Kosten der Schlüsselverteilung in kleinen Nutzergruppen

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1 Einleitung
1.1 Problembeschreibung
1.2 Besonderheiten bei kleinen Gruppen
1.3 Ziel der Arbeit

2 Datensicherheit im Internet
2.1 Die Funktionsweise des Internets
2.2 Passive Angriffe
2.3 Aktive Angriffe

3 Kryptografie
3.1 Definition
3.2 Schutzziele
3.3 Kerckhoffs’ Maxime
3.4 Symmetrische Verschlüsselungsverfahren
3.4.1 DES / 3DES
3.4.2 AES
3.4.3 IDEA / IDEA NXT
3.4.4 Vor-/Nachteile symmetrischer Verschlüsselungsverfahren
3.5 Asymmetrische Verschlüsselungsverfahren
3.5.1 RSA
3.5.2 Elgamal
3.5.3 Vor-/Nachteile asymmetrischer Verschlüsselungsverfahren
3.6 Hybride Verschlüsselungsverfahren

4 Angriffe gegen Kryptosysteme
4.1 Einführung
4.2 Angriffsziele

5 Vertrauensmodelle
5.1 Direct Trust
5.2 Web of Trust
5.3 Hierarchical Trust
5.3.1 PKI (zertifikatbasiert)
5.3.2 PKI (identitätsbasiert)

6 Praktischer Einsatz kryptografischer Methoden zur sicheren Kommunikation in kleinen Gruppen
6.1 E-Mail
6.1.1 PGP/GnuPG
6.1.2 S/MIME
6.2 Instant Messaging
6.2.1 OTR (Off-the-Record Messaging)

7 Aufwandsberechnungen für die Schlüsselverteilung
7.1 Direct Trust
7.1.1 Persönliches Treffen
7.1.2 Telefonische Rückbestätigung
7.2 Indirektes Vertrauen
7.2.1 Zentrale Schlüsselvergabestelle
7.2.2 Postversand
7.2.3 Transitives Vertrauen (Web of Trust)
7.2.4 PKI
7.3 Vergleich der Kostenverläufe
7.4 Besonderheiten in der Praxis (Mischformen)
7.4.1 Beispiel 1: Mischform Direct Trust / Web of Trust
7.4.2 Beispiel 2: Mischform Persönliche Übergabe / Postversand
7.4.3 Bewertung der Mischformen
7.5 Entscheidungsfindung

8 Beispielszenario und -rechnungen
8.1 Annahmen
8.2 Szenario A
8.2.1 Telefonische Rückbestätigung
8.2.2 Persönliches Treffen
8.2.3 Postversand
8.2.4 Externer PKI-Dienstleister
8.2.5 Übersicht Szenario A
8.3 Szenario B
8.3.1 Persönliches Treffen
8.3.2 Postversand
8.3.3 Externer PKI-Dienstleister
8.3.4 Übersicht Szenario B
8.4 Szenario C
8.4.1 Telefonische Rückbestätigung
8.4.2 Persönliches Treffen
8.4.3 Postversand
8.4.4 Externer PKI-Dienstleister
8.4.5 Übersicht Szenario C
8.5 Vergleich der Szenarien

9 Fazit

Literaturverzeichnis

Eidesstattliche Versicherung

Abbildungsverzeichnis

Abbildung 1: Man-in-the-Middle-Angriff

Abbildung 2: Cäsar-Chiffre mit einer Verschiebung von 2 Buchstaben

Abbildung 3: Web of Trust

Abbildung 4: Benötigte Schlüsseltauschvorgänge

Abbildung 5: Kostenvergleich Szenario A

Abbildung 6: Kostenvergleich Szenario B

Abbildung 7: Kostenvergleich Szenario C

Tabellenverzeichnis

Tabelle 1: Direct Trust Schlüsseltauschvorgänge

Tabelle 2: Schlüsseltauschvorgänge reduzierte Kommunikationspartner

Tabelle 3: Schlüsseltauschvorgänge mit Zentrale

Tabelle 4: Vergleich der nötigen Tauschvorgänge

Tabelle 5: Ausgefüllte Entscheidungsmatrix

Tabelle 6: Gesamtkosten GnuPG mit telefonischer Rückbestätigung (Szen. A)

Tabelle 7: Gesamtkosten GnuPG mit persönlicher Übergabe (Szen. A)

Tabelle 8: Gesamtkosten bei Schlüsselübergabe per Einschreiben (Szen. A)

Tabelle 9: Gesamtkosten externer PKI-Dienstleister (Szen. A)

Tabelle 10: Gesamtkosten bei persönlicher Schlüsselübergabe (Szen. B)

Tabelle 11: Gesamtkosten bei Schlüsselübergabe per Einschreiben (Szen. B)

Tabelle 12: Gesamtkosten externer PKI-Dienstleister (Szen. B)

Tabelle 13: Gesamtkosten GnuPG mit telefonischer Rückbestätigung (Szen. C)

Tabelle 14: Gesamtkosten GnuPG mit persönlicher Übergabe (Szen. C)

Tabelle 15: Gesamtkosten bei Schlüsselübergabe per Einschreiben (Szen. C)

Tabelle 16: Gesamtkosten externer PKI-Dienstleister (Szen. C)

1 Einleitung

1.1 Problembeschreibung

Die Sicherheit von IT-Systemen rückt immer mehr ins öffentliche Bewusstsein. Beispiele wie der 2011 durchgeführte Hackerangriff auf den Rüstungskonzern Lockheed Martin (vgl. [SUE11]) oder auch der Online-Bankraub dieses Jahres (vgl. [SPI13]), bei dem insgesamt 45 Millionen Dollar erbeutet wurden, zeigen, wie angreifbar auch IT-Systeme großer Konzerne oft sind. Nicht zuletzt die aktuellen Ereignisse um das Geheimdienstprogramm PRISM der US-amerikanischen National Security Agency (NSA) und der damit verbundenen Aufregung um elektronische Überwachung haben Entscheidungsträger in der Wirtschaft und Privatnutzer für dieses Thema sensibilisiert. Deutschland als Standort vieler Unternehmen der Spitzentechnologie mit Weltmarktführung ist ein attraktives Ziel für Betriebsspionage (vgl. [NRW09]).

Ein wichtiger Aspekt bei der Planung der IT-Sicherheits-Infrastruktur eines Unternehmens ist der sichere Austausch von Informationen innerhalb von Arbeitsgruppen. Die vorliegende Arbeit geht der Frage nach, welche Gefahrenpunkte wo auftreten und welche Verschlüsselungsmethoden sich grundsätzlich für dieses Einsatzszenario anbieten. Die Betrachtung beschränkt sich dabei auf Kleingruppen mit bis zu acht Mitgliedern.

Nach Ausarbeitung der möglichen Verschlüsselungsmethoden und Vertrauensmodelle werden ausgewählte Programme/Methoden exemplarisch vorgestellt, um einen Einblick in die praktische Umsetzung zu geben.

Abschließend werden die Möglichkeiten der Schlüsselverteilung dargelegt und es wird erläutert, für welche Szenarien sich welche Methode eignet. Dieser Vergleich erfolgt sowohl unter sicherheitstechnischen als auch unter ökonomischen Gesichtspunkten.

1.2 Besonderheiten bei kleinen Gruppen

Die Wahl eines ökonomisch und sicherheitstechnisch sinnvollen Verschlüsselungsverfahrens und des dazugehörigen Vertrauensmodells hängt entscheidend von der Gruppengröße und den individuellen Gegebenheiten ab, wie beispielsweise

- der Entfernung der Gruppenmitglieder zueinander,
- dem persönlichen Vertrauensverhältnis,
- der eindeutigen Identifizierbarkeit,
- der möglichen Bedrohung aufgrund der Bedeutung der Information für potentielle Angreifer und der
- Fluktuation innerhalb der Gruppe(n).

Während bei mittelgroßen bis sehr großen Nutzergruppen, unter anderem aufgrund der guten Skalierungs- und Verwaltungsmöglichkeiten, fast immer eine Public-Key-Infrastruktur angezeigt ist, kommt für Kleingruppen eine Reihe von Alternativen in Betracht.

1.3 Ziel der Arbeit

Unter Berücksichtigung der Besonderheiten bei kleinen Gruppen soll die Arbeit eine Entscheidungshilfe bei der Wahl des richtigen Werkzeugs für die verschlüsselte Kommunikation bieten. Als wesentlicher Kostentreiber und Bewertungsmaßstab werden die nötigen Schlüsseltauschvorgänge je Verfahren und Gruppengröße herangezogen. Es werden Beispiele und Methoden vorgestellt, die zur Auswahl unterstützend eingesetzt werden können. Aufgrund der in der Praxis hohen Anzahl möglicher Szenarien würde ein ausführlicher Vergleich jeden Rahmen sprengen - daher soll mit dieser Arbeit primär ein grundsätzlicher Überblick über mögliche Gefahren, Verschlüsselungsmethoden und Vertrauensmodelle gegeben werden, die dann als Basis für individuelle Lösungen dienen können.

2 Datensicherheit im Internet

Das Internet sollte aufgrund seiner im Folgenden kurz dargelegten Funktionsweise per se als unsicher angesehen werden. “Unter dem Begriff ‘Internet’ versteht man die Gesamtheit aller öffentlichen Netzwerke, die das Netzwerkprotokoll IP und die beiden Transportprotokolle TCP oder UDP verwenden” [SCHW05, S.1].

2.1 Die Funktionsweise des Internets

Das Internet begann als kleines Forschungsnetzwerk und vernetzte einige Universitäten miteinander. Im Laufe der Jahre wuchs dieses Netzwerk stetig an und verbindet heute viele Millionen Endgeräte. Private PCs, wie auch kleine Netzwerke, sind in der Regel über einen Internet Service Provider (ISP) mit dem Internet verbunden und besitzen eine global eindeutige Adresse, die IP-Adresse. Der eigentliche Kern des Internets wird als Backbone bezeichnet und unter anderem von Energieversorgern, Telekommunikations- und Kabelnetzbetreibern unterhalten (vgl. [WIK01]). Hauptsächlich besteht dieser Backbone aus Hochgeschwindigkeitsroutern, die die Aufgabe haben, Datenpakete vom Absender zum Empfänger weiterzuleiten. Erhält ein Router ein Datenpaket, so wird anhand der Zieladresse als erstes überprüft, ob das Zielsystem direkt erreicht werden kann. Wenn dies nicht möglich sein sollte, wird das Paket an einen dem Ziel näher gelegenen Nachbarrouter weitergeleitet. So durchlaufen die einzelnen Datenpakete in der Regel mehrere Stationen, bis sie am Ziel angelangt sind. Dieses Grundprinzip hat Nachteile: Der Absender hat keinen zuverlässigen Einfluss auf die Route seiner Datenpakete – diese kann über mehr oder minder vertrauenswürdige Router führen. Daher ist eine Übertragung der Daten ohne weitere Schutzmaßnahmen ein großes Sicherheitsproblem.

2.2 Passive Angriffe

“Beispiele für passive Angriffe sind das Abhören von Datenleitungen in vernetzten Systemen (engl. eavesdropping) oder das unautorisierte Lesen von Daten aus Dateien” [ECK06, S. 16]. Der oben beschriebene Aufbau des Internets ermöglicht das einfache und verhältnismäßig risikolose Mitlesen von fremden Daten. In einem LAN beispielsweise werden die Daten zum Teil im Rundfunkmodus an das gesamte Netzwerk gesendet. Mittels spezieller Software kann jeder am LAN angeschlossene Rechner den gesamten Datenverkehr mitlesen, ohne dass der Angreifer die Gefahr des Entdeckt-werdens einginge.

Derartige Spionage ist jedoch nicht nur im LAN, sondern auch im Internet möglich. Die IP-Pakete durchlaufen auf ihrem Weg zum Empfänger eine Reihe von Routern, deren Sicherheit nicht genau bestimmt werden kann. Router befinden sich zum Teil in öffentlich zugänglichen Räumen, beispielsweise in Universitäten. Jeder, der Zugang zu den Routern hat, kann den gesamten Datenverkehr mitlesen (vgl. [SCHW05, S.4]).

Beispiel: Ein Beispiel für einen passiven Angriff ist das sogenannte Sniffing (engl. für schnüffeln). Sniffer sind Computerprogramme, die von Netzwerkexperten zur Fehlerdiagnose eingesetzt werden. Sie können aber auch dazu genutzt werden, unverschlüsselten Netzwerkverkehr mitzulesen und in diesem beispielsweise nach fremden Benutzernamen und Passwörtern zu suchen. Da Sniffer passiv arbeiten und kaum Systemressourcen benötigen, sind sie nur sehr schwer zu enttarnen. Um sich gegen Sniffer zu schützen, muss wichtiger Datenverkehr verschlüsselt werden. Bei einer verschlüsselten Kommunikation würde der Sniffer die Daten zwar weiterhin erhalten, könnte diese aber nicht nutzen – solange er sie nicht dechiffrieren kann. Daher wird der Schlüssel für einen Angreifer zum höchst interessanten Ziel. Die Thematik Vertrauensmodelle für den Schlüsselaustausch wird in Kapitel 5 näher betrachtet.

2.3 Aktive Angriffe

Im Gegensatz zu den passiven Angriffen, bei denen die Daten lediglich mitgelesen werden, manipuliert der Angreifer mit aktiven Angriffen die Daten direkt. Eine Klasse dieser aktiven Angriffe ist das sogenannte Spoofing, bei denen der Angreifer eine falsche Identität vorgibt. “Heutzutage umfasst Spoofing alle Methoden, mit denen sich Authentifizierungs- und Identifikationsverfahren untergraben lassen, welche auf der Verwendung vertrauenswürdiger Adressen oder Hostnamen in Netzwerkprotokollen beruhen” [WIK02].

Ein Beispiel für einen aktiven Angriff ist der sogenannte Man-in-the-middle-Angriff (siehe Abbildung 1). Mithilfe von Spoofing schaltet sich eine dritte, unberechtigte Person (Z) in die Kommunikation zweier Gesprächspartner (A und B) ein, so dass sämtliche Nachrichten über Z laufen. Die beiden Gesprächspartner A und B bekommen von dieser Umleitung nichts mit. Diese Situation ermöglicht es dem Angreifer Z, den Datenverkehr mitzulesen und aktiv zu verändern. Beispielsweise können auf diesem Wege falsche Zertifikate oder falsche öffentliche Schlüssel an die Kommunikationspartner verteilt werden und somit Sicherheit vortäuschen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Man-in-the-Middle-Angriff

3 Kryptografie

3.1 Definition

Die Kryptographie ist die Wissenschaft, die sich mit der Entwicklung und Anwendung von Verschlüsselungsverfahren beschäftigt. Der Name Kryptographie setzt sich aus den griechischen Wörtern kryptós (=verborgen) und graphein (=schreiben) zusammen. Die zu übertragenen Informationen werden mithilfe eines Schlüssels derart verändert, dass es Außenstehenden nicht mehr möglich ist, den Inhalt zu verstehen. Eine wesentliche Anforderung an den Verschlüsselungsalgorithmus ist die Umkehrbarkeit dieser Transformation, so dass der Nachrichtenempfänger Zugriff auf den ursprünglichen Inhalt erhält. Das wichtigste Hilfsmittel der Kryptografie ist die Mathematik. Die zum Einsatz kommenden Algorithmen lassen sich grundsätzlich in zwei verschiedene Klassen aufteilen, die symmetrischen und die asymmetrischen Algorithmen. Die Verschlüsselungsmethoden und Einsatzzwecke unterscheiden sich gravierend voneinander. Ihre Vor- und Nachteile in bestimmten Anwendungsgebieten werden in Kapitel 3.4 und 3.5 näher erläutert.

3.2 Schutzziele

[ECK06, S. 6ff] nennt folgende wesentliche Schutzziele:

- Authentizität
- Integrität
- Vertraulichkeit
- Verbindlichkeit

“Unter der Authentizität eines Objekts bzw. Subjekts verstehen wir die Echtheit und Glaubwürdigkeit des Objekts bzw. Subjekts, die anhand einer eindeutigen Identität und charakteristischen Eigenschaften überprüfbar ist” [ECK06, S. 6ff]. Das heißt, dass die Urheberschaft der Nachricht überprüfbar sein muss. Unter Integrität wird die Unversehrtheit der Daten verstanden. “Wenn der Begriff Integrität auf ‚Daten‘ angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf ‚Informationen‘ angewendet. Der Begriff ‚Information‘ wird dabei für "Daten" verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden. Integrität ist ein Grundwert der IT-Sicherheit” [BKI]. Die Punkte Vertraulichkeit und Verbindlichkeit definiert das Bundesamt für Sicherheit in der Informationstechnik in [BKI] folgendermaßen: “Unter Verbindlichkeit werden die IT-Sicherheitsziele Authentizität und Nichtabstreitbarkeit zusammengefasst. Bei der Übertragung von Informationen bedeutet dies, dass die Informationsquelle ihre Identität bewiesen hat und der Empfang der Nachricht nicht in Abrede gestellt werden kann [...] Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.”

3.3 Kerckhoffs’ Maxime

Kerckhoffs‘ Maxime besagt, dass die Sicherheit eines Verschlüsselungsverfahrens nicht auf der Geheimhaltung des Verschlüsselungsalgorithmus beruhen darf, sondern auf der Geheimhaltung des eingesetzten Schlüssels beruhen muss. Ein Beispiel für ein Verschlüsselungsverfahren, welches diesem Grundsatz nicht folgt, ist die Cäsar-Chiffre. Bei diesem Verfahren wird jeder Buchstabe des Klartextes auf einen Geheimtextbuchstaben abgebildet (vgl. Abbildung 2). Sobald der Angreifer Kenntnis des Verfahrens besitzt, kann er alle Nachrichten entschlüsseln. Bei einem sicheren Verfahren lässt sich die Nachricht nicht ohne Kenntnis des Schlüssels oder ausreichend hohe Rechenkapazitäten entschlüsseln.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Cäsar-Chiffre mit einer Verschiebung von 2 Buchstaben

3.4 Symmetrische Verschlüsselungsverfahren

Bei der symmetrischen Verschlüsselung handelt es sich um die älteste Methode des Austauschs verschlüsselter Nachrichten. Hierbei kommen sowohl für die Ver- als auch für die Entschlüsselung ein und derselbe Schlüssel zum Einsatz. Die Sicherheit symmetrischer Verfahren steht und fällt mit der Geheimhaltung des Schlüssels, bzw. der sicheren Übertragung desselben.

Die in Abbildung 2 behandelte Cäsar-Chiffre ist ein sehr einfaches Beispiel für ein symmetrisches Verschlüsselungsverfahren, das auf dem Prinzip der Substitution beruht. Bleibt man, wie in der Abbildung 2, bei der simplen Verschiebung um zwei Buchstaben, würde beispielsweise aus dem Satz

Dies ist ein Geheimtext

der Geheimtext

Fkgu kuv gkp Igjgkovgzv

werden. Die klassischen Verschlüsselungsmethoden arbeiten hauptsächlich mit der Substitution und Transposition ganzer Buchstaben. Im Folgenden werden einige Beispiele für aktuelle symmetrische Verschlüsselungsverfahren vorgestellt.

3.4.1 DES / 3DES

Der Data Encryption Standard (DES) ist ein 1977 vom American National Standard Institute festgelegter Standard und zählt zu den Blockchiffreverfahren. Das Verfahren selbst arbeitet mit einer Blockgröße und einer Schlüssellänge von 64 Bit, wobei jedes 8. Bit des Schlüssels als Paritätsbit genutzt wird. Dies ergibt eine effektive Schlüssellänge von 56 Bit (vgl. [DES99]). Diese im Vergleich zu moderneren Verfahren geringe Schlüssellänge macht den Data Encryption Standard für zum Beispiel Brute-Force-Attacken angreifbar, bei denen alle möglichen Schlüssel (2⁵⁶ ) systematisch getestet werden.

Beim Feistel-Verfahren (vgl. [FEI73]), auf dem der Data Encryption Standard aufbaut, werden die Operationen Ersetzen und Vertauschen mehrfach hintereinander durchgeführt. In einem ersten Schritt wird der Klartext zunächst in 64-Bit Blöcke aufgeteilt. Diese 64-Bit-Blöcke werden wiederum in 32-Blöcke zerteilt, wodurch jeweils eine linke L0 und eine rechte Blockhälfte R0 entstehen. Ein aus dem Schlüssel S errechneter Teilschlüssel S0 steuert die Funktion F, die auf R0 angewendet wird. Das Ergebnis dieser Funktion R’0 und L0 werden anschließend mit XOR verknüpft. Abschließend wird das Ergebnis von XOR und R0 vertauscht. Dieser Vorgang wird als Runde bezeichnet. Beim Data Encryption Standard werden insgesamt 16 dieser Runden durchlaufen.

Obgleich die hohe Geschwindigkeit der Hauptvorteil des Data Encrytion Standards ist, so ist die Schlüssellänge die große Schwäche dieses Verfahrens. An diesem Punkt setzt 3DES, auch Triple-DES genannt, an. 3DES ist eine direkte Weiterentwicklung des Data Encrytion Standards und bietet durch dreifache DES-Verschlüsselung eine größere Schlüssellänge. Bei der 3DES-Verschlüsselung wird der Block zunächst mit Schlüssel A verschlüsselt. Das Ergebnis dieser Verschlüsselung wird mit Schlüssel B entschlüsselt und abschließend wird das Ergebnis der Entschlüsselung erneut mit Schlüssel A verschlüsselt. Dieses Verfahren arbeitet mit einer Schlüssellänge von 112 Bit (statt 56 Bit im einfachen DES-Verfahren) und ist somit als deutlich sicherer einzustufen.

3.4.2 AES

Der Advanced Encryption Standard (AES) ist der 2001 offiziell standardisierte Nachfolger des DES-Algorithmus und aktuell der Standardalgorithmus bei symmetrischer Verschlüsselung. AES erlaubt Block- und Schlüssellängen von 128, 192 und 256 Bit und basiert im Gegensatz zu DES nicht mehr auf einer Feistel-Struktur, sondern auf Matrix-Arithmetik (vgl. [SCHW05], S. 8). Die Rundenzahl ist abhängig von der Schlüssellänge (vgl. [SCHM09], S. 128):

- 128 Bit - 10 Runden
- 192 Bit - 12 Runden
- 256 Bit - 14 Runden

Die vollständige AES-Spezifikation ist im Internet unter [AES01] einsehbar.

3.4.3 IDEA / IDEA NXT

Der International Data Encryption Algorithm (IDEA) ist ein 1991 veröffentlichtes Verfahren und war eine Alternative zu DES. IDEA arbeitet mit einer Schlüssellänge von 128 Bit und gilt bis heute als sicher. “Das Verfahren arbeitet in acht Runden und sieht vier Ablaufstränge vor. Es handelt sich weder um eine Feistel- noch um eine SP-Chiffre. Zu den Grundgedanken von IDEA gehört die abwechselnde Nutzung von Operationen aus unterschiedlichen mathematischen Gruppen [...] Der ständige Wechsel zwischen den unterschiedlichen Operationen soll sowohl Konfusion als auch Diffusion herstellen und ersetzt dadurch die in anderen Verfahren üblichen S-Boxen und Permutationselemente” ([SCHM09], S. 155). Die Kryptosoftware PGP setzte einige Jahre lang ausschließlich auf IDEA und trug damit zur großen Verbreitung bei. Mit dem Aufkommen von AES und anderen kostenfreien Verfahren ging die Popularität des patentgeschützten IDEA-Verfahren immer weiter zurück (Patentschutz lief 2011 aus).

Im Jahr 2003 wurde der Nachfolger IDEA NXT, auch als Fox bezeichnet, veröffentlicht. IDEA NXT arbeitet mit Schlüssellängen von 128 und 256 Bit und ist ebenfalls patentgeschützt.

3.4.4 Vor-/Nachteile symmetrischer Verschlüsselungsverfahren

Vorteile der symmetrischen Verschlüsselungsverfahren:

- Schnelligkeit - durch einfache Grundstruktur der Algorithmen
- einfaches Schlüsselmanagement,
- einfache Implementierung in Chipkarten, Handys etc. möglich.

Nachteile symmetrischer Verschlüsselungsverfahren:

- Das Schlüsseltauschproblem,
- für jeden Kommunikationspartner müssen die geheimen Schlüssel sicher verwahrt werden, - das Schlüsselvermehrungsproblem - es sind (n*(n-1))/2 Schlüssel notwendig

3.5 Asymmetrische Verschlüsselungsverfahren

Die asymmetrischen Verschlüsselungsverfahren basieren auf einem anderen Ansatz als die symmetrischen Modelle. Im Gegensatz zu den symmetrischen Verfahren, bei denen die Nachricht mit demselben Schlüssel ver- und entschlüsselt wird, arbeiten die asymmetrischen Verfahren mit verschiedenen Schlüsseln. In der Regel besitzen die Teilnehmer jeweils ein Schlüsselpaar. Einer dieser beiden Schlüssel ist der private Schlüssel (private key), der geheim gehalten werden muss und der andere ist der öffentliche Schlüssel (public key), der an die Kommunikationspartner weitergegeben wird. Möchte Teilnehmer A an Teilnehmer B eine E-Mail schicken, so verschlüsselt A die Nachricht mit dem öffentlichen Schlüssel von B. Die so verschlüsselte Nachricht kann ausschließlich mit dem privaten Schlüssel von B wieder entschlüsselt werden.

Die Sicherheit der asymmetrischen Kryptographie beruht ganz wesentlich auf der Tatsache, dass der private Schlüssel nicht aus dem öffentlichen Schlüssel errechnet werden kann, bzw. dies nur mit enormen Aufwand möglich ist.

Nachfolgend eine kurze Vorstellung gängiger asymmetrischer Verschlüsselungsverfahren

3.5.1 RSA

Die RSA-Verschlüsselung ist die aktuell am weitesten verbreitete Methode. Sie geht auf die Arbeit der Erfinder Ronald L.Rivest, AdiShamir und LeonardAdleman zurück, die im Jahr 1977 eigentlich eine von Whitfield Diffie und Martin Hellman aufgestellte Theorie zur Public-Key-Kryptografie widerlegen wollten (vgl. [RSA78]). Die Sicherheit basiert auf der Schwierigkeit, hohe Zahlen zu primfaktorisieren. Im Speziellen geht es um Zahlen, die nur aus großen Primfaktoren bestehen, da hier bislang kein effektives und schnelles Verfahren existiert.

In der Praxis wird ein Schlüsselpaar erzeugt, wovon man den öffentlichen Schlüssel an die Gesprächspartner weitergibt. Dieser Schlüssel darf öffentlich bekannt werden und ermöglicht einem potenziellen Angreifer keine Einsicht in die verschlüsselten Daten. Es muss lediglich sichergestellt werden, dass man auch die richtigen öffentlichen Schlüssel der Kommunikationspartner besitzt. Ein möglicher Angriff auf dieses Verfahren wäre der in Kapitel 2.3 beschriebene Man-in-the-middle-Angriff (Abbildung 1).

3.5.2 Elgamal

Elgamal wurde 1985 von Taher ElGamal veröffentlicht. Das Verfahren ist patentfrei und in Open-Source Projekten sehr beliebt, besitzt aber keine so große Verbreitung wie RSA. Es basiert auf dem diskrete-Logarithmus-Problem und ist von der praktischen Anwendung her vergleichbar mit RSA. Elgamal bietet (theoretisch) eine frei wählbare Schlüssellänge.

3.5.3 Vor-/Nachteile asymmetrischer Verschlüsselungsverfahren

Vorteile:

- Weniger Aufwand bei der Geheimhaltung, da nur ein privater Schlüssel geheimgehalten werden muss,
- kein Schlüsselverteilungsproblem, da die öffentlichen Schlüssel nicht geheim sind,
- einfache Schlüsselverwaltung, auch bei größeren Gruppen,
- Authentifikation möglich durch digitale Signaturen.

Nachteile:

- Asymmetrische Algorithmen arbeiten deutlich langsamer als symmetrische Verfahren,
- im Vergleich mit den symmetrischen Verfahren, sind die verwendeten Schlüssel sehr lang,
- bei mehreren Empfängern einer verschlüsselten Nachricht, muss für jeden Empfänger die Nachricht separat verschlüsselt werden,
- das Prinzip mit den öffentlichen Schlüsseln bietet Angriffsfläche für einen Man-in-the-middle-Angriff (siehe auch Kapitel 2.3).

3.6 Hybride Verschlüsselungsverfahren

Die hybriden Verschlüsselungsverfahren verbinden sowohl die Vorteile der symmetrischen wie auch die Vorteile der asymmetrischen Verfahren und finden daher in der Praxis oftmals Anwendung. Die oben genannten Vorteile der asymmetrischen Verschlüsselungsmethoden werden durch einen immensen Mehraufwand an Rechenzeit teuer erkauft. An diesem Punkt setzen die hybriden Verschlüsselungsverfahren an.

Um Rechenzeit zu sparen, wird die Nachricht in einem ersten Schritt in einem symmetrischen Verfahren mit einem zufällig generierten Schlüssel (Session-Key) verschlüsselt. In einem zweiten Schritt wird der Schlüssel dieses Geheimtextes mit einem asymmetrischen Verschlüsselungsverfahren verschlüsselt. Da lediglich der Schlüssel des symmetrischen Verfahrens verschlüsselt wird und nicht der komplette Text, werden hier nur relativ wenige Ressourcen benötigt. Der Geheimtext wird zusammen mit dem verschlüsselten Schlüssel an den Nachrichtenempfänger verschickt. Dieser hat nun mithilfe des geheimen Schlüssels (aus dem asymmetrischen Verfahren) Zugriff auf den Session-Key (des symmetrischen Verfahrens) und kann hiermit den Geheimtext entschlüsseln.

Insbesondere das Problem asymmetrischer Verfahren, dass bei mehreren Empfängern die Nachricht für jeden Empfänger separat aufwendig verschlüsselt werden müsste, wird dadurch umgangen. Die Technik wird beispielsweise von PGP und GnuPG (vgl. Kapitel 6.1.1) beim verschlüsselten E-Mailversand eingesetzt. Auch Netzwerkprotokolle wie TLS und IPsec bauen auf dieser Technologie auf.

4 Angriffe gegen Kryptosysteme

4.1 Einführung

Bei der Planung einer sicheren Gruppenkommunikation sind viele Gefahrenquellen (und mögliche Angriffspunkte) zu berücksichtigen. Nur wenn bekannt ist, welche Werkzeuge und Möglichkeiten den potenziellen Angreifern zur Verfügung stehen, können im Vorfeld geeignete Maßnahmen zur Sicherung der Kommunikation getroffen werden.

Grundsätzlich wird zwischen aktiven und passiven Angriffen unterschieden. In den Kapiteln 2.2 und 2.3 wurde bereits auf diese beiden Angriffstypen eingegangen. Gegenstand dieses Kapitels sind die Angriffsmöglichkeiten gegen die im Vorfeld getroffenen kryptografischen Sicherheitsvorkehrungen.

4.2 Angriffsziele

[GBS] nennt folgende Angriffsmöglichkeiten gegen Chiffriersysteme:

- Ciphertext-Only-Angriff
Der Angreifer besitzt ausschließlich den Chiffretext und somit die schwächste aller Voraussetzungen
- Known-Plaintext-Angriff
Gegenüber der vorgenannten Methode besitzt der Angreifer Chiffretext-Klartext-Paare
- Chosen-Plaintext-Angriff
Der Angreifer ist in der Lage chiffrierte Nachrichten zu erzeugen, wie es bei beispielsweise Public-Key-Verfahren der Fall ist (mithilfe des öffentlichen Schlüssels)
- Chosen-Ciphertext-Angriff
Der Angreifer ist in der Lage, einen frei gewählten Chiffretext zu dechiffrieren

Nach [GBS] kann ein Angreifer folgende Methoden nutzen:

- Brute-Force-Methoden
Ein Brute-Force-Angriff ist ein Angriff, bei dem alle möglichen Kombinationen systematisch ausgetestet werden, um den Krypto-Algorithmus zu knacken. Je länger ein Schlüssel ist, desto besser ist der Schutz gegenüber Brute-Force-Angriffen.
- Statistische Methoden
Der Angreifer arbeitet mit grundsätzlich bekannter Sprachstatistik des Klartextes um Rückschlüsse auf den geheimen Schlüssel zu ziehen. Die homophone Verschlüsselung wirkt dieser Angriffsmethode entgegen und versucht eine Gleichverteilung der Häufigkeiten aller Geheimtextzeichen zu erreichen.
- Analytische Methoden
Bezeichnet die Analyse kryptografischer Verfahren auf systemimmanente Schwachstellen.
- Differentielle Kryptoanalyse
Die differentielle Kryptoanalyse ist ein Angriff auf symmetrische Verschlüsselungsverfahren und gehört zu den Chosen-Plaintext-Attacken. Bei dieser Methode werden nicht verschiedene Klar- und Chiffretexte, sondern Differenzen der Klartexte gegenüber Differenzen der Chiffretexte betrachtet. Durch gezielte Änderungen des Klartextes wird versucht, mehr über den Zusammenhang von Klar- und Chiffretext zu erfahren.
- Lineare Kryptoanalyse
Die lineare Kryptoanalyse richtet sich gegen symmetrische Verschlüsselungsverfahren. Sie gehört zu den Known-Plaintext-Attacken. Über sie versucht der Angreifer, einfache lineare Abhängigkeiten zwischen den Bits des Klartextes und des Chiffretextes zu entdecken, um daraus Rückschlüsse auf den geheimen Schlüssel zu ziehen.

Die von [GBS] genannten Methoden sollen lediglich einen Überblick verschaffen. Neben den hier aufgeführten Angriffsmethoden sind weitere bekannt und bei der Sicherheitsplanung zu berücksichtigen. Zu erwähnen ist beispielsweise der in Kapitel 2.3 behandelte Man-in-the-middle-Angriff.

[...]