewolke dargestellt. Diese Punktewolke wird zum Beispiel im Rahmendes Enrolment als biometrische Referenz in der Datenbank hinterlegt. Fur den Abgleich einesprasentierten Fingerabdrucks im Rahmen der Verifikation oder Identifikation extrahiert das bio-metrische System die Features des prasentierten Fingerabdrucks und vergleicht diese Punktewolke(jetzt als biometrische Probe) mit der hinterlegten Referenz. Ausgabe ist ein Vergleichswert. Liegtdieser oberhalb des festgelegten Schwellenwerts, ist die Authentifikation erfolgreich.

Iriserkennung Ein weiteres Verfahren, welches eine hohe Erkennungsgute aufweist, ist die bio-metrische Authentifikation auf Basis der Iris (Regenbogenhaut). Die Iris besitzt wie auch derFingerabdruck eine komplexe sowie einzigartige Struktur, die sich individuell in den ersten Le-bensmonaten herausbildet. Diese Struktur bleibt, mit Ausnahme von seltenen Krankheitsfallen,wie beim Fingerabdruck bis zum Tod erhalten. In der Iris finden sich ca. 250 Charakteristika, dievon Mensch zu Mensch eine Varianz aufweisen konnen und daher zur Authentifikation genutztwerden konnen.

Mit Hilfe einer speziellen Kamera wird aus einer kurzen Distanz das Bild der Iris aufgenommen.Ungunstige Lichteffekte haben keinen Einfluss auf die Gute des Verfahrens, da diese mathema-tisch ausgeglichen werden konnen. Auch das Tragen von durchsichtigen Kontaktlinsen hat keinenEinfluss auf das Verfahren, da hierdurch die Struktur der Iris nicht uberlagert wird. Einen Aufsatzauf die Iris kann man z.B. daran erkennen, dass sich der Pupillendurchmesser bei unterschiedlicherHelligkeit nicht andert. Im Rahmen der Merkmalextraktion wird der innere und außere Rand derIris identifiziert (siehe Abbildung ??). Danach wird die Iris ’aufgerollt’, die Features extrahiertund als Rechteck dargestellt. Das ist der sogenannte IrisCode (links oben in Abbildung ??).

Gesichtserkennung Im Weiteren wird ein Verfahren beschrieben, mit dem Menschen sich imrealen Leben wiedererkennen und authentifizieren: Das Gesichtserkennungsverfahren. Im Gegen-satz zum Menschen ist fur ein biometrisches System die Authentifikation anhand des Gesichtsschwieriger. Grunde dafur sind, dass sich das Aussehen der Person aufgrund naturlicher Alterung,der Mimik, Lichtverhaltnisse und Blickwinkel verandern kann. Als Sensoren konnen beispielsweiseeine normale Fotokamera oder eine Videokamera eingesetzt werden, um ein 2D-Bild des Gesichtszu erhalten. Die Videokamera speichert lediglich eine Sequenz von 2D-Bildern. Eine sicherere,aber kosten-intensivere Alternative ist die Verwendung von Infrarotkameras oder 3D-Kameras, umden Einfluss der Lichtverhaltnisse oder des Blickwinkels auszugleichen. Aufgrund der erheblichen


Schwachen der Gesichtserkennung kommt diese allerdings nicht in sicherheitsrelevanten Bereichenzum Einsatz.

Zur Gesichtserkennung existieren unterschiedliche Verfahren. Hierbei wird zwischenmodellbasierten- und texturbasierten Verfahren differenziert. Ein Modellbasiertes Verfahren, wel-ches an dieser Stelle kurz verdeutlicht werden soll, ist das sogenannte Elastic-Graph-Bunch Modell.Anhand charakteristischer Punkte, wie dem Nasenansatz, dem Mundwinkel oder anderen Punk-ten, wird ein Gitternetz uber das Gesicht der Person gelegt. Im Zuge der Authentifikation werdendie Lange und Winkel der Kanten mit denen des Referenzdatensatzes verglichen.

Sprechererkennung Die bisher vorgestellten biometrischen Verfahren basieren auf den stati-schen physiologischen Eigenschaften der Personen. Ein dynamisches verhaltensbasiertes Verfahrenist die Stimmerkennung, die oft auch Sprechererkennung genannt wird (bitte nicht mit der Spra-cherkennung verwechseln, bei der die Inhalte des gesprochenen Textes erkannt werden sollen, nichtaber der Sprecher). Die Authentifikation der Person erfolgt hierbei auf Basis des Gerauschs, welchesdurch die Resonanz der Mund- und Nasenhohle erzeugt wird. Die Person muss dabei in der Regelein bestimmtes Passwort oder einen Satz aussprechen. Das akustische Signal wird anschließendvom System ausgewertet.

7.3.3 Vor- und Nachteile biometrischer Verfahren

Im Folgenden werden die Vor- und Nachteile der biometrischen Techniken und der damit zusam-menhangenden Authentifikation zusammengefasst. Außerdem befasst sich dieser Abschnitt gezieltmit der Sicherheit der Biometrie.

Vorteilhaft bei biometrischen Verfahren ist die hohe Kopplung zwischen der biometrischenEigenschaft und der jeweiligen Person. Das bedeutet, die Eigenschaft kann nicht unbeabsichtigtverloren gehen, man kann sie nicht vergessen und es ist nicht moglich zu delegieren, d.h. dieMerkmale an einen Dritten weiterzugeben.

Allerdings bleibt das Risiko der unsicheren Ubertragung. Sofern ein Angreifer biometrischeDaten abfangen kann, ist dieser eventuell im Stande, einen Maskierungsangriff durchzufuhren.Das soll die Lebenderkennung allerdings verhindern.

Dies sind allerdings nicht die einzigen Problemstellungen, die der Einsatz biometrischer Verfah-ren nach sich zieht. ? ] definiert hierzu drei Klassen von Problemen, die sich aus der engen Kopplungzwischen den biometrischen Eigenschaften und der zu authentifizierenden Person ergeben. Hierbeiunterscheidet Eckert Gefahren der informationellen Selbstbestimmung, Gewaltkriminalitat sowieder Unveranderlichkeit der biometrischen Eigenschaften.

Informationelle Selbstbestimmung Im Zuge der Biometrie dienen die statischen und dyna-mischen Eigenschaften als eindeutige Identifikatoren fur eine Person. Diese Eigenschaften konnenjedoch an einer Vielzahl von Orten und Gegebenheiten unbemerkt erfasst und analysiert wer-den. Menschen hinterlassen ihre Fingerabdrucke an offentlichen Platzen, Videokameras konnenunbemerkt fur die Gesichtserkennung eingesetzt werden. Mit der Hilfe von Aufenthaltsdaten, diebeispielsweise bei der Nutzung von mobilen Geraten entstehen, konnen sogar detaillierte Bewe-gungsprofile erstellt werden. Die biometrischen Eigenschaften konnen nicht einfach abgelegt wer-den, um sich einer Uberwachung zu entziehen.

Auf der Gegenseite konnen naturlich ebenfalls die biometrischen Sensoren fur andere Zweckemissbraucht werden. Denken Sie beispielsweise an die Gesichtserkennung als Zugangskontrolle amArbeitsplatz. Die Kameras konnten beispielsweise zur unbemerkten Uberwachung der Mitarbei-ter eingesetzt werden, woraus eine weitere Gefahr fur die Informationelle Selbstbestimmung desArbeitnehmers resultiert.

Die Uberwachung ist allerdings nicht der einzige potentielle Missbrauch, der das Recht auf in-formationelle Selbstbestimmung der Personen einschrankt. Biometrische Verfahren erfassen nebenden Eigenschaften, die fur die Authentifikation benotigt werden, weitere Informationen uber die


Person. Beispielsweise konnen bei der Iriserkennung Ruckschlusse auf Krankheitsbilder wie Dia-betes oder Bluthochdruck geschlossen werden. Das bedeutet, jede Auswertung der biometrischenDaten kann Auskunft uber den aktuellen korperlichen Gesundheitszustand oder Gemutszustandeiner Person liefern.

Gewaltkriminalitat Ein weiterer Aspekt betrifft eine mogliche erhohte Gefahr fur diekorperliche Unversehrtheit des Merkmalstragers durch gewaltsame Aktionen. Das bedeutet, wenndie Person oder Merkmale der Person als Schlussel fur den Zugang zu sensiblen Bereichen dienen,ist diese einem erhohtem Risiko von kriminellen und gewaltsamen Delikten ausgesetzt. Beispiels-weise konnten Angreifer durch Erpressungen oder unter Gewaltandrohung die Zugangskontrolleumgehen.

Unveranderlichkeit der Eigenschaften Eine weitere Problemstellung der Biometrie ergibtsich durch die Unveranderbarkeit der biometrischen Merkmale. Die Identifikation und Verifikationeiner Person erfolgen auf Basis der gespeicherten Referenzdatensatze. Sind diese Referenzdateneiner oder mehrerer Personen kompromittiert, konnen diese nicht einfach erneuert werden, wiebeispielsweise bei einem Passwort. Im schlimmsten Fall ist die Zugangskontrolle mit Hilfe desbiometrischen Systems fur die betroffenen Personen nicht mehr nutzbar, was weitreichende Folgenhaben kann.

Eine wichtige Voraussetzung, um dieses Problem zu losen ist, die Authentizitat sowie die Inte-gritat der Referenzdaten sicherzustellen und das Abfangen der aktuellen biometrischen Authentifi-kationsdaten durch einen Angreifer auszuschließen. Ebenso muss die korrekte und sichere Funktiondes biometrischen Systems gewahrleistet werden.

Abschließende Sicherheitsbetrachtungen Nachdem wir nun die Vor- und Nachteile biome-trischer Verfahren kennengelernt haben, kommen wir zu einer abschließenden kurzen Sicherheits-betrachtung.

Zwei wesentliche Nachteile sind Datenschutzaspekte sowie die Unveranderlichkeit der Tem-plates. Mittlerweile gibt es Ansatze der Forschung, auch revozierbare und datenschutzfreundlicheTemplates zu erzeugen. Revozierbar bedeutet, dass man ein Template im Falle einer Kompromit-tierung zuruckziehen und durch ein anderes Template ersetzen kann. Datenschutzaspekte werdendurch Template Protection Verfahren adressiert. Dabei werden nicht die biometrischen Rohdaten,sondern nur die Features gespeichert. Damit stehen vermutlich in der mittleren Zukunft Methodenzur Verfugung, um zumindest zwei der drei wesentlichen Nachteile zu beheben.

Die sichere und vertrauensvolle Verwaltung der Referenzdatensatze sind wesentliche Voraus-setzungen fur die Akzeptanz biometrischer Systeme. Anders ausgedruckt, die Sicherstellung derIntegritat, Authentizitat sowie die Zuverlassigkeit der Referenzdatensatze muss gewahrleistet wer-den. Die Biometrie bietet nicht in allen Anwendungsbereichen eine alternative Einsatzmoglichkeitzu klassischen Authentifikationsverfahren, kann jedoch in entsprechenden Szenarien zu einer erheb-lichen Qualitatssteigerung beitragen. Allerdings muss bedacht werden, dass hierbei auch gleicheSicherheitsrichtlinien gelten mussen wie beispielsweise bei der wissensbasierten Authentifikation.Eine biometrische Eigenschaft sollte nicht fur unterschiedliche Zugangskontrollen eingesetzt wer-den.

Zusammenfassend ist der Einsatz eines biometrischen Systems und die Auswahl der Eigen-schaften, welche zur Authentifikation herangezogen werden, abhangig von den gestellten Sicher-heitsanforderungen und sollten sich im technischen und finanziellen Rahmen halten.


Documents

IT-Sicherheit · 8 KAPITEL 1. GRUNDLAGEN DER IT-SICHERHEIT Abbildung 1.1: Ursachen von Datendiebst ahlen und Datenpannen, Quelle: Symantec [ ? ] Systeme ein geringes Hindernis dar