Verl - PowerPoint PPT Presentation

About This Presentation
Title:

Verl

Description:

von offenen Computersystemen 10. Vorlesung 2-st ndige Vorlesung im WS 2005/2006 Nr 187.150 anrechenbar f r Datenschutz und Datensicherheit Vortragender: – PowerPoint PPT presentation

Number of Views:112
Avg rating:3.0/5.0
Slides: 47
Provided by: acat150
Category:

less

Transcript and Presenter's Notes

Title: Verl


1
Verläßlichkeit von offenen Computersystemen10.
Vorlesung
  • 2-stündige Vorlesung im WS 2005/2006
  • Nr 187.150
  • anrechenbar fürDatenschutz und Datensicherheit
  • Vortragender Peter Fleissner, o.Univ.-Prof. DI.
    Dr.-techn.E-Mail peter.fleissner_at_igw.tuwien.ac.a
    t

2
die nächsten Termine im EI 8
  • Montag, 09.01.05, 1800 -1930
  • Montag, 16.01.06, 1800 -1930
  • Montag, 23.01.06, 1800 -1930 Prüfung

3
Organisatorisches zur LVA
  • Auf unserem Server gibt es ein weblog mit allen
    organisatorischen Ankündigungen unter
  • http//igw.tuwien.ac.at/zope/igw/lvas/offcomSkri
    pten und Präsentationen zur Vorlesung können von
    dort heruntergeladen werden.Auf dieser website
    können zu ausgewählten Themen Diskussionen
    geführt und Anfragen an den Vortragenden gestellt
    werden

4
  • Und los gehts....

5
Kryptographische Sicherheit und Schlüssellängen
http//computer2004-7.tripod.com/html/crypt.html
http//www.deviceforge.com/files/misc/certicom_fig
ure4.gif
http//cisnet.baruch.cuny.edu/holowczak/classes/46
70/encryption/
6
Kryptographische Sicherheit - Schlüssellängen
  • Welche zahlentheoretische Schwierigkeiten
    bestimmen die Entschlüsselung von public key
    Verschlüsselungsverfahren?
  • Faktorisierung,
  • Wurzelziehen (in Restklassen) und
  • diskreter Logarithmus.
  • Für keines der Probleme ist es gelungen, echte
    untere Schranken zu beweisen, und damit basiert
    der Glaube an die Sicherheit der Verfahren
    letztlich auf der (durchaus begründeten)
    Überzeugung der Kryptographinnen, dass sich keine
    schnellen Algorithmen zur Kryptoanalyse (in
    Polynomialzeit) werden finden lassen.

7
Kryptographische Sicherheit - Schlüssellängen
  • Während es aufgrund der bisherigen Erfahrungen
    eher unwahrscheinlich ist, dass man plötzlich
    einen dimensionsmäßig schnelleren Algorithmus
    entdeckt, der ein komplexitätstheoretisch
    abgesichertes Verfahren unbrauchbar macht (für
    einige früher für geeignet gehaltene Chiffren
    sind solche aber schon gefunden worden), muss man
    berücksichtigen, dass
  • die Rechner schneller werden,
  • man im Internet massiv parallel arbeiten kann,
  • die Kryptoanalysealgorithmen durch Verbesserung
    der Konstanten langsam schneller werden.

8
Kryptographische Sicherheit - Schlüssellängen
  • Die Schlüssellänge soll groß genug gewählt sein,
    damit sie auch in absehbarer Zukunft genügend
    Sicherheit bietet. Andererseits möchte man die
    Schlüssellänge möglichst klein halten, weil die
    Geschwindigkeit des Verschlüsselns oder
    Entschlüsselns mit wachender Schlüssellänge
    sinkt. Bei der Wahl einer Schlüssellänge muss man
    also
  • den Sicherheitsbedarf,
  • dessen Dauer und
  • die Entwicklung in der nächsten Zukunft
  • abzuschätzen suchen und gegebenenfalls
    nachbessern.
  • Zum Beispiel ist heute klar, dass die bei den
    meisten Anwendungen von RSA übliche
    Schlüssellänge von 512 Bit (für n) für hohe
    Sicherheitsanforderungen nicht mehr ausreicht,
    weil es heute schon gelingt, den Schlüssel zu
    brechen (siehe unten, wie lange man dazu
    braucht!).

9
Kryptographische Sicherheit - Schlüssellängen
  • To give some idea of the complexity for the RSA
    cryptosystem, a 256-bit modulus is easily
    factored at home, and 512-bit keys can be broken
    by university research groups within a few
    months. Keys with 768 bits are probably not
    secure in the long term. Keys with 1024 bits and
    more should be safe for now unless major
    cryptographical advances are made against RSA.
    RSA Security claims that 1024-bit keys are
    equivalent in strength to 80-bit symmetric keys
    and recommends their usage until 2010. 2048-bit
    RSA keys are claimed to be equivalent to 112-bit
    symmetric keys and can be used at least up to
    2030.
  • RSA-155 10941738641570527421809707322040357612
    0037329454492059909138- 42131476349984288934784717
    9972578912673324976257528997818337970765372-
    44027146743531593354333897 102639592829741105772
    0541965739916759007165678080380668033419335217907
    11307779106603488380168454820927220360012878679
    2079585759892915222706082371930 62808643
  • http//www.ssh.com/support/cryptography/introducti
    on/strength.html

10
Wie schnell kann man faktorisieren?
  • Es gibt schnelle Verfahren nur für spezielle
    Zahlen (der Gestalt ab c mit kleinem a und
    c).
  • Diese Zahlen werden durch die Nebenbedingungen
    für die RSA-Schlüsselerzeugung praktisch
    ausgeschlossen ...
  • ... und fallen gegenüber den allgemeinen
    Verfahren für große Zahlen praktisch nicht ins
    Gewicht.
  • Die schnellsten allgemeinen Verfahren
  • Zahlkörpersieb u. ä. (Silverman 1987, Pomerance
    1988, A. K. Lenstra/ H. W. Lenstra/ Manasse/
    Pollard 1990),
  • Elliptische-Kurven-Faktorisierung (H. W. Lenstra
    1987, Atkin/Morain 1993),
  • haben einen Zeitaufwand der Größenordnung
  • Ln

11
Ein Blick in die nähere Zukunft
  • Lenstra und Verheul haben Abschätzungen für
    erforderliche Schlüssellängen für symmetrische
    und (gängige) asymmetrische Kryptosysteme
    angegeben. Man ersieht daraus, dass asymmetrische
    Verfahren im Vergleich zu symmetrischen Verfahren
    für die gleiche Sicherheit sehr viel größere
    Schlüssellängen benötigen.
  • Für den Rechenaufwand wurde ein MIPS-Jahr
    konventionell festgelegt als die Rechenleistung
    eines Jahres auf einer DEC VAX 11/780 (301012
    Instruktionen). Man kann das in ein vertrauteres
    Maß umrechnen die jährliche Rechenleistung eines
    PCs entsprach 1999 ca. 450 MIPS Jahren

12
Year Symmetric Key Size (bits) Classical Asymmetric Key Size   (RSA, Elg, DH) (in bits) Subgroup Discrete Logarithm Key Size   (DSA,  Schnorr) (bits) Elliptic Curve Key Sizes (in bits)  Elliptic Curve Key Sizes (in bits)  Security Margin   (Mips  Years)  Corresponding no. of Years on 450MHz PentiumII   PCs Corresponding (minimal) Budget for Attack in 1 Day (USD)
Year Symmetric Key Size (bits) Classical Asymmetric Key Size   (RSA, Elg, DH) (in bits) Subgroup Discrete Logarithm Key Size   (DSA,  Schnorr) (bits) Progress Progress Security Margin   (Mips  Years)  Corresponding no. of Years on 450MHz PentiumII   PCs Corresponding (minimal) Budget for Attack in 1 Day (USD)
Year Symmetric Key Size (bits) Classical Asymmetric Key Size   (RSA, Elg, DH) (in bits) Subgroup Discrete Logarithm Key Size   (DSA,  Schnorr) (bits) no yes Security Margin   (Mips  Years)  Corresponding no. of Years on 450MHz PentiumII   PCs Corresponding (minimal) Budget for Attack in 1 Day (USD)
1982  56 417 102 105    5.00 105  1.11 103  3.98 107
1985  59 488 106 110    2.46 106  5.47 103  4.90 107
1990  63 622 112 117    3.51 107  7.80 104  6.93 107
1995  66 777 118 124  5.00 108  1.11 106  9.81 107
2000  70 952 125 132  132  7.13 109  1.58 107  1.39 108
2001  71 990 126 133  135  1.21 1010  2.70 107  1.49 108
2002  72 1028 127 135  139  2.06 1010  4.59 107  1.59 108
2003  73 1068 129 136  140  3.51 1010  7.80 107  1.71 108
2004  73 1108 130 138  143  5.98 1010  1.33 108  1.83 108
2005  74 1149 131 139  147  1.02 1011  2.26 108  1.96 108
2006  75 1191 133 141  148  1.73 1011  3.84 108  2.10 108
2007  76 1235 134 142  152  2.94 1011  6.54 108  2.25 108
2008  76 1279 135 144  155  5.01 1011  1.11 109  2.41 108
2009  77 1323 137 145  157  8.52 1011  1.89 109  2.59 108
2010  78 1369 138 146  160  1.45 1012  3.22 109  2.77 108
2020  86 1881 151 161  188  2.94 1014  6.54 1011  5.55 108
2030  93 2493 165 176  215  5.98 1016  1.33 1014  1.11 109
2040  101 3214 179 191  244  1.22 1019  2.70 1016  2.22 109
13
Interpretation der Tabelle
  • Wenn eine Anwendung Vertraulichkeit oder
    Integrität für 25 Jahre garantieren muss, ergibt
    die Zeile für das Jahr 2030, dass der Aufwand von
    5.98 1016  Mips-Jahren im Jahre 2030 dem
    Aufwand von 0.5106 Mips-Jahren im Jahr 1982
    entspricht - damals erforderlich, um DES zu
    brechen.
  • Eine äquivalente Sicherheit zu DES im Jahre 1982
    erfordert 2030 Längen für
  • symmetrische Schlüssel von mindestens 93 Bits,
  • RSA Moduli von mindestens 2493 Bits.

14
MIPS and FLOPS
  • Mips
  • Die Verarbeitungsleistung (engl. performance)
    eines Rechners im engeren Sinn wird häufig in
    Mips gemessen. Dies ist die Abkürzung für
    Millionen Instruktionen (Prozessorbefehle) pro
    Sekunde". Ungenau, da die Leistung des Rechners
    auch von der Hierarchie des Speichers abhängt.
  • Flops
  • Für rechenintensive Anwendungen findet die
    Bezeichnung Flops (engl. floating point
    operations per second Gleitkommaoperationen/Seku
    nde) Verwendung. Diese Kennzahl ist für
    Leistungsmessungen bei Rechnern für technische
    Einsatzgebiete zutreffender als Mips, aber immer
    noch sehr ungenau
  • http//gd.tuwien.ac.at/study/hrh-glossar/1-2_9.htm
    1-2_9_1
  • http//en.wikipedia.org/wiki/Million_instructions_
    per_second

15
  • Daraus ergeben sich folgende Erfahrungswerte und
    Schätzungen
  • solange die Mathematiker keine wesentlich
    schnelleren Faktorisierungsverfahren finden!

Zahl Dezimalen Aufwand Status
rsa120 (399 Bit) 120 100 MIPS-Jahre (auf schnellem PC in 1/2 Woche machbar)
rsa140 (466 Bit) 140 2000 MIPS-Jahre (te Riele, CWI, 1999)
512-Bit-Modul 154 8000 MIPS-Jahre (Muffet, CWI, 1999)
576-Bit-Modul 174 13000 MIPS-Jahre (Franke, Uni Bonn, 2003, aktueller Weltrekord)
1024-Bit-Modul 308 1011 MIPS-Jahre (ganz kurzfristige Sicherheitsgrenze)
2048-Bit-Modul 616 1015 MIPS-Jahre (mittelfristige Sicherheitsgrenze
16
Supercomputador MareNostrum (IBM)
  • En Marzo de 2004, el gobierno español y la
    empresa IBM, firmaron un acuerdo para construir
    el ordenador más rápido de Europa y uno de los
    más rápidos del mundo.
  • MareNostrum es un supercomputador basado en
    procesadores PowerPC, la arquitectura
    BladeCenter, el sistema operativo abierto Linux,
    y la red de interconexión Myrinet. Estas cuatro
    tecnologías configuran la base de una
    arquitectura y diseño que tendrán un gran impacto
    en el futuro de la supercomputación.
  • El resumen del sistema es el siguiente
  • 42.35 Teraflops de rendimiento de pico teórico
    (42.35 billones (42.35 x1012) de operaciones por
    segundo).
  • 4.812 procesadores PowerPC 970FX en 2406 Nodos
    duales
  • 9.6 TB de memoria
  • 236 TB de almacenamiento en disco
  • 3 redes de interconexión
  • Myrinet
  • Gigabit Ethernet
  • Ethernet 10/100
  • MareNostrum está formado por 42 bastidores y
    ocupa 120 m2.
  • Quelle http//www.bsc.org.es/

17
MareNostrum /Grundriss
http//www.bsc.org.es/
18
Was kann ein PC im Vergleich?
Sekunden/Jahr 30 106
1 MIPS-Jahr 30 1012 Instruktionen
2-GHz-PC 109 Instruktionen/Sekunde 103 MIPS 1 GIPS 10-3TIPS, 301015 Inst/yr
... benötigt für 1 MIPS-Jahr 30 1012 / 109 30 103 Sekunden 500 Minuten 8 Stunden 20 Minuten
für 512-Bit-Modul 8000-MIPS-Jahre 8103 30 103 Sek 8 30 106 8 Jahre
für 1024-Bit-Modul 1011-MIPS-Jahre 1011 30 103 Sek 108 Jahre
MareNostrum (40 TFLOPS) (Europas schnellster Rechner) Für 1011 MIPS-Jahre (1024 Bit Modul) 30 1012 1011 Inst braucht MareNostrum 30 1012 1011 Inst / 40 1012 FLOPs 0.75 1011 Sek 0.75 1011/30 106 Jahre 2500 Jahre
Blue Gene/L, 280,6 Teraflops Schnellster Rechner der Welt 357 Jahre
19
Bedenken
  • Zu bedenken ist, dass das heute für finanzielle
    Transaktionen in Browsern meist eingesetzte
    SSL-Protokoll (Secure Sockets Layer) RSA immer
    noch mit einem Schlüssel von 512 Bit verwendet.
    Dieser liegt auf einem Webserver (z.B. Microsoft
    oder Netscape) und fungiert als Zertifikat, mit
    dem man einen Session-Key für eine verschlüsselte
    Transaktion austauschen kann.
  • Man sollte aber immer im Auge behalten, dass
    praktisch die Schwachstellen eines Verfahrens
    meist in
  • schlechten Protokollen,
  • Passwort-Mängeln oder
  • leichtfertigem Umgang
  • zu suchen sind.
  • Beispielsweise bietet PGP für die meisten
    Anwendungen eine passable Sicherheit, aber wenn
    der Schlüssel auf einem zugänglichen PC mit einem
    Passwort aus 9 zufällig gewählten Zeichen
    gespeichert ist, entspricht dessen Sicherheit nur
    noch der von DES.

20
Eine physikalische Grenze
  • Unter der Voraussetzung, dass für symmetrische
    Verfahren kein prinzipiell schnellerer
    Algorithmus als die vollständige Suche existiert
    (oder gefunden wird), kann man absolute
    Schallmauern für die Sicherheit der Verfahren
    berechnen, indem man einen idealen Rechner auf
    der Basis folgender physikalischer Konstanten
    konstruiert
  • lt 1090 Elementarteilchen im Universum (Schranke
    für Anzahl der CPUs)
  • gt 10-35 Sekunden, um Elementarteilchen mit
    Lichtgeschwindigkeit zu durchqueren (Zeitschranke
    für eine Operation)
  • lt 1018 Sekunden Lebensdauer des Universums (
    30109 Jahre) (Schranke für verfügbare Zeit)gt
    lt 10143 2475 Operationen möglich gt 500 Bit
    Schlüssel sicher
  • Es sei aber noch angemerkt Sollte es eines Tages
    praktisch einsetzbare Quanten- Computer (oder
    bessere Molekular-Computer) geben, werden fast
    alle gängigen (symmetrischen und asymmetrischen)
    Verschlüsselungsverfahren von heute auf morgen
    unbrauchbar, weil man sie damit in Polynomialzeit
    brechen kann.

21
Kryptographische Sicherheit und Politik
  • Die Schlüssellänge von 512 Bit in den gängigen
    Browsern hat schon einen Kampf erfordert, weil
    viele Regierungen (insbesondere die USA) ein
    Interesse daran haben, starke Kryptographie zu
    ver- oder behindern, damit die Abhörmöglichkeiten
    der Geheimdienste und Strafverfolgungsbehörden
    nicht beeinträchtigt werden.Bis vor nicht allzu
    langer Zeit wurde Kryptographie von der
    amerikanischen Regierung als Kriegsmaterial
    eingestuft und unterlag dementsprechend starken
    Exportbeschränkungen. Es durfte nur
    Verschlüsselungssoftware mit 40 Bit langen
    Schlüsseln (z.B. in Netscape) exportiert werden.
  • (Das betraf aber absurderweise nur den
    elektronischen Export übers Web oder auf Diskette
    und nicht die Ausfuhr von Büchern mit gedrucktem
    Quellcode ("free speech"). So wurde 1997 der
    Source Code von PGB in Form eines Buches der
    MIT-Press exportiert und für die internationale
    Version wieder eingeskannt.)
  • Außer Exportbeschränkungen versuchte die
    amerikanische Regierung (auf Drängen von FBI und
    NSA) Standards für Kryptosysteme durchzusetzen,
    die Mechanismen enthalten, mit denen die
    Starfverfolgungsbehörden verschlüsselte
    Nachrichten entschlüsseln können. Der wichtigste
    Vorstoß war die sogenannte Clipper-Chip
    Initiative im Jahre 1993.

22
Kryptographische Sicherheit und Politik
  • Inzwischen zeigt die amerikanische Politik eine
    zarte Tendenz, die Beschränkungen zu lockern,
    nicht zuletzt deshalb, weil man um die
    internationale Konkurrenzfähigkeit fürchtet.
    Allerdings lässt sich aus den verschiedenen
    amerikanischen Gesetzesinitiativen bislang keine
    klare Richtung ersehen.
  • Heute werden Krypto-Systeme nicht mehr als
    Kriegsmaterial, sondern als Dual-Use Produkte
    gehandelt. Deren Export an "Schurkenstaaten" wird
    durch Ausfuhrlisten des Wassenaar Arrangement
    (Nachfolge des 1949 gegründeten COCOM) geregelt.
    Damit sind ansonsten für internationale Versionen
    bei symmetrischen Systemen 64 Bit erlaubt, bei
    Webservern RSA-Moduli von 512 Bit und bei
    Webbrowsern eigentlich nur 40 Bit, was aber durch
    Zusatzvereinbarungen unterlaufen wird, sodass
    auch Browser mit 512 Bit zulässig sind.
    (Innerhalb der USA sind Server mit 1024 Bit
    zulässig.)
  • Die Richtlinien der OECD und der EU haben den
    amerikanischen Vorstoß bezüglich einer
    Escrow-Verschlüsselung nicht aufgegriffen, und
    die Tendenz scheint in Europa in Richtung einer
    liberalen Handhabung zu gehen.

23
Escrowed Encryption Standard (EES)
  • Die amerikanische Regierung versuchte 1993 einen
    "temper resistant" Verschlüsselungs-Chip
    (Clipper-Chip) für digitale Sprachübertragung
    einzuführen, dessen Algorithmus (Skipjack) geheim
    war und eine Lücke enthielt, die es erlaubte, den
    im "law enforcement access field" (LEAF)
    mitgesendeten und mit dem Chip-Schlüssel
    verschlüsselten Session-Key zu rekonstruieren.
    Bei Vorliegen einer richterlichen Genehmigung
    konnten sich die Strafverfolgungsbehörden von
    zwei sogenannten "key-escrow" Agenturen
    Teilschlüssel besorgen und den zur
    Entschlüsselung notwendigen Chip-Schlüssel
    zusammensetzen.
  • Es gab massive Proteste
  • Man hat darauf hingewiesen, dass sich
    Terroristen, Kinderschänder und Drogendealer
    durch Ordnungsstrafen nicht davon abhalten
    lassen, ihre Kommunikation intern noch einmal
    sicher zu verschlüsseln oder Methoden der
    Steganographie (Techniken, Nachrichten in Bildern
    oder Binärdateien zu verstecken) zu verwenden. Da
    der aufgedeckte Chip-Schlüssel keine
    Zeitbeschränkung enthält, können in Vergangenheit
    und Zukunft alle Nachrichten auf diese Weise
    entschlüsselt werden.

24
Escrowed Encryption Standard (EES)
  • Durch die geheime Produktion würde jede
    Konkurrenz und damit Innovationen verhindert und
    die Exportchancen von IT-Produkten der USA würden
    geschwächt.
  • Außerdem erwies sich das Protokoll des
    Clipper-Chips als mangelhaft, sodass man leicht
    das mitgesendete LEAF austricksen konnte.
  • Trotzdem wurde diese NSA-Technologie zum Escrowed
    Encryption Standard (EES) erklärt, erwies sich
    aber praktisch als Flop, weil nur ein paar
    Tausend Chips verkauft wurden (die meisten davon
    auch noch vom FBI). Später wurde der
    Skipjack-Algorithmus "unclassified" erklärt und
    konnte analysiert werden.
  • Seither werden Key-Recovery Systeme propagiert,
    die es erlauben, (verloren gegangene) Schlüssel
    zu rekonstruieren. Dies ist alter Wein in neuen
    Schläuchen, respektive ein Marketing-Trick, der
    ein solches System attraktiv machen soll.

25
Europäische Kryptopolitik
  • In Europa war die Situation lange Zeit verworren.
    Frankreich hat heute noch starke Beschränkungen
    für den legalen Gebrauch von Verschlüsselungsverfa
    hren. Und in Deutschland favorisierte das
    Innenministerium lange Zeit die Durchsetzung
    eines Key-Escrow Verfahrens. Durch den
    Regierungswechsel (schwarz/gelb -gt rot/grün)
    vertrat die deutsche Regierung aber eine Politik,
    Verschlüsselungen (innerhalb der EU) keinen
    Beschränkungen zu unterwerfen. Dies ist insgesamt
    der Trend, den die EU zur Zeit verfolgt, so dass
    sich Frankreich (und die USA) wohl dieser
    Entwicklung anpassen werden müssen.
  • Der Grund für diese Liberalität heißt einfach
    e-Commerce.
  • Im sogenannten Bangemann-Report (Empfehlungen für
    den Europäischen Rat) wird der Schutz der
    Privatsphäre für den Konsumenten als zentral
    erachtet
  • "Nach Ansicht der Gruppe wird ohne die rechtliche
    Sicherheit eines unionsweiten Ansatzes der
    Vertrauensmangel auf Seiten des Verbrauchers
    einer raschen Entwicklung der Informationsgesellsc
    haft im Wege stehen."

26
Politik und Signaturen
  • Im gleichen Geiste wurden relativ einheitliche
    gesetzliche Regelungen für elektronische
    Unterschriften geschaffen, die von allen als
    dringlicher angesehen werden, um die Entwicklung
    von e-Commerce nicht zu fördern
  • Da jede Regierung (ihren) e-Commerce fördern
    will, haben sich Regelungen für digitale
    Signaturen schon früher durchgesetzt, weil diese
    bei elektronischen Vertragsabschlüssen unbedingt
    notwendig sind.
  • Die Angst vor starker Kryptographie hat in den
    USA zur Einführung eines Digital Signature
    Standards (DSS) geführt, der auf einem Verfahren
    beruht, das nicht umkehrbar ist, also nicht als
    Verschlüsselung verwendet werden kann.
  • So will man vermeiden, dass die für ein
    brauchbares Signaturverfahren notwendige
    Infrastruktur einfach fürs Verschlüsseln benutzt
    werden kann.

27
Politik und Signaturen
  • Ein problematischer Punkt bei Signaturmechanismen
    (wie auch bei public-key Verschlüsselungen) ist
    es, die richtige Identität des Unterschreibenden
    (bzw. des Empfängers einer Nachricht) zu
    gewährleisten. Es muss eine überprüfbare
    Zuordnung von elektronischer Unterschrift und der
    zugehörigen Person in real life von einer
    vertrauenswürdigen Instanz zertifiziert werden.
    Dies erfordert
  • eine Infrastruktur für Zertifizierungsdienste und
  • Kontrollmechanismen zur Überprüfung, ob bei einem
    Signier-Mechanismus alle notwendigen
    Sicherheitsanforderungen bedacht wurden, damit
    eine elektronische Unterschrift auch eine gewisse
    Beweiskraft hat.
  • Die EU-Kommission hat deshalb ihre
    Mitgliedstaaten aufgefordert, bis zum Jahr 2000
    einheitliche Regelungen für die Einführung von
    Zertifizierungsstellen und die rechtliche
    Anerkennung von digitalen Signaturen zu schaffen.
    Österreich hat 1999 ein Signaturgesetz
    verabschiedet, das am 1. Januar 2000 in Kraft
    getreten ist.Im folgenden werden die Probleme,
    die mit einem vertrauenswürdigen
    Signaturmechanismus verbunden sind, und die
    erforderlichen technischen und sozialen Maßnahmen
    auch anhand der in diesem Gesetz vorgesehenen
    Regelungen besprochen.

28
Digitale Signaturen und Zertifikate
  • Verbindlichkeit von elektronischen Transaktionen
  • Immer häufiger erfolgen heute Warenbestellungen,
    Zahlungsanweisungen an Banken, Anträge oder
    Einsprüche bei Behörden auf elektronischem Wege.
    Die Übertragung dieser Daten im Internet ist
    allerdings mit Risiken verbunden 
  • Die Daten können während des Transports zwischen
    Sender und Empfänger abgefangen und/oder
    manipuliert werden 
  • Von den Kommunikationspartnern kann ein falscher
    Name oder eine unrichtige Anschrift verwendet
    werden, um die Gegenseite über die wahre
    Identität zu täuschen.
  • Es ergeben sich also Probleme der
  • Authentizität Stammt die Nachricht wirklich vom
    angenommenen Urheber?
  • Integrität Ist die Nachricht unverfälscht?

29
Digitale Signaturen und Zertifikate
  • Auf elektronischem Wege übermittelte rechtlich
    relevante Vorgänge können nur dann als sicher
    gelten, wenn Manipulationen an Daten sofort
    bemerkbar und die Geschäftspartner zweifelsfrei
    zu authentifizieren sind. Dazu sind
  • technische Schutzmaßnahmen, wie digitale
    Signaturen, die die Integrität der Daten und die
    Identität der Teilnehmer gewährleisten,
  • eine Infrastruktur zur Absicherung der
    authentischen Schlüsselverwaltung in Form von
    Zertifizierungsstellengesetzliche Regelungen
    zur Gewährleistung der Rechtsverbindlichkeit der
    elektronischen Transaktionen, wie das
    österreichische Signaturgesetz (SigG)
  • zu schaffen.

30
Anforderungen an digitale Signaturen
  • Ziel Informatische Modellierung einer
    gewöhnlichen Unterschrift
  • Funktionale Anforderungen
  • Verifizierbarkeit Jeder kann die Echtheit der
    Unterschrift prüfen.
  • Fälschungssicherheit Nur der Eigner kann die
    Unterschrift erzeugen.
  • Verbindlichkeit Der Unterzeichner kann nicht
    nachträglich seine Urheberschaft leugnen (z. B.
    in einem Rechtsstreit).
  • Technische Anforderungen
  • Geschwindigkeit Das Prüfen der Unterschrift darf
    beim Laden des Dokuments keine merkliche
    Verzögerung bewirken.
  • Kryptographische Sicherheit muss gewährleistet
    sein.
  • Handhabbarkeit Erzeugen und Prüfen der
    Unterschrift dürfen keine großen Umstände
    verursachen und dürfen nicht täuschen.

31
Anforderungen an digitale Signaturen
  • Rechtliche Anforderungen
  • Rechtswirkung Digitale Signaturen müssen eine
    der normalen Unterschrift vergleichbare
    Rechtsverbindlichkeit haben.
  • Zertifizierung Die Authentifizierung der
    Unterschreibenden muß rechtsgültig abgesichert
    werden.
  • Gesetz --gt Code Sicherheitsauflagen für
    technische Komponenten und Verfahren müssen
    vorgeschrieben und kontrolliert werden.
  • Aber auch wenn diese Anforderungen zufrieden
    stellend gelöst sind, bleibt ein gewisser
    Zweifel, ob elektronische Signaturen in der
    Nutzung wirklich normalen Unterschriften
    entsprechen.
  • Bei Übertragungsfehlern kann es zu
    ungerechtfertigten Zurückweisungen kommen.

32
Why Digital Signatures Are Not SignaturesBruce
Schneier CRYPTO-GRAM, November 15, 2000
  • When first invented in the 1970s, digital
    signatures made an amazing promise better than a
    handwritten signature -- unforgeable and
    uncopyable -- on a document. Today, they are a
    fundamental component of business in cyberspace.
    And numerous laws, state and now federal, have
    codified digital signatures into law.
  • These laws are a mistake. Digital signatures are
    not signatures, and they can't fulfill their
    promise. Understanding why requires understanding
    how they work .Mathematically, it works
    beautifully. Semantically, it fails miserably.
    There's nothing in the description above that
    constitutes signing. In fact, calling whatever
    Alice creates a "digital signature" was probably
    the most unfortunate nomenclature mistake in the
    history of cryptography.
  • In law, a signature serves to indicate agreement
    to, or at least acknowledgment of, the document
    signed. When a judge sees a paper document signed
    by Alice, he knows that Alice held the document
    in her hands, and has reason to believe that
    Alice read and agreed to the words on the
    document. The signature provides evidence of
    Alice's intentions. (This is a simplification.
    With a few exceptions, you can't take a signed
    document into court and argue that Alice signed
    it. You have to get Alice to testify that she
    signed it, or bring handwriting experts in and
    then it's your word against hers. That's why
    notarized signatures are used in many
    circumstances.)

33
Why Digital Signatures Are Not Signatures
  • When the same judge sees a digital signature, he
    doesn't know anything about Alice's intentions.
    He doesn't know if Alice agreed to the document,
    or even if she ever saw it.
  • The problem is that while a digital signature
    authenticates the document up to the point of the
    signing computer, it doesn't authenticate the
    link between that computer and Alice. This is a
    subtle point. For years, I would explain the
    mathematics of digital signatures with sentences
    like
  • "The signer computes a digital signature of
    message m by computing me mod n."
  • This is complete nonsense. I have digitally
    signed thousands of electronic documents, and I
    have never computed me mod n in my entire life.
    My computer makes that calculation. I am not
    signing anything my computer is.
  • PGP is a good example. This e-mail security
    program lets me digitally sign my messages. The
    user interface is simple when I want to sign a
    message I select the appropriate menu item, enter
    my passphrase into a dialog box, and click "OK."
    The program decrypts the private key with the
    passphrase, and then calculates the digital
    signature and appends it to my e-mail. Whether I
    like it or not, it is a complete article of faith
    on my part that PGP calculates a valid digital
    signature. It is an article of faith that PGP
    signs the message I intend it to. It is an
    article of faith that PGP doesn't ship a copy of
    my private key to someone else, who can then sign
    whatever he wants in my name.

34
Why Digital Signatures Are Not Signatures
  • I don't mean to malign PGP. It's a good program,
    and if it is working properly it will indeed sign
    what I intended to sign. But someone could easily
    write a rogue version of the program that
    displays one message on the screen and signs
    another. Someone could write a Back Orifice
    plug-in that captures my private key and signs
    documents without my consent or knowledge. We've
    already seen one computer virus that attempts to
    steal PGP private keys nastier variants are
    certainly possible.
  • The mathematics of cryptography, no matter how
    strong, cannot bridge the gap between me and my
    computer. Because the computer is not trusted, I
    cannot rely on it to show me what it is doing or
    do what I tell it to. .
  • Solving this problem requires a trusted signing
    computer
  • Source Bruce Schneier CRYPTO-GRAM, November 15,
    2000

35
Digitale Unterschrift
  • Wie schon im letzten Kapitel behandelt, sichert
    man Authentizität und Integrität eines
    Dokumentes, indem die Absenderin
  • mit einer öffentlichen Hash-Funktion einen
    Prüfwert des Dokumentes erstellt,
  • diesen Wert mit ihrem geheimen Schlüssel
    verschlüsselt und
  • das Chiffrat zusammen mit dem Dokument
    verschickt.
  • Der Empfänger
  • entschlüsselt den verschlüsselten Prüfwert mit
    dem öffentlichen Schlüssel des Absenders,
  • berechnet mit der gleichen Hash-Funktion den
    Prüfwert des Dokumentes und
  • prüft, ob die beiden Werte übereinstimmen.

36
Hybrides Verfahren(Schema)realisiert u. a. in
den Paketen PGP und SSLEine alternative,
einfache Realisierung eines hybriden Systems
(ohne öffentliches Verzeichnis) besteht darin,
mit einem Schlüsselaustauschverfahren wie dem
Diffie-Hellman Verfahren über einen unsicheren
Kanal einen gemeinsamen Session-Key für eine
symmetrische Verschlüsselung zu vereinbaren.
Quelle Klaus Pommerening "DuD"
http//www.uni-mainz.de/pommeren/DSVorlesung/
37
Authentisch authentisch?
  • Das beschriebene Verfahren macht Manipulationen
    an Daten erkennbar, aber es eignet sich allein
    nicht dazu, die Identität der beteiligten
    Personen wirklich zu gewährleisten. Bob weiß nur,
    dass er den öffentlichen Schlüssel einer Alice
    benutzt, aber er kann sich nicht sicher sein, ob
    die elektronische Alice auch im wirklichen Leben
    Alice ist.
  • Es ist ein generelles Problem von public-key
    Verfahren, die Echtheit der öffentlichen
    Schlüssel zu garantieren.
  • Asymmetrische oder hybride Verschlüsselung Ist
    die Nachricht wirklich nur für den vorgesehenen
    Empfänger lesbar?
  • Digitale Signaturen Stammt die Unterschrift auch
    wirklich vom richtigen Urheber?
  • Nicht ausreichend gesicherte öffentliche
    (zentrale) Verzeichnisse mit öffentlichen
    Schlüsseln können manipuliert werden.
  • Öffentliche Schlüssel auf Homepages oder in
    Email-Signatures (z.B. bei PGP) können durch
    einen aktiven Angriff in Form der man in the
    middle attack gefälscht werden. Diese Attacke
    kann auch beim Nachrichtenverkehr zu einem
    zentralen Schlüsselverzeichnis durchgeführt
    werden.
  • Massenhafte Verbreitung eines öffentlichen
    Schlüssels ist weder sehr sicher noch praktikabel.

38
Man-in-the-middle Attack
  • Ein Angriff durch einen Mann in der Mitte
    funktioniert, wenn bei der asymmetrischen oder
    hybriden Verschlüsselung die öffentlichen
    Schlüssel zuerst über die Kommunikationsverbindung
    ausgetauscht werden.
  • Der ungefragte Mitspieler M verändert die
    impliziten Voraussetzungen des Situation. Er
    agiert als aktiver Angreifer in der Mitte (man in
    the middle)
  • A lt-----gt M lt-----gt B
  • Er kann
  • die Kommunikationsverbindung zwischen A und B
    auftrennen,
  • sich selbst dazwischenschalten und
  • sich A gegenüber als B, B gegenüber als A
    ausgeben,
  • Nachrichten einfach nur lesen oder unterdrücken
    oder andere einspielen.

39
Man-in-the-middle Attacke
40
Authentisch authentisch?
  • Die Gefahr eines unterschobenen öffentlichen
    Schlüssels ist bei privatem Schlüsselaustausch
    vernachlässigbar, aber im kommerziellen oder
    rechtlichen Rahmen helfen hier nur Zertifikate.
  • Ein Zertifikat verbindet den öffentlichen
    Schlüssel mit Attributen der realen Person oder
    Institution und wird durch die Signatur einer
    vertrauenswürdigen Zertifizierungsstelle
    abgesichert.
  • In Analogie zum real life kann man
  • den privaten Schlüssel als elektronische
    Identität ich
  • den öffentlichen Schlüssel als deren öffentliche
    Repräsentation Ausweis
  • das Zertifikat als Echtheitsbescheinigung
    Stempel auf dem Ausweis
  • auffassen.

41
Ausschnitte aus dem österreichischen
Signaturgesetz (SigG)
  • Begriffsbestimmungen 2
  • elektronische Signatur
  • elektronische Daten, die anderen elektronischen
    Daten beigefügt oder mit diesen logisch verknüpft
    werden und die der Authentifizierung, also der
    Feststellung der Identität des Signators, dienen
  • sichere elektronische Signatur
  • ausschließlich dem Signator zugeordnet
  • ermöglicht dessen Identifizierung
  • vom Signator kontrolliert erstellt
  • erlaubt, nachträgliche Veränderungen der
    signierten Daten festzustellen
  • beruht auf qualifiziertem Zertifikat
  • unter Verwendung von sicheren technischen
    Komponenten und Verfahren gemäß SigG oder
    Verordnung erstellt

42
SigG Daten
  • Akteure
  • Signator natürliche Person oder
    Zertifizierungsdiensteanbieter
  • Zertifizierungsdiensteanbieter natürliche oder
    juristische Person oder rechtsfähige Einrichtung,
    die Zertifikate ausstellt oder andere Signatur-
    und Zertifizierungsdienste erbringt
  • Signaturerstellungsdaten z.B. privater
    Schlüssel
  • Signaturprüfdaten z.B. öffentlicher Schlüssel
  • Zertifikat eine elektronische Bescheinigung,
    mit der Signaturprüfdaten (der öffentliche
    Scglüssel) einer bestimmten Person zugeordnet
    werden und deren Identität bestätigt wird
  • qualifiziertes Zertifikat ein Zertifikat, das
    die Angaben des 5 enthält und von einem den
    Anforderungen des 7 entsprechenden
    Zertifizierungsdiensteanbieter ausgestellt wird

43
SigG Geräte (Hard- oder Software)
  • Signaturprodukt Hard- oder Software bzw. deren
    spezifische Komponenten, die für die Erstellung
    und Überprüfung elektronischer Signaturen oder
    von einem Zertifizierungsdiensteanbieter für die
    Bereitstellung von Signatur- oder
    Zertifizierungsdiensten verwendet werden
  • Signaturerstellungseinheit
  • Signaturprüfeinheit
  • Signatur- und Zertifizierungsdienste
  • Bereitstellung von Signaturprodukten und
    -verfahren
  • Ausstellung, Erneuerung und Verwaltung von
    Zertifikaten
  • Verzeichnisdienst
  • Widerrufsdienst
  • Registrierungsdienst
  • Zeitstempeldienst
  • Rechner- und Beratungsdienste
  • Kompromittierung Beeinträchtigung des
    Sicherheitsniveaus

44
Verwaltungsstrafbestimmungen 26
  • Eine Verwaltungsübertretung begeht und ist mit
    Geldstrafe bis zu 56.000 S zu bestrafen, wer
    fremde Signaturerstellungsdaten ohne Wissen und
    Willen des Signators missbräuchlich verwendet.
  • Ein Zertifizierungsdiensteanbieter begeht eine
    Verwaltungsübertretung und ist mit Geldstrafe bis
    zu 112.000 S zu bestrafen, wenn er
  • 1. seine Widerrufspflicht verletzt,2. seine
    Dokumentationspflicht verletzt,3. nicht Einsicht
    in Aufzeichnungen oder Unterlagen gewährt oder
    nicht die notwendigen Auskünfte erteilt oder4.
    entgegen den Zertifikatswerber nicht
    unterrichtet.

45
Verwaltungsstrafbestimmungen 26
  • Ein Zertifizierungsdiensteanbieter begeht eine
    Verwaltungsübertretung und ist mit Geldstrafe bis
    zu 224.000 S zu bestrafen, wenn er
  • 1. die Aufnahme seiner Tätigkeit nicht anzeigt
    oder das Sicherheitskonzept oder das
    Zertifizierungskonzept nicht vorlegt,2. nicht
    alle Umstände, die eine ordnungsgemäße und dem
    Sicherheits- sowie dem Zertifizierungskonzept
    entsprechende Tätigkeit nicht mehr ermöglichen,
    der Aufsichtsstelle anzeigt,3. keinen geeigneten
    Widerrufsdienst oder keinen geeigneten
    Verzeichnisdienst führt,4. keine geeigneten
    Vorkehrungen dafür trifft, dass die
    Signaturerstellungsdaten der Signatoren weder vom
    Zertifizierungsdiensteanbieter noch von Dritten
    gespeichert oder kopiert werden können,5. keine
    geeigneten technischen Komponenten und Verfahren
    für sichere elektronische Signaturen verwendet,
    bereitstellt oder bezeichnet oder6. trotz
    Untersagung durch die Aufsichtsstelle die ihm
    untersagte Tätigkeit weiterhin ausübt.

46
Danke für Ihre Aufmerksamkeit!meine
e-mailpeter.fleissner_at_igw.tuwien.ac.atund
nochmals die websitehttp//igw.tuwien.ac.at/zope
/igw/lvas/offcom
Write a Comment
User Comments (0)
About PowerShow.com