Bausteine einer sicheren Datenübermittlung

Transkript

1 Bausteine einer sicheren Datenübermittlung und Fallstricke Prof. Dr.-Ing. Ludwig Niebel

2 TÜV Süd - "... High-Interaction-Honeynet in Form eines Wasserwerks einer deutschen Kleinstadt..." aufgebaut und freigeschaltet. 'Die Sicherheitsvorkehrungen entsprachen dem industrieüblichen Niveau'. "Der erste Zugriff erfolgte fast zeitgleich mit dem Scharfschalten. Während der Laufzeit" (8 Monate Niebel) "verzeichneten die Experten über Zugriffe aus mehr als 150 Ländern. 'Damit konnten wir nachweisen, dass selbst eine relativ unbedeutende Infrastruktur im Netz wahrgenommen und ausgeforscht wird', sagt Dr. Thomas Störtkuhl, Senior Security Experte und Teamleiter Industrial IT Security bei TÜV Süd. (Sariana Kunze: Angreifer bleiben im Honignetz kleben, Vogel Elektronik Praxis )

3 Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) verabschiedet am

4 Bausteine einer sicheren Datenübermittlung 1. Ziele 2. Kryptografie 3. Verfahren: IPsec 4. Mögliche Schwachstellen

5 1. Ziele Datenquelle Übertragungsweg sicher! physisch separiert virtuell separiert Datensenke

6 1. Ziele Übertragungsweg sicher! Vertraulichkeit der Daten Unversehrtheit der Daten Herkunft der Daten stimmt Verfügbarkeit der Übertragungswege

7 1. Ziele Übertragungsweg Vertraulichkeit der Daten privacy Unversehrtheit der Daten integrity Herkunft der Daten stimmt authenticity Verfügbarkeit der Übertragungswege Kryptografie

8 2. Kryptografie, Verschlüsselung Klartext Plain text Verschlüsselung Verfahren offen, bekannt Verschlüsselter Text Ciphertext

9 2. Kryptografie, Schlüssel Schlüssellänge Schlüsselart Länge Mögliche Kombinationen *) veraltet Testzeit Parallele Tests Mittlere Suchzeit Kofferschloss 10Bit s 1 17 Min. kurzes Passwort 36Bit µs 1 9,5 h RC4 *) 40Bit µs 1 6 d RC4 *) 40Bit µs 50 2,9 h RC4 *) 40Bit µs Min. DES *) 56Bit 7,2* µs a DES *) 56Bit 7,2* µs h IDEA *)? 128Bit 3,4* µs 1 5,4*10 24 a IDEA *)? 128Bit 3,4* µs ,4*10 18 a

10 2. Kryptografie, Schlüssel Symmetrische Verschlüsselung Klartext Plain text Klartext Plain text Verschlüsselung Entschlüsselung Ciphertext Probleme bei der Kommunikation von/ zu vielen

11 2. Kryptografie, Schlüssel Asymmetrische Verschlüsselung Klartext Plain text Klartext Plain text Verschlüsselung Entschlüsselung Ciphertext Vorteile bei der Kommunikation von/ zu vielen

12 2. Kryptografie, Schlüsselverteilung Verteilung öffentlicher Schlüssel PKI Registration Authority Certificate Authority

13 2. Kryptografie, Schlüsselverteilung Verteilung öffentlicher Schlüssel PKI Registration Authority Certificate Authority Version n 12:34:56:78:9A:BC:DE PKCS #1 CN = Otto Schulze Zzzzzzzzzzzzzzzzzz Mmmmmmmmmmmm Kkkkkkkkkkkkkk Zertifikat

14 2. Kryptografie, Schlüsselverteilung Zertifikat

15 2. Kryptografie, Schlüsselverteilung Verteilung öffentlicher Schlüssel Version n 12:34:56:78:9A:BC:DE PKCS #1 CN = Otto Schulze Zzzzzzzzzzzzzzzzzz Mmmmmmmmmmmm Kkkkkkkkkkkkkk Zertifikat Nutzer holt öffentlichen Schlüssel (z. B. von PKI) Nutzer muss zuvor Zertifikat der CA haben!!! Vertrauensstellung!!!

16 2. Kryptografie, Hashfunktion Fingerabdruck einer Datei/ eines Datenblocks Datei/ Datenblock geht immer Hashfunktion Hashwert (Fingerabdruck) geht nie (Ziel)

17 2. Kryptografie, Signatur Elektronische Unterschrift Dokument Absender Empfänger Dokument Hashalgor. Hash Verschl. privater Schlüssel öffentlicher Schlüssel Hashalgor. Hash Vergleich Hash! Signat. Entschl. Signat.

18 3. Verfahren: IPsec Protokolldefinition, Datenübertragungsprotokoll Gewährleistet Schutzziele Legt Rahmen, Abläufe und einige Verfahren fest Neue Verfahren implementierbar Schlüsselverwaltung und Austausch einschließlich Authentifizierung Verschiedene Betriebsarten Ver- und Entschlüsselung/ Authentifizierung und Integrität

19 3. Verfahren: IPsec Verwendet z.b. Zertifikate Hash-Algorithmen 1) Verschlüsselungsalgorithmen 1 1) unterschiedliche Algorithmen implementiert, neue Verfahren implementierbar

20 3. Verfahren: IPsec Vorteile: Transparent für alle Dienste, die auf IP aufsetzen Kann durch neue Verfahren aktualisiert werden An unterschiedliche Einsatzszenarien anpassbar, flexibel im Einsatz Gut untersucht Nachteile : Gewisse Vorarbeiten nötig Evtl. mehr Overhead (Daten und/ oder Zeit)

21 4. Mögliche Schwachstellen Entwickler Hersteller Integrator Administrator Anwender Nutzer Nur Beispiele von Schwachstellen!!!

22 4. Mögliche Schwachstellen Entwickler Hersteller Veraltete Algorithmen/ Verfahren Falsches Anwenden/ falsche Kombination von Fehler bei der Implementierung

23 4. Mögliche Schwachstellen Integrator Administrator Wahl nicht adäquater Algorithmen/ Verfahren Falsche/ ungünstige Parameter Ungenügende Sicherung des Umfeldes Fehlende/ ungenügende Nutzungsvorgaben

24 4. Mögliche Schwachstellen Anwender Nutzer Missachten von (Sicherheits-) vorgaben Unzulässige Nutzung der Technik Infektion von Hosts

25 Der geeignete Weg und seine Bewältigung