Sicherer Kanal: von Alice zu Bob Integritätsschutz (Hash&MAC)

Testfragen: Unterschied zwischen: Kodierung und Verschlüsselung? Symmetrischer und asymmetrischer Verschlüsselung? Stromchiffre und Blockchiffre? ECB, CBC, und CTR-Modus? Stromchiffre und „one time pad“? RNG und PRNG? Dr. Wolf Müller

Lab2 Dr. Wolf Müller

Hashfunktionen: Verwendung Wichtige Bestandteile heutiger Verschlüsselungsverfahren Eindeutige Hashwerte von Datenobjekten können berechnet, versandt, gespeichert werden. Ermöglichen Integritätsprüfung von Objekten. Modifikationen können erkannt werden. Authentizität des Datenursprungs: Message Authentication Codes (MAC) Dr. Wolf Müller

Hashfunktion: Arbeitsweise Hashfunktionen in Informatik oft eingesetzt: Effizienter Zugriff auf Objekte Schnelle Suche / Zugriff z.B. Datenbanken Adressierungsfunktionen in Betriebssystemen Oft einfache Funktionen z.B. Modulo Primzahl Hashfunktion definiert endlichen Bildbereich (Adressbereich) wesentlich kleiner als Urbildbereich (Universum) Hashfunktion ist nicht injektive Abbildung eines Objekts des Universums auf eine Hashadresse. Dr. Wolf Müller

Hashfunktionen: Kollisionen Unterschiedliche Objekte u1≠u2 des Universums werden auf gleichen Hashwert h(u1)=h(u2) abgebildet. Bei o.g. Anwendungen kein Problem, Techniken zur Kollisionsauflösung (Kollisionslisten, mehrfaches Hashing). Problem: Eindeutigkeit (Überprüfung der Integrität von Daten) Ziel muss Vermeidung von Kollisionen sein Genauer: Verringerung der Wahrscheinlichkeit von Auftreten von Kollisionen oder deren Vorhersagbarkeit Dr. Wolf Müller

Hashfunktionen: Kollisionen Was ist eine Kollision? 1 2 010011 010011 Nachricht Prüfsumme Nachricht Prüfsumme 2 verschiedene Nachrichten, aber identische Prüfsummen! Dr. Wolf Müller

Substitutionsattacke Hash: Angriffe Substitutionsattacke Gegeben: Angreifer A hat eine signierte Bestellung von Opfer B abgefangen. Ziel: Eine Nachricht mit gleichem Hashwert erstellen. Dr. Wolf Müller

Hash: Angriffe Brute-Force-Angriff Durchprobieren aller denkbaren Nachrichten und Algorithmen Beispiel: Dictionary-Attack Passwort Hashwert 1 4d5a36oall0 12 09nz65q5q5j 123 0jl9056j245 1234 o094t2456u2 Gefundener Hashwert: o094t2456u2 Dr. Wolf Müller

Einwegfunktion (one way function) ►Injektive Funktion f: X ! Y mit: 8 x 2 X der Funktionswert f(x) effizient berechenbar ist und es gibt kein effizientes Verfahren um aus dem Bild y = f(x) das Urbild x zu berechnen. Einwegeigenschaft beruht im Wesentlichen auf Aussagen zur Effizienz bekannter Algorithmen zur Berechnung der Funktionswerte der Umkehrabbildung. Letztlich unbewiesen, es sind lediglich keine effektiven (in polynomieller Zeit durchführbaren) Verfahren zur Umkehr bekannt. Faktorisierungsproblem (großer Zahlen) Diskreter Logarithmus Dr. Wolf Müller

Schwache Hashfunktion Gegeben seien zwei endliche Alphabete A1, A2. Schwache Hashfunktion ist eine nicht injektive Funktion H: A1*  A2k mit: H besitzt Eigenschaften einer Einweg-Funktion. Der Hashwert H(M)=h, mit |h|=k ist bei gegebener Eingabe M leicht zu berechnen. Bei gegebenem Hashwert h =H(M) für ein M A1* ist es praktisch unmöglich, eine dazu passende Nachricht M‘≠ M, M‘ A1* zu bestimmen, die den selben Hashwert liefert, also H(M‘) =h=H(M). Dr. Wolf Müller

Schwache Hashfunktion: Bemerkungen Für digitale Daten kann von binären Zeichenvorräten A1=A2={0,1} ausgegangen werden. Eigenschaft 3 schließt Kollisionen nicht völlig aus, es können Paare gefunden werden, deren Hashwerte kollidieren. Wichtig: Wie hoch ist Wahrscheinlichkeit dafür? Einsatz für digitale Signaturen Urheberschaft von Dokumenten soll bewiesen werden. Kann Angreifer kollidierendes Nachrichtenpaar konstruieren. Zwei Versionen eines Kaufvertrags mit identischem Hash? Beispiel: Geburtstags-Paradoxon Dr. Wolf Müller

Geburtstags-Paradoxon Wie viele Personen n müssen in einem Raum sein, damit mit mehr als 50% Wahrscheinlichkeit mindestens 2 am gleichen Tag (1. Januar) Geburtstag haben? Wie viele für beliebigen Tag? Alle Geburtstagskombinationen: Davon nur unterschiedliche Geburtstage: Wahrscheinlichkeit, dass alle an unter- schiedlichen Tagen Geburtstag haben:  Dr. Wolf Müller

Geburtstags-Paradoxon (2) Dr. Wolf Müller

Geburtstags-Paradoxon: Hashfunktionen n : Anzahl der Eingaben (Personen), also Worte w{0,1}* k : mögliche Ausgaben der Hashfunktion (Geburtstage) Falls: so ist Wahrscheinlichkeit, dass zwei Eingaben gleichen Hashwert besitzen größer als 0.5. Berechnet man mehr als Hashwerte, so wird mit Wahrscheinlichkeit größer als 0.5 Kollision gefunden. Reduzierung der Komplexität des Angriffs: Für 64 Bit-Hashwert nur Aufwand in der Größenordnung von 232 statt 264 nötig für Finden einer Kollision. Dr. Wolf Müller

Starke Hashfunktion Gegeben sei eine Hashfunktion H: A1*  A2k. H heißt starke Hashfunktion, wenn H schwache Hashfunktion ist und es praktisch nicht möglich ist, ein Paar verschiedener Eingabewerte M und M‘, M,M‘A1*zu finden, deren Hashwerte übereinstimmen, also H(M‘) =h=H(M). Werden kollisionsresistent (manchmal kollisionsfrei) genannt. Aktuell werden k=128 bis k=160 Bit als hinreichend stark angesehen. Für schwache Hashfunktionen: 64-Bit Hashwerte ausreichend Dr. Wolf Müller

Hashfunktionen: Einsatz Kontrolle der Integrität von über unsicheres Medium übertragener Daten Ablauf: Urheber der Nachricht M berechnet Hashwert h=H(M), hinterlegt diesen zusammen mit M. (Bei Übertragung werden sowohl die Nachricht M, als auch der Hashwert h übertragen). Kontrolle der Integrität eines Dokuments M‘: Berechnung des Hashwerts h‘=H(M‘) und Vergleich mit dem assoziierten Hashwert h. Falls: h=h‘, wird wegen der Kollisionseigenschaften kryptografisch sicherer Hashfunktionen davon ausgegangen, dass M=M‘ gilt, M‘ das unmodifizierte Originaldokument ist. Dr. Wolf Müller

Signierter Hash In Praxis werden Hashfunktionen häufig mit Signaturverfahren kombiniert. (Prüfung der Integrität + Urheberschaft) Berechnung des Hashwerte des Dokuments. Anschließende Signierung des Hashwerts. Vorteil: Nur relativ kleiner Hashwert zu signieren, während Dokument beliebig* groß sein kann: Geringerer Berechnungsaufwand gerade bei asymmetrischen Verfahren. Für Signaturverfahren werden starke Hashfunktionen verwendet. Schwache Hashfunktionen nur, wenn zu signierendes Dokument vor Signaturvorgang noch verändert wird. (Voranstellen eines Präfixes) Dr. Wolf Müller

Signierter Hash (2) Dr. Wolf Müller

Konstruktion sicherer Hashfunktionen H Bestehen in der Regel aus Folge gleichartiger Kompressionsfunktionen G, die M blockweise zu Hashwert verarbeitet. Eingaben variabler Länge durch Iteration behandelt. Start mit festgelegtem Initialisierungswert IV (Bestandteil der Spezifikation des Hash-Algorithmus) M1 M2 Mn+ Padding Initial- wert G G G … Hashwert Dr. Wolf Müller

Konstruktion sicherer Hashfunktionen (2) Kompressionsfunktion G Hashfunktionen auf Basis symmetrischer Blockchiffren Verwendung einfach, da Verschlüsselungsverfahren in vielen Anwendungsumgebungen bereits präsent sind. Dezidierte Hashfunktionen Effizient berechenbar Keine Exportbeschränkungen, Kryptoregulierungen Dr. Wolf Müller

Blockchiffren-basierte Hashfunktionen DES Aufteilung der Nachricht M in 56-Bit Blöcke Benutzung dieser als DES-Schlüssel im jeweiligen Berechnungsschritt 64-Bit Hashwert wird aus vorgegebenen IV und den n Eingabeblöcken errechnet, Ausgabe der i-ten DES-Verschlüsselung XOR-verknüpft in die (i+1)-te Verschlüsselung einfließt. Hier: schwache Hashfunktion Starke Hashfunktion auch realisierbar, Hashwert sollte mindestens doppelte Blockgröße haben, oft aufwendig Padding: Unterschiedliche Nachrichten müssen sich auch nach Padding noch unterscheiden. Dr. Wolf Müller

Dezidierte Hashfunktionen: Überblick Veraltet: Message Digest Algorithm 2 1989 von Ronald L. Rivest MD4 Message-Digest 4 1990 von Ronald L. Rivest besonders schnell auf 32 Bit-Rechnern, einfach in der Implementierung einfach Hashwert 128 Bit. Prominent: MD5 Weiterentwicklung von MD4 Hashwert 128 Bit, 512-Bit Eingabeblöcke SHA-1 (SHA-0) (Secure Hash Algorithmus) NIST (National Institute of Standards and Technology), NSA (National Security Agency) 160 Bit-Hashwert, Für Nachrichten bis zu 264 Bit. Empfohlen: SHA-256, SHA-384, SHA-512 Dr. Wolf Müller

Hashfunktion: MD5 Breiter Einsatz: PGP Zertifikate Software rpm md5("Franz jagt im komplett verwahrlosten Taxi quer durch Bayern") = a3cca2b2aa1e3b5b3b5aad99a8529074 md5("franz jagt im komplett verwahrlosten Taxi quer durch Bayern") = 4679e94e07f9a61f42b3d7f50cae0aef md5("") = D41d8cd98f00b204e9800998ecf8427e Breiter Einsatz: PGP Zertifikate Software rpm Kommandos: md5sum (Unix, Windows) Dr. Wolf Müller

Hashfunktion: MD5, Algorithmus Padding: Einzelnes Bit, 1, an das Ende der Nachricht angehängt. So viele Nullen wie nötig, um die Nachricht auf eine Länge von 64 Bits weniger als dem nächsten Vielfachen von 512 zu bringen. Übrigen Bits werden mit einer 64-Bit-Integerzahl = Länge der ursprünglichen Nachricht Wenn Platz kleiner als 64 Bits, ein zusätzlicher Block Hauptalgorithmus von MD5 mit 128-Bit-Puffer, = 32-Bit-Wörter A, B, C, D A, B, C, D mit Konstanten initialisiert. Komprimierungsfunktion mit dem ersten 512-Bit-Block als Schlüsselparameter aufgerufen. 4 Runden Jede Runde ist aus 16 auf einer nichtlinearen Funktion "F mit modularer Addition und Linksrotation 4 mögliche "F"-Funktionen, in jeder Runde eine andere: Eine MD5-Operation MD5 besteht aus 64 dieser Operationen (4 Runden mit jeweils 16 Operationen), F nichtlineare Funktion, die in der jeweiligen Runde benutzt wird Mi 32-Bit Block Message Ki 32-bit Konstante, verschieden für jede Operation Dr. Wolf Müller

MD5: Sicherheitsproblem MD5 weit verbreitet, ursprünglich als kryptografisch sicher angesehen. IV zur Verarbeitung des ersten Eingabeblocks ist bekannt. Angreifer: erschöpfende Suche (exhaustive search) Kollision ermitteln Suche kann parallel durchgeführt werden 1996 Dobbertin: Kollision in der Kompressionsfunktion von MD5. Zwar kein Angriff auf die vollständige MD5-Funktion, dennoch Empfehlung für Umstieg auf Algorithmen wie SHA-1 oder RIPEMD-160 August 2004: chinesische Forscher Kollisionen für die vollständige MD5-Funktion. MD5 stellt keine starke Hashfunktion mehr da, man sollte SHA-1, besser SHA-256 verwenden, bzw. MD5 als HMAC Dr. Wolf Müller

http://eprint.iacr.org/2004/199.pdf IBM P690-Cluster benötigte ihr erster Angriff eine Stunde Weitere Kollisionen innerhalb von maximal fünf Minuten Angriff der chinesischen Forscher basiert auf Analysen. Kollisionen: M (Text) und ein M' (Kollision) frei wählbar , so dass hash(M) = hash(M'). (Noch) keine akute Gefahr für Passwörter, die als MD5-Hash gespeichert wurden, eher eine Gefahr für digitale Signaturen. Dr. Wolf Müller

Angriffe auf MD5 http://www.mathstat.dal.ca/~selinger/md5collision/ Magnus Daum, Stefan Lucks zwei PostScript-Dateien mit identischem MD5-HASH Eduardo Diaz zwei Programme in zwei Archiven mit selbem MD5-HASH (good / evil) Didier Stevens verwendete “evilize program” zur Erzeugung von “two different programs with the same Authenticode digital signature”. Authenticode ist Microsoft's code signing mechanism, default ist SHA1 aber unterstützt noch MD5. (Jan 17, 2009). http://blog.didierstevens.com/2009/01/17/playing-with-authenticode-and-md5-collisions/ http://www.mathstat.dal.ca/~selinger/md5collision/evilize-0.1.tar.gz http://www.win.tue.nl/hashclash/SoftIntCodeSign/ MD5 nicht mehr verwenden! Dr. Wolf Müller

Secure Hash Algorithm (SHA-0,1) Gruppe standardisierter kryptografischer Hashfunktionen. Das NIST, NSA Zum Signieren gedachte sichere Hashfunktion für den Digital Signature Standard (DSS). Zunächst in zwei Varianten, SHA-0 und SHA-1 (Unterschiede der durchlaufenen Runden bei der Generierung des Hashwertes) Längeren Hashwert von 160 Bit, widerstandsfähiger gegen Brute-Force-Angriffe und Kollisionen. Design-Fehler im 1993 veröffentlichten Algorithmus wurde im heute gebräuchlichen, 1995 veröffentlichten SHA-1 Algorithmus korrigiert. Für SHA-1 waren bis Anfang 2005 keine wirkungsvollen kryptografischen Angriffe bekannt. Durch den Einsatz einer fünften Variablen ist SHA-1 auch im Vergleich zu MD5 resistenter gegen Kollisionen. Dr. Wolf Müller

Schwächen: SHA-1 15. Februar 2005: Bruce Schneier meldet in seinem Blog: http://www.schneier.com/blog/archives/2005/08/new_cryptanalyt.html Gruppe von chinesischen Wissenschaftlern an der Shandong University hat erfolgreich SHA-1 und SHA-0 gebrochen. Aufwand zur Kollisionsberechnung von 280 auf 269. Noch ein erheblicher Rechenaufwand, deshalb (derzeit) ohne praktischen Auswirkungen Außerdem wurde diese Berechnung der Kollision mit einem leicht modifizierten Algorithmus (ohne Padding) durchgeführt. Erweiterungen: NIST hat im August 2002 drei weitere Varianten vorgestellt SHA-256, SHA-384 und SHA-512 SHA-384 und SHA-512: Dateien bis zu einer Größe von 2128 Bit Februar 2004 eine weitere Version, SHA-224 Dr. Wolf Müller

Empfehlung: BSI -Technische Richtlinie 02102 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102_V1_0_pdf.pdf SHA-224, SHA-256, SHA-384, SHA-512 Dr. Wolf Müller

HASH in Zukunft SHA-3 NIST: cryptographic hash Algorithm Competition 3. Runde http://csrc.nist.gov/groups/ST/hash/ Algorithm Name Contributors BLAKE Jean-Philippe Aumasson*, Luca Henzen, Willi Meier, Raphael C.-W. Phan Grøstl Lars Ramkilde Knudsen*, Praveen Gauravaram, Krystian Matusiewicz, Florian Mendel, Christian Rechberger, Martin Schläffer, Søren S. Thomsen JH Hongjun Wu* Keccak  Joan Daemen*, Guido Bertoni, Michaël Peeters, Gilles Van Assche Skein Bruce Schneier*, Niels Ferguson, Stefan Lucks, Doug Whiting, Mihir Bellare, Tadayoshi Kohno, Jesse Walker, Jon Callas Dr. Wolf Müller

Message Authentification Code (MAC) Gegeben Familie {HK | K K } von Hashfunktionen, wobei K ein Schlüsselraum, HK eine starke bzw. schwache Hashfunktion ist. Die durch diese Familie definierte, parametrisierte Hashfunktion heißt Message Authentification Code (MAC) Leistet Integrität und Authentizität. Ist Hashfunktion mit Einwegeigenschaften, die zusätzlich noch geheimen Schlüssel K verwendet. MAC = keyed one-way function K … MAC-Geheimnis MAC keine Aussage über Authentizität der Daten an sich, oder Funktionalität von Code, sondern über Authentizität des Urhebers der Daten. Dr. Wolf Müller

MAC(M‘, KA,B)=mac‘ ?= mac =MAC(M, KA,B) MAC: Einsatz Kommunikation zwischen Alice und Bob Alice berechnet MAC mac eines Dokuments M, mit vorab vereinbartem geheimen Schlüssel KA,B. MAC(M, KA,B)=mac Alice sendet Dokument M und mac an Bob. Bob überprüft MAC der empfangenen Nachricht M‘ unter Verwendung des ihm bekannten Schlüssels KA,B. Dokument ist authentisch, wenn MAC(M‘, KA,B)=mac‘ ?= mac =MAC(M, KA,B) Realisierung mit Blockchiffren oder dezidierten Hashfunktionen möglich. Dr. Wolf Müller

MD5-MAC Häufig eingesetzt (SSL, IP-Sec) Ergänzung um Schlüssel, Schlüssel als Bestandteil der zu hashenden Daten: M‘=M| KA,B MD5-MAC=MD5(M‘) KA,B sollte stets ans Ende des Dokuments M angefügt, nicht vorangestellt werden! Sonst kann Angreifer Nachrichten konstruieren, die korrekten MAC ergeben, ohne den geheimen Schlüssel zu kennen. Sicherheitsprobleme von MD5 bleiben, Einsatz von MD5 nur als HMAC. Dr. Wolf Müller

HMAC Idee: Gegeben: HMAC: Schlüssel wird benutzt, um Initialwert für Kompressionsfunktion festzulegen. Hashfunktion wird als Black Box angesehen. Gegeben: Kryptografische Hashfunktion H, die Eingabeblöcke der Länge r Bytes verarbeitet Schlüssel K, ebenfalls Länge r Bytes, wird erreicht durch: |K|<r : Auffüllen mit Nullsequenz |K|>r : Berechnung von H(K)=h, falls dann |h|<r wie unter 1. Spezielle Strings ipad, opad (inner/outer Padding) ipad = r-malige Konkatenation von (36)16 =(00110110)2 opad = r-malige Konkatenation von (5C)16=(01011100)2 HMAC: HMAC(M,K)=H( K  opad, H( K  ipad,M )) RFC 2104 und RFC 6151 Dr. Wolf Müller

HMAC (2) Durchführung von Geburtstagsangriff auf HMAC, z.B. HMAC-MD5 erfordert, dass Angreifer mindestens 264 Blöcke unter der HMAC-Funktion komprimiert, um Kollisionswahrscheinlichkeit signifikant zu steigern. Etwa 250000 Jahre Rechenzeit. Dr. Wolf Müller

Elektronische Signaturen Elektronische Signaturen sind durch Personen elektronisch erstellte Willenserklärungen oder Bestätigungen. Diese können im eigenen Namen oder im Auftrag erfolgen und sind immer personengebunden. Zweifelfrei Zuordnung zu natürlichen oder juristischen Personen. Digitales Gegenstück zu handschriftlichen Unterschrift. http://www.bsi.bund.de/esig/esig.pdf Dr. Wolf Müller

Beispiele Willenserklärungen Bestätigungen Bestellungen Verträge Anträge Aufträge Bestätigungen Empfangsbescheinigungen Quittungen Dokumentationen Protokolle Bescheide Status Dr. Wolf Müller

Ziele: elektronische Signatur Geschäftsverkehr zwischen Unternehmen, zwischen Privatpersonen und Unternehmen, zwischen Privatpersonen / Unternehmen und Behörden verlangen Sicherheit: Unterzeichner muss identifizierbar sein. Inhalt des Dokuments und das Identifizierungsmerkmal des Unterzeichners gehören zusammen. Nachträgliche Veränderungen am Dokument müssen erkennbar sein. Dr. Wolf Müller

Signatur: Anforderungen Identifikation Unterschrift gibt Auskunft über Person des Unterzeichners Echtheit Unterschrift bezeugt, dass Dokument dem Aussteller vorlag und von ihm anerkannt wurde. Abschluss Unterschrift erklärt Text für inhaltlich richtig. Warnung Verfasser wird rechtliche Bedeutung des Dokuments aufgezeigt. Dr. Wolf Müller

Elektronische Signatur: Anforderungen Soll äquivalent zu handschriftlicher Unterschrift sein: Zweifelsfreie Identität Signatur belegt zweifelsfrei Identität des Unterzeichners. Keine Wiederverwendbarkeit Signatur ist nur mit Originaldokument gültig. Unveränderbarkeit Signiertes Dokument darf nicht mehr veränderbar sein. Verbindlichkeit Unterzeichner darf das Unterzeichnen des Dokuments nicht im Nachhinein erfolgreich abstreiten können. Dr. Wolf Müller

Digitale Signaturen: Vorteile / Probleme Digitales Herausfiltern von Unterschriften, Verbindung mit anderem Dokument einfacher als bei Papier. Vorteile: Verschlüsselung ist möglich, Dokument kann geheim gehalten werden. Festlegung der Gültigkeitsdauer, Zeitstempel. Hinterlegung von Schlüsseln bei vertrauenswürdiger Instanz gestattet effektive Überprüfung. Dr. Wolf Müller

Erstellung: Symmetrische Verfahren Alice möchte signiertes Dokument an Bob schicken. Vertrauenswürdiger Vermittler wird gebraucht (Trent) KA, KB Schlüssel von Alice, bzw. Bob Protokoll: Alice verschlüsselt Dokument M mit KA , E(M, KA) = C1, sendet es an Trent. Trent entschlüsselt C1 mit KA , D(C1, KA)=M und fügt dem entschlüsselten Dokument einen Vermerk P hinzu, mit dem er bestätigt, dass das Dokument von Alice stammt. Er protokolliert M und P für spätere Prüfzwecke in seiner privaten Datenbank. Trent verschlüsselt M plus Bestätigung mit KB und sendet dies an Bob E(M|P, KB) = C2. Bob entschlüsselt C2.mit KB, erhält Dokument und Bestätigung, dass es von Alice ist, D(C2, KB) =M|P. DB vorab vereinbarter Schlüssel KA : Alice KB : Bob … DB für ausgestellte Bestätigungen … M,P von Alice Vertrauenswürdiger Vermittler Trent Alice KA Bob KB Dr. Wolf Müller

Symmetrische Verfahren: Erfüllung der Anforderungen Zweifelsfreie Identität OK. Trent weiß, dass die Nachricht von Alice kam (Nur Alice kennt außer ihm selbst den Schlüssel). Bestätigung P beweist dies Bob. Keine Wiederverwendbarkeit OK. Kein Angreifer kann Signatur wiederverwenden. Sollte Bob versuchen, die Bestätigung für anderes Dokument zu verwenden, so kann Alice widersprechen. Bob müsste M‘ und das von Alice verschlüsselte Dokument C1 vorlegen. Tent entschlüsselt und stellt fest: M≠M‘, alternativ kann Tent DB nutzen. Unveränderbarkeit OK. Verbindlichkeit OK. Trent DB. Voraussetzungen für symmetrische Verfahren nur schwer zu gewährleisten: Sicherer authentifizierter Schlüsselaustausch. Jeder Kommunikationspartner für sichere Verwahrung selbst zuständig. Vertrauenswürdigkeit des Vermittlers . Manipulationen an der DB verhindern. Probleme: Zeitaufwändig Zentrale Komponente stark belastet. Signaturgesetze sehen asymmetrische Verfahren vor! Dr. Wolf Müller

Erstellung: Asymmetrische Verfahren RSA: Verschlüsseln und Signieren möglich dezidierte Verfahren: DSA (Digital Signature Algorithm) nur signieren Protokoll: (SA,VA) Schlüsselpaar von Alice (privater Signaturschlüssel, öffentlicher Verifikationsschlüssel) Alice hinterlegt VA in öffentlicher Datenbank. Alice signiert Dokument M durch Verschlüsseln mit ihrem privaten Schlüssel D(M,SA)=sig, und sendet das signierte Dokument sig an Bob. Bob ruft den benötigten Verifikationsschlüssel VA aus der öffentlichen Datenbank ab und verifiziert die Signatur sig, M=E(sig,VA). Dr. Wolf Müller

Asymmetrische Verfahren: Erfüllung der Anforderungen Zweifelsfreie Identität OK. Unter Voraussetzung, dass öffentlicher Verifikationsschlüssel eindeutig juristischer Person zuzuordnen ist. Keine Wiederverwendbarkeit OK. Ergebnis der Verschlüsselungsoperation ist vom verschlüsselten Dokument abhängig. Unveränderbarkeit OK. Änderung ist erkennbar. Verbindlichkeit OK. Allice kann solange der Schlüssel nicht kompromittiert ist, Signatur nicht zurückweisen. Voraussetzungen für asymmetrische Verfahren : Für Prüfung der zweifelsfreien Identität sind zusätzliche Maßnahmen erforderlich, die Authentizität des öffentlichen Verifikationsschlüssels bestätigen. Vertrauen, Trust nötig. Web of Trust PGP. PKI im geschäftlichen Umfeld. Probleme: Schutz des privaten Schlüssels Rückruf Zeitstempel, Gültigkeitsbereich Dr. Wolf Müller

http://www.bsi.bund.de/esig/esig.pdf Grundlagen der elektronischen Signatur Recht Technik Anwendung ….. Dr. Wolf Müller

Ergänzung (elektr.) Zeitstempel Zeitstempel werden für Nachweise genutzt, dass der Inhalt eines elektronischen Dokuments zu einem bestimmten Zeitpunkt genau mit dem Inhalt bereits vorlag. Erstellungsdatum und Uhrzeit des Zeitstempels Hashwert (Prüfsumme des „gestempelten“ Dokumenteninhalts) Zeitstempel werden im allgemeinen durch entsprechende (Online- / Server-)Dienste angeboten, die die aktuelle (beglaubigte) Uhrzeit liefern. Zeitstempel werden vorrangig automatisiert erstellt und sind nicht personengebunden. Dr. Wolf Müller

Gesetzliche Rahmenbedingungen Im Signaturgesetz (SigG) und in der Verordnung zum Signaturgesetz (SigV) werden die elektronischen Signaturen selbst und insbesondere die Anforderungen an elektronische Signaturen und Zertifizierungsdienst-Anbieter definiert. Rahmenbedingungen jedoch, wann welche elektronische Signatur verwendet werden kann oder muss, werden nicht im Signaturgesetz definiert, sondern beruhen im wesentlichen auf dem Bürgerlichen Gesetzbuch (BGB) und anderen Gesetzen sowie Rechts- und Verwaltungsverordnungen. Dr. Wolf Müller

Signaturgesetz Einfache elektronische Signaturen Daten zur Authentifizierung beigefügt. Signaturanbieter muss nicht für Richtigkeit und Vollständigkeit der Zertifikatangaben haften. Fortgeschrittene elektronische Signaturen sind ausschließlich dem Signaturschlüsselinhaber zugeordnet, ermöglichen dessen Identifizierung, sind mit Mitteln erzeugt, die Signaturschlüsselinhaber unter seiner alleinigen Kontrolle halten kann, und mit den Daten, auf die sie sich beziehen, so verknüpft, dass eine nachträgliche Veränderung der Daten erkannt werden kann. Qualifizierte elektronisch Signatur fortgeschritten el. Signatur, die zum Zeitpunkt ihrer Erstellung auf gültigem Zertifikat beruht und mit sicherer Signaturerstellungseinrichtung erzeugt wurde. Zertifikat: mit qualifizierter elektronischer Unterschrift versehene, digitale Bescheinigung über Zuordnung eines öffentlichen Signaturschlüssels zu einer natürlichen Person. Dr. Wolf Müller

Elektronische Signatur Aus: http://www.bsi.bund.de/esig/esig.pdf Dr. Wolf Müller

Qualifizierte elektronische Signatur Bei einer qualifizierten elektronischen Signatur muss der Unterzeichner Inhaber eines qualifiziert zugewiesenen Zertifikats sein und ihm somit ein asymmetrisches Schlüsselpaar zugewiesen worden sein. Unabhängig von der rechtlichen Einordnung (einfache / fortgeschrittene / qualifizierte Signatur) ist eine auf Zertifikaten aufsetzende elektronische Signatur eine Datenstruktur, die folgende wesentlichen Informationen enthält: Hashwert (z.B. des Dokumenteninhalts) Angaben über das genutzte Hash-Verfahren Public Key (des Zertifikats-Inhabers) Dr. Wolf Müller

Das Zertifikat Elektronische Bescheinigung, dass einer Person ein bestimmtes asymmetrisches Schlüsselpaar zugeordnet wurde und diese Person nach bestimmten Regeln vorab (z.B. bei der Antragsstellung) identifiziert wurde. Darf zur Zeit nur an Personen und nicht an Unternehmen oder Institutionen ausgegeben werden. Zertifikatvergabe (und damit auch die Zuordnung eines Schlüsselpaares zu einer Person) darf nur von Zertifizierungsanbieter (ZDA, Trust Center) vorgenommen werden. Der internationale Begriff dafür ist CA (Certificate Authority). Es gibt solche Zertifikate in verschiedenen Abstufungen. Dies richtet sich nach dem Status des jeweiligen Zertifizierungsdienstanbieters, welche Arten von Zertifikate dieser anbieten darf. Dr. Wolf Müller

Technische Anforderungen an qualifizierte elektronische Signaturen Ausschließlich „zertifikatsbasierte“ Signaturverfahren. Ersteller einer Signatur ist bei einem Trust Center (ZDA / Zertifizierungsdienstanbieter) registriert. Trust Center liefern Signaturersteller ein asymmetrisches Schlüsselpaar (Private und Public Key). Zusätzlich wird ein Zertifikat ausgestellt, das die Zusammengehörigkeit des öffentlichen Schlüssels (Public Key) und der Identität des Zertifikatsinhabers dokumentiert (Ausweisung beim Trust Center). Dr. Wolf Müller

Ausführungspraxis Chipkarten Chipkarten enthalten „Private Key“, der während des Signiervorgangs durch Eingabe einer – ebenfalls auf der Chipkarte hinterlegten - PIN (Nutzer-Identifizierung) zur Erstellung einer Signatur verfügbar wird. Erstellung einer qualifizierten elektronischen Signatur muss eine „sichere Signaturerstellungseinheit“ (die Chipkarte + Lesegerät) eingesetzt werden. Derzeit erfüllen lediglich bestimmte Chipkartenleseeinheiten diese hohen Sicherheitsanforderungen. Problem: Manipulationen am Kommunikationskanal zwischen Karte und Codierungssoftware. Was unterschreibe ich eigentlich? Dr. Wolf Müller

Rechtliches Restproblem Zwar wird angenommen, dass der Signierende auch der rechtmäßige Karteninhaber ist, doch beweisen kann man dies nicht. Aus diesem Grund wurde für qualifizierte Signaturen der so genannte Anscheinsbeweis (ZPO § 292a) eingeführt. Die Beweisführung bei qualifizierten Signaturen, dass der Karteninhaber NICHT signiert hat, obliegt damit dem Karteninhaber. Dr. Wolf Müller

Anpassung von Vertragsbestimmungen In den meisten vertraglichen Vereinbarungen existiert der Passus, dass Änderungen der Vereinbarung in Schriftform zu erfolgen haben. Zur Ausräumung von Zweifeln bei Vereinbarungen, die nicht der Schriftform unterliegen, sollte für elektronische Dokumente die entsprechende Anpassung vorgenommen werden. Dr. Wolf Müller

Zuordnung der elektronischen Signatur zum Unterzeichner Bei Kartenanwendung mit Zertifikat wird der Private Key des registrierten Zertifikatsinhabers zur Signaturerstellung genutzt. Der dazugehörige Public Key (mit dem Dokument mitgegeben) des Zertifikats ermöglicht die Identifizierung des Unterzeichners über das (Online) Trust Center. Über die Annahme, dass der Zertifikatsinhaber selbst unterzeichnet hat, gilt der Ersteller von qualifizierten Signaturen als identifiziert. Da der Hash mit dem Private Key des Zertifikatsinhabers verschlüsselt wird, gilt damit die Signierung genau der vorliegenden der Daten (Informationen) als nachgewiesen. Dr. Wolf Müller

Vorhaltung signierter Dokumente als Beweismittel Elektronische Signaturen sind ab Zeitpunkt ihrer Erstellung im Grunde immer gültig. Ungültig werden „nur“ das zur Signaturerstellung verwendete Verschlüsselungsverfahren sowie bei zertifikatsbasierten Signaturverfahren die ausgegebenen Zertifikate. Zertifikate sind durchschnittlich 2 – 3 Jahre gültig, max. 5 Jahre Nach der Sperre müssen Zertifikate für qualifizierte Signaturen noch weitere 5 Jahre vom ZDA (Zertifizierungsdienst-Anbieter) zur Identifizierung vorgehalten werden, Zertifikate für qualifizierte Signaturen mit Anbieterakkreditierung sogar 30 Jahre. Dr. Wolf Müller

Zeitfrage Man geht davon aus, dass nach einigen Jahren die Algorithmen der Verschlüsselungsverfahren geknackt werden können und damit der zur Signaturerstellung verwendete private Schlüssel berechnet werden kann. Dann könnte auf Basis eines veränderten Dokumenten-Inhalts der neue Hashwert mit dem ermittelten Private Key verschlüsselt werden und somit Dokumenteninhalt und elektronische Signatur gefälscht werden. Als Zeitraum für die derzeitige Verwendbarkeit heutiger Verschlüsselungs-algorithmen werden im allgemeinen 6 Jahre genannt. Der tatsächliche Zeitraum dürfte deutlich höher sein. Aus Sicherheitsgründen wird aber für die geprüften Verfahren eine maximale Gültigkeit von 5 Jahren angenommen. Trifft man für den Zeitraum nach Ablauf der Verwendbarkeit von Verschlüsselungsalgorithmen keine Vorkehrungen, dann besteht die Gefahr, dass die Beweiskraft heute signierter jedoch nicht sicher verwahrter Dokumente zumindest in Frage gestellt werden kann. Dr. Wolf Müller

Ablage oder Archivierung von signierten Dokumenten? Die Frage, ob ein signiertes Dokument in einer Ablage gehalten werden soll oder in ein elektronisches Archiv gestellt werden soll, ergibt sich aus der Frage, wann ein signiertes Dokument als Beweismittel benötigt wird. Wenn dies innerhalb von 1 - 2 Jahren nach Signierung notwendig wird, ist - unabhängig von sonstigen zu empfehlenden Sicherungsmaßnahmen - eine Vorhaltung auf einer Festplatte theoretisch ausreichend, da bei einer Signaturprüfung die Verschlüsselungsverfahren noch gültig sind. Dr. Wolf Müller

Nachsignierung Ist u.U. nach Ablauf der Gültigkeit der Verschlüsselungsverfahren notwendig. Zur Erhaltung der Beweiskraft eines elektronisch signierten Dokuments ist die so genannte Nachsignierung vor Ablauf der Gültigkeit von Verschlüsselungsalgorithmen möglich, indem der Unterzeichner das bereits schon einmal signierte Dokument erneut signiert. Dr. Wolf Müller

Revisionssicheres Archiv Weitere Möglichkeit: Übernahme des Dokuments samt seiner elektronischen Signatur in ein elektronisches Archiv. Signierte Dokumente sowie auch separat gehaltene elektronische Signaturen erhalten einen Zeitstempel. Ab Zeitpunkt der Archivierung übernimmt das elektronische Archiv die Verantwortung für die Nichtveränderbarkeit des Dokuments bzw. der elektronischen Signaturen. Für elektronische Archive, die solche Anforderungen erfüllen, hat sich der Begriff „revisionssicheres Archiv“ etabliert. Dr. Wolf Müller