Nationale Initiative für Internet- und Informations-Sicherheit

Transkript

1 Sichere Kommunikation im Zeitalter von PRISM? Nationale Initiative für Internet- und Informations-Sicherheit Mathias Gärtner, NIFIS e.v. zweiter Vorstand Öffentlich bestellter und vereidigter Sachverständiger IT

2 Agenda Ist-Analyse Wie geschieht digitale Kommunikation Typische Abhörschnittstellen Metadaten und Inhaltsdaten Was sind Metadaten Inhaltsdaten Verschlüsselungen Mögliche Schutzvorrichtungen Cloud Datenübertragung

3 Ist-Analyse

4 Wie geschieht digitale Kommunikation Jedes Gerät im Internet verfügt über eine eindeutige IP-Adresse (oft nur der Internetanschluss und nicht jedes Gerät) Alle Daten werden in Paketen übertragen TCP/IP- Header Daten IP Zieladresse IP Quelladresse Anwendungsziel Anwendungsquelle

5 Digitale Kommunikation (allgemein) Jedes Datenpaket wird von einem Internetgerät (Router) zum nächsten übertragen. Der Übertragungsweg ist nicht im Voraus definiert.

6 Beispiel technik Mailserver Mailstore MX-Record für it-svbuero.de MX-Record ist Nachricht an Mailserver IP: DN-Server

7 Beispiel Webservice Webserver Welche IP- Adresse hat AA-Record ist DN-Server GET index.html

8 Typische Abhörschnittstellen allgemein Jeder Internetknoten (Router) hat Abhöreinrichtungen eingebaut Jeder Verkehr, der durch einen Router geht, kann kopiert werden, teilweise auch über das Internet hinweg

9

10 Beispiel technik Abhörschnittstellen beim Dienstanbieter Gesendete/empfangene Daten sind irgendwo gespeichert Etwas digital gespeicherte kann kopiert und analysiert werden Schnittstellen bei den Providern i.d.r. vorhanden Mailserver Mailstore Nachricht an Mailserver IP:

11

12 Datentypen

13 Metadaten Metadaten sind die Daten über die Kommunikation, nicht jedoch die Inhalte der Kommunikation selbst Absender Adresse Zieladresse Adressen Zeitpunkt und -dauer der Kommunikation Benutzte Anwendungen Mit den Metadaten kann das Kommunikationsverhalten einer Person (Computers) festgestellt werden. Auch ggf. von wo aus er kommuniziert hat und vor allem mit wem

14 Inhaltsdaten Inhaltsdaten sind die übertragenen oder gespeicherten Daten selbst Mit diesen Daten kann festgestellt werden, was die Person kommuniziert hat Im Falle der sozialen Netzwerke auch noch welche soziale Vernetzung die Person hat In der Cloud können auch Geschäftsgeheimnisse kopiert werden

15 Verschlüsselung Bei der Verschlüsselung können sowohl die gespeicherten Inhaltsdaten als auch die laufende Kommunikation verschlüsselt werden Jedoch nicht die Metadaten Je nach Einsatz wird ein symmetrisches oder asymmetrisches Verfahren verwendet Der verwendete Algorithmus muss mathematisch sicher sein

16 Inhalts-Verschlüsselung In der Regel symmetrisches Verfahren, ein Schlüssel verschlüsselt und entschlüsselt Ist der Schlüssel verloren, sind die Daten unlesbar Ist der Schlüssel kopiert worden so kann auch der Zweitinhaber die Daten entschlüsseln In einigen Ländern können Personen gezwungen werden solche Schlüssel herauszugeben

17 Transport-Verschlüsselung In der Regel asymmetrisches Verfahren, ein frei bekannter Schlüssel verschlüsselt und ein privater Schlüssel entschlüsselt Jedoch endet die Verschlüsselung beim ersten Provider (siehe D ) Im Falle einer SSL-Verschlüsselung (Webshops, Secure ) wird nur der Master-SSL Schlüssel benötigt um die Kommunikation in Echtzeit zu entschlüsseln

18 Generelles Problem Es ist bekannt geworden, dass die verwendeten Verfahren durch Geheimdienste kompromittiert wurden Der Algorithmus an sich ist sicher, die Schlüsselgenerierung jedoch nicht Die dazu notwendigen Zufallszahlen und/oder sog. Seed-Values wurden so gewählt, dass sie mathematisch schwache Schlüssel ergeben Damit sind die Daten auch ohne Kenntnis des Schlüssels entschlüsselbar

19 Schutzmöglichkeiten

20 Mögliche Schutzmassnahmen Verschlüsseln der mit Hilfe eines asymmetrischen Verfahrens (z.b. PGP) Verschlüsselt nicht die Metadaten Jeder Sender benötigt den Public Key des Empfängers Nicht jedes Verfahren ist mehr sicher, z.b. warnt RSA inc. vor der Verwendung einiger ihrer Produkte

21 Mögliche Schutzmassnahmen Datenübertragung Verschlüsseln der Kommunikationsinhalte mit Hilfe eines symmetrischen Verfahrens (TSL, SSL) Verschlüsselt nicht die Metadaten Verwenden Sie Anonymisierungsdienste (z.b. Tor) um die Metadaten zumindest teilweise zu verschleiern Die Verschlüsselung endet jedoch beim Provider. Die Daten können dort im Klartext gelesen werden

22 Mögliche Schutzmassnahmen Cloud Benutzen Sie keine Cloud, die Daten in Ländern oder Firmen speichert, welche fremden Gesetzen unterliegen. Das Gesetz in den USA z.b. erlaubt ausdrücklich das Kopieren von Daten von Nicht-US-Amerikanern zu JEDEM Zweck, auch und besonders der Industriespionage Verschlüsseln der Inhalte mittels symmetrischem Verfahren durch eigene Verfahren und eigene Schlüssel Die Verschlüsselung endet jedoch beim Provider. Die Daten können dort im Klartext gelesen werden

23 Fazit

24 Fazit Einen 100% wirksamen Schutz gibt es nicht Das Mitlesen kann deutlich erschwert werden Verschlüsselung hilft, jedoch ist große Sorgfalt auf das Verfahren zu legen. Verfahren, die durch die NIST standardisiert wurden sind abzulehnen Abhören dient in der Regel NICHT zum Fangen von Kriminellen sondern auch und besonders zur Wirtschaftsspionage

25 Vielen Dank für Ihre Aufmerksamkeit! Weitere Informationen unter