Sicherer Kanal: von Alice zu Bob Protokolle I: Schlüsselaustausch, Bausteine

Glückwunsch Zum Studium an einer Uni, die eine Gewinnerin in der Exzellenzinitiative ist . Dr. Wolf Müller

Prüfungen (2. Termin) voraussichtlich Mi/Do, 12/13.09.2012 September 2012: Prüfungen (2. Termin) voraussichtlich Mi/Do, 12/13.09.2012 IT Security Workshop Block-Seminar, Mo-Fr, 17.9. - 28.09.2012  Dr. Wolf Müller

Lehrevaluation: 18.6.-1.7. apple12ibm Einstieg: https://evaluation.hu-berlin.de/evaluation Passwort: apple12ibm Bitte teilnehmen für VL + UE: 32220 VL IT-Sicherheit Grundlagen Dr. rer. nat. Müller 32221 UE IT-Sicherheit Grundlagen Dr. rer. nat. Müller     Dr. Wolf Müller

Schlüsselerzeugung Symmetrische Kryptografie: Zufallsgeneratoren: Häufig Pseudozufallsgeneratoren (nicht wirklich zufällig, aber ausreichend) Angreifer darf keine Kenntnisse über Verhalten des Generators gewinnen. Problem: Initialisierung benötigt Zufallswerte Asymmetrische Kryptografie: Höherer berechnungsaufwand Große Primzahlen (RSA, DSA) In der Regel Pseudoprimzahlen (Zahlen, die mit hoher Wahrscheinlichkeit Primzahlen sind) Rabin-Miller-Test Problem: Dublettenfreiheit Signieren erfordert Eindeutigkeit des Schlüssels Nur schwer erfüllbar P. Horster: „Dublettenfreie Schlüsselgenerierung durch isolierte Instanzen“ , in: „Chipkarten“, Hrsg.: Patrick Horster, Braunschweig: Vieweg & Sohn Verlagsgesellschaft, 1998 Dr. Wolf Müller

Techniken zur Schlüsselerzeugung Manuelle Verfahren Würfeln, Münzwurf (geringe Bandbreite)  Masterschlüssel, Briefversand Initialisierung für Zufallsgeneratoren Zufallsereignis Natürliche oder provozierte Zufallsereignisse Atmosphärisches Rauschen Radioaktiver Zerfall Widerstandsrauschen, thermisches Rauschen Effizient, aber spezielle Hardware nötig Deterministische Berechnungen Extrahieren von pseudozufälligen Bitfolgen von gängiger Hardware Messung Tastaturverzögerung Analyse von Mausbewegungen Kombination lokale Systemuhr, Systemidentifikation, Datum Dr. Wolf Müller

Techniken zur Schlüsselerzeugung (2) ANSI-Standard X9.17: Mithilfe von symmetrischem Algorithmus (z. B. DES) wird zufällige Bitfolge bestimmt Zeitwert Ti und Startwert Vi Zufallsschlüssel Si und Startwert Vi+1 Ausgangsbasis: vorab vereinbarter Schlüssel K und geheimer Initialwert V0 Generierung des i-ten Schlüssels Si : Effiziente Generierung, solange K nicht offengelegt.  Hohe Anforderungen an Sicherheit von K, Speicherung in zugriffskontrollierten, geschützten Speicherbereichen. Dr. Wolf Müller

Schlüsselspeicherung Benutzergedächtnis Passworte Limitiert Backup, Verfügbarkeit? Persönliche Sicherheitswerkzeuge Chipkarten, USB Token Auslesen nur in speziellen Lesegeräten Angriffe: hoher Aufwand, schwierig Freischaltung: PIN Biometrie Möglichkeit, Schlüssel in Karte zu belassen, nur Berechnungsschritte auf Karte (z.B. Signieren) Dr. Wolf Müller

Schlüsselspeicherung (2) Schlüsselaufteilung Aufteilung in mehrere Komponenten Verteilte Speicherung (z.B. Smartcard, PC) Probleme: Fehlen von IO-Möglichkeiten bei Chipkarten Beschränkte CPU / Speicherkapazitäten Rückgriff auf Betriebssystem (Schwachstellen, Trojaner) Hash-Berechnung, Verschlüsselung häufig außerhalb der Chipkarte Schlüssel muss sichere Karte verlassen! Sicherer Kanal PC , Chipkarte nötig. Vorsicht beim Zwischenspeichern temporärer Dateien Dr. Wolf Müller

Darstellungsproblem Wenn Signierschlüssel Karte nicht verlässt, werden Hashwerte von Dokumenten auf Karte zum Signieren übertragen. Vertrauen darauf, dass der Hash zu dem Dokument gehört, welches unterzeichnet werden soll. Nicht überprüfbar. Angriffspunkt für Manipulationen / Trojaner Derzeit keine befriedigende Lösung! Dr. Wolf Müller

Schlüsselspeicherung (3) Persistente Speicherung Z.B. privater Schlüssel eines Webservers Bequemlichkeit , Sicherheit Zugriffskontrolle Filesystem, Caches/SWAP, Hauptspeicher Backup Zusätzlicher Schutz durch Passwort / Passphrase Dr. Wolf Müller

Schlüsselvernichtung Löschen Findet oft zu wenig Aufmerksamkeit (anders Erzeugung, Speicherung) Auch Schlüssel, deren Gültigkeit abgelaufen ist, wertvoll für Angreifer: Entschlüsselung vorher aufgefangener Nachrichten. Nachträgliches Signieren (ohne Zeitstempel). Chip EEPROM: Mehrfaches Überschreiben. EPROM: Zerstörung des Chips. Archivierung / Kopien Schlüssel in Dateien auf Festplatten Mehrfaches Überschreiben des Speicherbereiches (Normales löschen reicht nicht!) Entfernen aus Backupmedien. SWAP/Cache säubern. Dr. Wolf Müller

Schlüsselaustausch (symmetrisch) Jeder mit Jedem: n ( n -1) Schlüssel müssen ausgetauscht werden (z.B. per Post) Skaliert nicht. Schlüsselverteilungsdienste: Vertrauenswürdige Verwaltung von Schlüsseln Auf Anfrage Austausch von Schlüsseln für Kommunikation Aber: Zentrale Komponente(single point of failure) vermeiden. Dr. Wolf Müller

Schlüsselhierarchie Schutzbedarf Lebenszeit Im System verschiedene Schlüssel erzeugt: Sitzungsschlüssel Schlüssel für Schlüsselaustausch (vielleicht asymmetrisch) Signierschlüssel Datenschlüssel (Verschlüsselung persistenter Daten) Wechsel hier sehr aufwendig. Lebenszeit Schutzbedarf Dr. Wolf Müller

Naives Austauschprotokoll Asymmetrisches Verfahren: Alice (A), Bob (B) Alice erzeugt gemeinsamen (symmetrischen) Schlüssel KA,B. Alice sendet diesen verschlüsselt an Bob Bob entschlüsselt Kryptotext und erhält: Probleme: Modifikation des Kryptotexts C ! C‘ also K ! K‘ Maskierungen: Nicht prüfbar, ob Schlüssel von Alice stammt. Man-in-the Middle Abwehr: MACs oder signierte Hashwerte des Sitzungsschlüssels. ABER: Weiterhin unzureichend, Wiedereinspielung (Replay-Attack) von geknackten früheren Schlüsseln! Timestamp, Freshness! Dr. Wolf Müller

Needham-Schroeder-Protokolle Entwicklung von Schlüsselaustauschprotokollen schwieriger als gedacht. Basisprotokoll: 1978 von R. Needham und M. Schroeder für Schlüsselaustausch entwickelt. Kerberos –Protokoll basiert darauf. Notation: Senden Nachricht M von A nach B: A ! B M=A,IA :M wird mit Schlüssel KA verschlüsselt, kompakt für: Mit IA Nonce, noch nie verwendeter Identifikator, z.B. Zufallszahl. Dr. Wolf Müller

Protokoll mit symmetrischen Verfahren Basis: AS vertrauenswürdiger Authentifizierungs- (Schlüsselverteilungs-) server Jeder Teilnehmer A hat geheimen Schlüssel KA (Master Key) mit AS exklusiv vereinbart. Hohe Anforderungen an AS : Ist-Funktionalität nachweislich = Soll-Funktionalität Schutz vor Manipulationen Keine Weitergabe von Master Keys Dr. Wolf Müller

Protokoll mit symmetrischen Verfahren Alice ! AS Alice, Bob, IA. AS ! Alice Alice ! Bob Alice weiß, wenn Nachricht mit KA,B verschlüsselt, dann von Bob. Bob muss Widereinspielung ausschließen, generiert Nonce. Bob ! Alice f allgemein bekannte Funktion. Challenge-Response Dr. Wolf Müller

Protokoll mit symmetrischen Verfahren (2) Probleme: Protokolle nur sicher, wenn keiner der ausgetauschten Master Keys KA,B jemals bekannt wird. X hat KA,B geknackt, und (3) aufgezeichnet, spielt diese wieder ein (3‘) X ! Bob (4‘) Bob ! Alice X fängt Nachricht ab, entschlüsselt, löst Challenge. (5‘) X ! Bob Bob glaubt, mit Alice zu sprechen. AS (1) (2) (3) Alice Bob (4) (5) Dr. Wolf Müller

Protokoll mit symmetrischen Verfahren (3) AS Lösung: Nachrichten mit Uhrzeit (timestamp): (1‘) Alice ! AS Alice, Bob (2‘) AS ! Alice (3‘) Alice ! Bob Aber: Synchrone lokale Uhrzeiten nötig. Angreifbar durch Manipulation der Systemzeit oder des Zeitdienstes. (1) (2) (3) Alice Bob (4) (5) Dr. Wolf Müller

Protokoll mit symmetrischen Verfahren (4) AS Lösung: Benutzung von Nonces: (0.1) Alice ! Bob Alice (0.2) Bob ! Alice (1‘) Alice ! AS (2‘) AS ! Alice (3‘) Alice ! Bob Bob kann mit seiner gesendeten Nonce vergleichen . (1) (2) (3) Alice Bob (4) (5) (0.1) (0.2) Dr. Wolf Müller

Protokoll mit asymmetrischen Verfahren Basis: AS vertrauenswürdiger Authentifizierungs- (Schlüsselverteilungs-) server. Jeder Teilnehmer A und AS besitzen Schlüsselpaar Gehen davon aus, dass jeder Teilnehmer seinen öffentlichen Schlüssel authentisch bei AS registriert hat. Z.B. mit Zertifikaten Dr. Wolf Müller

Protokoll mit asymmetrischen Verfahren Alice ! AS Alice, Bob. AS ! Alice Alice weiß, dass Nachricht von AS und kennt Bobs öffentlichen Schlüssel. Alice ! Bob Bob ! AS Bob, Alice. Bob ! Alice (1) (4) (2) (5) (3) Alice Bob (6) (7) Doppelter Handshake, gegen Maskierungsangriff Dr. Wolf Müller

Protokoll mit asymmetrischen Verfahren Schlüsselaustausch Alice ! Bob Problem: Nachricht wirklich frisch und von Alice? 8‘. Alice ! Bob (1) (4) (2) (5) (3) Alice Bob (6) (7) (8‘) (8) Dr. Wolf Müller

Leitlinien Protokollentwicklung Vollständige Information Nachrichten in Protokollen nicht selbsterklärend. Falsche Interpretationen durch Angreifer ausnutzbar. Z.B. 8‘ explizite Angabe des Namens des Kommunikationspartners sollte Bestandteil des Protokolls sein. Alle relevanten Informationen müssen in Protokollnachricht kodiert werden! Verschlüsselungszweck Vertraulichkeit garantieren? Authentizität nachweisen? Genau überlegen, für Authentizität besser digitale Signatur oder MAC! Doppelverschlüsselung Fehlerhafter Einsatz von mehrfachen Verschlüsslungen bietet Gefahr der Redundanz (unnötige Kosten). Möglich auch Sicherheitsprobleme. Dr. Wolf Müller

Sicherheitslücke durch Doppelverschlüsselung (1) Asymmetrisches Verfahren, um Nachricht M zwischen A und B auszutauschen. A ! B B ! A Falsch verstandenes Sicherheitsbedürfnis: doppelte Verschlüsselung (1‘) A ! B (2‘) B ! A Dr. Wolf Müller

Sicherheitslücke durch Doppelverschlüsselung (2) (1‘) A ! B (2‘) B ! A Angreifer X fängt (2‘) ab, übernimmt roten Teil mit eigenem Namen als Absender: (1‘) X ! A (2‘) A ! X (gemäß Protokoll) Weiter: (1‘‘) X ! A (2‘‘) A ! X Angreifer hat Nachricht M von A an B im Klartext! Dr. Wolf Müller

Leitlinien Protokollentwicklung (2) Digitale Signaturen Falls in Protokollschritt bereits verschlüsselte Nachricht signiert wird ist nicht klar, ob der Signierer wahren Inhalt kennt. Für Authentizität: Unverschlüsselte Nachricht bzw. deren Hashwert signieren. Danach Nachricht verschlüsselt übermitteln. Frischer Schlüssel Gerade erhaltener Schlüssel muss deshalb nicht frisch sein. Needham-Schroeder Protokoll (2) Replay Zeitstempel oder Nonces in Protokoll integrieren. Formale Analyse Einsatz formaler Modellierungs- und Analysetechniken BAN-Logik 1989 von Michael Burrows, Martín Abadi, Roger Needham publizierte Modallogik Dr. Wolf Müller

Schlüsselvereinbarung Kommen wir ohne Server aus? Können Partner direkt Schlüssel vereinbaren? Wer wählt den Schlüssel? Wenn ein Partner Schlüssel vorgibt, kann dieser schwach bzw. kompromittiert sein. Beide Kommunikationspartner sollten Einfluss auf resultierenden Schlüssel haben. Keiner soll Schlüssel alleine bestimmen. Dr. Wolf Müller

Diffie-Hellman: Geschichte Martin Hellman Ralph Merkle Whitfield Diffie Dr. Wolf Müller

Diffie-Hellman: Geschichte (2) Algorithmus wurde von Martin Hellman gemeinsam mit Whitfield Diffie und Ralph Merkle an der Universität von Stanford (Kalifornien) entwickelt und 1976 veröffentlicht. Wie erst 1997 bekannt wurde, hatte das britische Government Communications Headquarters (GCHQ) schon in den 1960er Jahren den Auftrag erteilt, aufgrund der hohen Kosten bei der damals üblichen Schlüsselverteilung einen anderen Weg für die Schlüsselverteilung zu finden. James Ellis, Clifford Cocks und Malcolm Williamson ähnliche Ideen. GCHQ hat einerseits wegen der Geheimhaltung, andererseits wegen des für die Briten aus Sicht der frühen 1970er Jahre fraglichen Nutzens nie ein Patent beantragt. Dr. Wolf Müller

►Primitive Einheitswurzel Gegeben Primzahl q und Trägermenge M={0,…,q-1} von Galois-Feld GF(q). a 2 M heißt primitive Einheitswurzel, wenn gilt: so dass Einheitswurzeln sind Generatoren für die Elemente des Galois-Feldes. Dr. Wolf Müller

Primitive Einheitswurzel GF(11) Primzahl q=11 ,Trägermenge M={0,…,10} Primitive Einheitswurzeln: 2, 6, 7 und 8 3 keine Einheitswurzel, da kein p2 {0,…,10} mit 3 p ´ 2 mod 11 Generator 2 210=1024 ´1 mod 11 21=2 ´ 2 mod 11 28 =256 ´3 mod 11 22=4 ´ 4 mod 11 24 =16 ´5 mod 11 29=512 ´ 6 mod 11 27 =128 ´7 mod 11 23=8 ´ 8 mod 11 26 =64 ´9 mod 11 25=32 ´10 mod 11 Dr. Wolf Müller

Generatorbestimmung und -verifikation Für zyklische Gruppe der Ordnung n gibt es mindestens d n / (6 ln ln n) e Generatoren. Wenn n=2q für eine Primzahl q, so gibt es q-1 Generatoren.  Gute Chance, bei zufälliger Wahl a2GF (q) primitive Einheitswurzel zu treffen. Schwieriger: Verifikation Effizientes Verfahren, wenn q-1 faktorisierbar. Einfacher, wenn q-1=2r, mit r Primzahl: Dr. Wolf Müller

Diffie-Hellman Verfahren Gemeinsame, nicht geheime Basisinformationen: Große Primzahl q wählen, die das Galois-Feld GF(q) bestimmt. Bestimmung einer primitiven Einheitswurzel a, 2· a · q-2 von GF(q). q und a sind öffentlich bekannte Diffie-Hellmann Parameter. Dr. Wolf Müller

DH: Berechnung des Sitzungsschlüssels Berechnung erfolgt dezentral. Teilnehmer i wählt zufällig 1· Xi · q-1. Xi ist „geheimer Schlüssel“ von Teilnehmer i. Teilnehmer i berechnet: Yi ist „öffentlicher Schlüssel“ von Teilnehmer i. Möchte Teilnehmer i mit j kommunizieren, berechnet er Sitzungsschlüssel aus eigenem privatem Schlüssel Xi und öffentlichem des Partners Yj: Dr. Wolf Müller

Diffie-Hellman Problem Angreifer kennt: q und a (öffentlich bekannte DH Parameter), sowie „öffentliche Schlüssel“ Yi, Yj . Für Angreifer schwierig Sitzungsschlüssel Ki,j ohne „geheime Schlüssel“ Xi, Xj zu berechnen. Angreifer müsste diskreten Logarithmus: Xi=logaYi mod q berechnen, um den Schlüssel zu bestimmen. Berechnung des Sitzungsschlüssels basiert auf Einwegfunktion mit Falltür. Dr. Wolf Müller

Man-in-the-Middle-Angriff DH hat keine Überprüfung der Authentizität der Partner. Alice und Bob können nicht erkennen, dass sie nicht direkt miteinander reden. Angreifer empfängt Nachricht, entschlüsselt, verschlüsselt neu, schickt weiter. Angreifer X KX,A KX,B Beabsichtigter Informationsfluss KA,B Bob Alice Dr. Wolf Müller

Diffie-Hellman Verfahren: Fazit Wählt Zufallszahl x, berechnet gx mod p gx mod p Wählt Zufallszahl y, berechnet gy mod p gy mod p Berechnet k = (gy)x mod p Berechnet k = (gx)y mod p Protokoll zur Schlüsselvereinbarung, kein Verschlüsselungssystem! Basiert auf Einwegfunktion, Sicherheit wegen Härte von: Diffie-Hellmann Problem und Diskretem Logarithmus Eigenschaften: Frische der Schlüssel durch zufällige Wahl der Exponenten. Keine Seite kann Schlüssel bestimmen. Kommt ohne dritte Partei aus. KEINE Authentizität. Dr. Wolf Müller

Schlüsselrückgewinnung Warum? Zugriff auf verschlüsselte Daten auch wenn: Schlüssel verloren geht, Mitarbeiter, der Dokument verschlüsselt erstellt hat ausscheidet. Gesetzliche Auflagen (E-Mail Archivierung, Insiderhandel …) Schlüsselrückgewinnung: key recovery Schlüsselhinterlegung: key escrow Ziel: Rückgewinnung der Daten ohne Originalschlüssel Sicherheitsrisiken kritisch untersuchen! Dr. Wolf Müller

Schlüsselrückgewinnung Managementdienste bereitgestellt, zur Entschlüsselung verschlüsselter Dokumente ohne Originalschlüssel in Ausnahmefällen. Schlüsselverluste Nicht rechtzeitige Verfügbarkeit Unabsichtliche oder mutmaßliche Zerstörung des Schlüssels Kein Brechen mit kryptoanalytischen Methoden. Deutschland: Für staatliche Institutionen (Artikel 10, Abs. 2 Grundgesetz) zum Zweck der Bekämpfung des Terrorismus oder des organisierten Verbrechens Dr. Wolf Müller

key escrow Schlüsselhinterlegung Hinterlegungstechnik geht zurück auf Initiative der amerikanischen Regierung. 1994 Escrowed Encryption Standard (EES). Ziel: Bürgern Verwendung starker Verschlüsselung erlauben, andererseits Zugriff auf verschlüsselte Daten für Strafverfolgung. Dr. Wolf Müller

Recoverysysteme Kryptomodul Kryptomodul Sender Klar- text D Schlüssel K Empfänger Schlüssel K Rückgewinnungsinformation Klar- text E Kryptotext Klartext Rückgewinnungs- schlüssel Berechne K D Schlüsselhinterlegungs- Komponente Rückgewinnungs- Komponente Dr. Wolf Müller

Recoverysysteme (2) Kryptomodul Durchführung von Ver- und Entschlüsselung. Unterstützt automatisch Rückgewinnung. Hinzufügen von Rückgewinnungsinformation RI (für Wiederherstellung des Klartexts). Recovery-Schlüssel: Schlüssel zur Verschlüsselung der RI Private Schlüssel von Sender / Empfänger, Sitzungsschlüssel die einem Kryptomodul zugeordnet sind. Werden in Hinterlegungskomponente verwaltet. RI muss Recovery-Schlüssel, sowie verwendete Verschlüsselungsalgorithmen eindeutig beschreiben. Anforderung: Funktionalität kann nicht verändert oder umgangen werden. Dr. Wolf Müller

Recoverysysteme (3) Rückgewinnungskomponente (RK) Beinhaltet Algorithmen und Protokolle, um aus Kryptotext + assoziierter RI + Daten von der Hinterlegungskomponente Klartext zu ermitteln. Wenn Schlüssel wiederhergestellt, können im Folgenden auch ohne Hilfe der Hinterlegungskomponente Kryptotexte entschlüsselt werden. Nutzungseinschränkung: Zeitintervall für Löschung des wiederhergestellten Schlüssels. Problem: Nutzer muss vertrauen, dass RK Beschränkungen einhält. Anforderung: Aufzeichnung und Entschlüsselung von Kryptotexten nur durch autorisierte Subjekte. Dr. Wolf Müller

Recoverysysteme (4) Hinterlegungskomponente (HK) Speicherung, Verwaltung der Schlüssel für Rückgewinnung. Kann Komponente von Zertifikatsinfrastruktur sein. Hohe Anforderungen an sicheren und zuverlässigen Betrieb, da sensible Informationen. Administration durch vertrauenswürdige Agenten. Von staatlichen / privaten Organisationen akkreditiert / lizensiert. Möglich: Verteilung auf mehrere Agenten Secret Sharing. Authentifizierung der Anfrager, dann Lieferung der für Rückgewinnung nötigen Daten. Löschung der gespeicherten Daten nach festgelegten Zeitintervall. Dr. Wolf Müller

Recoverysysteme (5) PGP ab Version 5.0 Clipper Chip 1993 als Bestandteil von Escrowed Encryption Standard konzipiert. Sollte in USA für Telekommunikation eingesetzt werden. RI= Law Enforcement Access Field (LEAW) Encrypted File System (EFS) Dr. Wolf Müller

Recoverysystem: EFS EFS in Windows 2000 / XP ist einfaches Beispiel Problem: Backup, vergessenes Password der Benutzer Kryptomodul Gewinnung der RI zu für Verschlüsselung der Datei f generierten Schlüssel Kf Kf wird mit öffentlichem Recovery-Schlüssel Krec verschlüsselt und als zusätzliches Attribut der Datei f im „Data Recovery Field“ (DRF) abgespeichert. RSA als Verschlüsselungsverfahren. Öffentlicher Schlüssel aus X.509 Zertifikat einer speziellen Datei des EFS: Encrypted Data Recovery Agent Policy Eigentlicher Recovery Schlüssel ist der zu Krec gehörige private Schlüssel. Dr. Wolf Müller

Recoverysystem: EFS (2) Rückgewinnung Trivial: Algorithmus RSA Privater Recovery Schlüssel und DRF von Hinterlegungskomponente Entschlüsselung  Kf Hinterlegungskomponente Sehr einfach gehalten. Vertrauenswürdige Recovery-Agenten standardmäßig = Systemadministratoren Privater Recovery-Schlüssel:  Manuell exportiert (auf sicheres Speichermedium),  oder auf Festplatte HK= Speicherbereich auf externem Medium / Festpatte Kein Mehraugenprinzip (Zusammenarbeit mehrerer Recovery Agenten) Dr. Wolf Müller

Recovery-Systeme: Risiken & Grenzen Neue Risiken Zugriff auf verschlüsselte Klartexte ohne Einfluss des autorisierten Schlüsselbesitzers Ansammlung sicherheitskritischer Informationen an zentralen Stellen  lohnendes Angriffsziel Einsatzbereiche Kommerzieller Bereich Wiederherstellung gespeicherter Daten Dezentrale Verwaltung der RI, nur wenige Recovery Schlüssel Staatlicher Bereich Zugriff auf Klartext (Tel, E-Mail,…) zur Verbrechensbekämpfung Wiederherstellung von Sitzungsschlüsseln, braucht der Nutzer normaler Weise nicht, nichtstaatlicher Bereich auch nicht, hier er erneute Übertragung. Globale Systemarchitektur Äußerst komplexe Infrastruktur Sehr hoher Aufwand für sichere und vertrauenswürdige Funktionalität. Problem: Datenrückgewinnung erfolgt transparent, unbemerkt für beteiligten Bürger. Sinn fraglich Zu Überwachende können sich einfach entziehen, Aber zusätzliche Risiken für Allgemeinheit Dr. Wolf Müller

Recovery-Systeme: Risiken & Grenzen (2) Nutzung vorhandener Infrastrukturen Trust Center als HK problematisch Trust Center verwaltet in der Regel keine sensitive Information, sondern gewährleistet Authentizität Anbindung des Recoveries an Zertifizierungsfunktion unsinnig. Wiederherstellung von Signierschlüsseln Unsinnig und sicherheitsgefährdend Authentizitätsnachweis nicht mehr gewährleistet Verlust des Signierschlüssels ist unproblematisch  Trennung der Schlüssel Verschlüsselung Signieren Dr. Wolf Müller

Recovery-Systeme: Risiken & Grenzen (3) Verwaltung der Recoveryinformationen Sichere Schlüsselspeicherung, Ausgabe nur an authentifizierte Berechtigte Für eigentlich sicher verwahrte Schlüssel (Chipkarte) zusätzliches Risiko R-Schlüssel werden ihrerseits wieder verschlüsselt abgelegt. Dann müssen Metaschlüssel sicher verwaltet werden. RI Speicherung Wenn gemeinsam mit Daten gespeichert, kann jeder Nutzer der Recoveryschlüssel besitzt und Zugriff auf diese Daten hat, diese ohne Beschränkungen entschlüsseln . Granularität der Recoveryschlüssel Message Recovery Nur ein Sitzungsschlüssel Key Recovery Privater Schlüssel Preisgegeben, damit auch alle verschlüsselt ausgetauschten Sitzungsschlüssel (außer Diffie-Hellmann ) Dr. Wolf Müller

Fazit: Recoverysysteme Im kommerziellen Umfeld Sinnvoll für Speicherschlüssel (Datensicherheit, Verfügbarkeit) Unsinnig für Sitzungsschlüssel Sicherheitsgefährdend für Signierschlüssel Mit Vielzahl von Sicherheitsrisiken verbunden Flächendeckende, globale Schlüsselhinterlegung Nicht beherrschbare Systeme Risiken À Nutzen Dr. Wolf Müller