- PDF Kostenfreier Download

Transkript

1 KryptographischerSchutzvon Datenbanken MichaelMiller DissertationzurErlangungdesGrades ammathematischeninstitutder DoktorderNaturwissenschaften Justus-Liebig-Universitat Gieen auseltvilleamrhein MichaelMiller Vorgelegtvon Gieen,1995

2 FURMEINEELTERN

3 Abstract Thisthesispertainstoquestionsinvolvingcryptography,inparticular,howcryptographyisusedinanattempttosecureandsafeguarddatabasesystems.Afterabriemationmaintainedinanencrypteddatabase.Theinformationfurnishedenablesthe introductiontothebasicconceptsofcryptography,fourmajorproblemsconcerning theprocessofencryptinginformationtobestoredinadatabasearebeingdiscussed: readertoretrieveinformationfromanencrypteddatabasefasterandeasier. tographyforaccesscontrolmechanismisdemonstrated,anddierentcryptographic Thesecondpartofthethesisreferstoaccesscontrolproblems.Theuseofcryp- Therstpartofthethesisdealswiththeproblemofsearchingandndinginfor- accesscontrolschemesareintroducedandexplained. protectingdataduringprocessingprocedures.theelementaryfactsaboutcryptographictransformations,whichpreservearithmeticoperationsandthebasicsofprivacy homomorphisms,aremadeunderstandable. Thethirdpartofthethesisappliestotheuseofcryptographyforthepurposeof informationstoredinthedatabasecanbeupdatedeasilyandsafely. exampleisgivenhowthiscanbedone,howthekeyscanbechanged,andhowthe theinformationcontainesinadatabaseandtoencryptitagainwithanewkey.an theencryptionanddecryptionkeysarebeingchanged.ittakesalongtimetodecrypt Thesubjectofthelastpartofthethesisdealswithquestionsraisedatthetime PalatinateandtheGermancentralvehicleregister,areattachedtothethesis. ThedescriptionsoftwoGermanregistries,towitthecancerregistryofRhinelandv

4 Vorwort zuverschlusseln,oderumgekehrt,einenchiriertentextzuentschlusseln.anfangs funktioniertendiesemaschinenreinmechanisch,spaterelektrischodersogarelektronisch.heutegibtesspeziellemikrochips,dereneinzigeaufgabeesist,schnellunnengebaut.diesemaschinenermoglichenes,einen"klartext\einfachundschnell KryptologieisteineWissenschaft,diesichmitdemVerschlusselngeheimerInformationenbeschaftigt.Schonim17.JahrhundertwurdenmechanischeChiriermaschi- zuverlassigdatenzuchirierenunddechirieren. wickeltwurdeundmitdemesnochwahrenddes2.weltkriegsgelang,diechirender diesogenannte"turing-bombe\,einverfahren,dasvonpolenundenglandernent- umchirenzubrechen.dasspektakularstebeispielfurerfolgreichekryptoanalyseist ieren,sohatmansichauchbemuht,analysemethodenundmaschinenzuentwickeln, Aberebenso,wiemansichbemuhte,immerbessereChiriermaschinenzukonstru- "ENIGMA\galt,nachMeinungderfuhrendenExperten,als"absolutsicher\!Eine sehraufschlureichedarstellunguberdieereignisserundumdieenigmandet manin[we82]oder[ho89]. DeutschenWehrmacht,erfolgreichzuentschlusseln.DiedeutscheChiriermaschine veroentlichtwurde.bisdahinwardiekryptologieeinedomanemilitarischerforschungseinrichtungenlitarischenanwendungen,auchzivileanwendungsgebietefurdiekryptologie.heute MitfortschreitenderEntwicklungderInformatikergabensich,auerweiterenmi- BemerkenswertistauchdieTatsache,dadasAnalyseverfahrenerstnach1967 zuspeichern.vieleproblemesindnochungelost. Methodengebraucht,umDatensichervordenAugenUnbefugterzuubertragenund derenbereicheneingesetzt.mitzunehmendervernetzungdercomputerwerdenneue werdenkryptographischemethodenimelektronischenzahlungsverkehrundvielenanschlusselnvondatenbankenauftreten.deneinstiegindiesesthemafandichbeim werden.dasregistermuausdatenschutzrechtlichengrundenvorunberechtigten personenbezogenedatenallerkrebskrankenpersoneninrheinland-pfalzgespeichert KrebsregisterMainz.DabeihandeltessichumeinRegister,indemmedizinischeund IndieserArbeitwerdeichhauptsachlichaufProblemeeingehen,diebeimVertenenthalten,sindzumBeispieldieDatenbankenderPolizei,Krankenhauser,Banken,Einwohnermeldeamter,Kfz-Zulassungsstellen,Verkehrszentralregister,Krankenvithodenverwendet.WeitereBeispielefurRegister,diepersonenidentizierendeDa- ZugrienundManipulationengeschutztwerden.DafurwerdenkryptographischeMe-

5 1Einleitung Inhaltsverzeichnis 1.1Motivation::::::::::::::::::::::::::::::::: 2GrundlagenderKryptologie 1.3Inhaltsubersicht:::::::::::::::::::::::::::::: 1.2KryptographiezumSchutzvonDatenbanken:::::::::::::: Einwegfunktionen:::::::::::::::::::::::::::::12 2.1SymmetrischeChirierverfahren:::::::::::::::::::::10 2.3AsymmetrischeVerfahren::::::::::::::::::::::::13 3GrundlagenuberDatenbanksysteme 2.4Zufallszahlen:::::::::::::::::::::::::::::::20 2.5Sicherheit:::::::::::::::::::::::::::::::::24 2.6Schwellwertschema::::::::::::::::::::::::::::29 3.3Speicherstrukturen::::::::::::::::::::::::::::38 3.2RelationaleDatenbanken:::::::::::::::::::::::::35 3.1GrundbegrieundDenitionen::::::::::::::::::::: VerwendungvonVerschlusselungsmodulen 4.3AufbewahrungderSchlussel:::::::::::::::::::::::46 4.2Chiriermethoden:::::::::::::::::::::::::::::44 4.1GrundlegendesPrinzip:::::::::::::::::::::::::: Angrismethoden 5.2SchutzdurchZugrissoftware::::::::::::::::::::::55 5.1StatistischeAbfragenundTracker-Angrie:::::::::::::::50 5.3AngribeikryptographischemSchutz::::::::::::::::::60 5.4AngriebeiDatenbankenmitVerschlusselungsmodul:::::::::64 49 ix

6 Kapitel1 Einleitung DadieDatenbestandegroerDatenbankeninvielenFalleneinensehrhohenWerthaben,istesnurnaturlich,damanversucht,solcheDatenzuschutzen.Indenletzten 1.1Motivation ThemaaufgegrienunddieunterschiedlichstenLosungsansatzeundVerfahrenprasentiert.Eshatsichgezeigt,daKryptographie,verbundenmitanderenMethoden,ein JahrzehntenwurdenzahlreicheAnsatzeverfolgtundMethodenentwickelt,umDatenvorVerlust,Zerstorung,VeranderungoderSpionagezuschutzen.AuchdieIdee, sehrwirkungsvollerschutzfurdatenbankenist.trotzdemistdasverschlusselnder Datenbankenkryptographischzuschutzen,istnichtneu.VieleAutorenhabendieses sichnegativaufdieperformanceundfunktionalitateinerdatenbankaus.nichtzuletztentstehenzusatzlichekostenbeiderinstallationundwartungderdatenbank. schutzen,istdashohemaansicherheit,daskryptographischemethodenmitsich bringen.bruceschneierhatdasindereinleitungseinesbuches"appliedcryptography\[sc94]wiefolgtbeschrieben: DasBestechendebeidemAnsatz,DatenbestandedurchVerschlusselungzu IfItakealetter,lockitinasafe,andhidethesafesomewhereinNewYork:::and thentellyoutoreadtheletter,that'snotsecurity.that'sobscurity.ontheother DatenbestandekeinehaugverwendeteStandardmethode,denndasChirierenwirkt Daswirktvielleichtubertrieben,besonderswennmananalldievermeintlichsicherenChiriermaschinenvergangenerZeitendenkt,diesichletztlichdochalsunsicher :::andyoustillcan'topenthesafeandreadtheletter,that'ssecurity. designspecicationsofthesafeandahundredidenticalsafeswiththecombinations sothatyouandtheworld'sbestsafecrackerscanstudythelockingmechanism hand,ifitakealetterandlockitinasafe,andthengiveyouthesafealongwiththe 1

7 schlusselnkonnenwieheute,aberwahrscheinlichwirddannauchdiegroe einerdurchschnittlichendatenbankumeinzehn-oderhundertfachesangestiegensein.schnellerechiriermethodenalleinewerdenalsonichtzueinerlosung VielleichtwirdmanineinigenJahrenzehnoderhundertmalsoschnellver- DielangeLebenszeitderDaten desproblemsfuhren. wendungenderkryptographie z.b.sicherungvonnachrichtenkanalen werdendieschlusselregelmaiggewechselt,umangriemitkompromittierten OftwerdenDatenfursehrlangeZeitaufbewahrt.Eskonntesein,daSchlussel, Paworterusw.imLaufedieserZeitkompromittiertwerden.BeianderenAn- Schlusselnzeitlichzubegrenzen. verschlusseltendatenbestandesverfugt,dievordemschlusselwechselgemacht den,dennesreichtnicht,einfachnurneueschlusselzuerzeugen.dergesamte BeieinerDatenbankistdieseVorgehensweisemitsehrvielAufwandverbunwendig.Auerdemnutztdasnichts,wennderAngreiferubereineKopiedes Datenbestandmu"umchiriert\werden,unddasistinderRegelsehrauf- ArbeitenmitchiriertenDatenbestanden schaft,sondernweildiedatenfurbestimmtearbeitengebrauchtwerdenund wurde. GroeDatenbestandeentsteheninderRegelnichtauseinerSammelleidenden\bestimmterDatensatzeineinemgroenDatenbestand.MitHilfeausge- verfugbarseinmussen.umdieverfugbarkeitzugewahrleisten,werdendatenbanksystemeeingesetzt. EinederwichtigstenFunktioneneinesDatenbanksystemsist"SuchenundnklugelterIndexstrukturenundentsprechendenAlgorithmenkannderDatenbestandinSekundenschnelledurchsuchtwerden.BeiderVerwendungphonetischer CodeskannmanauchnachDatensatzensuchen,diezwarnichtidentischzueiner fastwertlos. WerdendieDatenbestandeverschlusselt,sinddieherkommlichenSuchstrategien sehrgut,wennmanmitklartextdatenarbeitet. Vorgabesind,aberbestimmteAhnlichkeitenaufweisen.Dasallesfunktioniert Zugriskontrolle darfaufalledatenzugreifen.dieverteilungderrechte,werwelchedaten MehrerePersonenlegenihreDatenineinerDatenbankab,undnichtjeder EineDatenbankwirdinderRegelnichtvoneinereinzelnenPersonbenutzt. 3

8 WissenuberDatenbankenundKryptologiewiedergegeben.Diedortdargestellten Modelle,BegrieundMethodenwerdenindendarauolgendenKapitelnohneweitere Erklarungverwendet.WermitKryptologieundDatenbankenvertrautist,kanndiese /subsection*themendereinzelnenkapitel Kapitelunbeachtetlassenoder"diagonallesen\. DieArbeitbestehtauszehnKapiteln.IndenKapiteln2und3wirdgrundlegendes schlusselungsmodul\verwendet,daszwischenbetriebssystemunddatenspeicherin- DiesesKapitelwurdeeingefugt,umeineMethodezuprasentieren,diegeeignetist, kleinebismittleredatenbestandezusichern.dabeiwirdeinsogenanntes"ver- Kapitel4:VerwendungvonVerschlusselungsmodulen sichumeinepraktikablemethode,dieschnellundpreiswertimplementiertwerden systemvorgenommenwerden. nenteimhandelerhaltlichoderalskostenlosessoftwarepaketzuhaben.eshandelt kann.insbesonderemussenkeinegroerenanderungenameigentlichendatenbankstalliertwird.solcheverschlusselungsmodulesindalszusatzlichehardwarekompo- Kapitel5:Angrismethoden Sicherheitsanforderungenbestehen,istdieseLosungungeeignet. zermitdemgleichendatenbestandarbeiten.auchinfallen,wobesondersstrenge AllerdingshatdieseLosungauchNachteile,insbesonderewennmehrereBenut- Datenbankenaufzuzeigen. IndiesemKapitelwerdenAngrismethodenbeschrieben,alsomoglicheWege,um Kapitel6:SuchenundFinden vorgestelltenmethoden,sollendieschwachenbestimmterverschlusselungsartenfur unrechtmaigfremdedatenbestandezuverandernoderauszuspionieren.diehier Such-undSortieralgorithmenbenotigtwird. tenbankbetreen.daszentraleproblemdabeiistdievergleichsoperation,diefur EswerdenLosungsansatzediskutiert,diedasDurchsucheneinerverschlusseltenDareichesDurchsuchendeschiriertenDatenbestandeszuermoglichen.Naturlichdarf auchdervergleichzwischenkryptogrammenaussagekraftiggenugist,umeinerfolgtebeimdurchsuchendesdatenbestandsausgefuhrtwerden,wasuntragbareperformanceeinbuenverursacht.manversucht,daschirierverfahrensozugestalten,da UmdieDatenimKlartextformatzuvergleichen,mutenzuvieleDechirierschrit- 5

9 Kapitel9:Schlusselwechsel plikation()sind,sicherheitsluckenhaben.eswirdgezeigt,warumdassoist. dachiren,dieinvariantbezuglichderzweioperationenaddition(+)undmulti- einmaldurchgefuhrtwerdenmu,spatestenswennsichherausstellt,daeinschlussel kompromittiertwurde.eswarenaturlichschon,wennbeimumchirierenderdaten- DerSchlusselwechselisteineOperation,diewohlbeijederchiriertenDatenbank dendatenbankbetriebzuunterbrechen. bankkeineklartextealszwischenergebnisanfallen,dieeinangreifermitprotokollie- renkonnte.dannwareesnamlichmoglich,denschlusselwechseldurchzufuhren,ohne verschlusseltwurden. Kapitel10:ZusammenfassungundAusblick ImerstenTeildiesesletztenKapitelswerdendieinderArbeiterzieltenResultate EswirdeineLosungfurdenFallvorgestellt,dadieDatenmitdemRSA-Verfahren diemitdemthemaderarbeitinunmittelbaremzusammenhangstehen,diskutiert. zusammengefat.imzweitenteilwerdenweiterfuhrendeaspekteundoenefragen, gezogen. verschiedenenstellenderarbeitalsanwendungsbeispieloderzurmotivationheran- ImAnhangwerdenzweibevolkerungsbezogeneRegistervorgestellt:DasRheinland- PfalzischeKrebsregisterunddasVerkehrszentralregister.BeideRegisterwerdenan 7

10 Kapitel2 IndiesemKapitelwerdengrundlegendeVerfahrenundBegriederKryptologie GrundlagenderKryptologie Verfahrenvorgestellt,diemirimZusammenhangmitDatenbankenwichtigerscheinen. DieeinzelnenVerfahrenwerdenlediglichdurchihreEigenschaftenundLeistungen charakterisiert.dergrundlegendeaufbau,diekonstruktionsowiedertheoretische erlautert,diefurdasverstandnisderarbeitnotwendigsind.dabeihandeltsichnicht umeinesystematischeeinfuhrung.eswirdnureinekleineauswahlkryptographischer HintergrundwirdnurfurdasRSA-Verfahrenvorgestellt.GenauereInformationenzu denanderenverfahrenndetmaninderentsprechendenfachliteratur.sehrempfehlenswertsindzumbeispieldiefolgendenbucher: Buchberichtetwird. bekanntenverschlusselungstechniken,diebis1945entwickeltwurden,beschrieben werden.sehrinteressantsindauchdiehistorischenhintergrunde,uberdieindiesem TheCodebreakersvonD.Kahn[Ka67]isteinfaszinierenderKlassiker,indemalle HilfederBucherKryptologievonA.Beutelspacher[Be93]sowieDatenschutzund DatensicherheitvonK.Pommerening[Po91]informieren. AppliedCryptographyvonB.Schneier[Sc94]istjedemzuempfehlen,derKryptologieinirgendeinerFormanwendenwill.DasBuchgibtzufastjedemThemaAuskunft SehrempfehlenswertsindauchdiefolgendenBucher:[Ba93,BeKe91,De82, UberdieheutigenMoglichkeitenderKryptologiekannmansichsehrgutmit SePi89]. undenthaltreichlichhinweiseaufweiterfuhrendespezialliteratur. 9

11 NaturlichgiltdieGleichungm=DESk(DESk(m))furallemoglichenKlartextblocke m(message)bezeichnetdenklartext;c(ciphertext)bezeichnetdengeheimtextund k(key)denschlussel.stattdes(k;)wirdgelegentlichauchdesk()geschrieben. m=des(k;c),wobeides()diever-bzw.entschlusselungsfunktionbezeichnet; ImweiterenwirdfolgendeNotationverwendet:c=DES(k;m)und m.dienotationfurverschlusselungmitdemidea-verfahrenoderanderensymmetrischenblockchirenistanalog. DasistdieeinfachsteMoglichkeit,mansagt:DasChirierverfahrenwirdimECB- oder128bitist? Modus(ElectronicCodeBook)verwendet.WennbeiderZerlegungdesKlartextes ManzerlegtdenKlartextinkleineBlockeundverschlusseltdiesenacheinander. Wasmachtman,wenneinKlartextverschlusseltwerdenmu,dergroerals64 Modus(CipherBlockChaining)verwenden. zufalligzweigleicheklartextblockeentstehen,wasgarnichtsounwahrscheinlichist, schlieendenchirierenwirdjeweilsderi-teklartextblockmimitdemvorhergehen- dengeheimtextblockci 1vorderVerschlusselungbinaraddiert. ZunachstwirdderKlartextmindieBlockem1;m2;:::;mnzerlegt.Beiman- erwunscht.umdieseneektzuverhindern,kannmandaschirierverfahrenimcbc- dannsindauchdieentsprechendengeheimtextblockegleich.dasistabernichtimmer DieDechirierungfunktioniertdannnachfolgenderVorschrift: c0:=0 ci:=desk(mici 1) Initialisierungsblock(beliebig); furi=1;:::;n: LiteraturwerdendieseunterschiedlichenAnwendungsartenmeistensimZusammenhangmitdemDES-Verfahrenerwahnt.Abernaturlichkannmansieauchbeiallen EsgibtnochweitereModi,indenenmanBlockchirenbetreibenkann.Inder mi:=ci 1DESk(ci) furi=n;:::;1: anderenblockchirierverfahreneinsetzen.11

12 dasistdersogenannteoentlicheschlusselp(publickey).derzweiteschlusselsist schenverfahrenzweistatteinemschlussel.dereineschlusselistjedemzuganglich, ImGegensatzzudensymmetrischenKryptoverfahrenverwendetmanbeiasymmetri- 2.3AsymmetrischeVerfahren PAbzw.PB.DerIndexkennzeichnetdenBesitzer,AfurAliceundBfurBob. debesitzeneinengeheimenschlusselsabzw.sbsowieeinenoentlichenschlussel Beispielendemonstriert.DieKommunikationspartnerseien"Alice\und"Bob\.BeigendenwerdendiezweiStandardanwendungenasymmetrischerKryptoverfahrenan privat(secret)undwirdvonseinemeigentumergeheimgehalten(privatekey).imfol- gelten1:sa(pa())=pa(sa())=()undsb(pb())=pb(sb())=(): PA();PB();SA();SB()bezeichnet.Wirgehendavonaus,dafolgendeGleichungen DieentsprechendenFunktionenzumVerschlusselnundEntschlusselnwerdenmit vorgehen: 1.BobbesorgtsichdenoentlichenSchlusselPAvonAliceundchiriertdamit WillBobeinegeheimeNachrichtmanAlicesenden,wirderfolgendermaen 2.BobkanndenGeheimtextcnunubereineoentlicheLeitunganAlicesenden. dienachrichtm: Erkannsichersein,dacnurvonAliceinterpretiertwerdenkann,damanzum c:=pa(m): 3.Aliceberechnetm=SA(c): DerVorteilasymmetrischenChirierensgegenuberdersymmetrischenChirie- EntschlusselndengeheimenSchlusselSAbenotigt. sobenotigtemann(n 1) paarebenotigt.wolltemandiekommunikationaufsymmetrischenchirenaufbauen, rungliegtklaraufderhand.wennnpartnerkommunizieren,werdennurnschlussel- digitalensignaturgeeignetist.dasistbeimrsa-verfahrenderfall.abernichtalleasymmetrischen gewahlt,weilimrahmendieserarbeitnurdasrsa-verfahrenbetrachtetwird. VerfahrenkonnengleichzeitigfurbeideAnwendungeneingesetztwerden.DieDenitionwurdeso 1HierwirdeinVerfahrendeniert,dasgleichzeitigzurasymmetrischenVerschlusselungundzur 2Schlussel. 13

13 ggt(n;k): Z: N: ab(modn),nj(a b),(9k2z)a=kn+b jmodn: grotergemeinsamerteilervonnundk NaturlicheZahlen:f1,2,3,:::g derganzzahligendivisionvonjdurchnergibt. GanzeZahlen:f:::,-2,-1,0,1,2,:::g kleinsternichtnegativerdivisionsrest,dersichbei ZunachstwerdendiegrundlegendenAlgorithmenzumRSA-Verfahrenbeschrieben. DenitiondesRSA-Verfahrens DieAlgorithmenwerdenallerdingsnichtbisauf"Programmiersprachenniveau\aus- Schlusselerzeugung: chendenfachliteratur,z.b.[cole89],nachgelesenwerden. gefuhrt.ezientespotenziereninz/nz,primzahltestsusw.konneninderentspre- DieSchlusselwerdennachderfolgendenVorschriftberechnet: 1.WahlezufalligzweigroePrimzahlenpundq(etwa100bis200Dezimalstellen). 2.Berechnen:=pq. 3.Ermittlenun(n)(EulerscheFunktion).DapundqPrimzahlensind,gilt 5.BerechnedalsdasmultiplikativeInversezuemodulo(n). 4.WahleeinenaturlicheZahle2f1;:::;ng,diezu(n)teilerfremdist. (n)=(p 1)(q 1). 6.DiebeidenSchlusselwerdendannfolgendermaenfestgelegt: Alsoed1(mod(n)). S:=(d;n)(privatekey) P:=(e;n)(publickey) 15

14 DapPrimzahlist,gilt(p)=p 1.MitdemSatzvonEulerfolgtdann: Analogdazukannmanzeigen,damedm(modq).Esgeltenalsodiefolgenden Gleichungen: medm1k(q 1)(modp) (modp): Dan=pqistundp;qPrimzahlensind,giltauch: medm(modq); medm(modp): DamitistdieBehauptung(2.3)bewiesen. medm(modn): daraus,daesauchinabsehbarerzukunftniemandemgelingenwird,einenalgorithmuszumezientenfaktorisierenanzugeben.diefolgendenabschnittesollennun eineneindruckvermitteln,wieesumdiesicherheitdesrsa-verfahrenssteht. Faktorisierungvonn UmdiegeheimeZahlddesprivatenSchlussels(d;n)zuberechnen,kenntmanim groezahlenezientzufaktorisieren.dieverfechterdesrsa-verfahrensschlieen Thema.Imwesentlichenstutztmansichdarauf,daesnochniemandemgelungenist, DieSicherheitdesRSA-VerfahrensistseitseinerVeroentlichungeinheidiskutiertes berechnen,unddamitistesauchmoglich,dzubestimmen. (e;n)ist. wesentlichennureinemethode.dazubenotigtmann,wasbeidenmeistenanwendungendesrsa-verfahrensgegebenist,danauchteildesoentlichenschlussels Gelingtesnun,nzufaktorisieren,alsopundqzuberechnen,kannman(n) 17

15 naturlichsicherstellen,daesgenugendprimzahlendiesergroegibt.essollten sovieleprimzahlenexistieren,daesfureinenangreiferunmoglichist,allediese ZurSchlusselerzeugungwerdenzweigroePrimzahlenpundqbenotigt.Manmu Primzahldichte PrimzahlenistabgesichertdurchdenPrimzahlsatz,derbesagt,da Primzahlenzuerzeugenundsopundqbzw.(n)zunden.DieExistenzgroer giltalso: ist,wobei(n)dieanzahlderprimzahlenkleinerodergleichnist.furgroen n!1(n) lim (n)n n=ln(n)=1 Danachgibtesetwa1098Primzahlen,die100Dezimalstellengrosind. AngridurchIteration ln(n) den.wirwahlen: DieseArtdesAngrissollzunachstaneinemeinfachenBeispielveranschaulichtwer- hintereinanderangewendet: DerKlartextmsoll518sein.DerVerschlusselungsalgorithmuswirdnunmehrfach p=47;q=59;e=17;n=2773;(n)=2668;d=157 c=51817mod2773=1787 Nach4-facherAnwendungdesVerschlusselungsalgorithmussindwiralsowieder c3=89417mod2773=1364 c4=136417mod2773=518 c2=178717mod2773=894 beimklartext!daskleinstekmitck=mheititerationsexponentvonm.umden folgendenbedingungengenugen: Iterationsexponentenfurdiemeistenmmoglichstgrozuhalten,solltenpundqden DieseBedingungenwerdenoptimalerfullt,wennpundqsicherePrimzahlensind. ggt(p 1;q 1) istsehrklein enthaltengroeprimfaktoren 19

16 Klartextbits Schlusselbits Geheimtextbits gelmitsogenannten"pseudo-zufallsbits\.dabeihandeltessichumbitfolgen,dievon DadasErzeugenechterZufallsbitssehrmuhsamist,begnugtmansichinderRe- Abbildung2.2:Vernam-Chire einemalgorithmuserzeugtwerden.daszielistes,denalgorithmussozugestalten, Zufallsbitfolgenunterscheiden.Auerdemsollesunmoglichsein,TeilederZufallsbitfolgevorherzusagen,wennmandieQuellederZufallsbits,alsodenAlgorithmusoder dasichdieerzeugtenbitfolgeninihrenstatistischeneigenschaftennichtvonechten LinearerKongruenzgenerator bestimmteparameterdesalgorithmus,nichtkennt. BeimlinearenKongruenzgeneratorwerdenZufallszahlennachfolgenderFormelberechnet: werden;esempehltsichaber,diewertesozuwahlen,dazufallsfolgenmitgeringerperiodizitatvermiedenwerden.furvielekryptographischeanwendungenistder DieParametera;b;nundderStartwertx0konnenprinzipiellbeliebiggewahlt xi+1=(axi+b)modn: ohnekenntnisderparametervorherzusagen,wennmanwenigeaufeinanderfolgende LKGnurbedingtgeeignet,daesmoglichist,dieerzeugtenZufallszahlenfolgeauch Folgengliederkennt. mitderzufallsbitsproduziertwerden.21 DerVorteildiesesZufallszahlengeneratorsistdierelativhoheGeschwindigkeit,

17 diechirierfunktionistundm1;m2beliebigeklartextblockesind,danngilt: einsetzen,dienichtdeterministischsind,wiez.b.vernam-chireoderdaselgamal nichtimmererwunscht.naturlichkonntemaninsolchenfallenchirierverfahren BeiderVerschlusselungeinzelnerDatensatzeeinerDatenbankistdieseEigenschaft (m1=m2),(e(m1)=e(m2)): Verfahren[ElG85,SePi89].AbermitHilfevonZufallszahlenistesauchmoglich,mit deterministischenchirierverfahrenklartextenichtdeterministischzuverschlusseln. einklartext: Konkatenationvonmundr: SeiE()einedeterministischeVerschlusselungsfunktion,reineZufallszahlundm mittelse()verschlusseltwerden. SeiE()einBlockverschlusselungsverfahrenundm1;m2;:::;mleineZerlegung einezufallszahlrizugefugt.diesoentstandenenblocke(mikri)konnendann desklartextesminblockegeeigneterlange.jedemderklartextblockemiwird zahlenimbinarformatist. DieWahrscheinlichkeitdafur,dazweiidentischeKlartextblockezuidentischen Kryptogrammenverarbeitetwerden,istdann1 ci:=e(mikri) furi=1;:::;l: zwaralsstartwertc0=r. VerwendetmanzumChiriereneinensymmetrischenAlgorithmusE()im CBC-Modus,dannreichtes,wennmaneineZufallszahlrhinzuzufugt,und 2n,wobeindieLangederZufalls- c ci:=e(mici 1): 0:=r (Startwert); Additionvonmundr: EineweitereMoglichkeitnichtdeterministischzuverschlusselnbestehtdarin, mundrbitweisezuaddierenunddasresultatanschlieendmittelse()zu 23

18 Prinzip3: GrundlegendfurdieBetrachtungkryptographischerVerfahrenistdasKerckhos- Wennesdarumgeht,dieMoglichkeitenpotentiellerAngreiferzuklassizieren,hates sichbewahrt,dreigrundlegendeszenarienzuunterscheiden: dieschlusselsindgeheim. davonausgehen,dademgegnerderverwendetealgorithmusbekanntist,lediglich BeiderBeurteilungderSicherheiteineskryptographischenVerfahrensmuman Geheimtext-Attacke(knownciphertextattack) derstehen. Fall.SelbstverstandlichsolltenguteChirierverfahrenGeheimtext-AttackenwimengenfureineAnalyseverfugbarsind.BeiDatenbankenistdasmeistensder BeidieserAttackegehtmandavonaus,dademAngreifergroeGeheimtext- Geheimtext-Klartext-Attacke(knownplaintextattack) Angreiferkennt.DasklassischeBeispielist:"SehrgeehrteDamen,sehrgeehrte Herren\und"mitfreundlichenGruen\amAnfangbzw.EndeeinesBriefes. IndiesemFallgehtmandavonaus,daderGegnerzueinigenGeheimtextenden sehrrealistischist,dennoftgibtesstandardisierteteileimklartext,dieder entsprechendenklartextkennt.auserfahrungweiman,dadieseannahme Klartext-Geheimtext-Attacke(chosenplaintextattack) DemAngreifergelingtes,zuausgewahltenKlartextendiedazugehorigenGeteunddazugehorigerGeheimtexteversuchtderAngreiferdann,Informationeheimtextezuermitteln.DurchdenVergleichbesondersstrukturierterKlartex- WiesiehtesnunausmitderSicherheitderChirieralgorithmen,dieheuteublicherweiseverwendetwerden? Klartextunterzuschieben.InvielenFallenistdasgarnichtsoschwer. Schwierigkeitbestehtdarin,demChirierereinenvomAngreiferausgewahlten uberdenschlusselzuermitteln.auchdieserangriistnichtunrealistisch.die tenchirieralgorithmenzumverschlusselnganzerdatenbankenundfurvieleandere dendennachteil:derschlusselmumindestensebensogrowiederklartextsein, Chiregehortdazu.Leiderhabendiese"perfekten\Chirierverfahreneinenentschei- undeinschlusseldarfnichtmehrmalsverwendetwerden.damitscheidendieperfek- EsgibtAlgorithmen,derenSicherheitmathematischnachweisbarist.DieVernam- Anwendungenaus. 3AugusteKerckhos( ),amischerProfessor 25

19 ist,solltendiesegrundlegendenalgorithmensoeingesetztwerden,dasieleichtgegenandere,ahnlicheverfahrenaustauschbarsind,insbesonderefurdenfall,dasicmetrischechirierverfahren,dasdes-verfahrenalseinvertreterfursymmetrische undderbbs-generatorzumerzeugenvonzufallszahlenverwendet.soweitesmoglich Verfahren,MD5undmodularesPotenzierenalsVertreterfurEinwegverschlusselung mechanismenfurdatenbankenwirddasrsa-verfahrenalseinvertreterfurasymtendaten.wieleichtmanbeideranwendungvonkryptographischenverfahredung"sicherer\algorithmengarantiertnamlichnichtdiesicherheitderverschlussel- Fehlermachenkann,zeigtdasfolgendeBeispiel: irgendwanneinesderverwendetenverfahrenalsunsichererweist. DamitsindjedochnochlangstnichtalleSicherheitsfragengeklart.DieVerwen- derbeidenschlusselanpersonenihresvertrauensweitergebenundsoschreib-bzw. friertwerden.jederbenutzerbekommtvomsystemadministratorzweischlusselaus- gehandigt:einenschlusselzumchirierenderdaten(schreibschlussel)undeinen WirbetrachteneineDatenbank,derenDatensatzemitdemRSA-Verfahrenchif- SchlusselzumLesenderDaten(Leseschlussel).DieDatenbankbenutzerkonneneinen Leserechtefur"ihre\Datenverteilen.DieDatenbankwirdvonkPersonenbenutzt unddieschlusselverteilungseiwiefolgt: Benutzer1 Benutzer2 Benutzeri SchreibschlusselLeseschlussel (e1;n) (e2;n) (d1;n). (ei;n). (d2;n) (di;n) Esfalltauf,daalleBenutzerdengleichenModulnverwenden.Daswurdevom Benutzerk (ek;n) (dk;n). bekanntgegebenwird. wurdenichtgefordert,dangeheimist.imgegenteil,nisteinegroe,dieoentlich desverschlusselungsmechanismusvereinfacht.furdiesicherheitdesrsa-verfahrens Systemadministratorsoeingerichtet,weilesdieImplementierungundBenutzung nutzerdengleichenmodulnverwenden.27 TrotzdemwirddergesamteVerschlusselungsmechanismusunsicher,wennalleBe-

20 2.6Schwellwertschema DieSicherheiteinerkryptographischgeschutztenDatenbankhangtnichtnurvonder QualitatderVerschlusselungsmechanismenab.EinwesentlicherFaktoristauchdie tigenschlusselssehreinfachist,mumandaraufzuachten,dadieserschlusselnicht SicherheitderverwendetenSchlussel.DaderZugriaufdieDatenmitHilfedesrich- infalschehandegerat.eswareauchsehrunangenehm,wenneinschlusselverlorengeht,weildannniemandmehrdieverschlusseltenklartextdatenrekonstruierenkann. BeiderAufbewahrungvonSchlusselnmumanalsosehrsorgfaltigsein. Wennmanbefurchtet,daeinSchlusselverlorengeht,bietetessichan,Kopien werdenmu.wenndieeinzelnenkopienvonverschiedenenpersonenaufbewahrtwerden,steigtauchdiewahrscheinlichkeit,daderschlusselvoneinem DashataberzurFolge,daeinerhohterAufwandbetriebenwerdenmu,um dieschlusselvordiebstahlzuschutzen,dajedekopiegleichermaengeschutzt desschlusselanzufertigenunddieseanverschiedenenortenzuverwahren. Wennmanvorrangigdaraninteressiertist,einenSchlusselgegenDiebstahloder Verratzuschutzen,konntemandenSchlusselaufteilenunddieEinzelteileverschiedenenPersonenanvertrauen.WennsicheinVerraterunterdiesenPersonen "schwarzenschaf\verratenwird. AndererseitssteigtdieWahrscheinlichkeit,daeinTeildesSchlusselsverlorengeht,undsomitkeinZugriaufdieDatenmehrmoglichist. bendet,istdasnichtschlimm,danureinteildesschlusselsbekanntwird. zurekonstruieren.mitwenigeralstteilschlusselnistesunmoglich,kzubestimmen. geteilt.fernerwirdeinschwellwert(threshold)t(2tn)festgelegt. vereinen.dabeiwirdderschlusselkinnteilschlussel(shadows)s1;s2;:::;snauf- WennmindestenstderTeilschlusselzusammengetragenwerden,istesmoglich,K EinSchwellwertschemabietetdieMoglichkeit,dieVorteilebeiderMethodenzu EinderartigesSystemwird(t;n)-Schwellwertschemagenannt. 29

21 sindhierdiearbeiten[be89,beve86,bewe93]und[ke91,ne93]zuerwahnen. GeometriealsexibleundanschaulicheSprachebewahrt.EsgibtzahlreichegeometrischeKonstruktionenfurverschiedeneArtenvonZugrisstrukturen.Insbesondere 31

22 Kapitel3 Datenbanksysteme Grundlagenuber betrachtet,dadiesesmodellsehrausgereiftist,undverglichenmitanderendatenbankmodellenmitabstanddiemeistenanwendungsgebietegefundenhat.umsich IndiesemKapitelwirdeinekurzeEinfuhrungzumThemaDatenbankengegeben. Arbeitnotwendigsind.DabeiwerdenausschlielichrelationaleDatenbanksysteme EswerdeneinigeBegrieundGrundlagenvorgestellt,diefurdasVerstandnisder einentiefereneinblickindieweltderdatenbankenzuverschaen,wirdhieraufdie zahlreichenfachbucher,dieeszudiesemthemagibt,verwiesen. auchuberdiversedatenbankinterna,wierecovery,designprinzipienundsql. vermittelteinenuberblickdergrundlagendesrelationalendatenbankmodells,aber geschrieben istesauchfurleserohnebesonderevorkenntnissegeeignet.dasbuch mannsauer[sa91].alseinfuhrendeliteraturuberdatenbanken leichtverstandlich SehrempfehlenswertistzumBeispieldasBuchRelationaleDatenbankenvonHerr- ausfuhrlichalles,wasmanuberdatenbankenwissenmu,wennmantieferindiesedisziplineindringenwill.fernerenthaltendiebuchersehrvielekommentierte sind"best-seller\derdatenbankliteratur.diebucherbeschreibenluckenlosund AnIntroductiontoDatabaseSystems,Vol.1undVol.2vonC.J.Date[Da90,Da85] Literaturhinweise,sodamaneinengutenStartpunktfurweiterfuhrendeLiteraturrecherchenhat. wiezumbeispiel[co70,co86]und[co90]. SehraufschlureichsindauchdiezahlreicheVeroentlichungenvonE.F.Codd, 33

23 Benutzer Anwendungs- programm Betriebssystem Controller speicher Daten- DBMS berucksichtigen,besonders,wennbenutzerdiemoglichkeithaben,dasspeichermediumzustehlenundaneinemfremden,speziellkonguriertencomputerzubetreiben. AuchderdirekteDatenaustauschzwischenBenutzerundSpeichermediumistzu Abbildung3.1:DatenundDBMS KennzeichnendfurrelationaleDatenbankenist,dadiegespeichertenInformationen 3.2RelationaleDatenbanken spaterbeliebigandern. benanntwerden.dieanzahlderzeilen(datensatze)sowiedereninhaltekonnensich bellewirdfestvorgegeben,wievielespalten(attribute)dietabellehatundwiediese DatenbankhateinenNamen,mitdemsieidentiziertwird.BeimAnlegeneinerTa- stetsintabellen(relationen)verwaltetundprasentiertwerden.jedetabelleineiner isteinevomdatenbankherstellerunabhangige,standardisiertesprache,umdatenbestandeinrelationalendatenbankenzubearbeiten. UmdenDatenbestandzubearbeitenundzupegen,bietetdasDBMSeineMenge tenbestandunteranderemviasqlzubearbeiten.sql(structuredquerylanguage) vonoperationen.diemeistenrelationalendatenbanksystemeermoglichenes,dendatenbankausbenutzersichtabgelegtwerden. DasfolgendeBeispieldemonstriert,wieInformationenineinerrelationalenDa- 35

24 mindestenseinencandidate-key,namlichdenverbundallerattribute.derzugri einerrelationniemalszweidatensatzedengleicheninhalthabendurfen,gibtes oftvorkommen,daeinbestimmternameinderkundentabellegesuchtwird.man undentsprechendekeysdenieren.beieinemwerkzeughandlerwirdeszumbeispiel derinstallationeinerdatenbankuberlegen,welchezugrisartenbenotigtwerden, konntealsoeinenkeyfurdasattribut"name\inderrelationkundendenieren. aufeinzelnedatensatzeistnurubersolchekeysmoglich.mansolltealsoschonbei Attributeingefuhrt,z.B.eineNummer.ImBeispielwurdeindenTabellenLieferanten,ArtikelundKundenjeweilseinspeziellesAttributdeniert,daseine die"adresse\dereinzelnendatensatze.oftwirdfurdenprimary-keyeinspezielles destenseinezugrismoglichkeitzugarantieren.dieserprimary-keyistsozusagen FurjedeTabellemueinsogenannter"Primary-Key\deniertwerden,ummin- laufendenummerenthaltundsichsomitalsprimary-keyanbietet. Im"Werkzeug\-BeispielexistiertsolcheineVerbindungzwischendenRelationenArtikelundLieferanten. Keysistesmoglich,einelogischeVerbindungzwischenzweiRelationenherzustellen. EineweiterespezielleArtderKeyssindsogenannte"Foreign-Keys\.MitForeign- Artikel: A.Nr. 1234Bohrer Kreissage Stichsage Schweigerat BezeichnungMIG220 10mm R400 S550 Typ L.Nr. 132 Lieferanten: L.Nr. 123Bosch Black&Decker ElektraBeckum Name WertebereichdesPrimary-Keysentspricht.DieseArtderVerbindungvonTabellen Keyzeichnetsichdadurchaus,daseinWertebereichineineranderenTabelledem InderRelationArtikelwurdederForeign-Key"L.Nr\deniert.DerForeign- Abbildung3.3:LogischeVerbindungmitForeign-Keys ineinerrelationbeliebigvielekeysdeniertwerden. wirdauch"join\genannt(sieheabbildung3.3). AuerdemobligatorischenPrimary-KeyunddenoptionalenForeign-Keyskonnen 37

25 nachlassigtalletechnischendetails,wirdderprinzipiellenarbeitsweiseeinerfest- platteaberdennochgerecht. nischsind,wirdimfolgendeneinvereinfachtesmodellvorgestellt.diesesmodellver- nauereneinzelheitenderarbeitsweisevonfestplattensehrkompliziertundtech- HeuteverwendetmaninderRegelFestplattenalsSpeichermedium.Weildiege- entsprechendenspeicherbereichsvorgegebenwerden.der"schreib-/lesekopf\wird DatensatzzulesenoderaufdieFestplattezuschreiben,muzunachstdieRIDdes SpeicherbereichhateineeigeneAdresse,diesogenannteRecord-ID(RID).Umeinen bereicheistgrogenug,umwenigstenseinendatensatzaufzunehmen,undjeder AufderFestplattegibtesvieleTausendSpeicherbereiche.JederdieserSpeicherkundenerledigtwird.GrundlegendeVoraussetzungistjedoch,dadieentsprechende RIDbekanntist.Schwierigerwirdes,wenndasnichtderFallist. nen,datenzulesenoderzuschreiben.dasisteinvorgang,derinwenigenmillise- dannuberdiesemspeicherbereichpositioniertundkannanschlieenddamitbegin- eindbmswarezumbeispiel,alledatensatzezusuchen,diedennamen"schmidt\ tensatzewillkurlichaufderfestplatteverteiltwurden.einetypischeaufgabefur "TelefonNr.\gespeichert,dieetwa Datensatzeenthalt.DieseDatenmenge entsprichtetwaeinem2cmdickentelefonbuch.wirgehendavonaus,dadieda- Angenommen,eswurdeeineTabellemitdenAttributen"Name\,"Vorname\und wennmanberucksichtigt,daesetwa2millisekundendauert,einendatensatzzu Bedingung"Name=Schmidt\zutrit.DasistkeineakzeptableLosung,besonders, DatensatzevomSpeichermediumgelesenwerden,umjeweilszuentscheiden,obdie enthalten. lesen.bei datensatzendauertesalso500:0002ms=10:000sec(oder2 Wennmanvonderobenbeschrieben"Speicherstruktur\ausgeht,mussenalle strukturiertenformabzulegen. Beispielsiehtmanschon,daesunumganglichist,dieDatenineinergeeigneten, Stundenund45Minuten),bisalleSchmidtsgefundenwurden.Andiesemeinfachen spieleinertelefonliste. KnotenzweiVerzweigungenbesitzt.BetrachtenwirdieseSpeicherstrukturamBei- DerBinar-Baum WiederNameschonsagt,hatderBinar-BaumeineBaumstruktur,beiderjeder 39

26 <RID:6 Kant<RID:4 Startpunkt RID:5 >RID:3Maier<RID:2 >RID:7RID:7 Bergman Lipinzky Muller Schick >RID:1 Abbildung3.6:Baumstruktur Schmidt RID:1 mbestimmt,wasletztlichzueinemverbessertenverhaltenbeimausbalancierenund relationalendatenbanksystemenalsstandardspeicherstrukturverwendung. rithmuswirdbeim-wege-suchbaumen,jenachanwendung,einoptimalerwertfur DurchsuchendesBaumesfuhrt.Heutendetderm-Wege-Suchbauminnahezuallen tensatzeundmverweiseaufdienachsttiefereebene.durcheinenraniertenalgo- BeimErzeugeneinerTabellemudasDBMSeineausreichendeAnzahlvonSpeicherplatzenreservieren.Angenommen,dassindalleSpeicherbereiche,derenRIDdie EineweitereMethode,schnellaufDatensatzezugreifenzukonnen,istdasHash- Primary-Key,mittelseinergeeignetenHash-FunktionaufeineRecord-IDabgebildet. Verfahren.MitdiesemVerfahrenwirdeinKey,meistenshandeltessichumden Hashing wird,mueineridausdemwertdesentsprechendenkeysberechnetwerden,z.b. mitderfolgendenhash-funktion: Bedingunga<RID<berfullt.BevoreinDatensatzaufdieFestplattegeschrieben gleicheridabbilden.mansprichtdannvoneinerkollision.vordemspeicherneines Eskannnaturlichvorkommen,daHash-FunktionenverschiedeneKeysaufdie RID:=(PrimaryKeymod(b a))+a: 41

27 Kapitel4 Verschlusselungsmodulen Verwendungvon bestandekryptographischzuschutzen.dieeinzelnenprodukteunterscheidensich SelbstverstandlichgibtesfertigeVerschlusselungsmodulezukaufen,umDaten- verschiedenerverschlusselungsmodulesowie[pa94],[bl93]und[sc94]. zwarinzahlreichendetails,losendasproblemabernacheinemeinheitlichenprinzip. lenzugrundeliegt,vorzustellen,istgegenstanddieseskapitels. DiesesgrundlegendePrinzip,dasdenmeistenkommerziellenVerschlusselungsmodu- 4.1GrundlegendesPrinzip QuellederInformationen,diehierweitergegebenwerden,sinddieHandbucher UmmoglichstvieleKundenanzusprechen,mudasProduktuniversellverwendbar sein,alsounabhangigvondersoftware,diezurverwaltungdergesichertendateneingesetztwird.fernerdurfenkeinenennenswertenperformanceverlusteodergarfunktionalitatseinschrankungenverursachtwerdenaspektnochweiterevorgaben,diemiteinanderineinklanggebrachtwerdenmussen. FurdieHerstellerkommerziellerSicherheitsproduktegibtesnebendemSicherheitslungsmodulegibtesauchalsSoftwareprodukt,aberaufHardwareebeneimplementierteChirieralgorithmenarbeitenwesentlichschnelleralsSoftwarelosungen.Ferner sindhardwareproduktefureinenangreiferschwererzumanipulieren.dercpugetenkonguration.derzentralepunktdieserlosungisteinverschlusselungsmodul, KomponentenwieFestplattenundNetzwerkanschluinstalliertwird.Verschlusse- dasmeistensinformeinerzusatzlichenhardwareeinheitzwischencpuundexternen DiemeistenLosungenbasierenaufderinAbbildung4.1(folgendeSeite)skizzier- 43

28 DieseMoglichkeitwirdvonfastallenDatenbank-Management-Systemenund anderensoftwareproduktenbenotigt. Dreifach-DES: lierungdesrandom-zugris,wurdesichzusehraufdiesystemperformance EineChirierungderDatenimCBC-Modus,miteinerentsprechendenSimu- auswirkenundwirdvondenherstellerndeshalbnichtinbetrachtgezogen. umsodiedes-verschlusselungzubrechen. erschwinglichenmitteln(1millionenus$)moglichist,einemaschinezubauen, diedengesamten56-bitschlusselrauminnerhalbwenigerstundendurchsucht, von56-bitkritisiert.heutegibtesstudien[wi93],diebelegen,daesmit SeitderVeroentlichungdesDES-VerfahrenswurdediegeringeSchlusselgroe chiriert: (64-Bit)undcderGeheimtext(64-Bit),dannwirdnachfolgenderVorschrift werden.dabeiverwendetmanzweischlusselk1undk2.seimderklartext UmdiesenMangelzubeheben,kanndasDES-Verfahrendreifachangewendet EntschlusselngeschiehtinderentsprechendumgekehrtenReihenfolge: m:=des 1 c:=desk1des 1 k1desk2des 1 k2(desk1(m)): DerSchlussel(k1k2)furdiesesSchemaistdann112-Bitgro.DieaufAnhiebetwasseltsamerscheinendeAbfolgederdreiVerschlusselungsschritte ermoglichtes,dasverfahrenineinemkompatibilitatsmoduszureinfachendes- k1(c): NichtdeterministischesDES: Verschlusselungzubetreiben,dazumulediglichk1=k2sein. anderdaskryptogrammgespeichertwerdensoll.damiterreichtman,da DiegrundlegendeIdeebestehtdarin,jeden64-BitKlartextblockvorderei- dergeheimtextnichtlangeralsderklartextwird,gleicheklartextezuunterschiedlichenkryptogrammenchiriertwerdenundderrandom-zugriaufdagentlichendes-verschlusselung(ecb-modus)miteiner64-bitzahlzuaddieren(xor).diesezahlwirdausderphysikalischenspeicheradresseberechnet, Speichermediumerhaltenbleibt. DasVerfahrenwirdindemkostenlosenSoftwareproduktCFS(Cryptographic FileSystem)[Bl93]verwendet. 45

29 descomputerskontrolliertwird(siehe[pa94]).eineweiteremoglichkeitbestehtdarin, benutzerspezischeschlusselaufeinerchipkartezuspeichern. 47

30 Kapitel5 Angrismethoden tenbankenzuschutzen berucksichtigensollte,wennman(kryptographische)verfahrenentwickelt,umda- IndiesemKapitelwerdengrundlegendeAngristechnikenbeschrieben,dieman BenutzereinerDatenbankzuschwerwiegendenFehlernkommenkann. Besonders,wennmehrereBenutzermitdemgleichenDatenbestandarbeiten,spielt griisteinbeispieldafur,daesschonbeiderdenitionderzugrisrechtefurdie ImMittelpunktdeszweitenAbschnittsstehtdiesogenannte"Zugriskontrolle\. ImerstenAbschnittwirdderklassischeTracker-Angribeschrieben.DieserAn- daeinbenutzernurdiedatensehenoderbearbeitenkann,furdieihmzugrisrechteerteiltwurden.beidenmeistendatenbanksystemenwirddiezugriskontrollnewichtigeaufgabederzugriskontrollebestehtnamlichdarin,zugewahrleisten, voneinemspeziellenprogrammteilrealisiert,derdenzugriaufdiephysikalischen diezugriskontrolleeinezentralerollebeimschutzdereinzelnendatensatze.ei- Speichermedienermoglichtundkontrolliert.ImweiterenwerdensolcheProgrammteile"Zugrissoftware\genannt.InderRegelistdieZugriskontrolleAufgabedeschlusselungderDatenbestande)verwendetwerden. imzweitenteildieseskapitelsistes,zubelegen,dazugrissoftwarestrengensicherheitsanforderungennichtstandhalt,sofernkeinekryptographischenmethoden(ver- Datenbank-Management-SystemsoderdesBetriebssystems.ZielderAusfuhrungen SchutzeinerDatenbanknichtausreicht,denDatenbestandblockweisezuchirieren, berucksichtigen. wenndiedatenbestandechiriertvorliegen.damitsollgezeigtwerden,daeszum ohnedievomdbmsverwendetendatenstrukturenunddieartderdatensatzezu ImdrittenAbschnittwerdenAngrismethodenvorgestellt,dieauchfunktionieren, 49

31 mittelwertderkomponente"punkte\uberalledatensatzemit: DerScheintrugt.BeigeeigneterArtderAbfragewerdenrelativsicherdieDaten einzelnerpersonenausgegeben.dasresultatderabfrage: wohnort: Alter: beruf: geschlecht:mannlich 28 martinsthal mathematiker wirdfastsicherdenwerteineseinzelnendatensatzesausgeben. bedarf,wennmanmitstatistischenabfragendenschutzeinzelnerdatensatzeerreichenwill.esbietetsichan,dieanzahlderdatensatzezukontrollieren,dieineine statistischeberechnungeingehen. AndiesemeinfachenBeispielsiehtmanschon,daesweitererEinschrankungen schutzzuumgehen.willderangreiferinformationenubereinebestimmte,eigentlich derabfragegroeeinenwirkungsvollenschutzeinzelnerdatenfeldererreichenkann? DieAntwortistenttauschend:IndenmeistenFallengelingtesnicht. J.Schlorerhat1975gezeigt,daesuberraschendeinfachist,dieseArtdesZugris- EsstelltsichdieFrage,obmanmitstatistischenProzedurenundeinerKontrolle gesperrtegruppeermitteln,kannerdenindividuellentrackerverwenden(spurenleser,fahrtenleser,auskundschafter,engl.tracker). destracker-angrisskizziert: DerindividuelleTracker EinegenaueundstrukturierteDarstellungdieserAngristechnikwirdin[De82] vorgestellt.imfolgendenwerdennurdiegrundlegendenideenundvorgehensweisen Prozedurennurdannausgegebenwerden,wenndieAbfragegruppeBmindestensn miteinersicherheitsschrankenversehen,wasbedeutet,daresultatestatistischer tivenmerkmalsoderdiesummeeinesquantitativenmerkmals2.diedatenbankist q(b)einerstatistischenprozedurfureinegruppebseidiehaugkeiteinesqualita- WirbetrachteneineDatenbankD,dieNDatensatzeenthalt.DasAbfrageergebnis DieBerechnungenwerdendannetwaskomplizierter. undhochstensn ndatensatzeenthalt.wiemueinangreifervorgehen,umq(b) zuermitteln,wennjbjnichtimerlaubtenbereichliegt? 2DerTrackerAngrifunktioniertauchbeiProzeduren,dieanderestatistischeGroenbestimmen. 51

32 Beispiel: Datenbank: kehrssunderdatei3: AnzahlderDatensatze:N=6:000:000 AlsBeispielbetrachtenwireinehypothetischeAbfrageinderVer- Sicherheitsschranke: D(Verkehrssunderdatei) Hilfsgruppe3: Zielgruppe: Hilfsgruppe1: Hilfsgruppe2: T=C\:D:Mathematiker28mannlich C:Mathematiker28mannlich n=300 D:Martinsthal B:Mathematiker28mannlichMartinsthal DiefolgendeAbfrageuberdieZielgruppeBwirdsichernichtgestattet,da jbj=1deutlichunterdersicherheitsschranken=300liegt. :(Martinsthal) summederkomponente"punkte\uberalledatensatzemit: alter: wohnort: beruf: geschlecht:mannlich 28 martinsthal mathematiker q(b)=0q(c)=50q(t)=50 jbj=1 AngenommendieGroederGruppenundPunktesummenseiwiefolgt: DannsindAbfragenuberdieHilfsgruppenCundTerlaubt,dajCj=500und jcj=500jtj=499 (Flensburg)nichterlaubt. 3DasBeispielistkonstruiert.StatistischeAbfragendieserArtsindimVerkehrszentralregister jtj=499grogenugsind. 53

33 T a :T c d b B a=q(b\t) c=q(:b\t) :B b=q(b\:t) q(a)=a+b+c+d q(b)=a+b d=q(:b\:t) q(b[:t)=a+b+d q(b[t)=a+b+c schranken>n4gesetztwird.damitistdiedatenbankfurstatistischeauswertungen sogutwieunbrauchbar. MankonntenunversuchendieDatenbankzuschutzen,indemdieSicherheits- Abbildung5.2:DerallgemeineTracker mansichnurschutzen,wennn=n2ist.dasheit,eskonnennurabfragenerlaubt werden,diesichaufgenau50%dervorhandenendatensatzebeziehen. bankgewinnen,wenndiesicherheitsschranken>n4ist.gegendiesenangrikann Mankonnteauchversuchen,einenAngreiferdadurchzuentdecken,dakonsequentalleDatenbankabfragenprotokolliertwerden,umsensitiveAbfragefolgenzu bemerkenundzuverhindern.dasistabernurbeikleinenabfragemengenmoglich, MitsogenanntenMehrfachtrackernkannmanauchInformationenausderDaten- dennderaufwandzurerkennungsensitiverabfragefolgenwachstexponentiellmit 5.2SchutzdurchZugrissoftware deranzahlderabfragen(siehe[de82]). Abbildung5.3veranschaulichtdiezugrundeliegendeIdee,wennmaneinenDatenbestanddurchZugrissoftwareschutzenwill. undbekommtnurdiefurihnvorgesehenenzugrismoglichkeiten. aufdiedatenermoglichtundkontrolliert.jederbenutzermusichauthentizieren ZwischenDatenbestandundBenutzerbendetsicheinSoftwarepaket,dasZugrie 55

34 C1:BenutzerbestimmbarerZugrisschutz D:MinimalerSchutz DasSystemverwaltetverschiedeneBenutzer,diesichmiteinemPawortauthentizierenmussen.BeiZugrienaufDatenundProgrammewirdzwischestemsgestellt. BeidieserStufewerdenkeineAnsprucheandieSicherheiteinesComputersy- C2:SchutzdurchkontrollirtenZugri tationenfallenfunktionalindiesekategorie. Benutzern,Gruppenund"Anderen\unterschieden.GangigeUNIXImplemen- B1:SchutzdurchKennzeichen HierwerdenallemitSicherheitinZusammenhangstehendeVorgangeimSystem protokolliert.paworterdurfenauchinverschlusseltemzustandnichtsichtbar sein. DiefureinenBenutzerverbotenenInformationenmussenebensowiediezugreifbarenexplizitgekennzeichnetsein.DasSicherheitsmodelldesSystemsmu B2:SchutzdurchStrukturierung DasSicherheitsmodellmugenauestensdeniertunddokumentiertwerden. genehmigtwerden. informellgegebenseinundvomncsc(nationalcomputersecuritycenter) EbenfallsdokumentiertwerdenmussendieSicherheitsmechanismenindenein- B3:VeriziertesDesign zelnenmodulen,diekerneldienste,dieentwicklungsumgebungunddaskon- gurationsmanagement.jedeneueversiondessystemsmuvomncscabgenommenwerden. DieSicherheitsmechanismenmussenminimiertwerden,umuberschaubarund kontrollierbarzubleiben.furdassystemmueinsicherheitsbeauftragterbenanntwerden.dieinternestrukturdessystemsmuvollstandigdokumentiert werden.insbesonderederwiederanlaufdessystemsnachhardwareproblemen ImDesigndesSystemsmussenalleSchutzmechanismenvomNCSCuberpruft undgenehmigtsein. A:FormalverizierteImplementierung munachgenaudeniertenregelnablaufen. 57

35 Beispiel2: EineweitereMoglichkeit,sichunerlaubtZugangzueinemSystemzuverschaffen,istdasEinschleusenTrojanischerPferde.ImInternetwurdeeinmalder folgendeangriaufuniversitatscomputernausgefuhrt: UNIX-Benutzern,diedasSpielaufgerufenundgespielthaben,istunbemerkt ZweitenswurdendemAngreiferZugrisrechteaufalleDatendesSpielerseingerichtet.Dazuwurdeeinfachdie".rhosts-Datei\desSpielerserweitert.Diese folgendesgeschehen:erstenswurdedemangreifervia mitgeteilt,werdas Spielaufgerufenhat,insbesonderedessenInternetadresseund"Login-Name\. UberdiverseFTP-ServerwurdeeinkostenlosesSpielprogrammverteilt.Bei Beispiel3: DateienthaltdieLoginnamenundInternetadressenallerPersonen,dieohne PawortabfrageuneingeschranktenZugangaufdieDatendesSpielershaben sollen. SoftwarewieDatenbank-Management-SystemenoderBetriebssystemen.EsbestehtdanndieGefahr,daAngreiferdieseFehlernutzen,umsichunerlaubt Zugrizuverschaen.DadiesschonoftzuSicherheitsluckeninComputersy- BeiderEntwicklungundProgrammierungkomplexerComputersystemeschleichensichoftFehlerein.Naturlichpassiertdasauchbeizugriskontrollierendestemengefuhrthat,werdensicherheitsrelevanteFehlerregelmaigvomCERT diefehlerzubeheben.diezahlundartderfehler,diesichnachtraglichnicht veroentlicht,sofernsieentdecktwerdenundeseineeinfachemoglichkeitgibt, Mansollteauchdamitrechnen,daSystemspezialistenbeiBetriebssystem-und Datenbankherstellerneingeschleustwerden,umsogenannte"Hinterturchen\in ohneweiteresbeseitigenlassen,bleibtungewi. WennmanZugrissoftwarealseinzigenMechanismuszumSchutzeinesDatenbestandeseinsetzt,wirdmanmitzweiwesentlichenProblemenkonfrontiert: 1.Manmusicherstellen,daderZugriaufeineDatenbankwirklichnurdurch abgeschottetwerden,etwadurcheinekonguration,wiesieinabbildung5.4 dargestelltwird. zuerreichen,indemdiespeichermedienundderdatenbankserverphysikalisch BenutzungderentsprechendenZugrissoftwaremoglichist.Letztlichistdasnur AbschlieendeBemerkung: zugriskontrollierendesoftwareeinzubauen. 59

36 tendereinzelnendatensatzeverschlusseltwerden.dasistbeivielendatenbankender GrundlegendeVoraussetzungfureinenDatenabgleichistes,danichtalleKomponen- Fall,dennjederVerschlusselungsschrittfuhrtzuPerformanceeinbuen,unddeshalb werdennurdienotwendigstendatenverschlusselt. nentenkonnendannschlufolgerungenuberdiechiriertenteilegezogenwerden. Datenbankenzusammenzufuhren.AufgrundderfreizuganglichenDatensatzkompo- maneinbeispielbetrachtet.diedatenbankenderkrebsregisterindeutschland AmeinfachstenkannmansichmitdieserVorgehensweisevertrautmachen,wenn EinDatenabgleichberuhtdarauf,moglichstvieleInformationenausverschiedenen derabbildungwirddasdurchdieschreibweise"e()\angedeutet. erfullendienotwendigevoraussetzung,dateilederdatensatzeunverschlusseltsind. Abbildung5.5zeigtdieStrukturderDatensatze,dieinKrebsregisternverwendetwerden.NurderlinkeTeil,alsodiepersonenidentizierendenDaten,werdenchiriert.In E(Anschrift) ::: E(Name) E(Vorname) Identitatsdaten: E(Geburtsdatum) Geschlecht Geburtsjahr ::: Berufsgruppe Gemeindekennzier Meldedatum div.med.informationen Registerdaten: vomgesetzgeberdieanonymisierungpersonenbezogenerdatensatzegefordertwird, unddazugenugtes,nurdieunmittelbarpersonenidentizierendeninformationenzu DiesesDatensatzmodellistfurpersonenbezogeneRegisternichtungewohnlich,da Abbildung5.5:DatensatzstrukturinKrebsregistern renregisterkannmannunversuchen,einzelnedatensatzezuidentizieren(siehe DurcheinenVergleichder"Registerdaten\mitdenentsprechendenDatenderande- verschlusseln. eignensichdieregisterderkrankenkassen,gemeinden,fuhrerscheinstellenusw. FurdenDatenabgleichbrauchtmanzusatzliche(externe)Informationen.Hier 61

37 Haugkeitauftritt,umfestzustellen,obeinDatensatzdesKrebsregisterszueiner Persongehort,dieinMainzwohnt. Einwohnern.ManmualsonurnachdemKryptogrammsuchen,dasmitdergroten DieHaugkeitsverteilungderKlartextemumoglichstmarkantsein. DieDatenbanksollteeinereprasentativeStichprobedesKlartextraumsenthalten,sodaeinVergleichzwischendenHaugkeitenderKryptogrammeund Klartextemoglichstaussagekraftigwird. DerErfolgeinerHaugkeitsanalysehangtvonfolgendenPunktenab: DieVerschlusselungdereinzelnenDatensatzkomponentenmudeterministisch Probeverschlusselungensindmoglich,wenndieInhalteeinerDatenbankasymme- sein. gesamtendatenbestandzulesen,zuandernoderstatistischauszuwerten,bleibtden bleibt.damiterreichtman,davielepersonendiemoglichkeithaben,datenzuverschlusselnundsomitweitereinformationendemdatenbestandhinzuzufugen.detrischunddeterministischverschlusseltwerden,wobeiderschlusselzumchirieren derdatenveroentlichtwirdundderschlusselzumdechirierenderdatengeheim dannkannerallemoglichenklartextemiverschlusselnunderhaltsozuallenklartextenmieinkryptogrammci.einesdercimuidentischmitdemkryptogrammc sein;dasdazugehorigemiistdergesuchteklartext. Angenommen,derAngreiferwilleinbestimmtesKryptogrammCentschlusseln, Personenvorbehalten,diedenDechirierschlusselkennen.UmProbeverschlusselungendurchzufuhren,reichtes,denoentlichenChirierschlusselzukennen. 256unterschiedlichenZeichenverwendetwird.DerartvieleProbeverschlusselungen durchzufuhren,istauchmitdenbestencomputernunsererzeitnichtmoglich.inden groist,dannistdieanzahldermoglichenklartexte25680,wenneinzeichensatzmit moglichenklartextenichtzugroist.betrachtetmaneinendatensatz,der80byte DieserAngriistnaturlichnurdannpraktischdurchfuhrbar,wenndieMengeder meistenfallenwirddieanzahldermoglichenklartexteaberdurchproblemspezische fur namenundanschriftensindmiteinemheimcomputerzubewaltigen. denangreiferaus,dennesgibtnur bundesburger.probeverschlusselungen AnschrifteinesBundesburgersenthalt,siehtdieSituationschonsehrvielbesserfur GegebenheitenbeschranktundistumGroenordnungenkleinerals SolltezumBeispielbekanntsein,dader80-ByteDatensatzdenNamenunddie 63