Verläßlichkeit von offenen Computersystemen

10. Vorlesung

Verläßlichkeit von offenen Computersystemen

10. Vorlesung

2-stündige Vorlesung im WS 2005/2006

Nr 187.150

anrechenbar fürDatenschutz und Datensicherheit

Vortragender: Peter Fleissner, o.Univ.-Prof. DI. Dr.-techn.

E-Mail: peter.fleissner@igw.tuwien.ac.at

die nächsten Termine im EI 8

die nächsten Termine im EI 8

• Montag, 09.01.05, 18:00 -19:30• Montag, 16.01.06, 18:00 -19:30 • Montag, 23.01.06, 18:00 -19:30 Prüfung

Organisatorisches zur LVAOrganisatorisches zur LVA

Auf unserem Server gibt es ein weblog mit allen organisatorischen Ankündigungen unter

http://igw.tuwien.ac.at/zope/igw/lvas/offcom

Skripten und Präsentationen zur Vorlesung können von dort heruntergeladen werden.

Auf dieser website können zu ausgewählten Themen Diskussionen geführt und Anfragen an den Vortragenden gestellt werden

Und los geht’s....

Kryptographische Sicherheit und Schlüssellängen

Kryptographische Sicherheit und Schlüssellängen

http://www.deviceforge.com/files/misc/certicom_figure4.gif

http://computer2004-7.tripod.com/html/crypt.html

http://cisnet.baruch.cuny.edu/holowczak/classes/4670/encryption/

Kryptographische Sicherheit - SchlüssellängenKryptographische Sicherheit - Schlüssellängen

Welche zahlentheoretische Schwierigkeiten bestimmen die Entschlüsselung von public key Verschlüsselungsverfahren?

• Faktorisierung, • Wurzelziehen (in Restklassen) und • diskreter Logarithmus.

Für keines der Probleme ist es gelungen, echte untere Schranken zu beweisen, und damit basiert der Glaube an die Sicherheit der Verfahren letztlich auf der (durchaus begründeten) Überzeugung der Kryptographinnen, dass sich keine schnellen Algorithmen zur Kryptoanalyse (in Polynomialzeit) werden finden lassen.

Während es aufgrund der bisherigen Erfahrungen eher unwahrscheinlich ist, dass man plötzlich einen dimensionsmäßig schnelleren Algorithmus entdeckt, der ein komplexitätstheoretisch abgesichertes Verfahren unbrauchbar macht (für einige früher für geeignet gehaltene Chiffren sind solche aber schon gefunden worden), muss man berücksichtigen, dass

• die Rechner schneller werden,

• man im Internet massiv parallel arbeiten kann,

• die Kryptoanalysealgorithmen durch Verbesserung der Konstanten langsam schneller werden.

Kryptographische Sicherheit - SchlüssellängenKryptographische Sicherheit - Schlüssellängen

Die Schlüssellänge soll groß genug gewählt sein, damit sie auch in absehbarer Zukunft genügend Sicherheit bietet. Andererseits möchte man die Schlüssellänge möglichst klein halten, weil die Geschwindigkeit des Verschlüsselns oder Entschlüsselns mit wachender Schlüssellänge sinkt. Bei der Wahl einer Schlüssellänge muss man also

• den Sicherheitsbedarf,

• dessen Dauer und

• die Entwicklung in der nächsten Zukunft

abzuschätzen suchen und gegebenenfalls nachbessern.

Zum Beispiel ist heute klar, dass die bei den meisten Anwendungen von RSA übliche Schlüssellänge von 512 Bit (für n) für hohe Sicherheitsanforderungen nicht mehr ausreicht, weil es heute schon gelingt, den Schlüssel zu brechen (siehe unten, wie lange man dazu braucht!).

Kryptographische Sicherheit - SchlüssellängenKryptographische Sicherheit - Schlüssellängen

„To give some idea of the complexity for the RSA cryptosystem, a 256-bit modulus is easily factored at home, and 512-bit keys can be broken by university research groups within a few months*. Keys with 768 bits are probably not secure in the long term. Keys with 1024 bits and more should be safe for now unless major cryptographical advances are made against RSA. RSA Security claims that 1024-bit keys are equivalent in strength to 80-bit symmetric keys and recommends their usage until 2010. 2048-bit RSA keys are claimed to be equivalent to 112-bit symmetric keys and can be used at least up to 2030.“

*RSA-155 = 109417386415705274218097073220403576120037329454492059909138- 421314763499842889347847179972578912673324976257528997818337970765372- 44027146743531593354333897 =1026395928297411057720541965739916759007165678080380668033419335217907 11307779*

1066034883801684548209272203600128786792079585759892915222706082371930 62808643

http://www.ssh.com/support/cryptography/introduction/strength.html

Kryptographische Sicherheit - SchlüssellängenKryptographische Sicherheit - Schlüssellängen

Wie schnell kann man faktorisieren?Wie schnell kann man faktorisieren?

Es gibt »schnelle« Verfahren nur für spezielle Zahlen (der Gestalt ab ± c mit »kleinem« a und c).

• Diese Zahlen werden durch die Nebenbedingungen für die RSA-Schlüsselerzeugung praktisch ausgeschlossen ...

• ... und fallen gegenüber den allgemeinen Verfahren für große Zahlen praktisch nicht ins Gewicht.

Die schnellsten allgemeinen Verfahren

• Zahlkörpersieb u. ä. (Silverman 1987, Pomerance 1988, A. K. Lenstra/ H. W. Lenstra/ Manasse/ Pollard 1990),

• Elliptische-Kurven-Faktorisierung (H. W. Lenstra 1987, Atkin/Morain 1993),

haben einen Zeitaufwand der Größenordnung

• Ln =

Ein Blick in die nähere Zukunft Ein Blick in die nähere Zukunft

• Lenstra und Verheul haben Abschätzungen für erforderliche Schlüssellängen für symmetrische und (gängige) asymmetrische Kryptosysteme angegeben. Man ersieht daraus, dass asymmetrische Verfahren im Vergleich zu symmetrischen Verfahren für die gleiche Sicherheit sehr viel größere Schlüssellängen benötigen.

• Für den Rechenaufwand wurde ein MIPS-Jahr konventionell festgelegt als die Rechenleistung eines Jahres auf einer DEC VAX 11/780 (=30*1012 Instruktionen). Man kann das in ein vertrauteres Maß umrechnen: die jährliche Rechenleistung eines PCs entsprach 1999 ca. 450 MIPS Jahren

Year

Symmetric Key Size

(bits)

Classical Asymmetric

Key Size   (RSA, Elg, DH)

(in bits)

Subgroup Discrete

Logarithm

Key Size   (DSA, 

Schnorr) (bits)

Elliptic Curve Key Sizes (in bits) 

Security

Margin   (Mips  Years) 

Corresponding no. of Years on 450MHz

PentiumII   PCs

Corresponding (minimal)

Budget for Attack in 1 Day

(USD)

Progress

no yes

1982  56 417 102 105    5.00 * 105  1.11 * 103  3.98 * 107

1985  59 488 106 110    2.46 * 106  5.47 * 103  4.90 * 107

1990  63 622 112 117    3.51 * 107  7.80 * 104  6.93 * 107

1995  66 777 118 124  5.00 * 108  1.11 * 106  9.81 * 107

2000  70 952 125 132  132  7.13 * 109  1.58 * 107  1.39 * 108

2001  71 990 126 133  135  1.21 * 1010  2.70 * 107  1.49 * 108

2002  72 1028 127 135  139  2.06 * 1010  4.59 * 107  1.59 * 108

2003  73 1068 129 136  140  3.51 * 1010  7.80 * 107  1.71 * 108

2004  73 1108 130 138  143  5.98 * 1010  1.33 * 108  1.83 * 108

2005  74 1149 131 139  147  1.02 * 1011  2.26 * 108  1.96 * 108

2006  75 1191 133 141  148  1.73 * 1011  3.84 * 108  2.10 * 108

2007  76 1235 134 142  152  2.94 * 1011  6.54 * 108  2.25 * 108

2008  76 1279 135 144  155  5.01 * 1011  1.11 * 109  2.41 * 108

2009  77 1323 137 145  157  8.52 * 1011  1.89 * 109  2.59 * 108

2010  78 1369 138 146  160  1.45 * 1012  3.22 * 109  2.77 * 108

2020  86 1881 151 161  188  2.94 * 1014  6.54 * 1011  5.55 * 108

2030  93 2493 165 176  215  5.98 * 1016  1.33 * 1014  1.11 * 109

2040  101 3214 179 191  244  1.22 * 1019  2.70 * 1016  2.22 * 109

Interpretation der TabelleInterpretation der Tabelle

Wenn eine Anwendung Vertraulichkeit oder Integrität für 25 Jahre garantieren muss, ergibt die Zeile für das Jahr 2030, dass der Aufwand von 5.98 * 1016  Mips-Jahren im Jahre 2030 dem Aufwand von 0.5*106 Mips-Jahren im Jahr 1982 entspricht - damals erforderlich, um DES zu brechen.

Eine äquivalente Sicherheit zu DES im Jahre 1982 erfordert 2030 Längen für:

• symmetrische Schlüssel von mindestens 93 Bits,

• RSA Moduli von mindestens 2493 Bits.

MIPS and FLOPSMIPS and FLOPSMips

• Die Verarbeitungsleistung (engl.: performance) eines Rechners im engeren Sinn wird häufig in Mips gemessen. Dies ist die Abkürzung für „Millionen Instruktionen (Prozessorbefehle) pro Sekunde". Ungenau, da die Leistung des Rechners auch von der Hierarchie des Speichers abhängt.

Flops

• Für rechenintensive Anwendungen findet die Bezeichnung Flops (engl.: floating point operations per second = Gleitkommaoperationen/Sekunde) Verwendung. Diese Kennzahl ist für Leistungsmessungen bei Rechnern für technische Einsatzgebiete zutreffender als Mips, aber immer noch sehr ungenau

http://gd.tuwien.ac.at/study/hrh-glossar/1-2_9.htm#1-2_9_1

http://en.wikipedia.org/wiki/Million_instructions_per_second

Daraus ergeben sich folgende Erfahrungswerte und Schätzungen:

• solange die Mathematiker keine wesentlich schnelleren Faktorisierungsverfahren finden!

Zahl Dezimalen Aufwand Status

rsa120 (399 Bit)

120100 MIPS-Jahre

(auf schnellem PC in 1/2 Woche machbar)

rsa140 (466 Bit)

1402000 MIPS-Jahre

(te Riele, CWI, 1999)

512-Bit-Modul

1548000 MIPS-Jahre

(Muffet, CWI, 1999)

576-Bit-Modul

17413000 MIPS-Jahre

(Franke, Uni Bonn, 2003, aktueller Weltrekord)

1024-Bit-Modul

3081011 MIPS-Jahre

(ganz kurzfristige Sicherheitsgrenze)

2048-Bit-Modul

6161015 MIPS-Jahre

(mittelfristige Sicherheitsgrenze

Supercomputador MareNostrum (IBM)Supercomputador MareNostrum (IBM)

En Marzo de 2004, el gobierno español y la empresa IBM, firmaron un acuerdo para construir el ordenador más rápido de Europa y uno de los más rápidos del mundo. MareNostrum es un supercomputador basado en procesadores PowerPC, la arquitectura BladeCenter, el sistema operativo abierto Linux, y la red de interconexión Myrinet. Estas cuatro tecnologías configuran la base de una arquitectura y diseño que tendrán un gran impacto en el futuro de la supercomputación. El resumen del sistema es el siguiente:

• 42.35 Teraflops de rendimiento de pico teórico (42.35 billones (42.35 x1012) de operaciones por segundo).

• 4.812 procesadores PowerPC 970FX en 2406 Nodos duales • 9.6 TB de memoria • 236 TB de almacenamiento en disco • 3 redes de interconexión • Myrinet • Gigabit Ethernet • Ethernet 10/100

MareNostrum está formado por 42 bastidores y ocupa 120 m2. Quelle: http://www.bsc.org.es/

MareNostrum /GrundrissMareNostrum /Grundriss

http://www.bsc.org.es/

Was kann ein PC im Vergleich?Was kann ein PC im Vergleich?Sekunden/Jahr 30 * 106

1 MIPS-Jahr 30 * 1012 Instruktionen

2-GHz-PC109 Instruktionen/Sekunde = 103 MIPS = 1 GIPS = 10-3TIPS, 30*1015 Inst/yr

... benötigt für 1 MIPS-Jahr= 30 * 1012 / 109 =30 * 103 Sekunden = 500 Minuten = 8 Stunden 20 Minuten

für 512-Bit-Modul 8000-MIPS-Jahre

=8*103 * 30 * 103 Sek= 8 * 30 * 106

= 8 Jahre

für 1024-Bit-Modul 1011-MIPS-Jahre

=1011 * 30 * 103 Sek = 108 Jahre

MareNostrum (40 TFLOPS)(Europas schnellster Rechner)

Für 1011 MIPS-Jahre (1024 Bit Modul) = 30 * 1012 * 1011 Inst braucht MareNostrum= 30 * 1012 * 1011 Inst / 40 * 1012 FLOPs =0.75 * 1011 Sek = 0.75 * 1011/30 * 106

Jahre = 2500 Jahre

Blue Gene/L, 280,6 Teraflops Schnellster Rechner der Welt

357 Jahre

BedenkenBedenken

Zu bedenken ist, dass das heute für finanzielle Transaktionen in Browsern meist eingesetzte SSL-Protokoll (Secure Sockets Layer) RSA immer noch mit einem Schlüssel von 512 Bit verwendet. Dieser liegt auf einem Webserver (z.B. Microsoft oder Netscape) und fungiert als Zertifikat, mit dem man einen Session-Key für eine verschlüsselte Transaktion austauschen kann.

Man sollte aber immer im Auge behalten, dass praktisch die Schwachstellen eines Verfahrens meist in

• schlechten Protokollen,

• Passwort-Mängeln oder

• leichtfertigem Umgang

zu suchen sind.

Beispielsweise bietet PGP für die meisten Anwendungen eine passable Sicherheit, aber wenn der Schlüssel auf einem zugänglichen PC mit einem Passwort aus 9 zufällig gewählten Zeichen gespeichert ist, entspricht dessen Sicherheit nur noch der von DES.

Eine physikalische GrenzeEine physikalische Grenze

Unter der Voraussetzung, dass für symmetrische Verfahren kein prinzipiell schnellerer Algorithmus als die vollständige Suche existiert (oder gefunden wird), kann man absolute Schallmauern für die Sicherheit der Verfahren berechnen, indem man einen idealen Rechner auf der Basis folgender physikalischer Konstanten konstruiert

• < 1090 Elementarteilchen im Universum (Schranke für Anzahl der CPUs)

• > 10-35 Sekunden, um Elementarteilchen mit Lichtgeschwindigkeit zu durchqueren (Zeitschranke für eine Operation)

• < 1018 Sekunden Lebensdauer des Universums (~ 30*109 Jahre) (Schranke für verfügbare Zeit)

==> < 10143 ~ 2475 Operationen möglich ==> 500 Bit Schlüssel sicher

• Es sei aber noch angemerkt: Sollte es eines Tages praktisch einsetzbare Quanten- Computer (oder bessere Molekular-Computer) geben, werden fast alle gängigen (symmetrischen und asymmetrischen) Verschlüsselungsverfahren von heute auf morgen unbrauchbar, weil man sie damit in Polynomialzeit brechen kann.

Kryptographische Sicherheit und Politik Kryptographische Sicherheit und Politik

• Die Schlüssellänge von 512 Bit in den gängigen Browsern hat schon einen Kampf erfordert, weil viele Regierungen (insbesondere die USA) ein Interesse daran haben, starke Kryptographie zu ver- oder behindern, damit die Abhörmöglichkeiten der Geheimdienste und Strafverfolgungsbehörden nicht beeinträchtigt werden.

Bis vor nicht allzu langer Zeit wurde Kryptographie von der amerikanischen Regierung als Kriegsmaterial eingestuft und unterlag dementsprechend starken Exportbeschränkungen. Es durfte nur Verschlüsselungssoftware mit 40 Bit langen Schlüsseln (z.B. in Netscape) exportiert werden.

• (Das betraf aber absurderweise nur den elektronischen Export übers Web oder auf Diskette und nicht die Ausfuhr von Büchern mit gedrucktem Quellcode ("free speech"). So wurde 1997 der Source Code von PGB in Form eines Buches der MIT-Press exportiert und für die internationale Version wieder eingeskannt.)

• Außer Exportbeschränkungen versuchte die amerikanische Regierung (auf Drängen von FBI und NSA) Standards für Kryptosysteme durchzusetzen, die Mechanismen enthalten, mit denen die Starfverfolgungsbehörden verschlüsselte Nachrichten entschlüsseln können. Der wichtigste Vorstoß war die sogenannte Clipper-Chip Initiative im Jahre 1993.

Kryptographische Sicherheit und Politik Kryptographische Sicherheit und Politik

• Inzwischen zeigt die amerikanische Politik eine zarte Tendenz, die Beschränkungen zu lockern, nicht zuletzt deshalb, weil man um die internationale Konkurrenzfähigkeit fürchtet. Allerdings lässt sich aus den verschiedenen amerikanischen Gesetzesinitiativen bislang keine klare Richtung ersehen.

• Heute werden Krypto-Systeme nicht mehr als Kriegsmaterial, sondern als Dual-Use Produkte gehandelt. Deren Export an "Schurkenstaaten" wird durch Ausfuhrlisten des Wassenaar Arrangement (Nachfolge des 1949 gegründeten COCOM) geregelt. Damit sind ansonsten für internationale Versionen bei symmetrischen Systemen 64 Bit erlaubt, bei Webservern RSA-Moduli von 512 Bit und bei Webbrowsern eigentlich nur 40 Bit, was aber durch Zusatzvereinbarungen unterlaufen wird, sodass auch Browser mit 512 Bit zulässig sind. (Innerhalb der USA sind Server mit 1024 Bit zulässig.)

• Die Richtlinien der OECD und der EU haben den amerikanischen Vorstoß bezüglich einer Escrow-Verschlüsselung nicht aufgegriffen, und die Tendenz scheint in Europa in Richtung einer liberalen Handhabung zu gehen.

Escrowed Encryption Standard (EES)Escrowed Encryption Standard (EES)

• Die amerikanische Regierung versuchte 1993 einen "temper resistant" Verschlüsselungs-Chip (Clipper-Chip) für digitale Sprachübertragung einzuführen, dessen Algorithmus (Skipjack) geheim war und eine Lücke enthielt, die es erlaubte, den im "law enforcement access field" (LEAF) mitgesendeten und mit dem Chip-Schlüssel verschlüsselten Session-Key zu rekonstruieren. Bei Vorliegen einer richterlichen Genehmigung konnten sich die Strafverfolgungsbehörden von zwei sogenannten "key-escrow" Agenturen Teilschlüssel besorgen und den zur Entschlüsselung notwendigen Chip-Schlüssel zusammensetzen.

• Es gab massive Proteste:

• Man hat darauf hingewiesen, dass sich Terroristen, Kinderschänder und Drogendealer durch Ordnungsstrafen nicht davon abhalten lassen, ihre Kommunikation intern noch einmal sicher zu verschlüsseln oder Methoden der Steganographie (Techniken, Nachrichten in Bildern oder Binärdateien zu verstecken) zu verwenden. Da der aufgedeckte Chip-Schlüssel keine Zeitbeschränkung enthält, können in Vergangenheit und Zukunft alle Nachrichten auf diese Weise entschlüsselt werden.

Escrowed Encryption Standard (EES)Escrowed Encryption Standard (EES)

• Durch die geheime Produktion würde jede Konkurrenz und damit Innovationen verhindert; und die Exportchancen von IT-Produkten der USA würden geschwächt.

• Außerdem erwies sich das Protokoll des Clipper-Chips als mangelhaft, sodass man leicht das mitgesendete LEAF austricksen konnte.

• Trotzdem wurde diese NSA-Technologie zum Escrowed Encryption Standard (EES) erklärt, erwies sich aber praktisch als Flop, weil nur ein paar Tausend Chips verkauft wurden (die meisten davon auch noch vom FBI). Später wurde der Skipjack-Algorithmus "unclassified" erklärt und konnte analysiert werden.

• Seither werden Key-Recovery Systeme propagiert, die es erlauben, (verloren gegangene) Schlüssel zu rekonstruieren. Dies ist alter Wein in neuen Schläuchen, respektive ein Marketing-Trick, der ein solches System attraktiv machen soll.

Europäische KryptopolitikEuropäische Kryptopolitik

• In Europa war die Situation lange Zeit verworren. Frankreich hat heute noch starke Beschränkungen für den legalen Gebrauch von Verschlüsselungsverfahren. Und in Deutschland favorisierte das Innenministerium lange Zeit die Durchsetzung eines Key-Escrow Verfahrens. Durch den Regierungswechsel (schwarz/gelb -> rot/grün) vertrat die deutsche Regierung aber eine Politik, Verschlüsselungen (innerhalb der EU) keinen Beschränkungen zu unterwerfen. Dies ist insgesamt der Trend, den die EU zur Zeit verfolgt, so dass sich Frankreich (und die USA) wohl dieser Entwicklung anpassen werden müssen.

• Der Grund für diese Liberalität heißt einfach: e-Commerce.

• Im sogenannten Bangemann-Report (Empfehlungen für den Europäischen Rat) wird der Schutz der Privatsphäre für den Konsumenten als zentral erachtet:

• "Nach Ansicht der Gruppe wird ohne die rechtliche Sicherheit eines unionsweiten Ansatzes der Vertrauensmangel auf Seiten des Verbrauchers einer raschen Entwicklung der Informationsgesellschaft im Wege stehen."

Politik und Signaturen Politik und Signaturen

• Im gleichen Geiste wurden relativ einheitliche gesetzliche Regelungen für elektronische Unterschriften geschaffen, die von allen als dringlicher angesehen werden, um die Entwicklung von e-Commerce nicht zu fördern

• Da jede Regierung (ihren) e-Commerce fördern will, haben sich Regelungen für digitale Signaturen schon früher durchgesetzt, weil diese bei elektronischen Vertragsabschlüssen unbedingt notwendig sind.

• Die Angst vor starker Kryptographie hat in den USA zur Einführung eines Digital Signature Standards (DSS) geführt, der auf einem Verfahren beruht, das nicht umkehrbar ist, also nicht als Verschlüsselung verwendet werden kann.

• So will man vermeiden, dass die für ein brauchbares Signaturverfahren notwendige Infrastruktur einfach fürs Verschlüsseln benutzt werden kann.

Politik und Signaturen Politik und Signaturen Ein problematischer Punkt bei Signaturmechanismen (wie auch bei public-key Verschlüsselungen) ist es, die richtige Identität des Unterschreibenden (bzw. des Empfängers einer Nachricht) zu gewährleisten. Es muss eine überprüfbare Zuordnung von elektronischer Unterschrift und der zugehörigen Person in »real life« von einer vertrauenswürdigen Instanz zertifiziert werden. Dies erfordert

• eine Infrastruktur für Zertifizierungsdienste und

• Kontrollmechanismen zur Überprüfung, ob bei einem Signier-Mechanismus alle notwendigen Sicherheitsanforderungen bedacht wurden, damit eine elektronische Unterschrift auch eine gewisse Beweiskraft hat.

Die EU-Kommission hat deshalb ihre Mitgliedstaaten aufgefordert, bis zum Jahr 2000 einheitliche Regelungen für die Einführung von Zertifizierungsstellen und die rechtliche Anerkennung von digitalen Signaturen zu schaffen. Österreich hat 1999 ein Signaturgesetz verabschiedet, das am 1. Januar 2000 in Kraft getreten ist.Im folgenden werden die Probleme, die mit einem vertrauenswürdigen Signaturmechanismus verbunden sind, und die erforderlichen technischen und sozialen Maßnahmen auch anhand der in diesem Gesetz vorgesehenen Regelungen besprochen.

Digitale Signaturen und Zertifikate Digitale Signaturen und Zertifikate

Verbindlichkeit von elektronischen Transaktionen

Immer häufiger erfolgen heute Warenbestellungen, Zahlungsanweisungen an Banken, Anträge oder Einsprüche bei Behörden auf elektronischem Wege. Die Übertragung dieser Daten im Internet ist allerdings mit Risiken verbunden: 

• Die Daten können während des Transports zwischen Sender und Empfänger abgefangen und/oder manipuliert werden; 

• Von den Kommunikationspartnern kann ein falscher Name oder eine unrichtige Anschrift verwendet werden, um die Gegenseite über die wahre Identität zu täuschen.

Es ergeben sich also Probleme der

• Authentizität: Stammt die Nachricht wirklich vom angenommenen Urheber?

• Integrität: Ist die Nachricht unverfälscht?

Digitale Signaturen und Zertifikate Digitale Signaturen und Zertifikate

Auf elektronischem Wege übermittelte rechtlich relevante Vorgänge können nur dann als sicher gelten, wenn Manipulationen an Daten sofort bemerkbar und die Geschäftspartner zweifelsfrei zu authentifizieren sind. Dazu sind

• technische Schutzmaßnahmen, wie digitale Signaturen, die die Integrität der Daten und die Identität der Teilnehmer gewährleisten,

• eine Infrastruktur zur Absicherung der authentischen Schlüsselverwaltung in Form von Zertifizierungsstellen

gesetzliche Regelungen zur Gewährleistung der Rechtsverbindlichkeit der elektronischen Transaktionen, wie das österreichische Signaturgesetz (SigG)

zu schaffen.

Anforderungen an digitale Signaturen Anforderungen an digitale Signaturen

Ziel: Informatische Modellierung einer »gewöhnlichen« Unterschrift

Funktionale Anforderungen

• Verifizierbarkeit: Jeder kann die Echtheit der Unterschrift prüfen.

• Fälschungssicherheit: Nur der Eigner kann die Unterschrift erzeugen.

• Verbindlichkeit: Der Unterzeichner kann nicht nachträglich seine Urheberschaft leugnen (z. B. in einem Rechtsstreit).

Technische Anforderungen

• Geschwindigkeit: Das Prüfen der Unterschrift darf beim Laden des Dokuments keine merkliche Verzögerung bewirken.

• Kryptographische Sicherheit muss gewährleistet sein.

• Handhabbarkeit: Erzeugen und Prüfen der Unterschrift dürfen keine großen Umstände verursachen und dürfen nicht täuschen.

Anforderungen an digitale Signaturen Anforderungen an digitale Signaturen

Rechtliche Anforderungen

• Rechtswirkung: Digitale Signaturen müssen eine der normalen Unterschrift vergleichbare Rechtsverbindlichkeit haben.

• Zertifizierung: Die Authentifizierung der Unterschreibenden muß rechtsgültig abgesichert werden.

• Gesetz --> Code: Sicherheitsauflagen für technische Komponenten und Verfahren müssen vorgeschrieben und kontrolliert werden.

Aber auch wenn diese Anforderungen zufrieden stellend gelöst sind, bleibt ein gewisser Zweifel, ob elektronische Signaturen in der Nutzung wirklich normalen Unterschriften entsprechen.

Bei Übertragungsfehlern kann es zu ungerechtfertigten Zurückweisungen kommen.

Why Digital Signatures Are Not SignaturesBruce Schneier; CRYPTO-GRAM, November 15, 2000

Why Digital Signatures Are Not SignaturesBruce Schneier; CRYPTO-GRAM, November 15, 2000

When first invented in the 1970s, digital signatures made an amazing promise: better than a handwritten signature -- unforgeable and uncopyable -- on a document. Today, they are a fundamental component of business in cyberspace. And numerous laws, state and now federal, have codified digital signatures into law.

These laws are a mistake. Digital signatures are not signatures, and they can't fulfill their promise. Understanding why requires understanding how they work ….Mathematically, it works beautifully. Semantically, it fails miserably. There's nothing in the description above that constitutes signing. In fact, calling whatever Alice creates a "digital signature" was probably the most unfortunate nomenclature mistake in the history of cryptography.

In law, a signature serves to indicate agreement to, or at least acknowledgment of, the document signed. When a judge sees a paper document signed by Alice, he knows that Alice held the document in her hands, and has reason to believe that Alice read and agreed to the words on the document. The signature provides evidence of Alice's intentions. (This is a simplification. With a few exceptions, you can't take a signed document into court and argue that Alice signed it. You have to get Alice to testify that she signed it, or bring handwriting experts in and then it's your word against hers. That's why notarized signatures are used in many circumstances.)

Why Digital Signatures Are Not Signatures Why Digital Signatures Are Not Signatures When the same judge sees a digital signature, he doesn't know anything about Alice's intentions. He doesn't know if Alice agreed to the document, or even if she ever saw it.

The problem is that while a digital signature authenticates the document up to the point of the signing computer, it doesn't authenticate the link between that computer and Alice. This is a subtle point. For years, I would explain the mathematics of digital signatures with sentences like:

"The signer computes a digital signature of message m by computing me mod n."

This is complete nonsense. I have digitally signed thousands of electronic documents, and I have never computed me mod n in my entire life. My computer makes that calculation. I am not signing anything; my computer is.

PGP is a good example. This e-mail security program lets me digitally sign my messages. The user interface is simple: when I want to sign a message I select the appropriate menu item, enter my passphrase into a dialog box, and click "OK." The program decrypts the private key with the passphrase, and then calculates the digital signature and appends it to my e-mail. Whether I like it or not, it is a complete article of faith on my part that PGP calculates a valid digital signature. It is an article of faith that PGP signs the message I intend it to. It is an article of faith that PGP doesn't ship a copy of my private key to someone else, who can then sign whatever he wants in my name.

Why Digital Signatures Are Not Signatures Why Digital Signatures Are Not Signatures

I don't mean to malign PGP. It's a good program, and if it is working properly it will indeed sign what I intended to sign. But someone could easily write a rogue version of the program that displays one message on the screen and signs another. Someone could write a Back Orifice plug-in that captures my private key and signs documents without my consent or knowledge. We've already seen one computer virus that attempts to steal PGP private keys; nastier variants are certainly possible.

The mathematics of cryptography, no matter how strong, cannot bridge the gap between me and my computer. Because the computer is not trusted, I cannot rely on it to show me what it is doing or do what I tell it to. ….

Solving this problem requires a trusted signing computer…

Source: Bruce Schneier; CRYPTO-GRAM, November 15, 2000

Digitale UnterschriftDigitale Unterschrift

Wie schon im letzten Kapitel behandelt, sichert man Authentizität und Integrität eines Dokumentes, indem die Absenderin

• mit einer öffentlichen Hash-Funktion einen Prüfwert des Dokumentes erstellt,

• diesen Wert mit ihrem geheimen Schlüssel verschlüsselt und

• das Chiffrat zusammen mit dem Dokument verschickt.

Der Empfänger

• entschlüsselt den verschlüsselten Prüfwert mit dem öffentlichen Schlüssel des Absenders,

• berechnet mit der gleichen Hash-Funktion den Prüfwert des Dokumentes und

• prüft, ob die beiden Werte übereinstimmen.

Hybrides Verfahren(Schema)realisiert u. a. in den Paketen PGP und SSL

Eine alternative, einfache Realisierung eines hybriden Systems (ohne öffentliches Verzeichnis) besteht darin, mit einem Schlüsselaustauschverfahren wie dem Diffie-Hellman Verfahren über einen unsicheren Kanal einen gemeinsamen Session-Key für eine symmetrische Verschlüsselung zu vereinbaren. Quelle: Klaus Pommerening: "DuD";

http://www.uni-mainz.de/~pommeren/DSVorlesung/

Authentisch = authentisch? Authentisch = authentisch? Das beschriebene Verfahren macht Manipulationen an Daten erkennbar, aber es eignet sich allein nicht dazu, die Identität der beteiligten Personen wirklich zu gewährleisten. Bob weiß nur, dass er den öffentlichen Schlüssel einer Alice benutzt, aber er kann sich nicht sicher sein, ob die elektronische Alice auch im wirklichen Leben Alice ist.

Es ist ein generelles Problem von public-key Verfahren, die Echtheit der öffentlichen Schlüssel zu garantieren.

• Asymmetrische oder hybride Verschlüsselung: Ist die Nachricht wirklich nur für den vorgesehenen Empfänger lesbar?

• Digitale Signaturen: Stammt die Unterschrift auch wirklich vom richtigen Urheber?

Nicht ausreichend gesicherte öffentliche (zentrale) Verzeichnisse mit öffentlichen Schlüsseln können manipuliert werden.

Öffentliche Schlüssel auf Homepages oder in Email-Signatures (z.B. bei PGP) können durch einen aktiven Angriff in Form der „man in the middle attack“ gefälscht werden. Diese Attacke kann auch beim Nachrichtenverkehr zu einem zentralen Schlüsselverzeichnis durchgeführt werden.

Massenhafte Verbreitung eines öffentlichen Schlüssels ist weder sehr sicher noch praktikabel.

»Man-in-the-middle« Attack »Man-in-the-middle« Attack Ein Angriff durch einen Mann in der Mitte funktioniert, wenn bei der asymmetrischen oder hybriden Verschlüsselung die öffentlichen Schlüssel zuerst über die Kommunikationsverbindung ausgetauscht werden.

Der ungefragte Mitspieler M verändert die impliziten Voraussetzungen des Situation. Er agiert als aktiver Angreifer in der Mitte (man in the middle):

A <-----> M <-----> B

Er kann

• die Kommunikationsverbindung zwischen A und B auftrennen,

• sich selbst dazwischenschalten und

• sich A gegenüber als B, B gegenüber als A ausgeben,

• Nachrichten einfach nur lesen oder unterdrücken oder andere einspielen.

»Man-in-the-middle« Attacke»Man-in-the-middle« Attacke

Authentisch = authentisch?Authentisch = authentisch?

Die Gefahr eines unterschobenen öffentlichen Schlüssels ist bei privatem Schlüsselaustausch vernachlässigbar, aber im kommerziellen oder rechtlichen Rahmen helfen hier nur Zertifikate.

Ein Zertifikat verbindet den öffentlichen Schlüssel mit Attributen der realen Person oder Institution und wird durch die Signatur einer vertrauenswürdigen Zertifizierungsstelle abgesichert.

In Analogie zum »real life« kann man

• den privaten Schlüssel als elektronische Identität = ‘ich‘

• den öffentlichen Schlüssel als deren öffentliche Repräsentation = ‘Ausweis‘

• das Zertifikat als Echtheitsbescheinigung = ‘Stempel auf dem Ausweis‘

auffassen.

Ausschnitte aus dem österreichischen Signaturgesetz (SigG)

Ausschnitte aus dem österreichischen Signaturgesetz (SigG)

Begriffsbestimmungen §2

elektronische Signatur:

elektronische Daten, die anderen elektronischen Daten beigefügt oder mit diesen logisch verknüpft werden und die der Authentifizierung, also der Feststellung der Identität des Signators, dienen

sichere elektronische Signatur:

• ausschließlich dem Signator zugeordnet

• ermöglicht dessen Identifizierung

• vom Signator kontrolliert erstellt

• erlaubt, nachträgliche Veränderungen der signierten Daten festzustellen

• beruht auf qualifiziertem Zertifikat

• unter Verwendung von sicheren technischen Komponenten und Verfahren gemäß SigG oder Verordnung erstellt

SigG: DatenSigG: Daten

Akteure

• Signator = natürliche Person oder Zertifizierungsdiensteanbieter

• Zertifizierungsdiensteanbieter = natürliche oder juristische Person oder rechtsfähige Einrichtung, die Zertifikate ausstellt oder andere Signatur- und Zertifizierungsdienste erbringt

Signaturerstellungsdaten = z.B. privater Schlüssel

Signaturprüfdaten = z.B. öffentlicher Schlüssel

Zertifikat = eine elektronische Bescheinigung, mit der Signaturprüfdaten (der öffentliche Scglüssel) einer bestimmten Person zugeordnet werden und deren Identität bestätigt wird

qualifiziertes Zertifikat = ein Zertifikat, das die Angaben des § 5 enthält und von einem den Anforderungen des § 7 entsprechenden Zertifizierungsdiensteanbieter ausgestellt wird

•SigG: »Geräte«: (Hard- oder Software)•SigG: »Geräte«: (Hard- oder Software)Signaturprodukt ; Hard- oder Software bzw. deren spezifische Komponenten, die für die Erstellung und Überprüfung elektronischer Signaturen oder von einem Zertifizierungsdiensteanbieter für die Bereitstellung von Signatur- oder Zertifizierungsdiensten verwendet werden

• Signaturerstellungseinheit

• Signaturprüfeinheit

Signatur- und Zertifizierungsdienste:

• Bereitstellung von Signaturprodukten und -verfahren

• Ausstellung, Erneuerung und Verwaltung von Zertifikaten

• Verzeichnisdienst

• Widerrufsdienst

• Registrierungsdienst

• Zeitstempeldienst

• Rechner- und Beratungsdienste

Kompromittierung = Beeinträchtigung des Sicherheitsniveaus

Verwaltungsstrafbestimmungen §26 Verwaltungsstrafbestimmungen §26

Eine Verwaltungsübertretung begeht und ist mit Geldstrafe bis zu 56.000 S zu bestrafen, wer fremde Signaturerstellungsdaten ohne Wissen und Willen des Signators missbräuchlich verwendet.

Ein Zertifizierungsdiensteanbieter begeht eine Verwaltungsübertretung und ist mit Geldstrafe bis zu 112.000 S zu bestrafen, wenn er

1. seine Widerrufspflicht verletzt,2. seine Dokumentationspflicht verletzt,3. nicht Einsicht in Aufzeichnungen oder Unterlagen gewährt oder nicht die notwendigen Auskünfte erteilt oder4. entgegen den Zertifikatswerber nicht unterrichtet.

Verwaltungsstrafbestimmungen §26 Verwaltungsstrafbestimmungen §26

Ein Zertifizierungsdiensteanbieter begeht eine Verwaltungsübertretung und ist mit Geldstrafe bis zu 224.000 S zu bestrafen, wenn er

1. die Aufnahme seiner Tätigkeit nicht anzeigt oder das Sicherheitskonzept oder das Zertifizierungskonzept nicht vorlegt,2. nicht alle Umstände, die eine ordnungsgemäße und dem Sicherheits- sowie dem Zertifizierungskonzept entsprechende Tätigkeit nicht mehr ermöglichen, der Aufsichtsstelle anzeigt,3. keinen geeigneten Widerrufsdienst oder keinen geeigneten Verzeichnisdienst führt,4. keine geeigneten Vorkehrungen dafür trifft, dass die Signaturerstellungsdaten der Signatoren weder vom Zertifizierungsdiensteanbieter noch von Dritten gespeichert oder kopiert werden können,5. keine geeigneten technischen Komponenten und Verfahren für sichere elektronische Signaturen verwendet, bereitstellt oder bezeichnet oder6. trotz Untersagung durch die Aufsichtsstelle die ihm untersagte Tätigkeit weiterhin ausübt.

Danke für Ihre Aufmerksamkeit!

meine e-mail:peter.fleissner@igw.tuwien.ac.at

und nochmals die website:http://igw.tuwien.ac.at/zope/igw/lvas/offcom