 |
|
|
|
|
||||||||
 |
||||||||||||
|
||||||||||||
 |
||||||||||||
|
|
|
|
|
|||
50 Prozent der Anwender vertrauen deutschen Security Produkten Key Recovery verunsichert die Anwender Um die Interessen der Strafverfolgung und des Staatsschutzes
zu berücksichtigen, wünschen sich staatliche Institutionen Nachschlüssel zu verschlüsselten Internet-Daten. Viele Anwender befürchten, dass hierzu Key-Recovery-Verfahren eingesetzt werden und vertrauliche Daten in die
falschen Hände gelangen können. Von Klaus Eppele Nach Jahren des strikten Exportverbots kryptographischer Produkte mit Schlüssellängen
über 40 Bit hat das US-Handelsministeriums im letzten Jahr eine Lockerung der amerikanischen Exportbestimmungen für Europa angekündigt. Seit dieser Zeit dürfen Verschlüsselungsprodukte mit einer Schlüssellänge bis zu 56
Bit und Schlüsselmanagementsysteme mit Schlüssellängen bis zu 512 Bit nach Europa exportiert werden. Produkte mit starker Verschlüsselung (Schlüssel größer 56 Bit) erhalten die Exportgenehmigung „after a technical
review“. Kritische Anwender befürchten, dass dieser „technical review“ nur dazu da ist, das Vorhandensein von Key Recovery Mechanismen zu prüfen, die es den Geheimdiensten ermöglichen, auch verschlüsselte Nachrichten
mitzulesen. Was ist Key Recovery? Unter Key Recovery versteht man Techniken, um einen Schlüssel wiederzugewinnen. Dies erreicht man durch einfaches Hinterlegen einer Kopie des Schlüssels (key
escrow) oder durch Informationen, die den verschlüsselten Daten beigefügt werden. Ein simples Konzept ist das Verschlüsseln des Sitzungsschlüssels, mit dem die Kommunikation zwischen zwei Partnern gesichert wird, mit
dem öffentlichen Schlüssel eines sogenannten Key Recovery Agents. Ein Key Recovery Agent ist eine Organisation, die mitwirkt, Schlüssel oder Daten bei Vorlage einer richterlichen Verfügung zu regenerieren. Falls
notwendig kann der ausschließlich den Kommunikationspartnern bekannte Sitzungsschlüssel, der den Daten in verschlüsselter Form beigegeben ist, vom Key Recovery Agenten mit dessen privaten Schlüssel wiedergewonnen werden.
Bild: Der Sitzungsschlüsel (orange) wird mit dem nur dem Key Recovery Agent bekannten grünen Schlüssel chiffriert und mit dem Datenpaket übertragen. Der Key Recovery Agent kann nun den Sitzungsschlüssel (orange) regenerieren und damit die vertraulichen Nachrichten entschlüsseln und mitlesen. In den letzten Jahren wurden viele Key Recovery Mechanismen entwickelt. Alle großen
Hersteller haben sich intensiv mit diesem Thema beschäftigt und zum Teil entsprechende Verfahren implementiert. Es kommen immer wieder Gerüchte auf, die besagen, dass manche
amerikanischen Hersteller bei Verwendung langer Schlüssel eine bestimmte Anzahl von Bit hinterlegen. Andere Gerüchte sprechen davon, dass die höherwertigen Bit langer Schlüssel
mit Nullen oder Einsen aufgefüllt werden oder dass man andere Teilschlüssel verwendet, die leicht zu dechiffrieren sind. Weiterhin wird gemutmaßt, dass in gewissen Produkten die
Zufallszahlen, die für die Kryptographie eingesetzt werden, nicht ganz zufällig sind. Institutionen wie die NSA (National Security Agency) könnten in so einem Fall mittels
Brute-Force-Attacken den Schlüssel herausfinden, weil sie nicht den kompletten Zahlenraum, sondern nur eine Teilmenge davon ausprobieren müssten, um einen Schlüssel zu knacken.
Viele Fragen sind noch offen Mehrere Staaten würden es gerne sehen, wenn man sich weltweit auf eine Key Recovery Strategie einigen könnte. So könnte man alle Daten verschlüsseln und vor unauthorisierten
Hackern schützen. Gleichzeitig könnte man - beispielsweise bei Verdacht auf kriminelle Machenschaften - nach einem richterlichen Beschluss auf die verschlüsselten Nachrichten
mittels hinterlegten Schlüssen oder anderen Key Recovery Mechanismen zugreifen. Bevor diese Vision Wirklichkeit werden kann, sind noch viele Fragen zu beantworten.
Zudem hat das Key Recovery Konzept ganz offensichtlich eine technische Schwäche. Kriminelle Organisationen könnten Daten zwei- oder mehrfach verschlüsseln, was die
Strafverfolgungsbehörden erst nach der Entschlüsselung bemerken würden. Weiterhin ist es auch möglich, geheime Nachrichten mittels Steganographie in anderen, unauffälligen Dateien
zu verstecken. Wer dies nicht weiß, kann möglicherweise auch nach einer Entschlüsselung nicht erkennen, dass sich geheime Nachrichten in den Daten verbergen. Führen allein diese
Aspekte nicht die gesamte Key Recovery Diskussion ad absurdum? Security Made in Germany Aufgrund dieser Unsicherheiten greifen deutsche Anwender gerne zu deutschen Produkten,
wenn es um das Thema IT-Security geht. Nach einer vom Bundesministerium für Wirtschaft beauftragten Studie, die im Mai 2000 vom Wissenschaftlichen Institut für
Kommunikationsdienste (WIK) und der Gesellschaft für Mathematik und Datenverarbeitung (GMD) veröffentlicht wurde, liegt der Marktanteil deutscher Securtiy-Unternehmen an der
deutschen Krypto-Wirtschaft bei derzeit 50 Prozent. Amerikanische Produkte genießen gerade einmal das Vertrauen von 25 Prozent der deutschen Anwender.
Stellvertretend für die deutschen Bestrebungen in diesem Bereich sei hier auf die Firma CONWARE Netzpartner GmbH verwiesen. Das Karlsruher Security-Unternehmen vereint unter dem Markennamen SecuWare
aufeinander abgestimmte Produkte, Lösungen und Dienstleistungen zum Aufbau und Betrieb sicherer Netze. SecuWare gliedert sich in die drei Bereiche SecuStructure, SecuAccess und SecuControl.
SecuStructure realisiert eine sichere Netzinfrastruktur, SecuAccess sichert Datenübertragung und Netzzugang und SecuControl
sorgt für die sichere Verteilung, Ablage und Organisation von Daten. Die CONWARE-Produke VPNswitch, VPNgateway und VPNclient zum Aufbau sicherer virtueller privater Netze arbeiten
alle mit starker Verschlüsselung ohne Schlüsselhinterlegung.
Autor:
improve Erschienen in CD Sicherheitsmanagement 02/01, Seiten 98 - 101.
|
|||
