27. Workshop Kryptografie
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder wird durch eine Reihe von Arbeitskreisen unterstützt. Die Arbeitskreise stellen den Informationsaustausch zwischen den Datenschutzbeauftragten sicher und bereiten Entschließungen der Konferenz vor. Der AK-Technik, unter dem Vorsitz des Landesbeauftragten für den Datenschutz Mecklenburg-Vorpommern, bearbeitet den Bereich der technischen und organisatorischen Fragen des Datenschutzes. Zu speziellen Themen werden Workshops abgehalten.
Im letzten Jahr wurde in Wiesbaden ein Workshop zu Teilaspekten der Kryptografie durchgeführt, an dem Vertreter des Bundesamtes für Sicherheit in der Informationstechnik (BSI), des Bundesministeriums des Innern sowie aus Wissenschaft und Wirtschaft teilnahmen.
Eine allgemeine Darstellung zu Aspekten der Datensicherheit in offenen Kommunikationsnetzen hatte ich im 22. Tätigkeitsbericht gegeben (Ziff. 21.1). Bei dieser Gelegenheit muß ich auf einen Druckfehler hinweisen. Unter dem Punkt 21.1.2.4 befindet sich eine Tabelle, der die Zuordnung zwischen Sicherheitsdiensten und Sicherheitsmechanismen zu entnehmen ist. In der ersten Zeile muß zu dem Sicherheitsmechanismus "Verschlüsselung" bei "Vertraulichkeit" ein "X" eingefügt werden. Auf dem Workshop wurden einige der im 22. Tätigkeitsbericht angeführten Punkte vertieft behandelt; insofern ist dieses Kapitel ein Bilanzbeitrag, auf dessen Informationen ich mich wegen der gegebenen Aktualität an dieser Stelle beziehe.
Die in dem Workshop behandelten Themen
lassen sich mehreren Blöcken zuordnen:
- Verschlüsselungsverfahren
- Publikation von Verschlüsselungsverfahren
- Neue Entwicklungen in der elektronischen
Kommunikation.
Bei den folgenden Informationen handelt es sich, soweit nicht besonders vermerkt, um Aussagen der Experten, die noch nicht bewertet sind.
27.1
Verschlüsselungsverfahren
(vgl. 22. Tätigkeitsbericht, Ziff. 21.1.3.1)
27.1.1
Sicherheit von Verschlüsselungsverfahren
Die Diskussion über die Sicherheit von Verschlüsselungsverfahren beschränkt sich allzuoft auf die mathematischen Algorithmen. Die konkrete Einbettung der Verschlüsselungsverfahren in das technische System oder ein angemessenes Schlüssel-Management sind aber zumindest ebenso wichtig. Das fängt an bei den Zufallszahlengeneratoren und hört auf bei der Frage nach der benötigten Verschlüsselungsgeschwindigkeit. Neben der Güte eines Algorithmus sind dies entscheidende Punkte, die über die Wirksamkeit einer Verschlüsselung entscheiden.
Wenn im Datenschutz hohe Sicherheit gewollt
wird, kann man diese nach Meinung von
Experten erreichen durch
- Einsatz des DES bzw. Triple-DES,
- Zertifizierung des Produkts durch das BSI
bezüglich der anderen Sicherheitsaspekte
und
- ein eigenes Schlüsselmanagement.
27.1.2
DES
(vgl. 22. Tätigkeitsbericht,
Ziff. 21.1.3.1.1)
Ende der 70er Jahre wurde der DES (Data Encryption Standard) für den nicht-VS-Bereich publiziert. Dabei handelt es sich um einen symmetrischen Verschlüsselungsalgorithmus. Er litt unter dem Makel, daß die NSA (National Security Agency) in die Entwicklung involviert war. So wurde aus dem ursprünglichen 64 Bit Schlüssel ein 56 Bit Schlüssel. Es wurde die Vermutung geäußert, damit sei es staatlichen Stellen möglich, das Verfahren zu brechen. Die öffentliche Debatte hat in den folgenden Jahren aber die Güte des Verfahrens bestätigt. Abgesehen von der Tatsache, daß die Schlüssellänge mit 56 Bit außerordentlich klein ist, handelt es sich um ein sehr gutes Chiffrierverfahren.
Die Schlüssellänge von 56 Bit ist ein wichtiges Kriterium. Sie ist in vielen Bereichen nicht ausreichend, weil Hardware vorstellbar ist, die in absehbarer Zeit alle Schlüssel durchprobieren kann. Das Problem stellt sich insbesondere, wenn Informationen verschlüsselt werden, die über Jahre gegen unberechtigte Zugriffe geschützt sein müssen. In diesen Fällen ist das original DES-Verfahren nach Meinung von Experten obsolet. Es kann Anwendungen geben, bei denen es nicht vorstellbar ist, daß ein Angreifer den Aufwand treibt und deshalb der DES eingesetzt werden kann.
Aufgrund des Einwandes der geringen Schlüssellänge wird der DES in den letzten Jahren oft nicht in der Originalform, sondern als Triple-DES mit einer Schlüssellänge von 112 Bit angeboten. Nach den heutigen Erkenntnissen entzieht sich der Triple-DES dem Angriff durch Ausprobieren aller denkbaren Schlüssel. Der Einsatz des Triple-DES wird als nicht sicherheitskritisch angesehen, soweit die anderen Rahmenbedingungen wie adäquate Schlüsselverwaltung u. ä. gewährleistet sind.
27.1.3
RSA
(vgl. 22. Tätigkeitsbericht,
Ziff. 21.1.3.1.2)
Seit Ende der 70er Jahre wurden mehrere Public-Key-Verfahren vorgeschlagen. Es hat sich der RSA-Algorithmus (benannt nach den Forschern Rivest, Shamir und Adleman) durchgesetzt, der vor allem für Schlüsselaustauschverfahren eingesetzt wird. Ende der 70er Jahre wurde ein 512-Bit RSA als sicher angesehen. Auch heute ist im allgemeinen niemand in der Lage, ein 512-Bit RSA zu brechen. Die Entwicklung läßt dies aber in einigen Jahren möglich erscheinen. Deshalb ist in der Tendenz eine größere Modullänge zu fordern. Der Vorteil des RSA-Verfahrens ist dabei, daß die Modullänge beliebig aufgebläht werden kann. So ist ein 1024 Bit RSA bei sorgfältiger Wahl der Parameter, mit heutigen Methoden, nicht zu knacken.
27.1.4
Neue Entwicklungen
- IDEA
IDEA ist ein Blockchiffrieralgorithmus,
der vor fünf Jahren als Ersatz für den DES
entwickelt wurde. Die Schlüssellänge
beträgt 128 Bit. Es sind bisher keine
erfolgreichen Attacken bekannt.
- Skipjack
Skipjack ist ein
Blockchiffrieralgorithmus, der im
Clipperchip (s. u.) implementiert ist. Die
Schlüssellänge beträgt 80 Bit. Die
Autorenschaft liegt beim NSA. Er ist nicht
publiziert.
- DSS (Digital Signatur Standard; neuer
amerikanischer Standard)
Er eignet sich für digitale Signaturen,
aber nicht zum Verschlüsseln.
- SHA (Secure Hashing Algorithem; neuer
amerikanischer Standard)
Hashfunktionen sind ein kryptografischer
Baustein, der in praktisch allen
Kryptosystemen gebraucht wird.
- PGP
PGP (Pretty Good Privacy) ist ein mit
allen Quelltexten veröffentlichtes
Verschlüsselungsverfahren. Es nutzt das
RSA-Verfahren, wobei beliebige
Schlüssellängen gewählt werden können, und
das IDEA-Blockchiffrierverfahren. Die
Sitzungsschlüssel werden mit RSA
verschlüsselt, die Daten mit IDEA. PGP ist
für elektronische Unterschriften und für
e-mail geeignet. Es sollte nicht auf
UNIX-Rechnern im Multi-User-Betrieb
benutzt werden, da der Superuser die
verschlüsselt gespeicherten Paßwörter
ausspähen könnte.
Das Schlüsselmanagment von PGP ist
dezentral. Ein Teilnehmer erzeugt zuerst
ein Schlüsselpaar. Dann wird per e-mail
oder Diskette der öffentliche Schlüssel
versandt. Zur Authentisierung werden
kryptografische Checksummen erzeugt, die
parallel zur Schlüsselverteilung per
Telefon ausgetauscht werden können.
- MIC
Der Algorithmus MIC wurde vom BSI
entworfen. Die Schlüssellänge ist 120 Bit.
Es ist eine Verschlüsselungsroutine, die
unter MS-DOS zur lokalen Verschlüsselung
von Dateien nach Maßgabe eines über
Tastatur eingegebenen Schlüssels
vorgesehen ist. E-mail Dateien können
verschlüsselt werden.
Das Problem der Schlüsselverteilung
besteht weiterhin, da kein asymmetrisches
Schlüsselverteilverfahren vorgesehen ist.