Leibniz-Rechenzentrum M¨ unchen
Verschlu¨sselung im Internet* Helmut Richter** 6.3.2002
Zusammenfassung Im Zusammenhan...
18 downloads
808 Views
216KB Size
Report
This content was uploaded by our users and we assume good faith they have the permission to share this book. If you own the copyright to this book and it is wrongfully on our website, we offer a simple DMCA procedure to remove your content from our site. Start by pressing the button below!
Report copyright / DMCA form
Leibniz-Rechenzentrum M¨ unchen
Verschlu¨sselung im Internet* Helmut Richter** 6.3.2002
Zusammenfassung Im Zusammenhang mit der Sicherung des Datenverkehrs im Internet liest man Begriffe wie ’asymmetrische Verschl¨ usselung’, ’Public-Key-Infrastruktur’ oder ’Zertifikat’. In diesem Artikel werden diese Begriffe im Zusammenhang erl¨ autert. Seine Lekt¨ ure wird denen empfohlen, die diese Techniken nicht nur anwenden, sondern auch verstehen wollen.
Inhaltsverzeichnis 1 Ziele der Verschl¨ usselung
2
2 Methoden der Verschl¨ usselung 2.1 Ein-Weg-Verschl¨ usselung, ”Fingerabdr¨ ucke” 2.2 Symmetrische Verschl¨ usselung . . . . . . . . 2.3 Asymmetrische Verschl¨ usselung . . . . . . . 2.4 Hybridverfahren . . . . . . . . . . . . . . . 2.5 Beispiel: Secure Sockets Layer (SSL) . . . . 2.6 Schl¨ ussell¨ angen . . . . . . . . . . . . . . . .
. . . . . .
2 3 3 4 6 6 7
3 Zertifikate 3.1 Public-Key-Infrastrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 Zertifizierungshierarchien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8 10 10
4 Das 4.1 4.2 4.3 4.4 4.5
11 12 12 13 15 15
schw¨ achste Glied der Kette Nichttechnische Gefahren . . . . . Gefahr an den Endpunkten . . . . Zertifizierung und Kommerz . . . Elektronische Signaturen sind keine Also Vorsicht! . . . . . . . . . . . .
. . . . .
. . . . . .
. . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . Unterschriften . . . . . . . . .
5 Rechtliches
. . . . . .
. . . . .
. . . . . .
. . . . .
. . . . . .
. . . . .
. . . . . .
. . . . .
. . . . . .
. . . . .
. . . . . .
. . . . .
. . . . . .
. . . . .
. . . . . .
. . . . .
. . . . . .
. . . . .
. . . . . .
. . . . .
. . . . . .
. . . . .
. . . . . .
. . . . .
. . . . . .
. . . . .
. . . . . .
. . . . .
. . . . . .
. . . . .
. . . . . .
. . . . .
. . . . . .
. . . . .
. . . . .
16
* http://www.lrz-muenchen.de/services/security/pki/ ** http://www.lrz-muenchen.de/persons/helmut
. . . . . .
richter.html
1
LRZ
1
Verschl¨ usselung im Internet
Ziele der Verschlu ¨ sselung
Verschl¨ usselungstechniken im Internet dienen drei verschiedenen Zielen: • Vertraulichkeit: Eine Nachricht nur f¨ ur den lesbar zu machen, f¨ ur den sie bestimmt ist, war von je her der Zweck von Geheimschriften und Verschl¨ usselungen. • Authentisierung: Sicherzustellen, dass eine Nachricht wirklich von demjenigen stammt, dessen Name als Verfasser dabeisteht, wird gemeinhin nicht mit Geheimschriften und Verschl¨ usselungen assoziiert, sondern mit Unterschriften, Stempeln und Siegeln. Wir werden jedoch sehen, dass man Verschl¨ usselungstechniken auch zu diesem Zweck einsetzen kann. In diesem Zusammenhang spricht man dementsprechend von digitalen Signaturen. ¨ Diese Authentisierung (Uberpr¨ ufung einer bestimmten Identit¨at) darf nicht mit Autorisierung (Verleihung bestimmter Rechte und Zust¨andigkeiten) verwechselt werden. Im t¨aglichen Leben wird manchmal beides gleichzeitig abgehandelt: so wird mit einem Dienstausweis, der ein Lichtbild enth¨ alt, gleichzeitig die Identit¨at des Ausweisinhabers (Authentisierung) und seine Zugeh¨ origkeit zu einer Gruppe mit bestimmten Rechten nachgewiesen (Autorisierung). Daneben gibt es reine Authentisierungsdokumente wie den Personalausweis und reine Autorisierungsdokumente wie Dienstausweise ohne Lichtbild, die nur gemeinsam mit einem Authentisierungsdokument g¨ ultig sind. • Unverf¨ alschtheit: Sicherzustellen, dass eine Nachricht auf dem Weg vom Absender zum Empf¨ anger nicht ver¨ andert wird, ist eigenlich ein Spezialfall des voranstehenden Punktes, weil man Authentizit¨ ats¨ uberpr¨ ufungen mittels digitaler Signaturen auch zur Sicherung gegen Verf¨ alschungen verwenden kann: – Ist es so, dass der Empf¨ anger die Signatur des Absenders u ufen kann, so ist die ¨berpr¨ Aufgabe einfach: Digitale Signaturen h¨angen n¨amlich vom Text der gesamten Nachricht ¨ ab, so dass eine Verf¨ alschung der Nachricht durch einen Ubermittler dadurch bemerkt wird, dass sie wegen der nicht mehr passenden Signatur nicht mehr als authentisch betrachtet wird. – Oft ist diese Voraussetzung nicht erf¨ ullt, daf¨ ur kann aber der Absender die Signatur des Empf¨ angers u ufen, z.B. wenn schutzw¨ urdige Daten an einen WWW-basierten ¨berpr¨ Dienst mit vielen Kunden gesandt werden. Dann kann man immer noch Unverf¨alschtheit garantieren, indem nach Authentisierung des Servers ein Schl¨ ussel zur vertraulichen Kommunikation ausgetauscht wird. Wie diese Kombination von Authentisierung und Vertraulichkeit genau vor sich geht, wird weiter unten1 erkl¨art. Welche Verschl¨ usselungstechnik f¨ ur einen bestimmten Zweck eingesetzt wird, richtet sich danach, welche dieser Ziele angestrebt werden. Außerdem kann es eine wichtige Rolle spielen, wie lange die Sicherheit aufrecht erhalten werden muss; darauf wird weiter unten2 noch einmal eingegangen.
2
Methoden der Verschlu ¨ sselung
Eine konkrete Verschl¨ usselung besteht immer aus zwei Komponenten: einem Verfahren und einem Schl¨ ussel. Das Verfahren legt fest, was zu tun ist. In einer sehr einfachen Verschl¨ usselung k¨onnte etwa das Verfahren darin bestehen, dass jeder Buchstabenwert um eine feste Zahl erh¨oht wird; der 1 siehe 2 siehe
B B
2 auf Seite 6 4 auf Seite 11
2
LRZ
Verschl¨ usselung im Internet
Schl¨ ussel ist dann die zus¨ atzliche Information dazu (hier etwa der Wert dieser festen Zahl). Das Verfahren ist allgemein bekannt; es w¨are ja auch sehr schwierig, weltweit Verschl¨ usselungssoftware zu installieren und dabei geheimzuhalten, wie sie funktioniert; nur der Schl¨ ussel wechselt von einem Anwender des Verfahrens zum n¨ achsten und muss daher in der Regel geheimgehalten werden. Die Entschl¨ usselung geht oft nach demselben Verfahren wie die Verschl¨ usselung vor sich, nur mit einem anderen Schl¨ ussel. Die Verschl¨ usselungsverfahren lassen sich danach einteilen, wer in der Lage ist, einen verschl¨ usselten Text wieder zu entschl¨ usseln. F¨ ur diese Unterscheidung muss man also wissen, ob es zu einem Schl¨ ussel f¨ ur die Verschl¨ usselung einen Schl¨ ussel f¨ ur die zugeh¨orige Entschl¨ usselung gibt und ob sich der eine aus dem anderen ermitteln l¨asst und umgekehrt.
2.1
Ein-Weg-Verschlu ¨ sselung, ”Fingerabdru ¨ cke”
Die Ein-Weg-Verschl¨ usselung ist eine echte Sackgasse: ist der Text einmal verschl¨ usselt, so kann ihn niemand mehr entschl¨ usseln. Diese Verfahren sind daher, wenn sie korrekt entworfen sind, sehr sicher, da es keinerlei Geheimnis u ussel gibt, das Unbefugten in die H¨ande fallen ¨ber den Schl¨ k¨onnte. In der Regel k¨ onnen sogar verschiedene Klartexte zum selben verschl¨ usselten Text f¨ uhren; manchmal macht man sich das zunutze, um den Text bei der Verschl¨ usselung zu k¨ urzen. Angewandt werden solche Verfahren, wo es nicht n¨otig ist, dass der Klartext zur¨ uckgewonnen werden kann: • Passw¨ orter werden in verschl¨ usselter Form gespeichert. Bei der Eingabe eines Passworts wird es mit demselben Verfahren verschl¨ usselt und mit dem gespeicherten verglichen. Es ist nicht n¨otig, das Passwort im Klartext zur¨ uckzugewinnen - im Gegenteil, es ist sehr erw¨ unscht, dass das nicht geht. Was nat¨ urlich schon geht, ist, aus einer Liste von verschl¨ usselten Passw¨ortern diejenigen herauszufischen, die im Klartext einen von relativ wenigen vorgegebenen Werten haben, beispielsweise die in einem W¨orterbuch stehen. • L¨angere Texte werden mit einem solchen Verfahren auf einen wesentlich k¨ urzeren ”Fingerabdruck” komprimiert. H¨ angt dieser vom gesamten Text ab und ist lang genug, und ist das Verfahren sorgf¨ altig entworfen, dann wird es nicht m¨oglich sein, einen anderen Ausgangstext zu konstruieren, der nach Verschl¨ usselung genauso aussieht. Damit ist es m¨oglich, die Unverf¨ alschtheit einer Nachricht zu u ufen, indem man auf einem anderen Weg gleichzeitig ¨berpr¨ den Fingerabdruck u bermittelt. Man kann beispielsweise bei der Ank¨ undigung einer neuen ¨ Softwareversion deren Fingerabdruck mit bekanntgeben, den der Benutzer dann nach einem Download u ufen kann. ¨berpr¨ In der englischsprachigen Literatur findet man f¨ ur solche Verfahren die Begriffe hash und digest. Ersterer ist ein wenig ungl¨ ucklich. Er stammt aus der Datenhaltung und bezeichnet die Komprimierung eines l¨ angeren Inhalts auf eine verk¨ urzte Darstellung zum effizienteren Zugriff. Ein gutes Verfahren zur Ein-Weg-Verschl¨ usselung wird zwar in der Regel auch ein gutes Hash-Verfahren sein; das Umgekehrte gilt aber nicht: f¨ ur ein Hash-Verfahren ist es gleichg¨ ultig, wie leicht man aus einem Hash-Wert einen Ausgangstext dazu konstruieren kann, w¨ahrend es f¨ ur die Ein-WegVerschl¨ usselung ausschlaggebend ist, dass das nicht geht. Deswegen muss der von einer Ein-WegVerschl¨ usselung erzeugte Text auch eine gewisse Mindestl¨ange haben, um das Durchprobieren vieler Ausgangstexte unm¨ oglich zu machen.
2.2
Symmetrische Verschlu ¨ sselung
Dies ist der Fall, an den man spontan denkt, wenn von Verschl¨ usselung die Rede ist: derjenige, der den Text verschl¨ usselt und derjenige, der ihn sp¨ater entschl¨ usselt (das kann nat¨ urlich auch 3
B
1
LRZ
Verschl¨ usselung im Internet
derselbe sein, wenn die Verschl¨ usselung nur der sicheren Aufbewahrung dienen sollte), haben einen Schl¨ ussel vereinbart, den sie beide benutzen. Wer verschl¨ usseln kann, kann auch entschl¨ usseln und umgekehrt. Das bedeutet in der Regel nicht, dass der Schl¨ ussel zum Entschl¨ usseln exakt derselbe ist wie der zum Verschl¨ usseln - es reicht, wenn der eine in einfacher Weise aus dem anderen erschlossen werden kann. Die Schw¨ ache symmetrischer Verschl¨ usselungsverfahren in der Datenkommunikation ist die Notwendigkeit, zwischen Sender und Empf¨anger einer Nachricht den gemeinsam benutzten geheimen Schl¨ ussel auszutauschen. Dieser Austausch darf nicht belauscht werden, sonst ist die gesamte Verschl¨ usselung zwecklos.
2.3
Asymmetrische Verschlu ¨ sselung
Die eben genannte Schw¨ ache der symmetrischen Verschl¨ usselung wird bei der asymmetrischen Verschl¨ usselung vermieden. Hier reicht die Kenntnis der Verschl¨ usselung nicht zur Entschl¨ usselung aus und umgekehrt auch nicht. Das Verfahren selbst und der Schl¨ ussel f¨ ur eine Richtung darf daher ohne weiteres bekannt werden, wenn es f¨ ur den Zweck der Anwendung ausreicht, dass der Schl¨ ussel f¨ ur die andere Richtung geheim bleibt. Die Eigenschaft eines Textes, klar lesbar zu sein, ist zwar f¨ ur den Nutzer des Textes interessant, nicht aber f¨ ur die Verfahren zur Ver- und Entschl¨ usselung - f¨ ur diese besteht kein Unterschied zwischen den beiden Richtungen. Es ist gleichg¨ ultig, ob ein Text zuerst ver- und dann entschl¨ usselt wird oder umgekehrt. Man kann sich das in einem Diagramm etwa so klarmachen: einmal entschl¨ usselter Text
verschl¨ usseln Klartext ——–> ter Text
