Beruflich Dokumente
Kultur Dokumente
Inhaltsverzeichnis
1 Denitionen
1.1 1.2 1.3 Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ziele der IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kryptographische Mechanismen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4
4 4 5
5 5
5 6 6 6 6 6 6 6
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4 Blockchiren
4.1 4.2 Shannons Konstruktionsprinzipien fr Chirierverfahren . . . . . . . . . . . . . . . . . . . . . . . . . Betriebsarten / Modes of operation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 Electronic Codebook (ECB) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cipher Block Chaining (CBC) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
7 7 7 8 8 8 9 9
Counter mode encryption (CTR) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Output Feedback Encryption (OFB) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Galois-Counter-Mode (GCM) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nebenbedingungen fr Initialisierungsvektoren . . . . . . . . . . . . . . . . . . . . . . . . . .
INHALTSVERZEICHNIS
5 RSA
5.1 5.2 5.3 Schlsselgenerierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ver- und Entschlsselung Angrismglichkeiten 5.3.1 5.4
9
10 10 10 10 11
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11 11
12 12 13 13 13
8 Instanzauthentisierung
8.1 8.2 8.3 Challenge-Response-Verfahren (Symmetrisch) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Challenge-Response-Verfahren (asymmetrisch) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
13 14 14 14 15
9 Schlsseleinigungsverfahren
9.1 Die-Hellman-Schlsseleinigungsverfahren (asymmetrisch) . . . . . . . . . . . . . . . . . . . . . . . .
15
15
10 Secret Sharing
10.1 Schlsselkopien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.2 Das Vier-Augen-Prinzip
16
16 16 16
10.2.1 A. Shamir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11 Zufallszahlengeneratoren
11.1 Physikalische Zufallszahlengeneratoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Deterministische (Pseudo-)Zufallszahlengeneratoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2.1 Seedgenerierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
17 17 18
19
19 20 20
INHALTSVERZEICHNIS
13 IT-Sicherheitsmanagement
13.1 Grundprinzipien des IT-Sicherheitsmanagements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.2 IT-Grundschutzkatalog des BSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.3 Entwicklung eines IT-Sicherheitskonzepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
20
20 21 21
14 Common Criteria
14.1 Evaluierungsstufen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
22
DEFINITIONEN
1 Denitionen
1.1 Allgemeines
dynamisches technisches System mit der Fhigkeit zur Speicherung und Verarbeitung von Informatio-
IT-System
nen
Sicherheit Schutz vor negativen Konsequenzen aus vorstzlichen und berechtigten Handlungen Funktionssicherheit Eigenschaft eines IT-Systems, dass die Ist-Funktionalitt mit der Soll-Funktionalitt Informationssicherheit
1.2
bereinstimmt (dass also alles so funktioniert, wie es soll) Eigenschaft eines IT-Systems, nur solche Systemzustnde anzunehmen, die zu keiner unautorisierten Informationsvernderung oder -gewinnung fhren.
Schutzziele
Vertraulichkeit
sind
Integritt
Vollstndigkeit und Unverflschtheit von Daten fr den Zeitraum, in dem sie von einer autorisierten
Person erstellt, bertragen oder gespeichert werden. Dies umfasst sowohl absichtliche, als auch unabsichtliche Vernderungen (z.B. technische Fehler)
Authentizitt
Die Authentizitt von Daten ist dann gewhrleistet, wenn der Urheber der Daten vom Empfnger
eindeutig identizierbar und seine Urheberschaft nachprfbar ist. Dies beinhaltet auch die Integritt der Daten. -> Message Authentication Codes (MAC) Zudem wird ein Objekt oder Subjekt als authentisch bezeichnet, wenn dessen Echtheit und Glaubwrdigkeit anhand einer eindeutigen Identitt und charakterischer Eigenschaften berprfbar ist. -> Authentikation
Instanzauthentisierung
nachweist.
Verfahren, in dem ein Beweisender einem Prfer den Besitz eines Geheimnisses
Nichtabstreitbarkeit Anonymitt
Die Nichtabstreitbarkeit von Daten ist gewhrleistet, wenn der Ersteller der Daten die
Erzeugung im Nachhinein nicht abstreiten kann. -> Signaturalgorithmen Personenbezogene Daten werden so verndert, dass sie nicht oder nur unter groem Aufwand einer
Pseudonymitt
Personenbezogene Daten werden so verndert, dass sie nur unter Kenntnis der Zuordnungsvorschrift
Schlsseleinigungsverfahren
dringend mit einer Instanzauthentisierung gekoppelt sein, um zu gewhrleisten, dass nur authorisierte Personen an den Schlssel gelangen.
STZE
1.3
Kryptographische Mechanismen
Kryptoanalyse Analyse kryptographischer Verfahren mit dem Ziel, sie zu brechen Chireverfahren Eine Abbildung F : X Z Y fr die gilt, dass F (, k) fr alle k Z
funktion ist. In der Literatur werden hug auch eine Familie von Funktionen betrachtet.
eine Verschlsselungs-
Exhaustion des Schlsselraumes Durchprobieren aller mglichen Schlssel Sicherheitsniveau Einfach Ausgedrckt: Ein Sicherheitsniveau von n Bit bedeutet, dass ein Angreifer 2n Versuche
bentigt, um dem kryptographischen Algorithmus zu brechen.
Blockchire
Algorithmus, der einen Klartext fester Bitlnge (z.B. 128 Bit) mittels eines Schlssels zu einem
Chiretext gleicher Bitlnge verschlsselt. Ist der Klartext lnger, wird er Bspw. in Blcke dieser Gre gespalten und diese einzeln verschlsselt.
Padding Aullen des letzten Blocks beim Nutzen einer Betriebsart Symmetrisches Verfahren Beide Parteien benutzen denselben Key Asymmetrisches Verfahren Eine Partei besitzt den geheimen, die andere den entlichen Schlssel.
Asymmetrische Verfahren basieren meist auf der vermuteten Schwere Zahlentheoretischer Probleme.
DSA
Sicherheit basiert auf der vermuteten Schwierigkeit des diskreten Logarithmusproblems in bestimmten endlichen Gruppen
2 Stze
Ein Chiersystem kann nur dann absolut sicher sein, wenn die eingesetzte Schlssellnge genauso gro ist wie der zu verschlsselnde Klartext Ein Element
a Zn
Zn
wenn
ggt (a, n) = 1
gilt.
3 Kryptographische Mechanismen
3.1 Kryptoanalyse - Angrisarten
Ciphertext-only einer oder mehrere Chiretexte sind bekannt Known-plaintext Zu einigen Nachrichten sind sowohl Chirat als auch Klartext bekannt Chosen-plaintext Der zu verschlsselnde Text kann vom Angreifer gewhlt werden Adaptive-chosen-plaintext Spezialfall, basierend auf dem Ergebnis der Verschlsselung wird der Klartext modiziert
KRYPTOGRAPHISCHE MECHANISMEN
3.2
echte
Zufallswerte
3.3
3.3.1 Caesar-Verfahren
Den Buchstaben des Alphabets werden Zahlen zugeordnet. Nun werden diese lediglich um eine bestimmte Anzahl von Stellen (mod 26) verschoben. Aus einem Beispiel:
ein
C.
F (CAESAR, 3) = F DHV DU
288
Bit entspricht,
jedoch kann ein Angreifer ber die Buchstabenhugkeit innerhalb der (deutschen) Sprache mit weiterhin relativ
17%
E ).
BLOCKCHIFFREN
Das Chirat wird gebildet, indem Klartext und Schlssel exklusiv verodert werden, also
F : X Z Y; (x, k) x k
Ver- und Entschlsselung sind in diesem Fall also identisch. Dieses Verfahren ist absolut sicher (Sicherheitsniveau von
Ressourcen ist nicht in der Lage, es zu knacken - solange jeder Key auch wirklich nur einmal verwendet wird. Ein Verschlsselungsverfahren kann nur dann absolut sicher sein, wenn der Schlssel mindestens so lang ist wie die Nachricht.
Angrismglichkeit
Seien
y1
und
y2
Chirate und
x1 , x2
y1 y2 = x1 x2
Fallen dem Angreifer also viele Chirate mit demselben Schlssel in die Hnde, hat er die Mglichkeit zu lernen.
4 Blockchiren
4.1 Shannons Konstruktionsprinzipien fr Chirierverfahren
1. Diusion (Durchmischung): Die Bits des Klartextblocks werden ber den gesamten Block verschmiert. Grundbaustein sind oft Permutationen. Lawinen-Eekt (avalance eect): (a) Jedes Bit des Geheimtextblocks hngt von jedem Bit des Klartextblocks ab (b) Bei nderung eines Klartextbits ndern sich ca. 50 Prozent der Geheimtextbits 2. Konfusion (Komplexitt des Zusammenhangs): (a) Die Beziehung zwischen Klartextblock und Geheimtextblock soll mglichst kompliziert sein (b) Selbiges soll fr die Abhngigkeit des Geheimtextblocks vom Schlssel gelten. Bei nderung eines Schlsselbits sollen sich also mglichst viele Geheimtextbits ndern - und das auch mglichst unvorhersagbar. Ein Angreifer soll also nicht erkennen knnen, dass er einen Schlssel fast erraten hat. 3. Wiederholte Anwendung von Diusion und Konfusion um die Komplexitt der Chire zu erhhen.
4.2
Betriebsarten werden verwendet, wenn die Bitlnge eines Klartexts die Blockgre des eingesetztes Blockchire bersteigt (also z.B. 128 Bit). Dafr wird der Klartext schlichtweg in Blcke der richtigen grte geteilt, der letzte Block muss ggf. aufgefllt werden.
BLOCKCHIFFREN
Gefahr:
Da gleiche Klartextblcke hier zu gleichen Chireblcken fhren, kann ein Angreifer zumindest Rckschlsse
auf die Struktur des Klartexts ziehen. Somit sollte jeder Block nicht nur vom Schlssel, sondern auch von einem sich ndernden Wert abhngen. Zudem kann es mglich sein, einzelne Stellen einer verschlsselten Nachricht durch Stellen einer anderen mit demselben Schlssel verschlsselten Nachricht zu ersetzen.
Wie ECB, jedoch hngt der Chiretext jedes Blockes vom Chiretext des vorherigen Blockes ab (XOR mit Klartext vor Verschlsselung). Fr den ersten Block wird ein Initialisierungsvektor (VK) benutzt.
Hier wird zunchst eine Nonce (Number used ONCE) gebildet und anschlieend fr jeden Klartextblock inkrementiert. Dann wird fr jeden Klartextblock nicht der Klartext, sondern Block den Index 0, der zweite den Index 1 usw. hat).
N once + Blockindex
RSA
4.2.6 Nebenbedingungen fr Initialisierungsvektoren CBC Es sind nur unvorhersagbare Initialisierungsvektoren zu verwenden GCM Die Zhlerstende im Zhleranteil des Initialisierungsvektors drfen sich bei gleichem Schlssel nicht wiederholen
CTR
5 RSA
Die Sicherheit von RSA basiert auf der vermuteten Schwierigkeit des Faktorisierungsproblems groer Zahlen, also:
Gegeben: Eine zusammengesetzte natrliche Zahl n = p q N mit zwei Primzahlen p, q. Aufgabe: Finde die beiden Primfaktoren p und q.
RSA
10
5.1
Schlsselgenerierung
und
n=pq
eN
dN
e d = 1 mod (n)
(e, n)
Zn
jedoch
(n)
5.2
Um eine Nachricht
m<n
c = me mod n
Um den Ciphertext zu entschlsseln, berechnet der Empfnger
m = cd mod n
5.3 Angrismglichkeiten
c = me mod n
entschlsseln. Er generiert
c re mod n
Nun bittet er den Besitzer des geheimen Schlssels, diese Nachricht zu entschlsseln.
((me mod n) re mod n) mod n (me re mod n) mod n ((m r) mod n) mod n
e d d
= m r mod n ?
Nun folgt noch die Multiplikation mit dem Inversen von
r mod n,
um
zu kennen.
11
5.4
Um jegliche Zusammenhnge zwischen Klartext und Ciphertext zu vermeiden, wird bspw. das OAEP eingesetzt
Um die Originalnachricht
aus
x||y
1. Berechne 2.
r = y H (x)
Gegeben Zwei Elemente g, h G Aufgabe Der Logarithmus von h zur Basis g, d.h. x N so, dass gx = h
7 Hashfunktionen
Hashfunktionen bilden einen Bitstring beliebiger Lnge auf einen Bitstring fester Lnge ab. Diese Hashfunktionen mssen je nach Art der Anwendung folgende Bedingungen erfllen:
Preimage restistance
H (m) = h
Fr ein gegebenes
h {0, 1}
m {0, 1}
mit
zu nden.
Einfach ausgedrckt: Es soll fast unmglich sein, einen (den) Wert zu nden, der zu diesem Hashwert wurde.
HASHFUNKTIONEN
12
mit
m {0, 1}
H (m) = H (m )
Einfach ausgedrckt: Es soll fast unmglich sein, zu einer bereits vorgebenen Nachricht eine weitere zu nden, die beide zu demselben Wert gehashed werden.
Collision resistance
H (m) = H (m )
werden.
m, m {0, 1}
so zu nden, dass
m=m
und
Einfach ausgedrckt: Es soll fast unmglich sein, zwei Werte zu nden, die zu demselben Wert gehashed Unterschied zu oben: Hier sind beide Werte variabel.+
kryptographisch stark.
Praktisch/fast unmglich bedeutet hier, dass es keinen Algorithmus gibt, der bei einem Sicherheitsniveu von 100 Bit eine eziente Laufzeit hat.
7.1
Merkle Damgard
Wie bei Betriebsarten wird auch bei Hashfunktionen die zu hashende Nachricht in Blcke aufgeteilt und getrennt bearbeitet.
7.2
Einsatz einer Blockchire als Hashfunktion, die jeweils den Hashwert des vorhergehenden Blocks als Schlssel nimmt (fr den ersten Block den IV):
mn
gehashed wird.
2. Kann dieser Wert einfach durch die Umkehrfunktion der Hashfunktion auf die vorigen Blcke und die Nachricht
ermittelt werden:
k mn
Somit knnen die Blcke
m1 , ..., mn1
Abhilfe: Statt
E (x, y)
wird
f (x, y) := E (x, y) x
verwendet.
INSTANZAUTHENTISIERUNG
13
7.3
Im Prinzip die Nutzung einer Hashfunktion, um eine Nachricht mit einem Schlssel zu signieren (symmetrisch). Naive Anstze fr Nachricht
und Schlssel
k:
h (k||m) - Sehr einfach zu knacken, da einfach weitere Nachrichtenblcke angehngt und weitergehashed werden
kann
h (m||k)
- Schwieriger zu knacken, aber wenn es mglich ist, eine Nachricht zu nden, die zum gleichen
m,
opad := ipad
7.4 Signaturverfahren
0x5C...0x5C 0x36...0x36
:=
In einem Signaturverfahren werden die zu signierenden Daten zuerst gehasht und dann aus diesem Hashwert die Prfsumme (Signatur) mit dem geheimen Schlssel des Beweisenden berechnet. Der Empfnger prft diese Signatur dann mit dem zum geheimen Schlssel gehrenden entlichen Schlssel. Da dieser Vorgang asymmetrisch ist, wird auch das Schutzziel Folgende Algorithmen werden bentigt: 1. Eine Hashfunktion, die die zu signierenden Daten auf einen Bitstring fester Lnge abbildet 2. Einen Algorithmus, um die Schlsselpaare zu generieren 3. Einen Algorithmus um die gehashten Daten zu signieren bzw. die Signatur zu prfen. Als Signaturalgorithmus bietet sich bspw. RSA an (in umgekehrter Reihenfolge, der Beweisende signiert hier mit seinem geheimen Schlssel und der Prfende nutzt den entlichen Schlssel zur Verikation) TODO: Evtl. DSA einfgen
Nichtabstreitbarkeit
erfllt.
7.5
Signieren Prfen
sig (m, sk) = h (m) mod n = s richtig f alsch wenn se mod n = h (m) sonst
8 Instanzauthentisierung
8.1 Challenge-Response-Verfahren (Symmetrisch)
Seien im folgenden der Beweisende als metrischen Schlssel).
INSTANZAUTHENTISIERUNG
14
1. 2. 3.
P B P
an
(Challenge)
(Response)
und
authorisiert.
8.2
Challenge-Response-Verfahren (asymmetrisch)
Im Prinzip wie die symmetrische Variante, jedoch besitzt hier der Beweisende einen privaten und der Prfer den dazugehrigen entlichen Schlssel. Wichtig hier: Sollte der Beweisende auch Nachrichten signieren, so ist es absolut notwendig, dass der geheime Schlssel zum Signieren und der zur Authorisierung verschieden sind.
Ansonsten wre folgender Angri denkbar: 1. Der Angreifer erzeugt eine eigene Nachricht
h = h (m). h
an
2. Nun schaltet er sich im Zuge des Challenge-Response-Verfahrens in der Rolle des Prfers ein und sendet den Beweisenden.
3. Da ein Hashwert generell auch wie ein Zufallswert aussieht, kann der Beweisende nicht feststellen, dass es sich um eine Nachricht handelt und signiert (gleicher Schlssel) im Zuge des Challenge-Response-Verfahrens den erhaltenen Wert. 4. Sobald er ihn nun zum Prfer zurckschickt, erhlt der Angreifer eine von
8.3
Fr Passwrter sollten generell (mindestens) folgende Regeln gelten: 1. Die Entropie des Passworts muss mindestens merken kann. 2. Die Anzahl der Zugrisversuche muss auf vermeiden.
log2 106
Generell darf ein Passwort fr Chipkarten jedoch auch nicht zu lang sein, damit der Besitzer es sich noch
beschrnkt sein.
Da das Passwort nicht sehr lang ist, muss die Zahl der Zugrisversuche beschrnkt sein, um Bruteforce zu
SCHLSSELEINIGUNGSVERFAHREN
15
9 Schlsseleinigungsverfahren
Nach einem erfolgreichen Schlsseleinigungsverfahren besitzen beide Parteien ein gemeinsames Geheimnis. Es wird empfohlen, nur Schlsseleinigungsverfahren zu verwenden, in denen beide Kommunikationspartner Anteile fr den neuen Schlssel bereitstellen.
9.1
Die-Hellman-Schlsseleinigungsverfahren (asymmetrisch)
Folgende Algorithmen sind festzulegen: 1. Ein Algorithmus zum Festlegen der Systemparameter 2. Ein Algorithmus zur Schlsseleinigung
Systemparameter
1. Whle eine Primzahl
p g
der multiplikativen Gruppe
F . p
(p, g)
authentisch
Schlsselvereinbarung
1. A whlt gleichverteilt einen Zufallswert 2. B whlt gleichverteilt einen Zufallswert 3. A berechnet 4. B berechnet
g x mod p g y mod p
an B. an A
Das ganze ist sicher, da der Angreifer niemals die Mglichkeit hat, berechnen).
und hier greift die theoretische Schwierigkeit des Logarithmusproblems (es ist sehr schwer,
x, y
aus
g, g x , g y g und g y zu
x
10
SECRET SHARING
16
Mglicher Angri
Es ist bei einer Man-In-The-Middle-Attacke mglich, dass der Angreifer beiden Parteien
eigene Zufallszahlen schickt und somit mit beiden einen geheimen Schlssel aushandelt. Ist dies einmal geschehen, kann er Nachrichten beider Seiten einfach abfangen und bei bedarf mit dem anderen Schlssel an die andere Partei weiterleiten. So bleibt er im Idealfall sogar unbemerkt.
10 Secret Sharing
10.1 Schlsselkopien
Wenn ein Schlssel ber lngere Zeit gespeichert werden muss, ist es oft notwending, dass Kopien des Schlssels angelegt werden. Allerdings bedeuten mehrere Schlsselkopien natrlich auch eine grere Wahrscheinlichkeit, dass einer Schlssel entwendet wird. Beim in
Secret Sharing
geht es darum, das zu schtzende Geheimnis (also hier den kryptographischen Schlssel) so dass
tn
Das Vier-Augen-Prinzip
kann auch dazu eingesetzt werden, dass generell zur Entschlsselung eines Geheimnisses mindestens
Secret Sharing
tn
Dies ergibt Bspw. bei einer Sicherheitstr zu einem geschtzten Bereich Sinn, den niemand alleine betreten darf.
KN
p max (K, n) t1
und setze
zufllige Werte
f (x) =
j=0
ber
aj xj a0 = K
gesetzt wurde)
Fp ,
fr das
f (0) = K
Ki := f (i)
Diese sind dann zusammen mit dem zugehrigen Die Koezienten aus
Teilgeheimnisse.
Formel
Punkten
a0 , ...at1 eines unbekannten Polynoms f knnten mithilfe der sogenannten Lagrange-Interpolations(xi , f (xi )) wie folgt gefunden werden:
t
f (x) =
i=1
Insbesondere lsst sich damit ieren geht man wie folgt vor:
f (xi )
ijt,i=j
x xj xi xj
f (0) = K
aus
11
ZUFALLSZAHLENGENERATOREN
17
1. Berechne fr alle
i {j1 , ..., jt }
den Wert
ci =
1lt,Kj =Ki t i=1 ci Kji
2. Berechne
K=
11 Zufallszahlengeneratoren
Zufallszahlen werden in vielen kryptographischen Verfahren verwendet. Dabei spielt die Unvorhersagbarkeit (Entropie) eine groe Rolle. Sie gibt - einfach gesagt - an, wie viele Versuche ein Angreifer mindestens bentigt, um alle Mlgichkeiten durchzuprobieren. Ein Zufallswert sollte zumindest von einem physikalischen Zufallszahlengenerator abhngen.
11.1
Physikalische Zufallszahlengeneratoren
Diese Generatoren beziehen ihre Zufallszahlen aus physikalischen Rauschquellen, die bspw. auf elektromagnetischen, elektromechanischen oder quantenmechanischen Eekten beruhen. AIS 31 Norm (unter anderem):
1. Die Eigenschaften der digitalisierten Rauschsignale mssen sich hinreichend gut durch ein stochastisches Modell beschreiben lassen 2. Der durchschnittliche Entropiezuwachs pro Zufallsbit liegt oberhalb der gegebenen Mindestschranke 3. Die digitalisierten Rauschsignale mssen im laufenden Betrieb in regelmigen Abstnden den statistischen Tests unterzogen werden, die geeignet sind, nicht akzeptable statistische Defekte oder Verschlechterungen der statistischen Eigenschaften in angemessener Zeit zu erkennen 4. Auf eine fehlerhafte Rauschsignalfolge muss zum Beispiel durch Stilllegen der Rauschquelle reagiert werden.
11.2
Deterministische (Pseudo-)Zufallszahlengeneratoren
Diese Zufallsgeneratoren generieren aus einem Zufallswert fester Lnge (Seed) eine pseudozufllige Bitfolge praktisch beliebiger Lnge.
1. Der innere Zustand des Generators wird mit dem Seed initialisiert Die Erzeugung des Seeds sollte mithilfe eines physikalischen Zufallszahlengenerators erfolgen. 2. In jedem folgenden Schritt wird der innere Zustand erneuert und eine neue Zufallszahl generiert.
11
ZUFALLSZAHLENGENERATOREN
18
Der innere Zustand muss natrlich gegen auslesen/verndern geschtzt sein. Es sollten folgende Kritieren erfllt sein:
1. Es soll einem Angreifer praktisch unmglich sein, Vorgnger oder Nachfolger einer Zufallszahl(enfolge) zu bestimmen (bzw. den inneren Zustand) 2. Es soll einem Angreifer praktisch unmglich sein, aus Kenntnis eines inneren Zustands Vorger der Teilfolge oder Vorgngerzustnde zu berechnen.
Im obigen Beispiel ist beides gegeben, wrde jedoch der letzte Schritt (die zweite Hashfunktion) wegfallen, knnte ein Angreifer auf den Nachfolgewert schlieen.
11.2.1 Seedgenerierung
Unter Windows fehlt jedoch eine Funktion, die ein ausreichendes Sicherheitsniveau bereitstellt (100 bit). Hier kann man auf zwei Systemaufrufe zurckgreifen:
1. ReadTimeStampCounter(): Gibt die seit Systemstart durchlaufenen Prozessorzyklen an, bei einem 1GHz-Prozessor pro Sekunde also mindestens
230
verschiedene Werte.
2. KeQuerySystemTime(): gibt die aktuelle Systemzeit in einer Ausung von 100ns an, nimmt also pro Sekunde mindestens schiedene Werte an.
233
ver-
Eine sichere Seed-Generierung wre Bspw. (Annahme: Der Angreifer kann die Zeitpunkte bis auf eine Sekunde genau abschtzen):
C := ReadT imeStampCounter()
12
19
Diese
zertiziert die entlichen Schlssel aller Beteiligten und gibt an, wofr diese genutzt werden drfen. Die von der CA ausgestellten Zertikate enthalten in der Regel folgende Daten:
Angaben zum Zertikatsinhaber entlicher Schlssel des Zertikatsinhabers verwendeter Algorithmus des Zertikatsinhabers Gltigkeitszeitraum Schsselnutzung (z.B. Signatur, Authentisierung, Verschlsselung) Angaben zum Aussteller des Zertikats verwendeter Algorithmus zum Ausstellen des Zertikats Signatur ber alle Datengruppen (Berechnet der Aussteller mit seinem geheimen Signaturschlssel, alle Beteiligten knnen dann mit dem zugehrigen entlichen Schlssel diese Signatur prfen)
Zertikate sind also eine Datenstruktur, die eine Bindung zwischen Schlsselinhaber und Schlssel schaen. In der Praxis gibt es SUB-CAs, die die Zertikate letztendlich an die Nutzer ausstellen. Jede SUB-CA hat wiederum ein Zertikat, das von der Root-CA ausgestellt wurde. Mchte nun ein Nutzer etwas Signieren, muss er folgende Daten an den Prfer schicken: 1. Die Nachricht 2. Die Signatur der Nachricht 3. Sein Zertikat 4. Das Zertikat der Sub-CA, die sein Zertikat ausgestellt hat Der Prfer geht nun folgendermaen vor (Prfung der Zertikatskette): 1. Er prft das Zertikat der Sub-CA mithilfe der Root-CA 2. Er prft das Zertikat des Senders mithilfe der Sub-CA 3. Er prft die Signatur des Senders mithilfe seines Zertikats
12.1
Certicate Policy
Wird von der Root-CA herausgegeben. Das Dokument beschreibt fr alle Teilnehmer verbindlich Sicherheitsvorgaben fr die gesamte Lebensdauer der eingesetzten Schlssel und Zertikate. Unter anderem sind enthalten:
13
IT-SICHERHEITSMANAGEMENT
20
12.2
Schlssel-Backup Generierung der Zertikate Schlssel-Update Zertikatsvalidierung Ablauf des Zertikats Zurckziehen eines Zertikats
In der Certicate Policy stehen die Sicherheitsvorgaben, im Certicate Practise Statement steht, wie sie umgesetzt werden.
12.3
X.509-Zertikate
1 2 3 4
Diese Zertikate sind folgendermaen aufgebaut: Certificate : : = SEQUENCE { TBSCertificate AlgorithmIdentifier BITSTRING }
13 IT-Sicherheitsmanagement
Bewertungskritieren fr Verfahren Grundstzlich: Vergleich der Sicherheit unterschiedlicher Systeme mit hnlicher Funktionalitt
Orange Book Kritikpunkte: Funktionalitt und Sicherheit waren nicht getrennt, soll heien, es musste Bspw. zwar eine Verschlsselung geben, es war aber egal, wie stark sie war. Grnbuch (Deutschland) EU-Harmonisierung Common Criteria Hier sind Funktionalitt und Vertrauenswrdigkeit (Qualitt der Umsetzung) getrennt.
1. Erreichen und Aufrechterhalten eines angemessenen Sicherheitsniveaus 2. Alle Beteiligten mssen einbezogen sein (Qualikation + Motivation) 3. IT-Sicherheitsmanagement ist Planungs und Leitungsaufgabe (z.B. der Unternehmensleitung, die auch die ntige Durchsetzungskraft hat)
Ein IT-Sicherheitsmanagementsystem ist eine Sammlung von Vorgehensweisen und Vorschriften, um einen ITSicherheitsprozess zu etablieren und aufrechtzuerhalten.
13
IT-SICHERHEITSMANAGEMENT
21
13.2
1.
2.
Taktische Ebene
Erstellung eines IT-Sicherheitskonzepts (a) Untersuchung, Schadenabschtzung, mgliche Angrie (b) Technische, organisatorische und personelle Manahmen beschreiben
3.
Operative Ebene
Umsetzung, Realisierung der Manahmen
4. Aufrechterhaltung im laufenden Betrieb (a) Patchmanagement (b) Anpassung von Schlssellngen (c) ... 5. Zurck zu 2
13.3
1. Strukturanalyse (a) Netze (b) Rechner (c) Speichermedien (d) Rume (e) ... 2. Schutzbedarfsanalyse: Ausgehend von den zu verarbeitenden Daten und den Schutzzielen werden alle Komponenten zu 3 Schutzbedarfskategorien eingeteilt (Wie schlimm wre eine Verletzung eines Schutzzieles?)
Normal Hoch: Finanzieller Verlust, Personenschaden, ... Sehr Hoch: Existentiell bedrohlich
(a) Datenerhebung: Welche zu schtzenden Daten existieren im Unternehmen? i. Personenbezogene Daten ii. Geschftsverkehr iii. Geschftsgeheimnisse ... (b) In welchen Komponenten kommen diese Daten vor? (Welche Speichermedien, Computer, ...) (c) Wie hoch ist der Schutzbedarf der Daten?
Ist der Schutzbedarf der Daten hoch, so ist auch der Schutzbedarf der Komponente, in der sie vorkommen (z.B. der Computer - und damit auch der Raum in dem der Computer steht) hoch.
14
COMMON CRITERIA
22
14 Common Criteria
Evaluierung 1. Zur Bewertung der Funktionalitt wird zunchst eine von fertigen Produkten unabhngige Sicherheitsbetrachtung durchgefhrt 2. ...
14.1
Evaluierungsstufen
Die Common Criteria denieren sieben Stufen der Vertrauenswrdigkeit. Mit jeder Stufe steigen die Anforderungen an die Tiefe, in der der Hersteller sein Produkt beschreiben muss und in der das Produkt getestet wird.
funktionell getestet strukturell getestet methodisch getestet und geprft methodisch entwickelt, getestet und durchgesehen semiformal entworfen und getestet semiformal verizierter Entwurf und getestet formal verizierter Entwurf und getestet