Sicherer Kanal: von Alice zu Bob

Präsentation zum Thema: "Sicherer Kanal: von Alice zu Bob"—  Präsentation transkript:

1 Sicherer Kanal: von Alice zu Bob
Integritätsschutz (Hash&MAC)

2 Testfragen: Unterschied zwischen: Kodierung und Verschlüsselung?
Symmetrischer und asymmetrischer Verschlüsselung? Stromchiffre und Blockchiffre? ECB, CBC, und CTR-Modus? Stromchiffre und „one time pad“? RNG und PRNG? Dr. Wolf Müller

3 Lab2 Dr. Wolf Müller

4 Hashfunktionen: Verwendung
Wichtige Bestandteile heutiger Verschlüsselungsverfahren Eindeutige Hashwerte von Datenobjekten können berechnet, versandt, gespeichert werden. Ermöglichen Integritätsprüfung von Objekten. Modifikationen können erkannt werden. Authentizität des Datenursprungs: Message Authentication Codes (MAC) Dr. Wolf Müller

5 Hashfunktion: Arbeitsweise
Hashfunktionen in Informatik oft eingesetzt: Effizienter Zugriff auf Objekte Schnelle Suche / Zugriff z.B. Datenbanken Adressierungsfunktionen in Betriebssystemen Oft einfache Funktionen z.B. Modulo Primzahl Hashfunktion definiert endlichen Bildbereich (Adressbereich) wesentlich kleiner als Urbildbereich (Universum) Hashfunktion ist nicht injektive Abbildung eines Objekts des Universums auf eine Hashadresse. Dr. Wolf Müller

6 Hashfunktionen: Kollisionen
Unterschiedliche Objekte u1≠u2 des Universums werden auf gleichen Hashwert h(u1)=h(u2) abgebildet. Bei o.g. Anwendungen kein Problem, Techniken zur Kollisionsauflösung (Kollisionslisten, mehrfaches Hashing). Problem: Eindeutigkeit (Überprüfung der Integrität von Daten) Ziel muss Vermeidung von Kollisionen sein Genauer: Verringerung der Wahrscheinlichkeit von Auftreten von Kollisionen oder deren Vorhersagbarkeit Dr. Wolf Müller

7 Hashfunktionen: Kollisionen
Was ist eine Kollision? 1 2 010011 010011 Nachricht Prüfsumme Nachricht Prüfsumme 2 verschiedene Nachrichten, aber identische Prüfsummen! Dr. Wolf Müller

8 Substitutionsattacke
Hash: Angriffe Substitutionsattacke Gegeben: Angreifer A hat eine signierte Bestellung von Opfer B abgefangen. Ziel: Eine Nachricht mit gleichem Hashwert erstellen. Dr. Wolf Müller

9 Hash: Angriffe Brute-Force-Angriff
Durchprobieren aller denkbaren Nachrichten und Algorithmen Beispiel: Dictionary-Attack Passwort Hashwert 1 4d5a36oall0 12 09nz65q5q5j 123 0jl9056j245 1234 o094t2456u2 Gefundener Hashwert: o094t2456u2 Dr. Wolf Müller

10 Einwegfunktion (one way function)
►Injektive Funktion f: X ! Y mit: 8 x 2 X der Funktionswert f(x) effizient berechenbar ist und es gibt kein effizientes Verfahren um aus dem Bild y = f(x) das Urbild x zu berechnen. Einwegeigenschaft beruht im Wesentlichen auf Aussagen zur Effizienz bekannter Algorithmen zur Berechnung der Funktionswerte der Umkehrabbildung. Letztlich unbewiesen, es sind lediglich keine effektiven (in polynomieller Zeit durchführbaren) Verfahren zur Umkehr bekannt. Faktorisierungsproblem (großer Zahlen) Diskreter Logarithmus Dr. Wolf Müller

11 Schwache Hashfunktion
Gegeben seien zwei endliche Alphabete A1, A2. Schwache Hashfunktion ist eine nicht injektive Funktion H: A1*  A2k mit: H besitzt Eigenschaften einer Einweg-Funktion. Der Hashwert H(M)=h, mit |h|=k ist bei gegebener Eingabe M leicht zu berechnen. Bei gegebenem Hashwert h =H(M) für ein M A1* ist es praktisch unmöglich, eine dazu passende Nachricht M‘≠ M, M‘ A1* zu bestimmen, die den selben Hashwert liefert, also H(M‘) =h=H(M). Dr. Wolf Müller

12 Schwache Hashfunktion: Bemerkungen
Für digitale Daten kann von binären Zeichenvorräten A1=A2={0,1} ausgegangen werden. Eigenschaft 3 schließt Kollisionen nicht völlig aus, es können Paare gefunden werden, deren Hashwerte kollidieren. Wichtig: Wie hoch ist Wahrscheinlichkeit dafür? Einsatz für digitale Signaturen Urheberschaft von Dokumenten soll bewiesen werden. Kann Angreifer kollidierendes Nachrichtenpaar konstruieren. Zwei Versionen eines Kaufvertrags mit identischem Hash? Beispiel: Geburtstags-Paradoxon Dr. Wolf Müller

13 Geburtstags-Paradoxon
Wie viele Personen n müssen in einem Raum sein, damit mit mehr als 50% Wahrscheinlichkeit mindestens 2 am gleichen Tag (1. Januar) Geburtstag haben? Wie viele für beliebigen Tag? Alle Geburtstagskombinationen: Davon nur unterschiedliche Geburtstage: Wahrscheinlichkeit, dass alle an unter- schiedlichen Tagen Geburtstag haben:  Dr. Wolf Müller

14 Geburtstags-Paradoxon (2)
Dr. Wolf Müller

15 Geburtstags-Paradoxon: Hashfunktionen
n : Anzahl der Eingaben (Personen), also Worte w{0,1}* k : mögliche Ausgaben der Hashfunktion (Geburtstage) Falls: so ist Wahrscheinlichkeit, dass zwei Eingaben gleichen Hashwert besitzen größer als 0.5. Berechnet man mehr als Hashwerte, so wird mit Wahrscheinlichkeit größer als 0.5 Kollision gefunden. Reduzierung der Komplexität des Angriffs: Für 64 Bit-Hashwert nur Aufwand in der Größenordnung von 232 statt 264 nötig für Finden einer Kollision. Dr. Wolf Müller

16 Starke Hashfunktion Gegeben sei eine Hashfunktion H: A1*  A2k.
H heißt starke Hashfunktion, wenn H schwache Hashfunktion ist und es praktisch nicht möglich ist, ein Paar verschiedener Eingabewerte M und M‘, M,M‘A1*zu finden, deren Hashwerte übereinstimmen, also H(M‘) =h=H(M). Werden kollisionsresistent (manchmal kollisionsfrei) genannt. Aktuell werden k=128 bis k=160 Bit als hinreichend stark angesehen. Für schwache Hashfunktionen: 64-Bit Hashwerte ausreichend Dr. Wolf Müller

17 Hashfunktionen: Einsatz
Kontrolle der Integrität von über unsicheres Medium übertragener Daten Ablauf: Urheber der Nachricht M berechnet Hashwert h=H(M), hinterlegt diesen zusammen mit M. (Bei Übertragung werden sowohl die Nachricht M, als auch der Hashwert h übertragen). Kontrolle der Integrität eines Dokuments M‘: Berechnung des Hashwerts h‘=H(M‘) und Vergleich mit dem assoziierten Hashwert h. Falls: h=h‘, wird wegen der Kollisionseigenschaften kryptografisch sicherer Hashfunktionen davon ausgegangen, dass M=M‘ gilt, M‘ das unmodifizierte Originaldokument ist. Dr. Wolf Müller

18 Signierter Hash In Praxis werden Hashfunktionen häufig mit Signaturverfahren kombiniert. (Prüfung der Integrität + Urheberschaft) Berechnung des Hashwerte des Dokuments. Anschließende Signierung des Hashwerts. Vorteil: Nur relativ kleiner Hashwert zu signieren, während Dokument beliebig* groß sein kann: Geringerer Berechnungsaufwand gerade bei asymmetrischen Verfahren. Für Signaturverfahren werden starke Hashfunktionen verwendet. Schwache Hashfunktionen nur, wenn zu signierendes Dokument vor Signaturvorgang noch verändert wird. (Voranstellen eines Präfixes) Dr. Wolf Müller

19 Signierter Hash (2) Dr. Wolf Müller

20 Konstruktion sicherer Hashfunktionen H
Bestehen in der Regel aus Folge gleichartiger Kompressionsfunktionen G, die M blockweise zu Hashwert verarbeitet. Eingaben variabler Länge durch Iteration behandelt. Start mit festgelegtem Initialisierungswert IV (Bestandteil der Spezifikation des Hash-Algorithmus) M1 M2 Mn+ Padding Initial- wert G G G … Hashwert Dr. Wolf Müller

21 Konstruktion sicherer Hashfunktionen (2)
Kompressionsfunktion G Hashfunktionen auf Basis symmetrischer Blockchiffren Verwendung einfach, da Verschlüsselungsverfahren in vielen Anwendungsumgebungen bereits präsent sind. Dezidierte Hashfunktionen Effizient berechenbar Keine Exportbeschränkungen, Kryptoregulierungen Dr. Wolf Müller

22 Blockchiffren-basierte Hashfunktionen
DES Aufteilung der Nachricht M in 56-Bit Blöcke Benutzung dieser als DES-Schlüssel im jeweiligen Berechnungsschritt 64-Bit Hashwert wird aus vorgegebenen IV und den n Eingabeblöcken errechnet, Ausgabe der i-ten DES-Verschlüsselung XOR-verknüpft in die (i+1)-te Verschlüsselung einfließt. Hier: schwache Hashfunktion Starke Hashfunktion auch realisierbar, Hashwert sollte mindestens doppelte Blockgröße haben, oft aufwendig Padding: Unterschiedliche Nachrichten müssen sich auch nach Padding noch unterscheiden. Dr. Wolf Müller

23 Dezidierte Hashfunktionen: Überblick
Veraltet: Message Digest Algorithm 2 1989 von Ronald L. Rivest MD4 Message-Digest 4 1990 von Ronald L. Rivest besonders schnell auf 32 Bit-Rechnern, einfach in der Implementierung einfach Hashwert 128 Bit. Prominent: MD5 Weiterentwicklung von MD4 Hashwert 128 Bit, 512-Bit Eingabeblöcke SHA-1 (SHA-0) (Secure Hash Algorithmus) NIST (National Institute of Standards and Technology), NSA (National Security Agency) 160 Bit-Hashwert, Für Nachrichten bis zu 264 Bit. Empfohlen: SHA-256, SHA-384, SHA-512 Dr. Wolf Müller

24 Hashfunktion: MD5 Breiter Einsatz: PGP Zertifikate Software rpm
md5("Franz jagt im komplett verwahrlosten Taxi quer durch Bayern") = a3cca2b2aa1e3b5b3b5aad99a md5("franz jagt im komplett verwahrlosten Taxi quer durch Bayern") = 4679e94e07f9a61f42b3d7f50cae0aef md5("") = D41d8cd98f00b204e ecf8427e Breiter Einsatz: PGP Zertifikate Software rpm Kommandos: md5sum (Unix, Windows) Dr. Wolf Müller

25 Hashfunktion: MD5, Algorithmus
Padding: Einzelnes Bit, 1, an das Ende der Nachricht angehängt. So viele Nullen wie nötig, um die Nachricht auf eine Länge von 64 Bits weniger als dem nächsten Vielfachen von 512 zu bringen. Übrigen Bits werden mit einer 64-Bit-Integerzahl = Länge der ursprünglichen Nachricht Wenn Platz kleiner als 64 Bits, ein zusätzlicher Block Hauptalgorithmus von MD5 mit 128-Bit-Puffer, = 32-Bit-Wörter A, B, C, D A, B, C, D mit Konstanten initialisiert. Komprimierungsfunktion mit dem ersten 512-Bit-Block als Schlüsselparameter aufgerufen. 4 Runden Jede Runde ist aus 16 auf einer nichtlinearen Funktion "F mit modularer Addition und Linksrotation 4 mögliche "F"-Funktionen, in jeder Runde eine andere: Eine MD5-Operation MD5 besteht aus 64 dieser Operationen (4 Runden mit jeweils 16 Operationen), F nichtlineare Funktion, die in der jeweiligen Runde benutzt wird Mi 32-Bit Block Message Ki 32-bit Konstante, verschieden für jede Operation Dr. Wolf Müller

26 MD5: Sicherheitsproblem
MD5 weit verbreitet, ursprünglich als kryptografisch sicher angesehen. IV zur Verarbeitung des ersten Eingabeblocks ist bekannt. Angreifer: erschöpfende Suche (exhaustive search) Kollision ermitteln Suche kann parallel durchgeführt werden 1996 Dobbertin: Kollision in der Kompressionsfunktion von MD5. Zwar kein Angriff auf die vollständige MD5-Funktion, dennoch Empfehlung für Umstieg auf Algorithmen wie SHA-1 oder RIPEMD-160 August 2004: chinesische Forscher Kollisionen für die vollständige MD5-Funktion. MD5 stellt keine starke Hashfunktion mehr da, man sollte SHA-1, besser SHA-256 verwenden, bzw. MD5 als HMAC Dr. Wolf Müller

27 IBM P690-Cluster benötigte ihr erster Angriff eine Stunde Weitere Kollisionen innerhalb von maximal fünf Minuten Angriff der chinesischen Forscher basiert auf Analysen. Kollisionen: M (Text) und ein M' (Kollision) frei wählbar , so dass hash(M) = hash(M'). (Noch) keine akute Gefahr für Passwörter, die als MD5-Hash gespeichert wurden, eher eine Gefahr für digitale Signaturen. Dr. Wolf Müller

28 Angriffe auf MD5 http://www.mathstat.dal.ca/~selinger/md5collision/
Magnus Daum, Stefan Lucks zwei PostScript-Dateien mit identischem MD5-HASH Eduardo Diaz zwei Programme in zwei Archiven mit selbem MD5-HASH (good / evil) Didier Stevens verwendete “evilize program” zur Erzeugung von “two different programs with the same Authenticode digital signature”. Authenticode ist Microsoft's code signing mechanism, default ist SHA1 aber unterstützt noch MD5. (Jan 17, 2009). MD5 nicht mehr verwenden! Dr. Wolf Müller

29 Secure Hash Algorithm (SHA-0,1)
Gruppe standardisierter kryptografischer Hashfunktionen. Das NIST, NSA Zum Signieren gedachte sichere Hashfunktion für den Digital Signature Standard (DSS). Zunächst in zwei Varianten, SHA-0 und SHA-1 (Unterschiede der durchlaufenen Runden bei der Generierung des Hashwertes) Längeren Hashwert von 160 Bit, widerstandsfähiger gegen Brute-Force-Angriffe und Kollisionen. Design-Fehler im 1993 veröffentlichten Algorithmus wurde im heute gebräuchlichen, 1995 veröffentlichten SHA-1 Algorithmus korrigiert. Für SHA-1 waren bis Anfang 2005 keine wirkungsvollen kryptografischen Angriffe bekannt. Durch den Einsatz einer fünften Variablen ist SHA-1 auch im Vergleich zu MD5 resistenter gegen Kollisionen. Dr. Wolf Müller

30 Schwächen: SHA-1 15. Februar 2005: Bruce Schneier meldet in seinem Blog: Gruppe von chinesischen Wissenschaftlern an der Shandong University hat erfolgreich SHA-1 und SHA-0 gebrochen. Aufwand zur Kollisionsberechnung von 280 auf 269. Noch ein erheblicher Rechenaufwand, deshalb (derzeit) ohne praktischen Auswirkungen Außerdem wurde diese Berechnung der Kollision mit einem leicht modifizierten Algorithmus (ohne Padding) durchgeführt. Erweiterungen: NIST hat im August 2002 drei weitere Varianten vorgestellt SHA-256, SHA-384 und SHA-512 SHA-384 und SHA-512: Dateien bis zu einer Größe von 2128 Bit Februar 2004 eine weitere Version, SHA-224 Dr. Wolf Müller

31 Empfehlung: BSI -Technische Richtlinie 02102
SHA-224, SHA-256, SHA-384, SHA-512 Dr. Wolf Müller

32 HASH in Zukunft SHA-3 NIST: cryptographic hash Algorithm Competition
3. Runde Algorithm Name Contributors BLAKE Jean-Philippe Aumasson*, Luca Henzen, Willi Meier, Raphael C.-W. Phan Grøstl Lars Ramkilde Knudsen*, Praveen Gauravaram, Krystian Matusiewicz, Florian Mendel, Christian Rechberger, Martin Schläffer, Søren S. Thomsen JH Hongjun Wu* Keccak  Joan Daemen*, Guido Bertoni, Michaël Peeters, Gilles Van Assche Skein Bruce Schneier*, Niels Ferguson, Stefan Lucks, Doug Whiting, Mihir Bellare, Tadayoshi Kohno, Jesse Walker, Jon Callas Dr. Wolf Müller

33 Message Authentification Code (MAC)
Gegeben Familie {HK | K K } von Hashfunktionen, wobei K ein Schlüsselraum, HK eine starke bzw. schwache Hashfunktion ist. Die durch diese Familie definierte, parametrisierte Hashfunktion heißt Message Authentification Code (MAC) Leistet Integrität und Authentizität. Ist Hashfunktion mit Einwegeigenschaften, die zusätzlich noch geheimen Schlüssel K verwendet. MAC = keyed one-way function K … MAC-Geheimnis MAC keine Aussage über Authentizität der Daten an sich, oder Funktionalität von Code, sondern über Authentizität des Urhebers der Daten. Dr. Wolf Müller

34 MAC(M‘, KA,B)=mac‘ ?= mac =MAC(M, KA,B)
MAC: Einsatz Kommunikation zwischen Alice und Bob Alice berechnet MAC mac eines Dokuments M, mit vorab vereinbartem geheimen Schlüssel KA,B. MAC(M, KA,B)=mac Alice sendet Dokument M und mac an Bob. Bob überprüft MAC der empfangenen Nachricht M‘ unter Verwendung des ihm bekannten Schlüssels KA,B. Dokument ist authentisch, wenn MAC(M‘, KA,B)=mac‘ ?= mac =MAC(M, KA,B) Realisierung mit Blockchiffren oder dezidierten Hashfunktionen möglich. Dr. Wolf Müller

35 MD5-MAC Häufig eingesetzt (SSL, IP-Sec)
Ergänzung um Schlüssel, Schlüssel als Bestandteil der zu hashenden Daten: M‘=M| KA,B MD5-MAC=MD5(M‘) KA,B sollte stets ans Ende des Dokuments M angefügt, nicht vorangestellt werden! Sonst kann Angreifer Nachrichten konstruieren, die korrekten MAC ergeben, ohne den geheimen Schlüssel zu kennen. Sicherheitsprobleme von MD5 bleiben, Einsatz von MD5 nur als HMAC. Dr. Wolf Müller

36 HMAC Idee: Gegeben: HMAC:
Schlüssel wird benutzt, um Initialwert für Kompressionsfunktion festzulegen. Hashfunktion wird als Black Box angesehen. Gegeben: Kryptografische Hashfunktion H, die Eingabeblöcke der Länge r Bytes verarbeitet Schlüssel K, ebenfalls Länge r Bytes, wird erreicht durch: |K|<r : Auffüllen mit Nullsequenz |K|>r : Berechnung von H(K)=h, falls dann |h|<r wie unter 1. Spezielle Strings ipad, opad (inner/outer Padding) ipad = r-malige Konkatenation von (36)16 =( )2 opad = r-malige Konkatenation von (5C)16=( )2 HMAC: HMAC(M,K)=H( K  opad, H( K  ipad,M )) RFC 2104 und RFC 6151 Dr. Wolf Müller

37 HMAC (2) Durchführung von Geburtstagsangriff auf HMAC, z.B. HMAC-MD5 erfordert, dass Angreifer mindestens 264 Blöcke unter der HMAC-Funktion komprimiert, um Kollisionswahrscheinlichkeit signifikant zu steigern. Etwa Jahre Rechenzeit. Dr. Wolf Müller

38 Elektronische Signaturen
Elektronische Signaturen sind durch Personen elektronisch erstellte Willenserklärungen oder Bestätigungen. Diese können im eigenen Namen oder im Auftrag erfolgen und sind immer personengebunden. Zweifelfrei Zuordnung zu natürlichen oder juristischen Personen. Digitales Gegenstück zu handschriftlichen Unterschrift. Dr. Wolf Müller

39 Beispiele Willenserklärungen Bestätigungen Bestellungen
Verträge Anträge Aufträge Bestätigungen Empfangsbescheinigungen Quittungen Dokumentationen Protokolle Bescheide Status Dr. Wolf Müller

40 Ziele: elektronische Signatur
Geschäftsverkehr zwischen Unternehmen, zwischen Privatpersonen und Unternehmen, zwischen Privatpersonen / Unternehmen und Behörden verlangen Sicherheit: Unterzeichner muss identifizierbar sein. Inhalt des Dokuments und das Identifizierungsmerkmal des Unterzeichners gehören zusammen. Nachträgliche Veränderungen am Dokument müssen erkennbar sein. Dr. Wolf Müller

41 Signatur: Anforderungen
Identifikation Unterschrift gibt Auskunft über Person des Unterzeichners Echtheit Unterschrift bezeugt, dass Dokument dem Aussteller vorlag und von ihm anerkannt wurde. Abschluss Unterschrift erklärt Text für inhaltlich richtig. Warnung Verfasser wird rechtliche Bedeutung des Dokuments aufgezeigt. Dr. Wolf Müller

42 Elektronische Signatur: Anforderungen
Soll äquivalent zu handschriftlicher Unterschrift sein: Zweifelsfreie Identität Signatur belegt zweifelsfrei Identität des Unterzeichners. Keine Wiederverwendbarkeit Signatur ist nur mit Originaldokument gültig. Unveränderbarkeit Signiertes Dokument darf nicht mehr veränderbar sein. Verbindlichkeit Unterzeichner darf das Unterzeichnen des Dokuments nicht im Nachhinein erfolgreich abstreiten können. Dr. Wolf Müller

43 Digitale Signaturen: Vorteile / Probleme
Digitales Herausfiltern von Unterschriften, Verbindung mit anderem Dokument einfacher als bei Papier. Vorteile: Verschlüsselung ist möglich, Dokument kann geheim gehalten werden. Festlegung der Gültigkeitsdauer, Zeitstempel. Hinterlegung von Schlüsseln bei vertrauenswürdiger Instanz gestattet effektive Überprüfung. Dr. Wolf Müller

44 Erstellung: Symmetrische Verfahren
Alice möchte signiertes Dokument an Bob schicken. Vertrauenswürdiger Vermittler wird gebraucht (Trent) KA, KB Schlüssel von Alice, bzw. Bob Protokoll: Alice verschlüsselt Dokument M mit KA , E(M, KA) = C1, sendet es an Trent. Trent entschlüsselt C1 mit KA , D(C1, KA)=M und fügt dem entschlüsselten Dokument einen Vermerk P hinzu, mit dem er bestätigt, dass das Dokument von Alice stammt. Er protokolliert M und P für spätere Prüfzwecke in seiner privaten Datenbank. Trent verschlüsselt M plus Bestätigung mit KB und sendet dies an Bob E(M|P, KB) = C2. Bob entschlüsselt C2.mit KB, erhält Dokument und Bestätigung, dass es von Alice ist, D(C2, KB) =M|P. DB vorab vereinbarter Schlüssel KA : Alice KB : Bob … DB für ausgestellte Bestätigungen … M,P von Alice Vertrauenswürdiger Vermittler Trent Alice KA Bob KB Dr. Wolf Müller

45 Symmetrische Verfahren: Erfüllung der Anforderungen
Zweifelsfreie Identität OK. Trent weiß, dass die Nachricht von Alice kam (Nur Alice kennt außer ihm selbst den Schlüssel). Bestätigung P beweist dies Bob. Keine Wiederverwendbarkeit OK. Kein Angreifer kann Signatur wiederverwenden. Sollte Bob versuchen, die Bestätigung für anderes Dokument zu verwenden, so kann Alice widersprechen. Bob müsste M‘ und das von Alice verschlüsselte Dokument C1 vorlegen. Tent entschlüsselt und stellt fest: M≠M‘, alternativ kann Tent DB nutzen. Unveränderbarkeit OK. Verbindlichkeit OK. Trent DB. Voraussetzungen für symmetrische Verfahren nur schwer zu gewährleisten: Sicherer authentifizierter Schlüsselaustausch. Jeder Kommunikationspartner für sichere Verwahrung selbst zuständig. Vertrauenswürdigkeit des Vermittlers . Manipulationen an der DB verhindern. Probleme: Zeitaufwändig Zentrale Komponente stark belastet. Signaturgesetze sehen asymmetrische Verfahren vor! Dr. Wolf Müller

46 Erstellung: Asymmetrische Verfahren
RSA: Verschlüsseln und Signieren möglich dezidierte Verfahren: DSA (Digital Signature Algorithm) nur signieren Protokoll: (SA,VA) Schlüsselpaar von Alice (privater Signaturschlüssel, öffentlicher Verifikationsschlüssel) Alice hinterlegt VA in öffentlicher Datenbank. Alice signiert Dokument M durch Verschlüsseln mit ihrem privaten Schlüssel D(M,SA)=sig, und sendet das signierte Dokument sig an Bob. Bob ruft den benötigten Verifikationsschlüssel VA aus der öffentlichen Datenbank ab und verifiziert die Signatur sig, M=E(sig,VA). Dr. Wolf Müller

47 Asymmetrische Verfahren: Erfüllung der Anforderungen
Zweifelsfreie Identität OK. Unter Voraussetzung, dass öffentlicher Verifikationsschlüssel eindeutig juristischer Person zuzuordnen ist. Keine Wiederverwendbarkeit OK. Ergebnis der Verschlüsselungsoperation ist vom verschlüsselten Dokument abhängig. Unveränderbarkeit OK. Änderung ist erkennbar. Verbindlichkeit OK. Allice kann solange der Schlüssel nicht kompromittiert ist, Signatur nicht zurückweisen. Voraussetzungen für asymmetrische Verfahren : Für Prüfung der zweifelsfreien Identität sind zusätzliche Maßnahmen erforderlich, die Authentizität des öffentlichen Verifikationsschlüssels bestätigen. Vertrauen, Trust nötig. Web of Trust PGP. PKI im geschäftlichen Umfeld. Probleme: Schutz des privaten Schlüssels Rückruf Zeitstempel, Gültigkeitsbereich Dr. Wolf Müller

48 Grundlagen der elektronischen Signatur Recht Technik Anwendung ….. Dr. Wolf Müller

49 Ergänzung (elektr.) Zeitstempel
Zeitstempel werden für Nachweise genutzt, dass der Inhalt eines elektronischen Dokuments zu einem bestimmten Zeitpunkt genau mit dem Inhalt bereits vorlag. Erstellungsdatum und Uhrzeit des Zeitstempels Hashwert (Prüfsumme des „gestempelten“ Dokumenteninhalts) Zeitstempel werden im allgemeinen durch entsprechende (Online- / Server-)Dienste angeboten, die die aktuelle (beglaubigte) Uhrzeit liefern. Zeitstempel werden vorrangig automatisiert erstellt und sind nicht personengebunden. Dr. Wolf Müller

50 Gesetzliche Rahmenbedingungen
Im Signaturgesetz (SigG) und in der Verordnung zum Signaturgesetz (SigV) werden die elektronischen Signaturen selbst und insbesondere die Anforderungen an elektronische Signaturen und Zertifizierungsdienst-Anbieter definiert. Rahmenbedingungen jedoch, wann welche elektronische Signatur verwendet werden kann oder muss, werden nicht im Signaturgesetz definiert, sondern beruhen im wesentlichen auf dem Bürgerlichen Gesetzbuch (BGB) und anderen Gesetzen sowie Rechts- und Verwaltungsverordnungen. Dr. Wolf Müller

51 Signaturgesetz Einfache elektronische Signaturen
Daten zur Authentifizierung beigefügt. Signaturanbieter muss nicht für Richtigkeit und Vollständigkeit der Zertifikatangaben haften. Fortgeschrittene elektronische Signaturen sind ausschließlich dem Signaturschlüsselinhaber zugeordnet, ermöglichen dessen Identifizierung, sind mit Mitteln erzeugt, die Signaturschlüsselinhaber unter seiner alleinigen Kontrolle halten kann, und mit den Daten, auf die sie sich beziehen, so verknüpft, dass eine nachträgliche Veränderung der Daten erkannt werden kann. Qualifizierte elektronisch Signatur fortgeschritten el. Signatur, die zum Zeitpunkt ihrer Erstellung auf gültigem Zertifikat beruht und mit sicherer Signaturerstellungseinrichtung erzeugt wurde. Zertifikat: mit qualifizierter elektronischer Unterschrift versehene, digitale Bescheinigung über Zuordnung eines öffentlichen Signaturschlüssels zu einer natürlichen Person. Dr. Wolf Müller

52 Elektronische Signatur
Aus: Dr. Wolf Müller

53 Qualifizierte elektronische Signatur
Bei einer qualifizierten elektronischen Signatur muss der Unterzeichner Inhaber eines qualifiziert zugewiesenen Zertifikats sein und ihm somit ein asymmetrisches Schlüsselpaar zugewiesen worden sein. Unabhängig von der rechtlichen Einordnung (einfache / fortgeschrittene / qualifizierte Signatur) ist eine auf Zertifikaten aufsetzende elektronische Signatur eine Datenstruktur, die folgende wesentlichen Informationen enthält: Hashwert (z.B. des Dokumenteninhalts) Angaben über das genutzte Hash-Verfahren Public Key (des Zertifikats-Inhabers) Dr. Wolf Müller

54 Das Zertifikat Elektronische Bescheinigung, dass einer Person ein bestimmtes asymmetrisches Schlüsselpaar zugeordnet wurde und diese Person nach bestimmten Regeln vorab (z.B. bei der Antragsstellung) identifiziert wurde. Darf zur Zeit nur an Personen und nicht an Unternehmen oder Institutionen ausgegeben werden. Zertifikatvergabe (und damit auch die Zuordnung eines Schlüsselpaares zu einer Person) darf nur von Zertifizierungsanbieter (ZDA, Trust Center) vorgenommen werden. Der internationale Begriff dafür ist CA (Certificate Authority). Es gibt solche Zertifikate in verschiedenen Abstufungen. Dies richtet sich nach dem Status des jeweiligen Zertifizierungsdienstanbieters, welche Arten von Zertifikate dieser anbieten darf. Dr. Wolf Müller

55 Technische Anforderungen an qualifizierte elektronische Signaturen
Ausschließlich „zertifikatsbasierte“ Signaturverfahren. Ersteller einer Signatur ist bei einem Trust Center (ZDA / Zertifizierungsdienstanbieter) registriert. Trust Center liefern Signaturersteller ein asymmetrisches Schlüsselpaar (Private und Public Key). Zusätzlich wird ein Zertifikat ausgestellt, das die Zusammengehörigkeit des öffentlichen Schlüssels (Public Key) und der Identität des Zertifikatsinhabers dokumentiert (Ausweisung beim Trust Center). Dr. Wolf Müller

56 Ausführungspraxis Chipkarten
Chipkarten enthalten „Private Key“, der während des Signiervorgangs durch Eingabe einer – ebenfalls auf der Chipkarte hinterlegten - PIN (Nutzer-Identifizierung) zur Erstellung einer Signatur verfügbar wird. Erstellung einer qualifizierten elektronischen Signatur muss eine „sichere Signaturerstellungseinheit“ (die Chipkarte + Lesegerät) eingesetzt werden. Derzeit erfüllen lediglich bestimmte Chipkartenleseeinheiten diese hohen Sicherheitsanforderungen. Problem: Manipulationen am Kommunikationskanal zwischen Karte und Codierungssoftware. Was unterschreibe ich eigentlich? Dr. Wolf Müller

57 Rechtliches Restproblem
Zwar wird angenommen, dass der Signierende auch der rechtmäßige Karteninhaber ist, doch beweisen kann man dies nicht. Aus diesem Grund wurde für qualifizierte Signaturen der so genannte Anscheinsbeweis (ZPO § 292a) eingeführt. Die Beweisführung bei qualifizierten Signaturen, dass der Karteninhaber NICHT signiert hat, obliegt damit dem Karteninhaber. Dr. Wolf Müller

58 Anpassung von Vertragsbestimmungen
In den meisten vertraglichen Vereinbarungen existiert der Passus, dass Änderungen der Vereinbarung in Schriftform zu erfolgen haben. Zur Ausräumung von Zweifeln bei Vereinbarungen, die nicht der Schriftform unterliegen, sollte für elektronische Dokumente die entsprechende Anpassung vorgenommen werden. Dr. Wolf Müller

59 Zuordnung der elektronischen Signatur zum Unterzeichner
Bei Kartenanwendung mit Zertifikat wird der Private Key des registrierten Zertifikatsinhabers zur Signaturerstellung genutzt. Der dazugehörige Public Key (mit dem Dokument mitgegeben) des Zertifikats ermöglicht die Identifizierung des Unterzeichners über das (Online) Trust Center. Über die Annahme, dass der Zertifikatsinhaber selbst unterzeichnet hat, gilt der Ersteller von qualifizierten Signaturen als identifiziert. Da der Hash mit dem Private Key des Zertifikatsinhabers verschlüsselt wird, gilt damit die Signierung genau der vorliegenden der Daten (Informationen) als nachgewiesen. Dr. Wolf Müller

60 Vorhaltung signierter Dokumente als Beweismittel
Elektronische Signaturen sind ab Zeitpunkt ihrer Erstellung im Grunde immer gültig. Ungültig werden „nur“ das zur Signaturerstellung verwendete Verschlüsselungsverfahren sowie bei zertifikatsbasierten Signaturverfahren die ausgegebenen Zertifikate. Zertifikate sind durchschnittlich 2 – 3 Jahre gültig, max. 5 Jahre Nach der Sperre müssen Zertifikate für qualifizierte Signaturen noch weitere 5 Jahre vom ZDA (Zertifizierungsdienst-Anbieter) zur Identifizierung vorgehalten werden, Zertifikate für qualifizierte Signaturen mit Anbieterakkreditierung sogar 30 Jahre. Dr. Wolf Müller

61 Zeitfrage Man geht davon aus, dass nach einigen Jahren die Algorithmen der Verschlüsselungsverfahren geknackt werden können und damit der zur Signaturerstellung verwendete private Schlüssel berechnet werden kann. Dann könnte auf Basis eines veränderten Dokumenten-Inhalts der neue Hashwert mit dem ermittelten Private Key verschlüsselt werden und somit Dokumenteninhalt und elektronische Signatur gefälscht werden. Als Zeitraum für die derzeitige Verwendbarkeit heutiger Verschlüsselungs-algorithmen werden im allgemeinen 6 Jahre genannt. Der tatsächliche Zeitraum dürfte deutlich höher sein. Aus Sicherheitsgründen wird aber für die geprüften Verfahren eine maximale Gültigkeit von 5 Jahren angenommen. Trifft man für den Zeitraum nach Ablauf der Verwendbarkeit von Verschlüsselungsalgorithmen keine Vorkehrungen, dann besteht die Gefahr, dass die Beweiskraft heute signierter jedoch nicht sicher verwahrter Dokumente zumindest in Frage gestellt werden kann. Dr. Wolf Müller

62 Ablage oder Archivierung von signierten Dokumenten?
Die Frage, ob ein signiertes Dokument in einer Ablage gehalten werden soll oder in ein elektronisches Archiv gestellt werden soll, ergibt sich aus der Frage, wann ein signiertes Dokument als Beweismittel benötigt wird. Wenn dies innerhalb von Jahren nach Signierung notwendig wird, ist - unabhängig von sonstigen zu empfehlenden Sicherungsmaßnahmen - eine Vorhaltung auf einer Festplatte theoretisch ausreichend, da bei einer Signaturprüfung die Verschlüsselungsverfahren noch gültig sind. Dr. Wolf Müller

63 Nachsignierung Ist u.U. nach Ablauf der Gültigkeit der Verschlüsselungsverfahren notwendig. Zur Erhaltung der Beweiskraft eines elektronisch signierten Dokuments ist die so genannte Nachsignierung vor Ablauf der Gültigkeit von Verschlüsselungsalgorithmen möglich, indem der Unterzeichner das bereits schon einmal signierte Dokument erneut signiert. Dr. Wolf Müller

64 Revisionssicheres Archiv
Weitere Möglichkeit: Übernahme des Dokuments samt seiner elektronischen Signatur in ein elektronisches Archiv. Signierte Dokumente sowie auch separat gehaltene elektronische Signaturen erhalten einen Zeitstempel. Ab Zeitpunkt der Archivierung übernimmt das elektronische Archiv die Verantwortung für die Nichtveränderbarkeit des Dokuments bzw. der elektronischen Signaturen. Für elektronische Archive, die solche Anforderungen erfüllen, hat sich der Begriff „revisionssicheres Archiv“ etabliert. Dr. Wolf Müller