1
Sicherheit in Rechnernetzen
Mehrseitige Sicherheit in verteilten und durch verteilte Systeme
Folien zur Vorlesung: Einführung in die Datensicherheit
Andreas Pfitzmann
TU Dresden, Fakultät Informatik, D-01062 Dresden
Hans-Grundig-Str. 25, Raum 120
Tel.: 0351/ 463-38277, e-mail: [email protected], http://dud.inf.tu-dresden.de/
2
Vertiefungsrichtung technischer Datenschutz
Lehrveranstaltung
Lehrende(r)
SWS
Einführung in die Datensicherheit
Pfitzmann
1/1
Kryptographie
Pfitzmann
2/2
Datensicherheit durch verteilte Systeme
Pfitzmann
1/1
Datensicherheit und Datenschutz
national und international
Lazarek
2
Kryptographie und -analyse
Klimant
2
Kanalkodierung
Schönfeld
2/2
Steganographie
Westfeld
1/1
Datensicherheit und Kryptographie
Clauß, Klimant, Kriegelstein
/4
Datenschutzfreundl. Technologien im Internet Clauß, Kriegelstein, Köpsell /2
Informatik und Gesellschaft
Pfitzmann
2
Hauptseminar techn. Datenschutz
Pfitzmann et.al.
2
3
Gliederung (1)
1 Einführung
1.1 Was sind Rechnernetze (verteilte offene Systeme)
1.2 Was bedeutet Sicherheit?
1.2.1 Was ist zu schützen?
1.2.2 Vor wem ist zu schützen?
1.2.3 Wie und wodurch kann Sicherheit erreicht werden?
1.2.4 Vorausschau auf Schutzmechanismen
1.2.5 Angreifermodell
1.3 Was bedeutet Sicherheit in Rechnernetzen?
2 Sicherheit in einzelnen Rechnern und ihre Grenzen
2.1 Physische Sicherheitsannahmen
2.1.1 Was kann man bestenfalls erwarten?
2.1.2 Gestaltung von Schutzmaßnahmen
2.1.3 Ein Negativbeispiel: Chipkarten
2.1.4 Sinnvolle physische Sicherheitsannahmen
2.2 Schutz isolierter Rechner vor unautorisiertem Zugriff und Computerviren
2.2.1 Identifikation
2.2.2 Zugangskontrolle
2.2.3 Zugriffskontrolle
2.2.4 Beschränkung der Bedrohung "Computer-Viren" auf die durch
"transitive Trojanische Pferde"
2.2.5 Restprobleme
4
Gliederung (2)
3 Kryptologische Grundlagen
4 Datenschutz garantierende Kommunikationsnetze
5 Digitale Zahlungssysteme und Credentials als Verallgemeinerung
6 Zusammenfassung und Ausblick
5
Ausschnitt eines Rechnernetzes
Radio
3 Btx-Zentrale
Fernsehen
4 Bank
Bildtelefon
Netzabschluß
Telefon
Abhörer
Internet
mögliche
Angreifer
1
Vermittlungsstelle
• Betreiber
• Hersteller (Trojanisches Pferd)
• Angestellte
2 Teilnehmer 2
Bsp. 5 Patientenüberwachung, 6 Bewegtbildüberwachung während Operation
Warum reichen juristische Regelungen (für Rechtssicherheit und
Datenschutz) nicht aus ?
6
Geschichte der Rechnernetze (1)
1833 erster elektromagnetischer Telegraph
1858 erste Kabelverbindung zwischen Europa und Nordamerika
1876 Fernsprechen über 8,5 km lange Versuchsstrecke
1881 erstes Fernsprechortsnetz
1900 Beginn der drahtlosen Telegraphie
1906 Einführung des Selbstwählferndienstes in Deutschland, realisiert durch
Hebdrehwähler, d.h. erste vollautomatische Vermittlung durch Elektomechanik
1928 Fernsprechdienst Deutschland-USA eingeführt (über Funk)
1949 erster funktionierender von-Neumann-Rechner
1956 erstes Transatlantikkabel für Fernsprechen
1960 erster Fernmeldesatellit
1967 Beginn des Betriebes des Datex-Netzes durch die deutsche Bundespost,
d.h. des ersten speziell für Rechnerkommunikation realisierten
Kommunikationsnetzes (Rechnernetz erster Art). Die Übertragung erfolgt
digital, die Vermittlung durch Rechner (Rechnernetz zweiter Art).
1977 Einführung des Elektronischen Wähl-Systems (EWS) für Fernsprechen
durch die Deutsche Bundespost, d.h. erstmals Vermittlung durch Rechner
(Rechnernetz zweiter Art) im Fernsprechnetz, aber weiterhin
analoge Übertragung
7
Geschichte der Rechnernetze (2)
1981 erster persönlicher Rechner (PC) der Rechnerfamilie (IBM PC), die weite
Verbreitung auch im privaten Bereich findet
1982 Investitionen in die Übertragungssysteme des Fernsprechnetzes erfolgen
zunehmend in digitale Technik
1985 Investitionen in die Vermittlungssysteme des Fernsprechnetzes erfolgen
zunehmend in rechnergesteuerte Technik, die nunmehr nicht mehr analoge,
sondern digitale Signale vermittelt (in Deutschland 1998 abgeschlossen)
1988 Betriebsbeginn des ISDN (Integrated Services Digital Network)
1989 erster westentaschengroßer PC: Atari Portfolio; damit sind Rechner im
engeren Sinne persönlich und mobil
1993 zellulare Funknetze werden Massendienst
1994 www Kommerzialisierung des Internet
2000 WAP-fähige Handys für 77 ¤ ohne Vertragsbindung
2003 mit IEEE 802.11b finden WLAN (Wireless Local Area Network),
mit Bluetooth WPAN (Wireless Personal Area Network) massenhafte Verbreitung
8
Wichtige Begriffe
Rechner verbunden über Kommunikationsnetz = Rechnernetz (erster Art)
Prozeßrechner im Kommunikationsnetz
= Rechnernetz (zweiter Art)
verteiltes System
räumlich
Kontroll- und Implementierungsstruktur
offenes System

öffentliches System
diensteintegrierendes System
digitales System

Open Source System
Entwicklung der leitungsgebundenen Kommunikationsnetze der
Deutschen Bundespost
Dienste
Fernsprechen
Bildschirmtext
TELEBOX
Datenübertragung
TELEFAX
TEMEX
Telex
Teletex
DATEX-L
DATEX-P
Netze
1986
Netze
ab 1988
Netze
ab 1990
ISDN
BreitbandISDN
Netze
ab 1992
Fernsprechnetz
integriertes
Text- und
Datennetz
Bildfernsprechen
Videokonferenz
BIGFON
Videokonferenznetz
Hörfunk
Fernsehen
Videotext
Gemeinschaftsantennenanlagen
Breitbandkabelverteilnetz
Verteilnetze
Integriertes
Breitbandfernmeldenetz
Breitbandkabelverteilnetz
Vermittlungsnetze
9
10
Bedrohungen und korrespondierende Schutzziele
Bedrohungen:
Bsp.: medizinisches Informationssystem
1) Informationsgewinn
Schutzziele:
Vertraulichkeit
Rechnerhersteller erhält Krankengeschichten
2) Modifikation von Information
unerkannt Dosierungsanweisungen ändern
3) Beeinträchtigung der
Funktionalität
Integrität
≥ totale
Korrektheit
erkennbar ausgefallen
 partielle Korrektheit
Verfügbarkeit
für berechtigte
Nutzer
keine Klassifikation, aber pragmatisch sinnvoll
Bsp.: Programm unbefugt modifiziert
1)
2)+3)
nicht erkennbar, aber verhinderbar; nicht rückgängig zu machen
nicht verhinderbar, aber erkennbar; rückgängig zu machen
11
Definitionen für die Schutzziele
Vertraulichkeit (confidentiality)
Informationen werden nur Berechtigten bekannt.
Integrität (integrity)
Informationen sind richtig, vollständig und aktuell
oder aber dies ist erkennbar nicht der Fall.
Verfügbarkeit (availability)
Informationen sind dort und dann zugänglich,
wo und wann sie von Berechtigten gebraucht werden.
- subsumiert: Daten, Programme, Hardwarestrukturen
- es muß geklärt sein, wer in welcher Situation wozu berechtigt ist
- kann sich nur auf das Innere eines Systems beziehen
12
Transitive Ausbreitung von Fehlern und Angriffen
Symbolerklärungen
Rechner
transitive
"Fehlerausbreitung"
Programm
A benutzt B, um
C zu entwerfen
A
C
B
Maschine X führt
Programm Y aus
Y
X
13
Universelles Trojanisches Pferd
Handlungsanweisungen
Informationsgewinn
universelles
Schreibzugriff
unbefugte
Modifikation
von Informationen
Trojanisches Pferd
Beeinträchtigung
der Funktionalität
14
Vor wem ist zu schützen ?
Naturgesetze und Naturgewalten
- Bauteile altern
- Überspannung (Blitzschlag, EMP)
- Spannungsausfall
- Überschwemmung (Sturmflut, Wasserrohrbruch)
- Temperaturänderungen ...
Fehlertoleranz
Menschen
- Außenstehende
- Benutzer des Systems
- Betreiber des Systems
- Wartungsdienst
- Produzenten des Systems
- Entwerfer des Systems
Trojanisches Pferd
- Produzenten der Entwurfs- und Produktionshilfsmittel
universell
- Entwerfer der Entwurfs- und Produktionshilfsmittel
transitiv
- Produzenten der Entwurfs- und Produktionshilfsmittel
der Entwurfs- und Produktionshilfsmittel
- Entwerfer ... jeweils auch Benutzer,
Betreiber,
Wartungsdienst ... des verwendeten Systems
15
Welche Schutzmaßnahmen gegen welche Angreifer
Schutz bzgl.
Schutz vor
Entwerfer und Produzent
der Entwurfs- und
Produktionshilfsmittel
Entwerfer des Systems
Produzenten des Systems
Wartungsdienst
Betreiber des Systems
Benutzer des Systems
Außenstehende
Erwünschtes
leisten
Unerwünschtes
verhindern
Zwischensprachen; Zwischenergebnisse, die
unabhängig analysiert werden
wie oben + mehrere unabhängige Entwerfer
unabhängige Analysen der Produkte
Kontrolle wie bei neuem Produkt, s. o.
physischen Zugriff
beschränken,
logischen Zugriff
beschränken und
protokollieren
physischen und logischen Zugriff beschränken
physisch vom System, kryptographisch von
den Daten fernhalten
Schutz bzgl.
Schutz vor
Erwünschtes
leisten
Unerwünschtes
verhindern
16
Entwerfer und Produzent
der Entwurfs- und
Produktionshilfsmittel
verständliche Zwischensprachen;
Zwischensprachen;
verständliche
Zwischenergebnisse,
die mit unabhängigen
Zwischenergebnisse,
die mit
Werkzeugen analysiert werden
wie oben
+ Entwurf
durch mehrere
unabhängigen
Werkzeugen
analysiert
wie oben + Entwurf durch mehrere unabhängige
unabhängige
Entwerfer
werdenmit unabhängigen
Entwerfer
mit
unabhängigen
Hilfsmitteln
Entwerfer des Systems
Hilfsmitteln
Produkte
mit unabhängigen
Werkzeugen
unabhängige
Analysen der Produkte
mit
unabhängigen
Werkzeugen
analysieren
Produzenten des Systems
Wartungsdienst
Betreiber des Systems
Benutzer des Systems
Außenstehende
"
physischen Zugriff durch
phys. Zugriff durch
unmanipulierbare
Gehäuse
unmanipulierbare
beschränken,
logischen
Zugriff
Gehäuse
beschränken,
Z. beschränken
in ihnenlog.
beschränken
undund
protokollieren
protokollieren
physischen und logischen Zugriff
physischen und logischen Zugriff beschränken
beschränken
physisch vom
System,vom
kryptographisch
physisch
System, von den
Daten
kryptographisch
vonfernhalten
den Daten fernhalten
17
Welche Schutzmaßnahmen gegen welche Angreifer
Schutz bzgl.
Schutz vor
Entwerfer und Produzent der
Entwurfs- und
Produktionshilfsmittel
Entwerfer des Systems
Produzenten des Systems
Wartungsdienst
Betreiber des Systems
Benutzer des Systems
Außenstehende
Erwünschtes
leisten
Unerwünschtes
verhindern
Zwischensprachen; Zwischenergebnisse, die unabhängig
analysiert werden
wie oben + mehrere unabhängige Entwerfer
unabhängige Analysen der Produkte
Kontrolle wie bei neuem Produkt, s. o.
physischen Zugriff
beschränken, logischen
Zugriff beschränken und
protokollieren
physischen und logischen Zugriff beschränken
physisch vom System, kryptographisch von den Daten
fernhalten
physische Verteilung und Redundanz
Unbeobachtbarkeit, Anonymität, Unverkettbarkeit:
Erfassungsmöglichkeit "unnötiger Daten" vermeiden
18
Maximal berücksichtigte Stärke eines Angreifers
Angreifermodell
Schutz vor einem allmächtigen Angreifer ist unmöglich.
– Rollen des Angreifers (Außenstehender, Benutzer, Betreiber,
Wartungsdienst, Produzent, Entwerfer …), auch kombiniert
– Verbreitung des Angreifers
– Verhalten des Angreifers
Geld
Zeit
• passiv / aktiv
• beobachtend / verändernd (bzgl. seiner erlaubten Handlungen)
– dumm / intelligent
• Rechenkapazität:
– unbeschränkt: informationstheoretisch
– beschränkt: komplexitätstheoretisch
19
Beobachtender vs. verändernder Angreifer
die Welt
die Welt
betrachtetes
IT-System
Verbreitungsbereich
des Angreifers
beobachtender Angreifer
nur erlaubtes Verhalten
betrachtetes
IT-System
Verbreitungsbereich
des Angreifers
verändernder Angreifer
auch verbotenes Verhalten
20
Sicherheit in Rechnernetzen
Vertraulichkeit
• Nachrichteninhalte vertraulich
• Ort • Sender / Empfänger anonym
Ende-zu-Ende- Verschlüsselung mit
Konzelationssystem
Verfahren zum Schutz der
Verkehrsdaten
Integrität
• Fälschungen erkennen
Authentikationssystem (e)
Nachrichten signieren
• Empfänger kann Senden der
• Zeit Nachricht beweisen
• Absender kann Senden beweis. Empfangsquittung
• Nutzungsentgelte sichern
während Diensterbringung mittels
dig. Zahlungssysteme
Verfügbarkeit
• Kommunikation ermöglichen
Diversitäre Netze; faire
Betriebsmittelaufteilung
21
Mehrseitige Sicherheit
• Jeder Beteiligte hat Sicherheitsinteressen.
• Jeder Beteiligte kann seine Interessen formulieren.
• Konflikte werden erkannt und Lösungen ausgehandelt.
• Jeder Beteiligte kann seine Sicherheitsinteressen in den
ausgehandelten Lösungen durchsetzen.
Sicherheit mit minimalen Annahmen über andere
22
Schutzziele: Sortierung
Inhalte
Umfeld
Unerwünschtes Vertraulichkeit
verhindern
Verdecktheit
Anonymität
Unbeobachtbarkeit
Erwünschtes
leisten
Integrität
Zurechenbarkeit
Verfügbarkeit
Erreichbarkeit
Verbindlichkeit
23
Schutzziele: Definitionen
Vertraulichkeit: Geheimhaltung von Daten während der Übertragung. Niemand außer
den Kommunikationspartnern kann den Inhalt der Kommunikation erkennen.
Verdecktheit: Versteckte Übertragung von vertraulichen Daten. Niemand außer den
Kommunikationspartnern kann die Existenz einer vertraulichen Kommunikation
erkennen.
Anonymität: Nutzer können Ressourcen und Dienste benutzen, ohne ihre Identität zu
offenbaren. Selbst der Kommunikationspartner erfährt nicht die Identität.
Unbeobachtbarkeit: Nutzer können Ressourcen und Dienste benutzen, ohne daß
andere dies beobachten können. Dritte können weder das Senden noch den Erhalt von
Nachrichten beobachten.
Integrität: Modifikationen der kommunizierten Inhalte (Absender eingeschlossen)
werden durch den Empfänger erkannt.
Zurechenbarkeit: Sendern bzw. Empfängern von Informationen kann das Senden bzw.
der Empfang der Informationen bewiesen werden.
Verfügbarkeit: Nutzbarkeit von Diensten und Ressourcen, wenn ein Teilnehmer sie
benutzen will.
Erreichbarkeit: Zu einer Ressource (Nutzer oder Maschine) kann Kontakt
aufgenommen werden, wenn gewünscht.
Verbindlichkeit: Ein Nutzer kann rechtlich belangt werden, um seine
Verantwortlichkeiten innerhalb einer angemessenen Zeit zu erfüllen.
24
Wechselwirkungen zwischen Schutzzielen
Vertraulichkeit
+
Anonymität
+
Verdecktheit
Unbeobachtbarkeit
–
Integrität
Zurechenbarkeit
Erreichbarkeit
Verfügbarkeit
Verbindlichkeit
impliziert
+
verstärkt
–
schwächt
25
Physische Sicherheitsannahmen
Alle technischen Schutzmaßnahmen brauchen physische "Verankerung"
in einem Systemteil, auf den der Angreifer weder lesenden noch
verändernden Zugriff hat.
Spektrum vom "Rechenzentrum X" bis zur "Chipkarte Y"
Was kann man bestenfalls erwarten ?
Verfügbarkeit eines räumlich konzentrierten Systemteils ist gegen
durchaus vorstellbare Angreifer nicht gewährleistbar
 physisch verteiltes System
und hoffen, dass Angreifer nicht an vielen Orten gleichzeitig sein kann.
Verteilung erschwert Vertraulichkeit und Integrität.
Physische Maßnahmen bzgl. Vertraulichkeit und Integrität jedoch
wirkungsvoller: Schutz gegen alle derzeit vorstellbaren Angreifer scheint
erreichbar. Gelingt dies hinreichend, steht physischer Verteilung nichts im
Wege.
26
Unmanipulierbare Gehäuse
Eingriff:
Erkennen
Bewerten
Angriff:
Verzögern
Daten (etc.) löschen
Möglichkeit: mehrere Schichten, Schirmung
27
Schalenförmige Anordnung der fünf Grundfunktionen
verzögern (z.B. hartes Material),
erkennen (z.B. Erschütterungs-, Drucksensoren)
schirmen,
bewerten
löschen
28
Unmanipulierbare Gehäuse
Eingriff:
Erkennen
Bewerten
Angriff:
Verzögern
Daten (etc.) löschen
Möglichkeit: mehrere Schichten, Schirmung
Problem:
Validierung ... Glaubwürdigkeit
Negativ-Beispiel: Chipkarten
• kein Erkennen (u.a. Batterie fehlt)
• Schirmung schwierig (Karte dünn und biegbar)
• kein Löschen vorgesehen selbst bei Stromversorgung
29
Goldene Regel
Übereinstimmung zwischen organisatorischen
und informationstechnischen Strukturen
30
Identifikation von Menschen durch IT-Systeme
?
Was man ist
Handgeometrie
Fingerabdruck
Aussehen
eigenhändige Unterschrift
Retina-Muster
Stimme
Tipp-Charakteristik
hat
Papierdokument
Metallschlüssel
Magnetstreifenkarte
Chipkarte
Taschenrechner
weiß
Passwort
Antworten auf Fragen
Rechnerergebnisse für Zahlen
Ausweis
31
Identifikation von IT-Systemen durch Menschen
?
Was es ist
weiß
Wo es
steht
Gehäuse
Siegel, Hologramm
Verschmutzung
Passwort
Antworten auf Fragen
Rechnerergebnisse für Zahlen
32
Identifikation von IT-Systemen durch IT-Systeme
?
Was es weiß
Leitung woher
Passwort
Antworten auf Fragen
Rechnerergebnisse für Zahlen
Kryptographie
33
Zugangs- und Zugriffskontrolle
Zugangskontrolle nur mit berechtigten Partnern kommunizieren
BenutzerProzess
•
•
Zugriffskontrolle
Zugriffsmonitor
Berechtigung
prüfen;
Urheber und
Operation
protokollieren
vor Zugriff auf
Daten oder
Programme
Daten,
Programme
Subjekt kann Operationen auf Objekt nur
ausführen, wenn es ein Recht dazu hat.
34
Computer-Virus vs. Transitives Trojanisches Pferd
Computer-Virus
unnötiges Schreibzugriffsrecht,
z.B. für Spielprogramm
Programm 1
transitives
Trojanisches Pferd
Programm 1
Programm 2
notwendiges Schreibzugriffsrecht,
z.B. für Compiler
oder Editor
Programm 2
Zugriffskontrolle
Beschränkung der Angriffsausbreitung durch geringstmögliche Privilegierung:
Keine unnötigen Zugriffsrechte gewähren !
Keine Computer-Viren, nur noch transitive trojanische Pferde !
35
Grundsätzliches zu Computer-Viren und Troj. Pferden
Andere Maßnahmen versagen:
1. Nicht entscheidbar, ob Programm ein Computer-Virus ist
Beweis (ind.)
Annahme decide (•)
program Gegenbeispiel
if decide (Gegenbeispiel) then keine_Virusfkt
else Virusfkt
2. Nicht entscheidbar, ob Programm ein Trojanisches Pferd ist
Also: Besser zu vorsichtig!
3. Selbst bekannte Computer-Viren nicht wirksam erkennbar
Selbstmodifikation
Viren Scanner
4. dito Trojanische Pferde
5. Schaden bzgl. Daten hinterher nicht ermittelbar
Schadensfkt. könnte sich selbst modifizieren
36
Restprobleme
1. Genau spezifizieren, was IT-System tun und unterlassen soll.
2. Totale Korrektheit der Implementierung nachweisen.
3. Alle verdeckten Kanäle erkannt ?
?
heute ?
?
37
Goldene Regel
IT-System so als verteiltes System entwerfen
und realisieren, dass begrenzt viele angreifende
Rechner keinen wesentlichen Schaden anrichten können.
38
Verteiltes System
Aspekte von Verteiltheit
räumliche Verteiltheit
verteilte Kontroll- und Implementierungsstruktur
verteiltes System:
keine Instanz hat globale Systemsicht
39
Sicherheit in verteilten Systemen
Vertrauenswürdige Endgeräte
vertrauenswürdig
nur für Benutzer
auch für andere
Kommunikationsfähigkeit
Verfügbarkeit durch
Redundanz und Diversität
Kryptographie
Vertraulichkeit durch Verschlüsselung
Integrität durch
MACs oder digitale Signaturen
40
Verfügbarkeit
Infrastruktur mit geringstmöglicher Entwurfskomplexität
Anschluß an vollständig diversitäre Netze
unterschiedliche Frequenzbänder bei Funk
unterschiedliche Leitungsführung bei leitungsgebundenen Netzen
Diversitätsengpässe vermeiden
z.B. Funknetz benötigt gleiche OVSt,
für alle Anschlußleitungen gibt es nur einen Übergangspunkt ins
Fernnetz
41
Kryptologische Grundlagen
erreichbare Schutzziele:
Vertraulichkeit, Konzelation genannt
Integrität (= keine unerkannte unbefugte Modifikation von
Informationen), Authentikation genannt
durch Kryptographie unerreichbar:
Verfügbarkeit – zumindest nicht gegen starke Angreifer
42
Symmetrisches Konzelationssystem
ausführlichere
Notation
Zufallszahl
k
geheimer
Schlüssel
Vertrauensbereich
Klartext
x
lokaler Rechner
HW
Betriebssystem
Verschlüsselung ver
Schlüsseltext
S:=ver(k,x)
Angriffsbereich
Windows
95/98/ME/CE/XP Home
E., MacOS 9.x:
alle Progr.
k(x)
S
Schlüsselgenerierung gen
k
z
k:=gen(z)
Vertrauensbereich
Klartext
Entschlüssex
lung ent =k-1(k(x))
x:=ent(k,S)=ent(k,ver(k,x))
NSA: Bad Aibling
...
Bedarfsträger:
Abhörschnittstellen
Geheimer Bereich
Undurchsichtiger Kasten mit Schloß; 2 gleiche Schlüssel
43
Bsp. Vernam-Chiffre (=one-time-pad)
Zufallszahl
01
10
k
geheimer
Schlüssel
Schlüsselgenerierung
k
01
10
00
11
Klartext
x
Verschlüsse+
lung
Schlüsseltext
k(x)
01
Entschlüsse+
lung
Klartext
x
=k-1(k(x))
00
11
Geheimer Bereich
Undurchsichtiger Kasten mit Schloß; 2 gleiche Schlüssel
44
Schlüsselverteilung bei symmetrischem Kryptosystem
Schlüsselverteilzentralen
X
Z
Y
kAX(k1) kAY(k2) kAZ(k3)
NSA:
Key Escrow
Key Recovery
kBX(k1) kBY(k2) kBZ(k3)
Schlüssel k = k1 + k2 + k3
k(Nachrichten)
Teilnehmer A
Teilnehmer B
45
Sym. Konz.system: Vertrauensbereich Schlüsselgenerierung
k
geheimer
Schlüssel
Vertrauensbereich
Klartext
x
Verschlüsselung
Schlüsseltext
k(x)
Angriffsbereich
Geheimer Bereich
Zufallszahl
Vertrauensbereich:
Verschlüsseler,
SchlüsselEntschlüsseler oder
generieSchlüsselverteilrung
zentrale
k
Entschlüsselung
Vertrauensbereich
Klartext
x
=k-1(k(x))
46
Asymmetrisches Konzelationssystem
ausführlichere
Notation
Zufallszahl
c
Chiffrierschlüssel
öffentlich bekannt
Vertrauensbereich
Schlüsselgenerierung gen
z
(c,d):=gen(z)
Vertrauensbereich
d Dechiffrierschlüssel
geheimgehalten
Klartext
x
z'
Zufallszahl‘
Verschlüsselung ver
S:=ver(c,x,z')
Schlüsseltext
c(x)
S
Angriffsbereich
Klartext
Entschlüssex
lung ent =d(c(x))
x:=ent(d,S)=ent(d,ver(c,x,z'))
Geheimer Bereich
Undurchsichtiger Kasten mit Schnappschloß; 1 Schlüssel
47
Schlüsselverteilung bei asymmetrischem Konzelationssystem
Öffentliches Schlüsselregister R
1.
3.
A läßt seinen öffentlichen
B erhält von R cA, den öffentChiffrierschlüssel cA
lichen Chiffrierschlüssel
(ggf. anonym)
von A, beglaubigt
2.
eintragen.
durch die Signatur
B bittet das Schlüsselvon R.
register R um den
öffentlichen Chiffrierschlüssel von A.
cA(Nachricht an A)
Teilnehmer A
Teilnehmer B
48
Symmetrisches Authentikationssystem
ausführlichere
Notation
Zufallszahl
k
geheimer
Schlüssel
Vertrauensbereich
Klartext
x
Text mit Authentikation
Codieren
code
MAC:=code(k,x)
x, k(x)
=:MAC
(message
authentication
code)
Schlüsselgenerierung gen
z
k:=gen(z)
Vertrauensbereich
k
Klartext und
Testergebnis
Testen:
MAC =
k(x) ?
x,
"ok" oder "falsch"
?
MAC = code(k,x)
Angriffsbereich
Geheimer Bereich
Glasvitrine mit Schloß; 2 gleiche Schlüssel
49
Digitales Signatursystem
ausführlichere
Notation
Zufallszahl
0,1k
t
Vertrauensbereich
Text mit Signatur
und Testergebnis
Testen
x, s(x),
test
"ok" oder
"falsch" test(t,x,Sig) 
Schlüssel zum Testen
der Signatur,
öffentlich bekannt
0,1j
s
x, s(x)
0,1* 0,1l
x,Sig
Angriffsbereich
Geheimer Bereich
Glasvitrine mit Schloß; 1 Schlüssel
(t,s):=gen(z)
Vertrauensbereich
Schlüssel zum
Signieren,
geheimgehalten
Text mit
Signatur
ok,falsch
x,Sig,"ok"
oder "falsch"
Schlüsselgenerierung gen
z
Text
Signieren
x
011001011
0,1*
sign
Zufallszahl‘
Sig:=sign(s,x,z'))
z'
50
Schlüsselverteilung bei digitalem Signatursystem
Öffentliches Schlüsselregister R
3.
1.
A läßt tA, den Schlüssel zum
Testen seiner Signatur,
(ggf. anonym)
2.
eintragen.
B bittet das Schlüsselregister R um den
Schlüssel zum Testen
der Signatur von A.
B erhält von R tA, den
Schlüssel zum Testen der
Signatur von A,
beglaubigt durch
die Signatur
von R.
Nachricht von A, sA(Nachricht von A)
Teilnehmer A
Teilnehmer B
51
Schlüsselgenerierung
gfjjbz
z1
 z2
 z3
…
 zn
z
Erzeugung einer
Zufallszahl z für die
Schlüsselgenerierung:
XOR aus
gen
z1, einer im Gerät erzeugten,
z2, einer vom Hersteller
gelieferten,
z3, einer vom Benutzer
gelieferten,
zn, einer aus Zeitabständen
errechneten.
52
Anmerkungen zum Schlüsselaustausch
Wem werden Schlüssel zugeordnet?
1. einzelnen Teilnehmern asymmetrische Systeme
2. Paarbeziehungen
symmetrische Systeme
3. Gruppen
–
Wieviel Schlüssel müssen ausgetauscht werden?
n Teilnehmer
asymmetrische Systeme je System n
symmetrische Systeme n (n-1)
Wann Schlüssel generieren und austauschen?
Sicherheit des Schlüsselaustauschs begrenzt
kryptographisch erreichbare Sicherheit:
Mehrere Ur-Schlüsselaustausche durchführen
53
Angriffsziel/ -erfolg
a) Schlüssel (total break)
b) zum Schlüssel äquivalentes Verfahren (universal break)
c) einzelne Nachrichten,
z.B. speziell für Authentikationssysteme
c1) eine gewählte Nachricht (selective break)
c2) irgendeine Nachricht (existential break)
54
Angriffstypen
a) passiv
a1) reiner Schlüsseltext-Angriff (ciphertext-only attack)
a2) Klartext-Schlüsseltext-Angriff (known-plaintext attack)
b) aktiv
(je nach Kryptosystem;
asym.: eins von beiden: b1 oder b2;
sym.:
ggf. beides: auch b1 und b2)
b1) Signatursystem: Klartext  Schlüsseltext
(chosen-plaintext attack)
b2) Konzelationss.: Schlüsseltext  Klartext
(chosen-ciphertext attack)
Adaptivität
nicht adaptiv
adaptiv
Kriterium: Handlung
passiver Angreifer
aktiver Angreifer
Erlaubnis


beobachtender Angreifer
verändernder Angreifer
55
Grundsätzliches über „kryptographisch stark“
Falls keine informationstheoretische Sicherheit:
1) Verwendung von Schlüssel der festen Länge l :
– Angreiferalgorithmus kann immer alle 2l Schlüssel durchprobieren
(bricht asym. Kryptosysteme und sym. bei Klartext-Schlüsseltext-Angriff).
– erfordert exponentiell viele Operationen
(ist also für l > 100 zu aufwendig).
 das Beste, was der Kryptosystementwerfer erhoffen kann.
2) Komplexitätstheorie:
– liefert hauptsächlich asymptotische Resultate
– behandelt hauptsächlich "worst-case"-Komplexität
 für Sicherheit unbrauchbar, ebenso "average-case"-Komplexität.
Wunsch: Problem soll fast überall, d.h. bis auf einen verschwindenden
Bruchteil der Fälle, schwer sein.
– Sicherheitsparameter l (allgemeiner als Schlüssellänge; praktisch nützlich)
– Wenn
l  , dann Brechwahrscheinlichkeit  0.
– Hoffnung:
langsam
schnell
56
Grundsätzliches über „kryptographisch stark“ (Forts.)
3) 2 Komplexitätsklassen:
Ver-/Entschlüsseln: leicht
= polynomiell in l
Brechen:
schwer = nicht polynomiell in l  exponentiell in l
Warum?
a) Schwerer als exponentiell geht nicht, siehe 1).
b) Abgeschlossen: Einsetzen von Polynomen in Polynome ergibt Polynome.
c) Vernünftige Berechnungsmodelle (Turing-, RAM-Maschine) sind
polynomiell äquivalent.
Für die Praxis würde Polynom von hohem Grad für Laufzeit des
Angreiferalgorithmus auf RAM-Maschine reichen.
4) Warum komplexitätstheoretische Annahmen ? z.B. Faktorisierung schwer
Komplexitätstheorie kann bisher keine brauchbaren unteren Schranken
beweisen. Kompakte, languntersuchte Annahmen!
5) Was, wenn sich Annahme als falsch herausstellt?
a) Andere Annahmen treffen.
b) Genauere Analyse, z.B. Berechnungsmodell genau fixieren und dann
untersuchen, ob Polynom von genügend hohem Grad.
6) Beweisziel: Wenn der Angreiferalgorithmus das Kryptosystem brechen kann,
dann kann er auch das als schwer angenommene Problem lösen.
57
Sicherheitsklassen kryptographischer Systeme
Sicherheit
1. informationstheoretisch sicher
2. kryptographisch stark
3. wohluntersucht
4. wenig untersucht
5. geheim gehalten
58
Überblick über kryptographische Systeme
Systemtyp
Konzelation

sym.  asym.
sym.
asym.
Konzelations Konzelations
system
system
Sicherheit
Vernam1
informationstheoretisch Chiffre (onetime pad)


Pseudo-one3
CS
aktiver time-pad mit
kryptograAngriff s 2-mod-n ?
phisch
Generator
stark
5
System mit
gegen...
passiver
2
mit
s
-modAngriff
n -Generator
8
RSA
wohlunter- Mathematik
Chaos
DES
10
sucht
Authentikation
sym.  asym.
sym.
digitales
Authentika- Signaturtionssystem system
Authentika2
tionscodes
4
GMR
6
7
9
DES
RSA
11
59
Hybride Kryptosysteme (1)
Kombiniere:
• von asymmetrischen: Einfache Schlüsselverteilung
• von symmetrischen: Effizienz (Faktor 100 bis 10000, SW
und HW)
Wie?
Asymmetrisches System nur, um Schlüssel für
symmetrisches auszutauschen
Konzelation:
A
Besorge cB
Wähle k
N
cB(k),k(N)
B
Entschlüssele k mit dB
Entschlüssele N mit k
60
Hybride Kryptosysteme (2)
Noch effizienter: Teil von N in 1. Block
 128 
k
,N................................
 1024 
cB(")
k(")
Wenn B auch k benutzen soll: sA(B,k) dazulegen
Authentikation: k authentisieren und geheimhalten
Besorge cB
Besorge tA
Wähle k
N,k(N),cB(B,k,sA(B,k)) Entschlüssele cB(B,k,sA(B,k))
Teste B,k mit tA
MAC
Teste N mit k
61
Informationstheoretisch sichere Konzelation
"Hinter jedem Schlüsseltext S kann sich jeder Klartext gleich gut verbergen"
Schlüsseltext
Schlüssel
Klartext
Schlüsseltext
Schlüssel
Klartext
S
k
x
S
k
x
00
00
00
00
01
01
01
01
10
10
10
10
11
11
11
11
sichere Chiffre
unsichere Chiffre
62
Informationstheoretisch sichere Konzelation
"Hinter jedem Schlüsseltext S kann sich jeder Klartext gleich gut verbergen"
Schlüsseltext
Schlüssel
Klartext
Schlüsseltext
Schlüssel
Klartext
S
k
x
S
k
x
00
00
00
01
00
00
0
01
01
10
10
10
10
11
11
11
11
sichere Chiffre
Bsp.: Vernam-Chiffre mod 2
x = 00 01 00 10
 k = 10 11 01 00
S = 10 10 01 10
01
unsichere Chiffre
Subtraktion von einem
Schlüsselbit mod 4 von
zwei Klartextbits
63
Vernam-Chiffre (one-time pad)
Alle Zeichen sind Elemente einer Gruppe G.
Klartext, Schlüssel und Schlüsseltext sind
Zeichenketten.
Zur Verschlüsselung einer Zeichenkette x der Länge
n wird ein zufällig gewählter und vertraulich
auszutauschender Schlüssel k=(k1,...,kn) verwendet.
Das i-te Klartextzeichen xi wird verschlüsselt als
Si := xi + ki
Entschlüsselt werden kann es durch
xi := Si - ki.
Gegen adaptive Angriffe sicher; einfach zu
berechnen; Schlüssel aber sehr lang
64
Für informationsth. Sicherheit müssen Schlüssel so lang sein
Sei K Schlüsselmenge, X Klartextmenge und S
Menge der mindestens einmal auftretenden
Schlüsseltexte.
|S|  |X|
damit eindeutig entschlüsselbar (k fest)
|K|  |S|
damit hinter jedem Schlüsseltext jeder
Klartext stecken kann (x fest)
also |K|  |X|.
Falls Klartext geschickt codiert, folgt:
Schlüssel mindestens so lang wie Klartext.
65
Definitionen für informationstheoretische Sicherheit
1. Definition für informationstheoretische Sicherheit
(alle Schlüssel mit gleicher Wahrscheinlichkeit gewählt)
S  S  const  IN x  X: |{k  K| k(x) = S}| = const.
(1)
Die a-posteriori-Wahrscheinlichkeit eines Klartextes x, wenn der Angreifer
den Schlüsseltext S gesehen hat, ist W(x|S).
2. Definition
S  S x  X: W(x|S) = W(x).
(2)
Beide Definitionen sind äquivalent:
Nach Bayes gilt:
W (x | S) 
W ( x)  W ( S | x)
W (S )
(2) ist also äquivalent zu
S  S x  X: W(S|x) = W(S).
Wir zeigen, dass dies äquivalent ist zu
S  S  const'  IR x  X: W(S|x) = const'.
(3)
(4)
66
Beweis
(3)(4) ist klar mit const':= W(S).
Umgekehrt zeigen wir const' = W(S):
W ( S )   W ( x)  W(S|x)
x
  W ( x)  const'
x
 const'   W ( x)
x
 const'.
(4) sieht (1) schon sehr ähnlich: Allgemein ist
W(S|x)=W({k | k(x) = S}),
und wenn alle Schlüssel gleichwahrscheinlich sind,
W(S|x)= |{k | k(x) = S}| / |K|.
Dann ist (4) äquivalent (1) mit
const = const' • |K|.
67
Symmetrische Authentikationssysteme (1)
Schlüsselverteilung:
Wie symmetrische Konzelationssysteme
Einfaches Beispiel (Angreifersicht)
x,MAC
H,0 H,1 T,0 T,1
00 H
T
01 H
T
k
10
H
T
11
H
T
Sicherheit: z.B. Angreifer will T senden.
a) blind : Erwischt mit Wahrscheinlichkeit 0,5
b) sehend : z.B. H,0 abgefangen  k  {00, 01}
Immer noch T,0 und T,1 mit Wahrscheinlichkeit 0,5
68
Symmetrische Authentikationssysteme (2)
Definition „Informationstheoretische Sicherheit“ mit
Fehlerwahrscheinlichkeit :
x, MAC
(die Angreifer sieht)
y  x
 MAC'
(das Angreifer statt x sendet)
(von denen Angreifer den besten für y aussucht)
W(k(y) = MAC' | k(x) = MAC )  
(Wahrscheinlichkeit, dass MAC' stimmt, wenn man nur die Schlüssel k
betrachtet, die wegen (x,MAC) noch möglich sind.)
Verbesserung des Beispiels:
a) 2 Schlüsselbits statt 2: k = k1 k1*... k k*
MAC = MAC1,...,MAC; MACi aus ki ki*
 Fehlerwahrscheinlichkeit 2-
b) l Nachrichtenbits:
x(1), MAC(1) = MAC1(1), ... , MAC(1)
x( l ), MAC( l ) = MAC1( l ), ... , MAC( l )
69
Symmetrische Authentikationssysteme (3)
Grenzen:
-bit-MAC  Fehlerwahrscheinlichkeit  2-
(MAC raten)
-bit-Schlüssel  Fehlerwahrscheinlichkeit  2-
(Schlüssel raten, MAC ausrechnen)
Noch klar: Für Fehlerwahrscheinlichkeit 2- reichen -bit-Schlüssel nicht,
denn k(x) = MAC schließt viele k's aus.
Satz: Man braucht 2-bit-Schlüssel
(Für weitere Nachrichten reichen , wenn Empfänger auf
Authentikations“fehler“ geeignet reagiert.)
Möglich zur Zeit:  4 • log2(Länge(x))
(Wegman, Carter)
Viel kürzer als one-time pad.
70
RSA - asymmetrisches Kryptosystem
R. Rivest, A. Shamir, L. Adleman: A Method for obtaining
Digital Signatures and Public-Key Cryptosystems
Communications of the ACM 21/2 (Feb. 1978) 120-126.
Schlüsselgenerierung
1) Wähle zwei Primzahlen p und q zufällig sowie stochastisch
unabhängig mit |p|  |q| = l, p  q
2) Berechne n := p • q
3) Wähle c mit ggT(c, (p-1)(q-1)) = 1
(n)
4) Berechne d mittels p, q, c als multiplikatives Inverses von c modulo
(n)
c•d1
(mod (n))
Veröffentliche c und n.
Ver-/Entschlüsselung
Exponentation mit c bzw. d in ZZn
Beh.: m ZZn gilt: (mc)d  mc • d  (md)c  m (mod n)
71
Beweis (1)
c • d  1 (mod (n)) 
k ZZ : c • d - 1
k ZZ : c • d
= k • (n) 
= k • (n) + 1
Also gilt mc • d  mk • (n) +1
(mod n)
Mittels des Fermatschen Satzes
m ZZn*: m(n)  1 (mod n)
folgt für alle zu p teilerfremden m
mp-1  1
(mod p)
Da p-1 ein Teiler von (n) ist, gilt
mk • (n) +1 p mk • (p-1)(q-1) +1 p m • (mp-1)k • (q-1) p m
1
1
72
Beweis (2)
Gilt trivialerweise für m p 0
Entsprechende Argumentation für q ergibt
mk • (n) +1 q m
Da Kongruenz sowohl bzgl. p als auch q gilt, gilt sie auch
bzgl. p • q = n
mc • d  mk • (n) +1  m
(mod n)
Vorsicht:
Es gibt (bisher ?) keinen Beweis
RSA leicht zu brechen  Faktorisierung leicht
73
Naiver unsicherer Einsatz von RSA
RSA als asymmetrisches Konzelationssystem
Codiere Nachricht (ggf. geblockt) als Zahl m < n .
Verschlüsselung von m:
mc mod n
Entschlüsselung von mc:
(mc)d mod n = m
RSA als digitales Signatursystem
Umbenennung:
c  t, d  s
Signieren von m:
ms mod n
Testen von m, ms:
(ms)t mod n = m ?
74
Hinführung zu den Davida-Angriffen
Einfache Version eines Davida-Angriffs:
(auf RSA als Signatursystem)
Sig1 = m1s
Sig2 = m2s

Sig := Sig1 • Sig2 = (m1 • m2)s
Neue Signatur erzeugt !
(Passiver Angriff, dafür m nicht wählbar.)
1. Gegeben
2. Aktiv, gewünscht Sig = ms
Wähle m1 beliebig; m2 := m • m1-1
Lasse m1, m2 signieren.
Weiter wie oben.
m2
3. Aktiv, trickreicher (Moore)
"Blinding" : Wähle r beliebig,
m2 := m • r t
m2s = ms • r t • s = ms • r
sign
• r -1
ms = Sig
75
Aktiver Angriff von Davida auf RSA
1.) asymmetrisches Konzelationssystem: Entschlüsselung der gewählten
Nachricht mc
Angreifer
Angegriffener
Angreifer
wählt Zufallszahl r, 0 < r < n
bildet rc mod n; dies ist gleichverteilt in [1, n-1]
läßt Angegriffenen rc • mc :n prod entschlüsseln
bildet prodd mod n
weiß, dass prodd n (rc • mc)d n rc • d • mc • d n r • m
teilt also prodd durch r und erhält so m.
Wenn das nicht geht: Faktorisiere n.
2.) digitales Signatursystem: Signieren der gewählten Nachricht m.
Angreifer
Angegriffener
Angreifer
wählt Zufallszahl r, 0 < r < n
bildet r t mod n; dies ist gleichverteilt in [1, n-1]
läßt Angegriffenen r t • m :n prod signieren
bildet prods mod n
weiß, dass prods n (r t • m)s n r t • s • ms n r • ms
teilt also prods durch r und erhält so ms.
Wenn das nicht geht: Faktorisiere n.
76
Abwehr der Davida-Angriffe mittels kollisionsresist. Hashfkt.
h() : kollisionsresistente Hashfunktion
1.) asymmetrisches Konzelationssystem
Klartextnachrichten müssen Redundanzprädikat erfüllen
m, Redundanz  prüfe ob h(m) = Redundanz
2.) digitales Signatursystem
Vor dem Signieren wird auf die Nachricht h angewendet
Signatur zu m
prüfe ob
= (h(m))s mod n
h(m) = ((h(m))
s t
)
mod n
Vorsicht: Es gibt (bisher?) keinen Beweis für Sicherheit!
77
Symmetrisches Kryptosystem DES
64-Bit-Block Klartext
64-Bit-Schlüssel
(nur 56 Bits verwendet)
IP
L0
R0
Iterationsrunde 1
L1
R1
Iterationsrunde 2
L2
R2
L15
R15
Iterationsrunde 16
L16
R16
IP -1
64-Bit-Block Schlüsseltext
K1
K2
Teilschlüsselerzeugung
K16
78
Eine Iterationsrunde
Feistel Chiffren
Li-1
Ri-1
f
Li = Ri-1
Ki
Ri = Li-1  f(Ri-1, Ki)
79
Entschlüsselungsprinzip
Verschlüsseln Iterationsrunde i
Li-1
Ri=Li-1f(Ri-1, Ki)
Ri-1
f
Li = Ri-1
Entschlüsseln Iterationsrunde i
Ki
Ri=Li-1f(Ri-1, Ki)
Li = Ri-1
f
Ri-1
Li-1
Entschlüsselungsprinzip
Ersetze Ri -1 durch Li
trivial
Li-1  f(Ri-1, Ki)  f( Li , Ki) =
Li-1  f(Li, Ki)  f( Li , Ki) = Li-1
Ki
80
Verschlüsselungsfunktion f
Ri-1
32
E
Aufblähen
48
Schlüssel eingehen
lassen
S1
S2
S3
Ki
48
S4
S5
32
Mischen
48
P
32
S6
S7
S8
Nichtlinearität schaffen
(Permutationen und 
sind linear)
"Substitutionsbox" S kann beliebige
Funktion s : {0,1}6  {0,1}4 aufnehmen,
z.B. Tabelle.
Speziell in DES aber festgelegt.
f(Ri-1, Ki)
Begriffe
• Substitutions-Permutationsnetze
• Confusion - Diffusion
81
Teilschlüsselerzeugung
64-Bit-Schlüssel
(nur 56 Bits verwendet)
28
28
Auswahl von 48
der 56 Bits für
jede Runde
PC-1
C0
D0
LS1
LS1
C1
D1
K1
PC-2
LS2
LS2
C2
D2
C16
D16
56
48
PC-2
K2
PC-2
K16
82
Eine Iterationsrunde
Komplement
Komplement
Li-1
Ri-1
Komplement
f
Ki
Original
Komplement
Li = Ri-1
Komplement
Ri = Li-1  f(Ri-1, Ki)
83
Verschlüsselungsfunktion f
Ri-1 Komplement
32
E
48
48 Komplement
Ki
48 Original, da 0  0 = 1  1 und 1  0 = 0  1
S1
S2
S3
S4
S5
32
P
32
f(Ri-1, Ki)
Original
S6
S7
S8
84
Verallgemeinerung von DES
1.) 56  16 • 48 = 768 Schlüsselbits
2.) variable Substitutionsboxen
3.) variable Permutationen
4.) variable Expansionspermutation
5.) variable Anzahl Iterationsrunden
85
Beobachtbarkeit von Benutzern in Vermittlungsnetzen
Radio
Gegenmaßnahme Verschlüsselung
• Verbindungs-Verschlüsselung
Fernsehen
Bildtelefon
Netzabschluß
Telefon
Abhörer
Internet
mögliche
Angreifer
Vermittlungsstelle
• Betreiber
• Hersteller (Trojanisches Pferd)
• Angestellte
86
Beobachtbarkeit von Benutzern in Vermittlungsnetzen
Radio
Gegenmaßnahme Verschlüsselung
• Ende-zu-Ende-Verschlüsselung
Fernsehen
Bildtelefon
Netzabschluß
Telefon
Abhörer
Internet
mögliche
Angreifer
Vermittlungsstelle
• Betreiber
• Hersteller (Trojanisches Pferd)
• Angestellte
87
Beobachtbarkeit von Benutzern in Vermittlungsnetzen
Radio
Gegenmaßnahme Verschlüsselung
• Verbindungs-Verschlüsselung
Fernsehen
Bildtelefon
• Ende-zu-Ende-Verschlüsselung
Netzabschluß
Telefon
Abhörer
Internet
mögliche
Angreifer
Vermittlungsstelle
• Betreiber
• Hersteller (Trojanisches Pferd)
• Angestellte
Kommunikationspartner
Problem: Verkehrsdaten
wer mit wem?
Interessendaten : Wer? Was?
wann? wie lange?
Ziel: Verkehrsdaten (und damit auch Interessensdaten)
wieviel Information?
dadurch "schützen", dass sie nicht erfasst werden können.
88
Beobachtbarkeit von Benutzern in Broadcastnetzen
(Bsp. Bus-, Funknetze)
Radio
Fernsehen
Bildtelefon
Telefon
Jede Station erhält
• alle Bits
mögliche
Angreifer • analoge Signale
(Entfernung, Peilung)
Abhörer
Internet
89
Realität oder Science Fiction?
Seit etwa 1990 Realität
Video-8
5 G-Byte
= 3 * Volkszählung 1987
Speicherkosten < 25 EUR
100 Video-8 (oder in 2003: 2 Festplatten mit je 250 G-Byte für
je < 280 EUR) speichern
alle Fernsprechverbindungen eines Jahres:
Wer mit wem ?
Wann ?
Wie lange ?
Von wo ?
90
Auszug aus: 1984
With the development of television,
and the technical advance which
made it possible to receive and transmit
simultaneously on the same instrument,
private life came to an end.
George Orwell, 1948
91
Probleme bei Vermittlungsstellen
Durch differenzierte Gestaltung getrennter Vermittlungsstellen
ungelöste Probleme:
FVSt
(Fernvermittlungsstelle)
digitale
Übertragung
+ Verschlüsselung
– Nutzdaten
– Verbindungsdaten, falls Sprechererkennung
oder  Nutzdaten
Trojanisches Pferd v Zusatzgerät: wie unten
analoge
Übertragung
OVSt
(Ortsvermittlungsstelle)
Abhören von Teilnehmeranschlussleitungen
(Zerhacken der Signale ist aufwendig und
ineffektiv, Verschlüsselung der analogen Signale
nicht möglich):
– Nutzdaten (Gesprächsinhalte)
– Verbindungsdaten
• Zielrufnummer
• Sprechererkennung oder  Nutzdaten
92
Verfahren zum Schutz der Verkehrsdaten
Schutz außerhalb des Netzes
Öffentliche Anschlüsse
– Benutzung ist umständlich
Zeitlich entkoppelte Verarbeitung
– Kommunikationsformen mit Realzeitanforderungen
Lokale Auswahl
– Übertragungsleistung des Netzes
– Abrechnung von kostenpflichtigen Diensten
Schutz innerhalb des Netzes
93
Angreifer (-modell)
Fragen:
• wie weit verbreitet ? (Stationen, Leitungen)
• beobachtend / verändernd ?
• wie viel Rechenkapazität ? (informationstheoretisch,
komplexitätstheoretisch)
Unbeobachtbarkeit eines Ereignisses E
Für Angreifer gilt für alle Beobachtungen B: 0 < P(E|B) < 1
perfekt: P(E) = P(E|B)
Anonymität einer Instanz
Unverkettbarkeit von Ereignissen
gegebenenfalls Klasseneinteilung

Sicherheit in Rechnernetzen - Professur Datenschutz und