Datenschutz an der Schule. Datenschutzbestimmungen. Schützenswerte Daten sicher handhaben. Die Verwaltungsvorschrift und ihre Umsetzung



Ähnliche Dokumente
Sicherer Datenaustausch mit EurOwiG AG

Verschlüsseln von USB-Sticks durch Installation und Einrichtung von TrueCrypt

Verschlüsseln Sie Ihre Dateien lückenlos Verwenden Sie TrueCrypt, um Ihre Daten zu schützen.

Verschlüsselung von USB Sticks mit TrueCrypt

Verschlüsseln eines USB Sticks mit TrueCrypt Eine ausführliche Anleitung. Hochschule der Medien Stuttgart Christof Maier I Frank Schmelzle

Sicherheit. Anleitung zur Nutzung von TrueCrypt. Sicherheit Anleitung zur Nutzung von TrueCrypt

TrueCrypt Anleitung: Datenschutz durch Festplattenverschlüsselung

Sicherer Stick Arbeiten mit TrueCrypt 7.1a

Computeria Solothurn

Folgeanleitung für Fachlehrer

Import des persönlichen Zertifikats in Outlook Express

Daten am USB Stick mit TrueCrypt schützen

Folgeanleitung für Klassenlehrer

Verschlüsseln von Dateien mit Hilfe einer TCOS-Smartcard per Truecrypt. T-Systems International GmbH. Version 1.0 Stand

Schrittweise Anleitung zur Installation von Zertifikaten der Bayerischen Versorgungskammer im Mozilla Firefox ab Version 2.0

Daten verschlüsseln: warum? wie? Das Programm herunterladen und auf dem USB-Stick installieren Dateien mit Challenger verschlüsseln - entschlüsseln

Verschlüsselung auf USB Sticks

Eigene Dokumente, Fotos, Bilder etc. sichern

Verschlüsselung Stefan Baireuther Verschlüsselung

Bayerische Versorgungskammer

Thunderbird Portable + GPG/Enigmail

Import des persönlichen Zertifikats in Outlook 2003

In 12 Schritten zum mobilen PC mit Paragon Drive Copy 11 und Microsoft Windows Virtual PC

Die nachfolgende Anleitung zeigt die Vorgehensweise unter Microsoft Windows Vista.

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

In 15 einfachen Schritten zum mobilen PC mit Paragon Drive Copy 10 und Microsoft Windows Virtual PC

Neue Steuererklärung 2013 erstellen

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

Windows / Mac User können sich unter folgenden Links die neueste Version des Citrix Receiver downloaden.

PC-Umzug: So ziehen Sie Ihre Daten von Windows XP nach Windows 8 um

Datensicherung. Beschreibung der Datensicherung

Tapps mit XP-Mode unter Windows 7 64 bit (V2.0)

Arbeiten mit MozBackup

26. November EFS Übung. Ziele. Zwei Administrator Benutzer erstellen (adm_bill, adm_peter) 2. Mit adm_bill eine Text Datei verschlüsseln

Windows 10. Vortrag am Fleckenherbst Bürgertreff Neuhausen.

USB-Stick mit SecurStick ohne Administratorrechte verschlüsseln

Verwendung des IDS Backup Systems unter Windows 2000

WORKSHOP VEEAM ENDPOINT BACKUP FREE

Installation OMNIKEY 3121 USB

Import des persönlichen Zertifikats in Outlook2007

Leitfaden zur ersten Nutzung der R FOM Portable-Version für Windows (Version 1.0)

Whitepaper. Produkt: combit Relationship Manager / address manager. Dateiabgleich im Netzwerk über Offlinedateien

Bei Truecrypt handelt es sich um ein Open-Source Verschlüsselungs-Programm, das unter folgendem Link für verschiedene Plattformen verfügbar ist:

-Verschlüsselung mit S/MIME

Dateien mit Hilfe des Dateimanagers vom USB-Stick kopieren und auf der Festplatte speichern

PowerWeiss Synchronisation

Das tgm stellt virtuelle Desktops zur Verfügung. Um diese nutzen zu können, gehen Sie bitte wie folgt vor:

Konvertieren von Settingsdateien

Virtueller Seminarordner Anleitung für die Dozentinnen und Dozenten

1. Vorbemerkungen. Inhaltsverzeichnis

ESecure Vault Die verschlüsselte CloudFESTplatte

Daten synchronisieren mit FreeFileSync (zur Datensicherung) Freeware unter herunter laden

Diese sind auf unserer Internetseite im Downloadbereich für den Palm zu finden:

Bedienungsanleitung für den SecureCourier

Installation und Sicherung von AdmiCash mit airbackup

Anleitung zur Daten zur Datensicherung und Datenrücksicherung. Datensicherung

PeDaS Personal Data Safe. - Bedienungsanleitung -

Für Kunden die den neuen TopMaps Viewer EINER für ALLE als Betrachtungs-Software verwenden wollen. Top10 V1, Top25 V3, Top50 V5, WR50 V3 DVD s

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Wie halte ich Ordnung auf meiner Festplatte?

In 15 Schritten zum mobilen PC mit Paragon Drive Copy 14 und VMware Player

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Installationshilfe VisKalk V5

Steganos Secure Schritt für Schritt-Anleitung für den Gastzugang SCHRITT 1: AKTIVIERUNG IHRES GASTZUGANGS

Wir wünschen Ihnen viel Freude und Erfolg mit Ihrem neuen X-PRO-USB-Interface. Ihr Hacker-Team

Was muss gesichert werden? -Ihre angelegten Listen und Ihre angelegten Schläge.

SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen

Installationsanweisung Aktivierung für RadarOpus für PC s ohne Internetzugang (WINDOWS)

In 15 Schritten zum mobilen PC mit Paragon Drive Copy 11 und VMware Player

Handbuch zum Verschlüsselungsverfahren

Mit der Maus im Menü links auf den Menüpunkt 'Seiten' gehen und auf 'Erstellen klicken.

SICHERN DER FAVORITEN

Berechnungen in Access Teil I

ecampus elearning Initiative der HTW Dresden

Verwendung des Terminalservers der MUG

Meldung Lokale Anwendung inkompatibel oder Microsoft Silverlight ist nicht aktuell bei Anmeldung an lokal gespeicherter RWE SmartHome Anwendung

Installationsanweisung Gruppenzertifikat

Lernwerkstatt 9 privat- Freischaltung

IntelliRestore Seedload und Notfallwiederherstellung

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

TEAMWORK-Uploader. Dokumentenaustausch mit dem PC

Aber mancher braucht diese Funktionalität halt, doch wo ist sie unter Windows 8 zu finden?

Handbuch B4000+ Preset Manager

GFAhnen Datensicherung und Datenaustausch

PHSt VPN Verbindung für ZIDA Mitarbeiter/innen

Kurzanleitung GPG Verschlüsselung Stand vom

S TAND N OVEMBE R 2012 HANDBUCH DUDLE.ELK-WUE.DE T E R M I N A B S P R A C H E N I N D E R L A N D E S K I R C H E

:LQGRZV([SORUHU &KULVWLQH%HHU

Anleitung zum Erstellen und Auspacken eines verschlüsselten Archivs zur Übermittlung personenbezogener Daten per 1

Anleitungen zum Publizieren Ihrer Homepage

SCHRITT FÜR SCHRITT ZU IHRER VERSCHLÜSSELTEN

E-Cinema Central. VPN-Client Installation

2. Word-Dokumente verwalten

1 Anschließen der Wiegeanzeige an den PC

Tel.: Fax: Ein Text oder Programm in einem Editor schreiben und zu ClassPad übertragen.

TeamSpeak3 Einrichten

Starten der Software unter Windows XP

Bedienungsanleitung. FarmPilot-Uploader

Anleitung. Einrichtung vom HotSync Manager für den Palm 1550 bis 1800 unter Windows 7. Palm SPT 1500 / 1550 Palm SPT 1700 / Bits & Bytes Seite 1

Outlook-Daten komplett sichern

Transkript:

Datenschutz an der Schule Schützenswerte Daten sicher handhaben Der Datenschutz an Schulen ist seit Jahren ein vieldiskutiertes Thema, wobei die im Jahr 2009 veröffentlichte Verwaltungsvorschrift schon länger von den Schulen konkrete Maßnahmen fordert. Hier ist nicht nur die Schulleitung, sondern jede einzelne Lehrkraft in der Pflicht, denn mit zunehmender Nutzung von Notebooks und mobilen Datenträgern wird die Gefahr, dass Schülerdaten in unbefugte Hände gelangen und für kriminelle Machenschaften benutzt werden, zunehmend größer. Zu den schützenswerten Daten im Schulalltag gehören beispielsweise Notentabellen, Beurteilungen, Aufzeichnungen über Fehlzeiten, Schreiben an Eltern und Betriebe mit konkretem Schülerbezug. In vielen Fällen wird diese Arbeit von Lehrerinnen und Lehrern auf ihrem privaten Computer erledigt und die Daten werden auf einem mobilen Datenträger oder per Mail zwischen Schule und Wohnung transportiert. Vor allem dieser Transportweg stellt eine große Gefahrenquelle durch einen möglichen Verlust des Datenträgers dar. In diesem Heft informieren wir zum Thema Datenschutz an der Schule über: die Umsetzung der Datenschutzbestimmungen nach der Verwaltungsvorschrift des Kultusministeriums, über die programmtechnische Umsetzung, und für technisch Interessierte über kryptografische Grundlageninformationen zu einem geeigneten Verschlüsselungsalgorithmus. Die Redaktion Datenschutzbestimmungen Die Verwaltungsvorschrift und ihre Umsetzung Für die Lehrkraft sind die Teile der Verwaltungsvorschrift Datenschutz an öffentlichen Schulen von Bedeutung, bei denen es um die Verarbeitung und Speicherung personenbezogener Daten auf privaten Datenverarbeitungsgeräten geht. Als Datenverarbeitungsgeräte dürfen hier nicht nur private Computer verstanden werden, sondern was fast wichtiger ist Speichermedien. Dies betrifft nicht nur die in den Computern eingebauten Festplatten, sondern auch alle Transportmedien wie externe Festplatten, CDs und Flashspeicher wie USB Sticks. Immer wenn Schülernamen zusammen mit geschützten Daten wie Noten und Fehlzeiten in Verbindung zu bringen sind, greift die Verwaltungsvorschrift zum Datenschutz an öffentlichen Schulen. Zugriffsschutz Die Verwaltungsvorschrift nennt in der Anlage 3 verschiedene Maßnahmen für den Schutz (Originaltext, z. T. verändert): Das private Datenverarbeitungsgerät wird durch ein geheimes Passwort geschützt. Das private Datenverarbeitungsgerät sollte nicht von Dritten genutzt werden. Sollte dies nicht zu vermeiden sein, sollten verschiedene Benutzerprofile eingerichtet und der unberechtigte Zugriff auf die dienstlichen Daten geschützt werden. Das eingesetzte Betriebssystem wird mit den jeweils neuesten Sicherheitsupdates geschützt. Soweit sich das Datenverarbeitungsgerät im Internet befindet oder andere Schnittstellen nach außen besitzt, muss neben dem Browser ein Virenschutzprogramm und eine Firewall verwendet werden, für deren Aktualität (automatische Updatefunktion) zu sorgen ist. Bei der Nutzung von Webportalen darf das eingegebene Passwort nicht im Browser für weitere 3

Landesinstitut für Schulentwicklung Sitzungen gespeichert werden. Dies verhindert die unberechtigte Nutzung des Webportals durch andere Nutzer Ihres privaten Umfelds, z. B. durch im Haushalt wohnende Kinder. Die Nutzung öffentlicher Internetzugänge (wie in Internet Cafes oder Hot Spots an öffentlichen Plätzen) ist verboten. Legen Sie die dienstlichen Daten nur auf verschlüsselten und durch Passwörter geschützten Datenträgern ab. Empfohlen wird z. B. ein entsprechend geschützter USB Stick. Konkrete Maßnahmen an der Schule Der Schulleiter muss über Art und Umfang der vorgesehenen Verarbeitung personenbezogener Daten auf einem privaten Datenverarbeitungsgerät einer Lehrkraft informiert sein und dieser Datenverarbeitung schriftlich zustimmen (aus der Anlage 3 der Verwaltungsvorschrift). Konkret muss dies die Schulleitung so regeln, dass das Kollegium über die Vorschrift und die möglichen Maßnahmen informiert wird; auch eine Schulung, wie man verschiedene Benutzerprofile auf Computern und die persönliche Anmeldung einrichtet und Ordner per Zugriffsschutz sichert, ist für diejenigen Lehrkräfte sinnvoll, die Schülerdaten verarbeiten wollen. Nach der Information und evtl. Schulung muss die Lehrkraft das Formblatt Nutzung privater Datenverarbeitungsgeräte durch Lehrkräfte ausfüllen, der Schulleiter muss im Falle der Nutzung privater Datenverarbeitungsgeräte diesem Antrag schriftlich zustimmen. Das ausgefüllte Formblatt wird in der Schule aufbewahrt. Ganz wichtig ist es, die Lehrkräfte dafür zu sensibilisieren, dass der Datentransport zwischen Schule und Wohnung die größte Gefahrenquelle ist, weil der Verlust des Datenträgers möglich ist. Deshalb ist hierbei die Datenverschlüsselung unumgänglich. Zu diesem Zweck wird die Verschlüsselungssoftware TrueCrypt empfohlen, die in diesen ZPG Mitteilungen vorgestellt wird. Quellen (1) Datenschutz an öffentlichen Schulen, Verwaltungsvorschrift vom 25. November 2009, veröffentlicht in K.u.U. vom 7. Januar 2010 (2) www.bsi fuer buerger.de Jürgen Gierich juergen.gierich@zpg.ls bw.de Verschlüsselung mit TrueCrypt Eigenschaften und Funktionsweise Um den Anforderungen der aktuellen Datenschutzbestimmungen an den Schulen gerecht zu werden, ist seit Februar 2010 eine Verschlüsselung mit einem geeigneten Programm vorgeschrieben. Es gibt eine Vielzahl von Programmen, mit denen Dateien durch Verschlüsselung geschützt werden können. Der folgende Artikel zeigt die Eigenschaften von TrueCrypt, die Installation auf dem heimischen PC und die wichtigsten Schritte für das Arbeiten mit TrueCrypt zu Hause und in der Schule. Eigenschaften "TrueCrypt ist OpenSource, arbeitet mit einem Tresorformat, das Programminstallationen in der Tresordatei möglich macht, hinterlässt keine Dateien im Dateisystem des Zielrechners, ist für alle Plattformen verfügbar, sehr stabil in der Anwendung und wird seit vielen Jahren kontinuierlich gepflegt." Dies ist eine Empfehlung, die man auf dem Kultusportal des Landes nachlesen kann (1). Die Software läuft sowohl unter Windows (ab XP), unter MacOSX (ab 10.4) und auch unter Linux (wie z. B. Ubuntu). TrueCrypt verschlüsselt nach modernsten mathematischen Methoden. Es beherrscht unter anderem den Verschlüsselungsstandard AES (Advanced Encryption Standard), nach dem auch hoch geheime Dokumente der US Regierung verschlüsselt werden. (Weitere Informationen zu AES im nächsten Artikel ab Seite 7.) 4

Funktionsweise Der zweite wichtige Ansatz, der neben der Verschlüsselung in TrueCrypt steckt, besteht darin, Dateien verschlüsselt in einer Containerdatei aufzubewahren, die man beispielsweise daten.tc nennen kann. Container eignen sich vor allem dazu, auf einer nicht verschlüsselten Partition einen sicheren Bereich anzulegen. Die Containerdatei besteht aus einer scheinbar wirren Folge von Zeichen, deren Anzahl der vordefinierten Größe der Datei entspricht. Die Datei ist auf einem mobilen Datenträger gespeichert. Im betrachteten Fall sind darin Blöcke enthalten, die z. B. die verschlüsselten Dateien noten.xls oder schueler.odt enthalten. Falls es überhaupt gelingen würde, die Containerdatei mit einem Programm zu öffnen, würde man nur unverständliche Zeichenketten sehen. Zum Lesen und Schreiben öffnet TrueCrypt diese Containerdatei: Unter Windows wird ein neues Laufwerk unter einem freien Laufwerksbuchstaben erstellt. Unter Mac OS X und Linux wird der Container in einen beliebigen Ordner eingehängt. Um der Containerdatei unter Windows ein beliebiges virtuelles Laufwerk mit einem frei wählbaren Laufwerksbuchstaben oder unter Linux einen Ordner zuzuordnen, muss das Kennwort eingegeben werden. TrueCrypt sorgt dafür, dass die verschlüsselten Dateien im virtuellen Laufwerk unverschlüsselt erscheinen. Nun kann mit einem Textverarbeitungsprogramm beispielsweise auf P:\schueler.odt und mit einer Tabellenkalkulation auf P:\noten.xls zugegriffen werden. Jeder Speichervorgang von P:\schueler.odt und P:\noten.xls ändert sofort die verschlüsselten Daten in der Containerdatei. Werden Dateien nach P: verschoben oder kopiert, so liegen die entsprechenden Daten sofort verschlüsselt in der Containerdatei vor. Umgekehrt sorgt ein Kopiervorgang von P: auf ein anderes Laufwerk dafür, dass die Kopien unverschlüsselt vorliegen. Wird die Einbindung des virtuellen Laufwerks P: aufgehoben bzw. TrueCrypt beendet, existiert das Laufwerk P: nicht mehr und die Programme können nicht mehr auf die Dateien zugreifen. Über die gezeigte Methode hinaus können auch komplette Laufwerke wie portable Festplatten verschlüsselt werden. Außerdem ist es möglich, Containerdateien in einem Container zu verstecken. Installation Eine ausführliche Installations und Bedienungsanleitung finden Sie auf unserer Homepage: www.ls bw.de/beruf/projektg/hls Laden Sie die aktuelle Datei (hier: TrueCrypt Setup 7.0a.exe) von www.truecrypt.org/downloads entsprechend Ihrem Betriebssystem herunter. Unter www.truecrypt.org/localizations laden Sie sich die Sprachdatei für Deutsch herunter. Diese liegt als.zip Datei vor. Entpacken Sie die Datei Language.de.xml in das Verzeichnis, in dem Sie bereits TrueCrypt Setup 7.0a.exe abgelegt haben. Starten Sie den Installationsvorgang mit einem Doppelklick auf die Setup Datei und folgen Sie den Anweisungen mit zahlreichen Hilfestellungen. Einen Container anlegen Die verschlüsselten Daten werden von TrueCrypt in einem so genannten Container abgelegt. Dieser Container stellt sich für das Betriebssystem wie eine normale Datei dar. Sie kann kopiert, verschoben oder gelöscht werden. Die Existenz eines oder mehrerer Container ist Voraussetzung für das Arbeiten mit verschlüsselten Daten. Abb. 1: Datenfluss bei der Verwendung von TrueCrypt 5

Landesinstitut für Schulentwicklung Nach dem Start von TrueCrypt müssen Sie sich entscheiden, was für einen Volumenstyp Sie verwenden wollen. das Verzeichnis, in dem Sie die Containerdatei gespeichert haben und öffnen Sie diese. Wählen Sie einen freien Laufwerksbuchstaben und klicken Sie auf einbinden. Geben Sie anschließend noch Ihr Kennwort ein. Im großen Fenster über dem TrueCrypt Symbol sehen Sie nun, dass die Containerdatei E:\Schule\noten.tc dem Laufwerk P: zugeordnet ist. Abb. 2: TrueCrypt Container (Volumen) erstellen Hier soll es darum gehen, eine Containerdatei zu erstellen. Tipps Wenn Sie den Namen der Containerdatei mit der Endung.tc versehen, können Sie TrueCrypt später direkt durch Doppelklick auf das Dateisymbol starten. Sie können auch andere Dateiendungen wählen, was einen gewissen Schutz bedeuten könnte, z. B. renate.svg. Auf diese Weise erschweren Sie es ungebetenen Gäste eine verschlüsselte Datei zu erkennen. Bei den Verschlüsselungseinstellungen halten Sie sich einfach an die vorgeschlagenen Einstellungen AES und RIPEMD 160 und klicken Sie auf Weiter. Bei der Volumen Größe sollten sie beachten, dass ein sehr großes Volumen zu langen Zugriffszeiten führt. Die Größe entspricht der Speicherkapazität des Volumens und ist gleichzeitig die Größe der Container Datei. Eine ausreichende Größe für Notentabellen und Briefe wäre 200 MB. Abb. 3: TrueCrypt unter Windows Im Dateimanager wird ein zusätzlicher lokaler Datenträger (P:) angezeigt. Da das Volumen neu ist, werden natürlich noch keine Dateinamen angezeigt. Sie können nun wie gewohnt mit dem Verzeichnis arbeiten. Die Dateien, die Sie verschlüsselt haben wollen, kopieren Sie ganz einfach in dieses Verzeichnis. In Wirklichkeit befinden sich die Dateien in der verschlüsselten Containerdatei. Unter Linux und MacOSX wird die Containerdatei über einen Ordner bereitgestellt. Beim folgenden Beispiel wird die auf einem USB Stick liegende Containerdatei renate.svg mit einer Größe von 99 MB im Order /media/truecrypt6 zur Verfügung gestellt. Wählen Sie ein ausreichend langes und sicheres Kennwort. Es sollte mindestens 20 Zeichen lang sein und eine Kombination aus Groß und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Arbeiten mit einem TrueCrypt Container Nach den beschriebenen Vorarbeiten können Sie den TrueCrypt Container einbinden, das bedeutet, dass die Containerdatei wie ein lokales Laufwerk behandelt wird. Dort befinden sich Ihre Ordner, Programme und Dateien. Nach dem Start von TrueCrypt sehen Sie ein leeres Fenster. Klicken Sie auf Datei und navigieren Sie in Abb. 4: TrueCrypt unter Linux 6

Aushängen des TrueCrypt Containers Wenn Sie mit der Arbeit fertig sind, müssen Sie das Volumen wieder vom Laufwerksbuchstaben trennen. Öffnen Sie dazu wieder das Programm TrueCrypt. Markieren Sie den Laufwerksbuchstaben und klicken Sie danach auf Trennen. Damit ist die Verbindung aufgehoben und im Dateimanager ist das Symbol Lokaler Datenträger (P:) wieder verschwunden. Ändern des Kennworts Es gibt verschiedene Situationen, durch die Sie sich vor die Notwendigkeit gestellt sehen, Ihr Kennwort für ein TrueCrypt Volumen zu ändern. Wählen Sie über die Schaltfläche Datei Ihren True Crypt Container aus. Über die Schaltfläche Vol.Operationen können Sie nun Ihr Kennwort ändern. OK. Wie schon beim Anlegen eines TrueCrypt Containers werden Sie aufgefordert, die Maus mindestens 30 Sekunden lang im Fenster zu bewegen. Nach einem Klick auf Fortsetzen wird der Vorgang abgeschlossen. Wenn Sie nun den TrueCrypt Container einbinden wollen, werden Sie wieder aufgefordert das (neue) Kennwort einzugeben. Quellen (1) http://www.kultusportal bw.de (2) http://lehrerfortbildung bw.de/werkstatt / sicherheit/ Rudolf Arnold rudolf.arnold@zpg.ls bw.de Ralf Grauer ralf.grauer@zpg.ls bw.de Im folgenden Fenster geben Sie Ihr altes Kennwort und zweimal das neue Kennwort ein und klicken auf Verschlüsselung mit Advanced Encryption Standard Einführung in den Verschlüsselungsalgorithmus Die ständige Zunahme von Cyberkriminalität und Industriespionage erfordert Gegenmaßnahmen. Eine davon ist die Verschlüsselung von Daten, sowohl bei der Übertragung als auch bei der Speicherung. Immer schnellere Computer haben früher bewährte Verschlüsselungsmethoden zunehmend unbrauchbar gemacht, weil damit verschlüsselte Daten inzwischen mit einem erträglichen zeitlichen Aufwand entschlüsselt werden können. Um dem entgegen zu wirken, wurde 1998 ein Wettbewerb zur Erstellung eines möglichst sicheren und dennoch einfachen Verschlüsselungsalgorithmus ausgeschrieben. Im Oktober 2000 ging der Algorithmus Rijndael der belgischen Forscher Joan Daemen und Vincent Rijmen als Sieger hervor. Er wird seitdem als Advanced Encryption Standard (AES) bezeichnet. Der Algorithmus gilt momentan als sicher genug, um auch Dokumente der US Regierung mit höchster Geheimhaltungsstufe zu verschlüsseln. Das Verfahren ist zudem frei verfügbar und stellt nur geringe Anforderungen an die Hardware. AES ist eine symmetrische Methode, bei der beim Verschlüsseln und beim Entschlüsseln derselbe Schlüssel verwendet wird. (Asymmetrische Methoden benötigen unterschiedliche Schlüssel.) Der AES Algorithmus baut auf drei grundlegenden Verschlüsselungsverfahren auf: Addition Permutation Substitution Additionsverfahren Beim Additionsverfahren werden den Zeichen Zahlen zugeordnet; zu diesen werden durch den Schlüssel definierte andere Zahlen addiert. Die daraus entstandene verschlüsselte Zeichenfolge kann wieder entschlüsselt werden, wenn man die Zahlen des Schlüssels wieder abzieht. Benutzt man Binärzahlen (wie in der Computertechnik üblich) ist das Verfahren besonders einfach. Die einzelnen Bits werden mit der logischen Operation Exklusives Oder (XOR) verknüpft. 7

Landesinstitut für Schulentwicklung Dabei ergibt z. B. 0 + 1 = 1 und 1 + 1 = 0, wie der nachfolgenden Tabelle zu entnehmen ist. Substitutionsverfahren Das Substitutionsverfahren ist das bekannteste. Dabei wird jedes Zeichen durch ein anderes ersetzt. Historisches Beispiel ist das Verfahren nach Cäsar, bei dem die Buchstaben nacheinander auf zwei Scheiben geschrieben sind. Die Scheiben werden gegeneinander verdreht und jedem Buchstaben der äußeren Scheibe wird ein anderer Buchstabe auf der inneren Scheibe zugeordnet. So entsteht der verschlüsselte Text. Wird von innen nach außen gelesen, erhält man wieder den Klartext. Abb. 1: Additionsverfahren XOR Abb. 2: Einfaches Permutationsverfahren Abb. 3: AES Permutationsverfahren Das obige Beispiel zeigt, wie aus dem Klartext (1. Zeile) und dem Schlüssel (2. Zeile) durch XOR Verknüpfung der verschlüsselte Text (3. Zeile) wird. Wie man nachprüfen kann, ist es möglich durch XOR Addition der 3. und der 2. Zeile wieder die 1. Zeile zu errechnen. Permutationsverfahren Beim Permutationsverfahren werden nicht die Zeichen, sondern ihre Reihenfolge verändert. Im folgenden Beispiel wird ein 4 mal 4 großer Block zeilenweise mit 16 Zeichen (entsprechende 128 Bit) beschrieben. Der verschlüsselte Block entsteht dadurch, dass die Werte der Zeilen in die Spalten transponiert werden. Originaltext verschlüsselter Text Dies ist natürlich nur eine von unzähligen Möglichkeiten. Ein weitere Möglichkeit, wie sie auch von AES benutzt wird, ist das zeilenweise Verschieben der Zeichen um 0, 1, 2 und 3 Plätze nach links, wobei die vorne heraus geschobenen Zeichen hinten wieder angehängt werden. Abb. 4: Substitutionstabelle (oben) mit Klartext (links) und verschlüsseltem Text (rechts) Begriffe und Kenndaten von AES Der AES weist folgende Eigenschaften auf: Blockgröße der Daten 128 Bit Schlüssellänge 128, 192 oder 256 Bit Anzahl der Verschlüsselungsrunden 10, 12 und 14 Die Verschlüsselung erfolgt durch das mehrfache Durchlaufen der im vorigen Abschnitt aufgeführten Methoden. Wie oft der Vorgang ausgeführt wird, ist in der Anzahl der Runden festgelegt. Bei einem 128 Bit Datenblock und einem 128 Bit Schlüssel ist die Anzahl der Runden 10. Bei einem 192 Bit Schlüssel ist die Anzahl 12 und bei 256 Bit 14. Vor der Verschlüsselung wird der Schlüssel nach einem festen mathematischen Verfahren erweitert, um für jede Runde mit einem anderen Teilschlüssel arbeiten zu können. Für einen 128 Bit Schlüssel errechnet sich die Länge sl des erweiterten Schlüssels aus der Rundenzahl n Runden und der Datenblockgröße b: sl=(n+1)*b. Bei 10 Runden beträgt sl = 11*128 = 1408 Bit. Die Teilschlüssel werden auch als Rundenschlüssel bezeichnet. Die 128 Bits eines Blocks werden zu 16 Bytes zusammengefasst und in eine 4 x 4 Matrix geschrieben. Die hier vorgestellten Verfahren werden auf folgende Weise genutzt: 8

Additionsverfahren: Der 128 Bit Datenblock wird mit dem Teilschlüssel der betreffenden Runde mit XOR verknüpft. Permutationsverfahren (auch Zeilenverschiebung genannt): Die Bytes werden wie oben beschrieben zeilenweise nach links verschoben. Substitution 1: Jedem Zeichen wird über eine feste Tabelle ein anderes Zeichen zugeordnet. Substitution 2: Das Verfahren heißt bei AES Spaltenmischung. Dabei werden die 4 Bytes jeder Spalte mit einer 4 x 4 Matrix multipliziert. Abb. 5: Struktur des AES Zusammenfassung Die obige Abbildung bezieht sich auf die Datenblockgröße von 128 Bit und auf eine Schlüssellänge von 128 Bit. Zunächst wird der Datenblock mit dem Rundenschlüssel 0 mit XOR verknüpft. Anschließend werden eine Substitution, eine Zeilenverschiebung und eine Spaltenmischung durchgeführt. Danach wird zum verschlüsselten Block der Rundenschlüssel 1 mit XOR addiert. Diese Aneinanderreihung von Verfahren wird insgesamt neunmal durchlaufen. In der Schlussrunde unterbleibt die Spaltenmischung. Hier wird nach der Substitution und der Zeilenverschiebung direkt der letzte Rundenschlüssel addiert. Am Ende steht dann der nach AES verschlüsselte 128 Bit Block zur Verfügung. Eine wichtige Besonderheit des Verfahrens besteht darin, dass die Rundenschlüssel nur bei der XOR Verknüpfung verwendet werden. Die Substitution, Zeilenverschiebung und Spaltenmischung hängen nicht von den Teilschlüsseln ab, sondern sind fest vorgegeben. Quellen: (1) Hofmeier, Andreas: AES Eine Einführung in Kryptographie, Hochschule Bremen, 2006 (2) Daemen, J., und V. Rijnen: AES: The Advanced Encryption Standard, The Design of Rijndael, 2006 (3) de.wikipedia.org: 21.09.2011, Suchwort: Advanced Encryption Standard Rudolf Arnold rudolf.arnold@zpg.ls bw.de Ralf Grauer ralf.grauer@zpg.ls bw.de 9

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback