1 / 53

Sicherer Kanal: von Alice zu Bob

Sicherer Kanal: von Alice zu Bob. Protokolle I: Schlüsselaustausch, Bausteine . Glückwunsch. Zum Studium an einer Uni, die eine Gewinnerin in der Exzellenzinitiative ist . September 2012:. Prüfungen (2. Termin ) voraussichtlich Mi/Do, 12/13.09.2012 IT Security Workshop

nansen
Download Presentation

Sicherer Kanal: von Alice zu Bob

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sicherer Kanal: von Alice zu Bob Protokolle I: Schlüsselaustausch, Bausteine

  2. Glückwunsch Zum Studium an einer Uni, die eine Gewinnerin in der Exzellenzinitiative ist . Dr. Wolf Müller

  3. September 2012: • Prüfungen(2. Termin)voraussichtlich Mi/Do, 12/13.09.2012 • IT Security Workshop Block-Seminar, Mo-Fr, 17.9. - 28.09.2012 Dr. Wolf Müller

  4. Lehrevaluation: 18.6.-1.7. Einstieg: https://evaluation.hu-berlin.de/evaluation Passwort: apple12ibm Bitte teilnehmen für VL + UE: • 32220 VL IT-Sicherheit Grundlagen Dr. rer. nat. Müller • 32221 UE IT-Sicherheit Grundlagen Dr. rer. nat. Müller   Dr. Wolf Müller

  5. Schlüsselerzeugung Symmetrische Kryptografie: • Zufallsgeneratoren: • Häufig Pseudozufallsgeneratoren (nicht wirklich zufällig, aber ausreichend) • Angreifer darf keine Kenntnisse über Verhalten des Generators gewinnen. • Problem: Initialisierung benötigt Zufallswerte Asymmetrische Kryptografie: • Höherer berechnungsaufwand • Große Primzahlen (RSA, DSA) • In der Regel Pseudoprimzahlen (Zahlen, die mit hoher Wahrscheinlichkeit Primzahlen sind) • Rabin-Miller-Test Problem: Dublettenfreiheit • Signieren erfordert Eindeutigkeit des Schlüssels • Nur schwer erfüllbar P. Horster: „Dublettenfreie Schlüsselgenerierung durch isolierte Instanzen“ , in: „Chipkarten“, Hrsg.: Patrick Horster, Braunschweig: Vieweg & Sohn Verlagsgesellschaft, 1998 Dr. Wolf Müller

  6. Techniken zur Schlüsselerzeugung • Manuelle Verfahren • Würfeln, Münzwurf (geringe Bandbreite)  Masterschlüssel, Briefversand • Initialisierung für Zufallsgeneratoren • Zufallsereignis • Natürliche oder provozierte Zufallsereignisse • Atmosphärisches Rauschen • Radioaktiver Zerfall • Widerstandsrauschen, thermisches Rauschen • Effizient, aber spezielle Hardware nötig • Deterministische Berechnungen • Extrahieren von pseudozufälligen Bitfolgen von gängiger Hardware • Messung Tastaturverzögerung • Analyse von Mausbewegungen • Kombination lokale Systemuhr, Systemidentifikation, Datum Dr. Wolf Müller

  7. Techniken zur Schlüsselerzeugung (2) • ANSI-Standard X9.17: • Mithilfe von symmetrischem Algorithmus (z. B. DES) wird zufällige Bitfolge bestimmt • Zeitwert Ti und Startwert ViZufallsschlüssel Si und Startwert Vi+1 • Ausgangsbasis: • vorab vereinbarter Schlüssel Kund • geheimer Initialwert V0 • Generierung des i-ten Schlüssels Si : • Effiziente Generierung, solange Knicht offengelegt.  Hohe Anforderungen an Sicherheit von K, Speicherung in zugriffskontrollierten, geschützten Speicherbereichen. Dr. Wolf Müller

  8. Schlüsselspeicherung • Benutzergedächtnis • Passworte • Limitiert • Backup, Verfügbarkeit? • Persönliche Sicherheitswerkzeuge • Chipkarten, USB Token • Auslesen nur in speziellen Lesegeräten • Angriffe: hoher Aufwand, schwierig • Freischaltung: • PIN • Biometrie • Möglichkeit, Schlüssel in Karte zu belassen, nur Berechnungsschritte auf Karte (z.B. Signieren) Dr. Wolf Müller

  9. Schlüsselspeicherung (2) • Schlüsselaufteilung • Aufteilung in mehrere Komponenten • Verteilte Speicherung (z.B. Smartcard, PC) • Probleme: • Fehlen von IO-Möglichkeiten bei Chipkarten • Beschränkte CPU / Speicherkapazitäten • Rückgriff auf Betriebssystem (Schwachstellen, Trojaner) • Hash-Berechnung, Verschlüsselung häufig außerhalb der Chipkarte • Schlüssel muss sichere Karte verlassen! • Sicherer Kanal PC , Chipkarte nötig. • Vorsicht beim Zwischenspeichern temporärer Dateien Dr. Wolf Müller

  10. Darstellungsproblem • Wenn Signierschlüssel Karte nicht verlässt, werden Hashwerte von Dokumenten auf Karte zum Signieren übertragen. • Vertrauen darauf, dass der Hash zu dem Dokument gehört, welches unterzeichnet werden soll. • Nicht überprüfbar. • Angriffspunkt für Manipulationen / Trojaner • Derzeit keine befriedigende Lösung! Dr. Wolf Müller

  11. Schlüsselspeicherung (3) • Persistente Speicherung • Z.B. privater Schlüssel eines Webservers • Bequemlichkeit , Sicherheit • Zugriffskontrolle • Filesystem, Caches/SWAP, Hauptspeicher • Backup • Zusätzlicher Schutz durch Passwort / Passphrase Dr. Wolf Müller

  12. Schlüsselvernichtung • Löschen • Findet oft zu wenig Aufmerksamkeit (anders Erzeugung, Speicherung) • Auch Schlüssel, deren Gültigkeit abgelaufen ist, wertvoll für Angreifer: • Entschlüsselung vorher aufgefangener Nachrichten. • Nachträgliches Signieren (ohne Zeitstempel). • Chip • EEPROM: Mehrfaches Überschreiben. • EPROM: Zerstörung des Chips. • Archivierung / Kopien • Schlüssel in Dateien auf Festplatten • Mehrfaches Überschreiben des Speicherbereiches (Normales löschen reicht nicht!) • Entfernen aus Backupmedien. • SWAP/Cache säubern. Dr. Wolf Müller

  13. Schlüsselaustausch (symmetrisch) • Jeder mit Jedem: • n ( n -1) Schlüssel müssen ausgetauscht werden (z.B. per Post) • Skaliert nicht. • Schlüsselverteilungsdienste: • Vertrauenswürdige Verwaltung von Schlüsseln • Auf Anfrage Austausch von Schlüsseln für Kommunikation • Aber: Zentrale Komponente(single point of failure) vermeiden. Dr. Wolf Müller

  14. Schlüsselhierarchie Im System verschiedene Schlüssel erzeugt: • Sitzungsschlüssel • Schlüssel für Schlüsselaustausch(vielleicht asymmetrisch) • Signierschlüssel • Datenschlüssel (Verschlüsselung persistenter Daten) • Wechsel hier sehr aufwendig. Lebenszeit Schutzbedarf Dr. Wolf Müller

  15. Naives Austauschprotokoll Asymmetrisches Verfahren: • Alice (A), Bob (B) • Alice erzeugt gemeinsamen (symmetrischen) Schlüssel KA,B. • Alice sendet diesen verschlüsselt an Bob • Bob entschlüsselt Kryptotext und erhält: Probleme: • Modifikation des Kryptotexts C ! C‘ also K ! K‘ • Maskierungen: Nicht prüfbar, ob Schlüssel von Alice stammt. • Man-in-the Middle Abwehr: • MACs oder signierteHashwerte des Sitzungsschlüssels. • ABER: Weiterhin unzureichend, Wiedereinspielung (Replay-Attack) von geknackten früheren Schlüsseln! Timestamp, Freshness! Dr. Wolf Müller

  16. Needham-Schroeder-Protokolle • Entwicklung von Schlüsselaustauschprotokollen schwieriger als gedacht. • Basisprotokoll: 1978 von R. Needham und M. Schroeder für Schlüsselaustausch entwickelt. • Kerberos –Protokoll basiert darauf. Notation: • Senden Nachricht M von A nach B:A ! B M=A,IA • :M wird mit Schlüssel KA verschlüsselt, kompakt für: • Mit IANonce, noch nie verwendeter Identifikator, z.B. Zufallszahl. Dr. Wolf Müller

  17. Protokoll mit symmetrischen Verfahren Basis: • ASvertrauenswürdiger Authentifizierungs- (Schlüsselverteilungs-) server • Jeder Teilnehmer Ahat geheimen SchlüsselKA(Master Key) mit AS exklusiv vereinbart. • Hohe Anforderungen an AS : • Ist-Funktionalität nachweislich = Soll-Funktionalität • Schutz vor Manipulationen • Keine Weitergabe von Master Keys Dr. Wolf Müller

  18. Protokoll mit symmetrischen Verfahren • Alice!AS Alice, Bob, IA. • AS!Alice • Alice!Bob • Alice weiß, wenn Nachricht mit KA,Bverschlüsselt, dann von Bob. • Bobmuss Widereinspielung ausschließen, generiert Nonce. • Bob!Alice • Alice!Bob • fallgemein bekannte Funktion. Challenge-Response Dr. Wolf Müller

  19. Protokoll mit symmetrischen Verfahren (2) AS Probleme: • Protokolle nur sicher, wenn keiner der ausgetauschten Master Keys KA,B jemals bekannt wird. • Xhat KA,B geknackt, und (3) aufgezeichnet, spielt diese wieder ein (3‘) X!Bob (4‘) Bob!Alice Xfängt Nachricht ab, entschlüsselt, löst Challenge. (5‘) X!Bob Bobglaubt, mit Alicezu sprechen. (1) (2) (3) Alice Bob (4) (5) Dr. Wolf Müller

  20. Protokoll mit symmetrischen Verfahren (3) AS • Lösung: Nachrichten mit Uhrzeit (timestamp): • (1‘) Alice !AS Alice, Bob • (2‘) AS!Alice • (3‘) Alice!Bob • Aber: • Synchrone lokale Uhrzeiten nötig. • Angreifbar durch Manipulation der Systemzeit oder des Zeitdienstes. (1) (2) (3) Alice Bob (4) (5) Dr. Wolf Müller

  21. Protokoll mit symmetrischen Verfahren (4) AS • Lösung: Benutzung von Nonces: • (0.1) Alice !Bob Alice • (0.2)Bob !Alice • (1‘) Alice !AS • (2‘) AS !Alice • (3‘) Alice!Bob • Bob kann mit seiner gesendeten Nonce vergleichen . (1) (2) (3) Alice Bob (4) (5) (0.1) (0.2) Dr. Wolf Müller

  22. Protokoll mit asymmetrischen Verfahren Basis: • ASvertrauenswürdiger Authentifizierungs- (Schlüsselverteilungs-) server. • Jeder Teilnehmer A und AS besitzen Schlüsselpaar • Gehen davon aus, dass jeder Teilnehmer seinen öffentlichen Schlüssel authentisch bei AS registriert hat. • Z.B. mit Zertifikaten Dr. Wolf Müller

  23. Protokoll mit asymmetrischen Verfahren AS • Alice!AS Alice, Bob. • AS!Alice Alice weiß, dass Nachricht von AS und kennt Bobs öffentlichen Schlüssel. • Alice!Bob • Bob!AS Bob, Alice. • AS!Alice • Bob!Alice • Alice!Bob (1) (4) (2) (5) (3) Alice Bob (6) (7) Doppelter Handshake, gegen Maskierungsangriff Dr. Wolf Müller

  24. Protokoll mit asymmetrischen Verfahren AS Schlüsselaustausch • Alice!Bob Problem: • Nachricht wirklich frisch und von Alice? 8‘. Alice!Bob (1) (4) (2) (5) (3) Alice Bob (6) (7) (8‘) (8) Dr. Wolf Müller

  25. Leitlinien Protokollentwicklung • Vollständige Information • Nachrichten in Protokollen nicht selbsterklärend. • Falsche Interpretationen durch Angreifer ausnutzbar. • Z.B. 8‘ explizite Angabe des Namens des Kommunikationspartners sollte Bestandteil des Protokolls sein. • Alle relevanten Informationen müssen in Protokollnachricht kodiert werden! • Verschlüsselungszweck • Vertraulichkeit garantieren? • Authentizität nachweisen? • Genau überlegen, für Authentizität besser digitale Signatur oder MAC! • Doppelverschlüsselung • Fehlerhafter Einsatz von mehrfachen Verschlüsslungen bietet Gefahr der Redundanz (unnötige Kosten). • Möglich auch Sicherheitsprobleme. Dr. Wolf Müller

  26. Sicherheitslücke durch Doppelverschlüsselung (1) Asymmetrisches Verfahren, um Nachricht M zwischen Aund B auszutauschen. • A!B • B!A Falsch verstandenes Sicherheitsbedürfnis: doppelte Verschlüsselung (1‘) A!B (2‘) B!A Dr. Wolf Müller

  27. Sicherheitslücke durch Doppelverschlüsselung (2) (1‘) A!B (2‘) B!A Angreifer X fängt (2‘) ab, übernimmt roten Teil mit eigenem Namen als Absender: (1‘) X!A (2‘) A!X (gemäß Protokoll) Weiter: (1‘‘) X!A (2‘‘) A!X Angreifer hat NachrichtMvonAanB im Klartext! Dr. Wolf Müller

  28. Leitlinien Protokollentwicklung (2) • Digitale Signaturen • Falls in Protokollschritt bereits verschlüsselte Nachricht signiert wird ist nicht klar, ob der Signierer wahren Inhalt kennt. • Für Authentizität: • Unverschlüsselte Nachricht bzw. deren Hashwert signieren. • Danach Nachricht verschlüsselt übermitteln. • Frischer Schlüssel • Gerade erhaltener Schlüssel muss deshalb nicht frisch sein. • Needham-Schroeder Protokoll (2) • Replay • Zeitstempel oder Nonces in Protokoll integrieren. • Formale Analyse • Einsatz formaler Modellierungs- und Analysetechniken • BAN-Logik1989 von Michael Burrows, Martín Abadi, Roger Needham publizierte Modallogik Dr. Wolf Müller

  29. Schlüsselvereinbarung • Kommen wir ohne Server aus? • Können Partner direkt Schlüssel vereinbaren? • Wer wählt den Schlüssel? • Wenn ein Partner Schlüssel vorgibt, kann dieser schwach bzw. kompromittiert sein. • Beide Kommunikationspartner sollten Einfluss auf resultierenden Schlüssel haben. • Keiner soll Schlüssel alleine bestimmen. Dr. Wolf Müller

  30. Diffie-Hellman: Geschichte Martin Hellman Ralph Merkle Whitfield Diffie Dr. Wolf Müller

  31. Diffie-Hellman: Geschichte (2) • Algorithmus wurde von Martin Hellman gemeinsam mit Whitfield Diffie und Ralph Merkle an der Universität von Stanford (Kalifornien) entwickelt und 1976 veröffentlicht. • Wie erst 1997 bekannt wurde, hatte das britische Government Communications Headquarters (GCHQ) schon in den 1960er Jahren den Auftrag erteilt, aufgrund der hohen Kosten bei der damals üblichen Schlüsselverteilung einen anderen Weg für die Schlüsselverteilung zu finden. • James Ellis, Clifford Cocks und Malcolm Williamson ähnliche Ideen. GCHQ hat einerseits wegen der Geheimhaltung, andererseits wegen des für die Briten aus Sicht der frühen 1970er Jahre fraglichen Nutzens nie ein Patent beantragt. Dr. Wolf Müller

  32. ►Primitive Einheitswurzel Gegeben Primzahl q und Trägermenge M={0,…,q-1} von Galois-Feld GF(q). a 2M heißt primitive Einheitswurzel, wenn gilt:so dass Einheitswurzeln sind Generatoren für die Elemente des Galois-Feldes. Dr. Wolf Müller

  33. Primitive Einheitswurzel GF(11) Primzahl q=11 ,Trägermenge M={0,…,10} • Primitive Einheitswurzeln: • 2, 6, 7 und 8 • 3 keine Einheitswurzel, da kein p2{0,…,10} mit 3 p ´ 2 mod11 • Generator2 210=1024 ´1mod1121=2 ´ 2mod1128 =256 ´3mod11 22=4 ´ 4mod1124 =16 ´5mod11 29=512 ´ 6mod1127 =128 ´7mod11 23=8 ´ 8mod11 26 =64 ´9mod11 25=32 ´10mod11 Dr. Wolf Müller

  34. Generatorbestimmung und -verifikation • Für zyklische Gruppe der Ordnung n gibt es mindestensdn / (6 ln ln n) e Generatoren. • Wenn n=2q für eine Primzahl q, so gibt es q-1 Generatoren.  Gute Chance, bei zufälliger Wahla2GF(q)primitive Einheitswurzel zu treffen. Schwieriger: Verifikation • Effizientes Verfahren, wenn q-1 faktorisierbar. • Einfacher, wenn q-1=2r, mit rPrimzahl: Dr. Wolf Müller

  35. Diffie-Hellman Verfahren Gemeinsame, nicht geheime Basisinformationen: • Große Primzahl qwählen, die das Galois-Feld GF(q) bestimmt. • Bestimmung einer primitiven Einheitswurzel a, 2·a·q-2 von GF(q). qunda sind öffentlich bekannte Diffie-Hellmann Parameter. Dr. Wolf Müller

  36. DH: Berechnung des Sitzungsschlüssels Berechnung erfolgt dezentral. • Teilnehmer iwählt zufällig 1·Xi·q-1. Xiist „geheimer Schlüssel“ von Teilnehmer i. • Teilnehmer iberechnet: Yiist „öffentlicher Schlüssel“ von Teilnehmer i. • Möchte Teilnehmer imit j kommunizieren, berechnet er Sitzungsschlüssel aus eigenem privatem Schlüssel Xiund öffentlichem des Partners Yj: Dr. Wolf Müller

  37. Diffie-Hellman Problem • Angreifer kennt: • qunda (öffentlich bekannteDH Parameter), • sowie „öffentliche Schlüssel“ Yi,Yj. • Für Angreifer schwierig Sitzungsschlüssel Ki,johne „geheime Schlüssel“ Xi, Xj zu berechnen. • Angreifer müsste diskreten Logarithmus:Xi=logaYi mod q berechnen, • um den Schlüsselzu bestimmen. Berechnung des Sitzungsschlüssels basiert auf Einwegfunktion mit Falltür. Dr. Wolf Müller

  38. Man-in-the-Middle-Angriff • DH hat keine Überprüfung der Authentizität der Partner. • Alice und Bob können nicht erkennen, dass sie nicht direkt miteinander reden. • Angreifer empfängt Nachricht, entschlüsselt, verschlüsselt neu, schickt weiter. Angreifer X KX,A KX,B Beabsichtigter Informationsfluss KA,B Bob Alice Dr. Wolf Müller

  39. Wählt Zufallszahly, berechnetgymod p Wählt Zufallszahlx, berechnetgxmod p Berechnetk = (gy)xmod p Berechnetk = (gx)ymod p Diffie-Hellman Verfahren: Fazit • Protokoll zur Schlüsselvereinbarung, kein Verschlüsselungssystem! • Basiert auf Einwegfunktion, Sicherheit wegen Härte von: • Diffie-Hellmann Problem und Diskretem Logarithmus • Eigenschaften: • Frische der Schlüssel durch zufällige Wahl der Exponenten. • Keine Seite kann Schlüssel bestimmen. • Kommt ohne dritte Partei aus. • KEINE Authentizität. gxmod p gymod p Dr. Wolf Müller

  40. Schlüsselrückgewinnung Warum? • Zugriff auf verschlüsselte Daten auch wenn: • Schlüssel verloren geht, • Mitarbeiter, der Dokument verschlüsselt erstellt hat ausscheidet. • Gesetzliche Auflagen (E-Mail Archivierung, Insiderhandel …) • Schlüsselrückgewinnung: keyrecovery • Schlüsselhinterlegung: keyescrow • Ziel: Rückgewinnung der Daten ohne Originalschlüssel • Sicherheitsrisiken kritisch untersuchen! Dr. Wolf Müller

  41. Schlüsselrückgewinnung • Managementdienste bereitgestellt, zur Entschlüsselung verschlüsselter Dokumente ohne Originalschlüssel in Ausnahmefällen. • Schlüsselverluste • Nicht rechtzeitige Verfügbarkeit • Unabsichtliche oder mutmaßliche Zerstörung des Schlüssels • Kein Brechen mit kryptoanalytischen Methoden. • Deutschland: • Für staatliche Institutionen (Artikel 10, Abs. 2 Grundgesetz) zum Zweck der Bekämpfung des Terrorismus oder des organisierten Verbrechens Dr. Wolf Müller

  42. key escrow Schlüsselhinterlegung • Hinterlegungstechnik geht zurück auf Initiative der amerikanischen Regierung. • 1994 Escrowed Encryption Standard (EES). • Ziel: Bürgern Verwendung starker Verschlüsselung erlauben, andererseits Zugriff auf verschlüsselte Daten für Strafverfolgung. Dr. Wolf Müller

  43. Recoverysysteme Kryptomodul Kryptomodul Sender Empfänger Schlüssel K Rückgewinnungsinformation Schlüssel K Klar- text E Kryptotext Klar- text D Klartext Rückgewinnungs- schlüssel Berechne K D Schlüsselhinterlegungs- Komponente Rückgewinnungs- Komponente Dr. Wolf Müller

  44. Recoverysysteme (2) • Kryptomodul • Durchführung von Ver- und Entschlüsselung. • Unterstützt automatisch Rückgewinnung. • Hinzufügen von Rückgewinnungsinformation RI (für Wiederherstellung des Klartexts). • Recovery-Schlüssel: Schlüssel zur Verschlüsselung der RI • Private Schlüssel von Sender / Empfänger, Sitzungsschlüssel die einem Kryptomodul zugeordnet sind. • Werden in Hinterlegungskomponente verwaltet. • RI muss Recovery-Schlüssel, sowie verwendete Verschlüsselungsalgorithmen eindeutig beschreiben. • Anforderung: Funktionalität kann nicht verändert oder umgangen werden. Dr. Wolf Müller

  45. Recoverysysteme (3) • Rückgewinnungskomponente (RK) • Beinhaltet Algorithmen und Protokolle, um aus Kryptotext + assoziierter RI + Daten von der Hinterlegungskomponente Klartext zu ermitteln. • Wenn Schlüssel wiederhergestellt, können im Folgenden auch ohne Hilfe der Hinterlegungskomponente Kryptotexte entschlüsselt werden. • Nutzungseinschränkung: Zeitintervall für Löschung des wiederhergestellten Schlüssels. • Problem: Nutzer muss vertrauen, dass RK Beschränkungen einhält. • Anforderung: • Aufzeichnung und Entschlüsselung von Kryptotexten nur durch autorisierte Subjekte. Dr. Wolf Müller

  46. Recoverysysteme (4) • Hinterlegungskomponente (HK) • Speicherung, Verwaltung der Schlüssel für Rückgewinnung. • Kann Komponente von Zertifikatsinfrastruktur sein. • Hohe Anforderungen an sicheren und zuverlässigen Betrieb, da sensible Informationen. • Administration durch vertrauenswürdige Agenten. • Von staatlichen / privaten Organisationen akkreditiert / lizensiert. • Möglich: Verteilung auf mehrere Agenten Secret Sharing. • Authentifizierung der Anfrager, dann Lieferung der für Rückgewinnung nötigen Daten. • Löschung der gespeicherten Daten nach festgelegten Zeitintervall. Dr. Wolf Müller

  47. Recoverysysteme (5) • PGP ab Version 5.0 • Clipper Chip • 1993 als Bestandteil von Escrowed Encryption Standard konzipiert. • Sollte in USA für Telekommunikation eingesetzt werden. • RI= Law Enforcement Access Field (LEAW) • Encrypted File System (EFS) Dr. Wolf Müller

  48. Recoverysystem: EFS • EFS in Windows 2000 / XP ist einfaches Beispiel • Problem: Backup, vergessenes Password der Benutzer • Kryptomodul • Gewinnung der RI zu für Verschlüsselung der Dateif generierten Schlüssel Kf • Kfwird mit öffentlichem Recovery-Schlüssel Krec verschlüsselt und als zusätzliches Attribut der Datei f im „Data Recovery Field“ (DRF) abgespeichert. • RSA als Verschlüsselungsverfahren. • Öffentlicher Schlüssel aus X.509 Zertifikat einer speziellen Datei des EFS: Encrypted Data Recovery Agent Policy • Eigentlicher Recovery Schlüssel ist der zuKrec gehörige private Schlüssel. Dr. Wolf Müller

  49. Recoverysystem: EFS (2) • Rückgewinnung • Trivial: • Algorithmus RSA • Privater Recovery Schlüssel und DRF von Hinterlegungskomponente • Entschlüsselung  Kf • Hinterlegungskomponente • Sehr einfach gehalten. • Vertrauenswürdige Recovery-Agenten standardmäßig = Systemadministratoren • Privater Recovery-Schlüssel: Manuell exportiert (auf sicheres Speichermedium), oder auf Festplatte • HK= Speicherbereich auf externem Medium / Festpatte • Kein Mehraugenprinzip (Zusammenarbeit mehrerer Recovery Agenten) Dr. Wolf Müller

  50. Recovery-Systeme: Risiken & Grenzen • Neue Risiken • Zugriff auf verschlüsselte Klartexte ohne Einfluss des autorisierten Schlüsselbesitzers • Ansammlung sicherheitskritischer Informationen an zentralen Stellen  lohnendes Angriffsziel • Einsatzbereiche • Kommerzieller Bereich • Wiederherstellung gespeicherter Daten • Dezentrale Verwaltung der RI, nur wenige Recovery Schlüssel • Staatlicher Bereich • Zugriff auf Klartext (Tel, E-Mail,…) zur Verbrechensbekämpfung • Wiederherstellung von Sitzungsschlüsseln, • braucht der Nutzer normaler Weise nicht, nichtstaatlicher Bereich auch nicht, hier er erneute Übertragung. • Globale Systemarchitektur • Äußerst komplexe Infrastruktur • Sehr hoher Aufwand für sichere und vertrauenswürdige Funktionalität. • Problem: Datenrückgewinnung erfolgt transparent, unbemerkt für beteiligten Bürger. • Sinn fraglich • Zu Überwachende können sich einfach entziehen, • Aberzusätzliche Risiken für Allgemeinheit Dr. Wolf Müller

More Related