“Unter Auditing versteht man das Aufzeichnen,
Untersuchen und Reviewen von sicherheitsrelevanten
Aktivitäten in einem vertrauenswürdigen
System.” 1
Auditing ist eines der wesentliche Elemente in einem sicheren System. Ansonsten wäre es nicht mehr möglich festzustellen, was wann passiert ist und wer diese Aktionen vorgenommen hat.
Da es jedoch oft erforderlich ist, daß Logfiles, die beim Auditing erzeugt werden, auf einem System abgelegt werden, das möglicherweise manipuliert wird, besteht die Gefahr, daß auch die Logfiles verändert werden und somit unbrauchbar sind. Zwar läßt sic dieses Problem, wie Clifford Stoll in [9] gezeigt hat auch ohne kryptographische Methoden mit Hilfe von mehreren Druckern, die an allen seriellen Zugängen zu dem System hängen und den gesamtem Datenaustausch protokollieren, lösen, das ist jedoch nicht sehr effizient. Auch der Einsatz vonWORMs ist nicht immer möglich. Selbst wenn die Daten in den Logfiles nicht manipuliert werden können, kann ein Angreifer möglicherweise wertvolle Daten allein durch lesen aus ihnen gewinnen.
Bei einer elektronischen Geldbörse zum Beispiel ist es wichtig, trotz der bestehenden Sicherheitsmaßnahmen, Manipulationen aufdecken zu können. Logfiles können nicht nur eingesetzt werden um zu zeigen, daß etwas manipuliert wurde, sondern auch als Beweis dafür dienen, daß eine gewollte Aktion tatsächlich stattgefunden hat. In letzter Zeit beispielsweise entstehen vermehrt Projekte, bei denen große Rechenaufgaben auf mehrere Computer verteilt werden. Die einzelnen Computer rechnen dabei Teilaufgaben und liefern die Ergebnisse an einen Server (vgl. distributed-net2, SETI3). Dabei wäre es jedoch wünschenswert wenn man beweisen könnte, daß die einzelnen Rechner tatsächlich die Aufgabe gerechnet haben und nicht nur irgendein beliebiges Ergebnis an den Server schicken. Ein weiteres interessantes Einsatzgebiet können digitale Kameras sein, bei denen sichergestellt werden muß, daß das Foto nicht verfälscht wurde und tatsächlich zu einem bestimmten Zeitpunkt an einem bestimmten Ort aufgenommen wurde.
Inhaltsverzeichnis
1 Probleme beim Auditing
2 Kryptographische Unterstutzung fur sichere Logfiles auf nicht vertrauenswurdigen Maschinen
2.1 Systemaufbau
2.2 Einschrankungen
2.3 Notation
2.4 Ablauf
2.4.1 Erzeugen eines Logfile-Eintrages
2.4.2 Erstellen des Logfiles
2.4.3 Schließen des Logfiles
2.4.4 Uberprufen des Logfiles
2.5 Erweiterungen
2.5.1 Hash-Lattice
2.5.2 Ersetzen von T durch mehrere unsichere Peers
2.6 Potentielle Angriffe
3 Remote Auditing von Software Outputs mittels eines "Trusted Coprocessor"
3.1 System Konfiguration
3.2 Protokolle
3.3 Notation
3.4 Initialisierung des Authenticator
3.5 Adding a New Program
3.6 Starting Authenticated Software
3.7 Authenicate Output
3.8 Aufteilen der Software
4 Kombination der beiden Verfahren
Zielsetzung und Themen
Diese Arbeit untersucht Methoden zur Gewährleistung der Sicherheit und Integrität von Logdateien auf nicht vertrauenswürdigen Systemen sowie zur Authentifizierung von Software-Outputs mittels dedizierter Hardware-Komponenten. Das primäre Ziel ist es, kryptographische Protokolle aufzuzeigen, die Manipulationen an Protokollierungssystemen und Software-Ausgaben nachweisbar machen oder verhindern.
- Kryptographische Absicherung von Logfiles auf kompromittierten Systemen
- Einsatz von Hash-Ketten zur Integritätsprüfung
- Authentifizierung von Software-Outputs durch "Trusted Coprocessors"
- Protokolle zur sicheren Interaktion zwischen Computern und Hardware-Authentifikatoren
- Analyse potenzieller Angriffsvektoren bei Remote-Auditing-Verfahren
Auszug aus dem Buch
2.1 Systemaufbau
Das System besteht aus einer nicht vertrauenswurdigen Maschine U, die nicht oder nicht ausreichend gegen potentielle Angriffe geschutzt ist. Weiters gibt es eine vertrauenswurdige Maschine T, von der man ausgeht, daß in sie nicht eingebrochen werden kann. Die Kommunikation zwischen U und T soll sich auf ein Minimum beschranken lassen konnen. Sollte es ein Einbrecher schaffen in U einzudringen, so soll sichergestellt sein, daß alle Logfileeintrage, die vor dem Einbruch stattgefunden haben, nicht nachtraglich manipuliert oder uberhaupt vernichtet werden konnen. Auch soll der Einbrecher nicht die Moglichkeit haben die bisherigen Logfileeintrage lesen zu konnen, da diese wertvolle Informationen enthalten konnten.
Weiters soll es es eine Maschine V geben, der man teilweise vertraut, die bestimmte Logfileeintrage lesen darf.
Zusammenfassung der Kapitel
1 Probleme beim Auditing: Dieses Kapitel erläutert die Notwendigkeit von Auditing in sicheren Systemen und die Schwierigkeiten, Logdateien vor Manipulationen auf kompromittierten Systemen zu schützen.
2 Kryptographische Unterstutzung fur sichere Logfiles auf nicht vertrauenswurdigen Maschinen: Hier wird ein Verfahren vorgestellt, das durch kryptographische Methoden und eine vertrauenswürdige Instanz T die Integrität von Logdateien auch bei Angriffen auf den Hauptrechner sicherstellt.
2.1 Systemaufbau: Beschreibung der beteiligten Instanzen (U, T, V) und der grundlegenden Sicherheitsanforderungen an den Aufbau.
2.2 Einschrankungen: Diskussion der Grenzen des Verfahrens, insbesondere für den Fall, dass die als sicher vorausgesetzte Maschine T kompromittiert wird.
2.3 Notation: Definition der in der Arbeit verwendeten mathematischen und kryptographischen Symbole.
2.4 Ablauf: Detaillierte Darstellung der Protokollschritte von der Erzeugung über die Verwaltung bis zur Überprüfung der Logfile-Einträge.
2.4.1 Erzeugen eines Logfile-Eintrages: Erklärung des Aufbaus der einzelnen Einträge und der Nutzung von Hash-Ketten für die Integrität.
2.4.2 Erstellen des Logfiles: Beschreibung des Initialisierungsvorgangs zwischen den Maschinen U und T.
2.4.3 Schließen des Logfiles: Vorgehensweise bei der ordnungsgemäßen Beendigung der Protokollierung.
2.4.4 Uberprufen des Logfiles: Mechanismen zur Verifizierung der Korrektheit des Logfiles durch T und den Verifier V.
2.5 Erweiterungen: Darstellung weiterführender Ansätze wie dem Hash-Lattice und der Ersetzung der zentralen Instanz T.
2.5.1 Hash-Lattice: Optimierung zur gegenseitigen Authentifizierung mehrerer beteiligter Einheiten.
2.5.2 Ersetzen von T durch mehrere unsichere Peers: Überlegungen zur Verteilung der Rolle von T auf mehrere, potenziell unsichere Maschinen.
2.6 Potentielle Angriffe: Analyse von Schwachstellen, insbesondere im Hinblick auf den Zugriff durch die Verifizierungs-Instanz V.
3 Remote Auditing von Software Outputs mittels eines "Trusted Coprocessor": Untersuchung von Verfahren zur Authentifizierung von Software-Ausgaben auf Basis dedizierter Hardware-Sicherheitsmodule.
3.1 System Konfiguration: Aufbau des Systems bestehend aus Computer, Authenticator und Datenquelle.
3.2 Protokolle: Zusammenfassung der notwendigen Kommunikationsabläufe für Initialisierung und Authentifizierung.
3.3 Notation: Spezifische Notationsdefinitionen für die Hardware-basierte Software-Authentifizierung.
3.4 Initialisierung des Authenticator: Prozessschritte zur Einrichtung der Vertrauensbeziehung zwischen Authenticator und zentralem Server.
3.5 Adding a New Program: Protokoll zur Autorisierung neuer Softwareanwendungen.
3.6 Starting Authenticated Software: Ablauf beim sicheren Starten und Laden authentifizierter Softwarekomponenten.
3.7 Authenicate Output: Verfahren zur Authentifizierung der Ergebnisse, die ein Programm produziert.
3.8 Aufteilen der Software: Strategien zur optimalen Verteilung sicherheitskritischer Programmteile zwischen Computer und Authenticator.
4 Kombination der beiden Verfahren: Vorschlag zur Zusammenführung der entwickelten Ansätze für ein robustes Gesamtsystem.
Schlüsselwörter
Auditing, Kryptographie, Logfile, Integrität, Sicherheit, Trusted Coprocessor, Authentifizierung, Hash-Kette, Systemschutz, Remote Auditing, Software-Output, Protokollierung, Angriffserkennung, Replay-Attacke, Hardware-Sicherheit
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit behandelt Methoden zur Sicherung der Integrität von Logdaten und Software-Ausgaben auf Systemen, die nicht als vollständig vertrauenswürdig eingestuft werden können.
Was sind die zentralen Themenfelder?
Die zentralen Felder sind kryptographische Log-Absicherung, Hardware-gestützte Software-Authentifizierung sowie die Analyse von Protokollen zur Angriffsprävention.
Was ist das primäre Ziel oder die Forschungsfrage?
Ziel ist es, Konzepte zu entwickeln, bei denen durch kryptographische Coprozessoren und spezielle Protokolle sichergestellt wird, dass Manipulationen an Logs oder Programmausgaben erkannt oder durch vertrauenswürdige Hardware verhindert werden.
Welche wissenschaftliche Methode wird verwendet?
Es handelt sich um eine theoretische Informatik-Analyse, die auf der Untersuchung und Kombination bestehender kryptographischer Protokolle (u.a. von Schneier und Kelsey) basiert.
Was wird im Hauptteil behandelt?
Der Hauptteil gliedert sich in zwei große Bereiche: die kryptographische Absicherung von Logfiles auf unsicheren Maschinen und die Authentifizierung von Software-Outputs mittels eines "Trusted Coprocessor".
Welche Schlüsselwörter charakterisieren die Arbeit?
Wesentliche Begriffe sind Auditing, Kryptographie, Trusted Coprocessor, Integrität, Authentifizierung und Hash-Kette.
Wie unterscheidet sich die Rolle von Maschine T von der eines Standard-Servers?
Maschine T fungiert als vertrauenswürdiger Anker im System, der nicht manipuliert werden kann, um die kryptographische Integrität der Protokolle zu verifizieren.
Was passiert, wenn der Angreifer in die Maschine U eindringt?
Das Protokoll stellt sicher, dass der Angreifer bereits geschriebene Logfile-Einträge weder lesen noch nachträglich verändern kann, ohne dass dies bei der nächsten Kommunikation mit T aufgedeckt wird.
Warum ist die Verteilung der Software zwischen Computer und Authenticator kritisch?
Die Aufteilung bestimmt das Sicherheitsniveau; je kritischer eine Anwendung ist, desto mehr sicherheitsrelevante Logik sollte innerhalb des geschützten Authenticators ablaufen, um Angriffe auf den Hauptrechner zu neutralisieren.
- Quote paper
- Dipl.-Ing. Florian Fuchs (Author), 2000, Secure Auditing, Munich, GRIN Verlag, https://www.grin.com/document/10777
