Sichere Kommunikation im Zeitalter von PRISM? Nationale Initiative für Internet- und Informations-Sicherheit Mathias Gärtner, NIFIS e.v. zweiter Vorstand Öffentlich bestellter und vereidigter Sachverständiger IT
Agenda Ist-Analyse Wie geschieht digitale Kommunikation Typische Abhörschnittstellen Metadaten und Inhaltsdaten Was sind Metadaten Inhaltsdaten Verschlüsselungen Mögliche Schutzvorrichtungen e-mail Cloud Datenübertragung
Ist-Analyse
Wie geschieht digitale Kommunikation Jedes Gerät im Internet verfügt über eine eindeutige IP-Adresse (oft nur der Internetanschluss und nicht jedes Gerät) Alle Daten werden in Paketen übertragen TCP/IP- Header Daten IP Zieladresse IP Quelladresse Anwendungsziel Anwendungsquelle
Digitale Kommunikation (allgemein) Jedes Datenpaket wird von einem Internetgerät (Router) zum nächsten übertragen. Der Übertragungsweg ist nicht im Voraus definiert.
Beispiel E-Mailtechnik Mailserver Mailstore MX-Record für it-svbuero.de MX-Record ist 127.0.0.1 Nachricht an Mathias.Gaertner@it-svbuero.de Mailserver IP: 127.0.0.1 DN-Server
Beispiel Webservice http://www.spiegel.de Webserver Welche IP- Adresse hat Www.spiegel.de? AA-Record ist 127.0.0.1 DN-Server GET index.html
Typische Abhörschnittstellen allgemein Jeder Internetknoten (Router) hat Abhöreinrichtungen eingebaut Jeder Verkehr, der durch einen Router geht, kann kopiert werden, teilweise auch über das Internet hinweg
Beispiel E-Mailtechnik Abhörschnittstellen beim Dienstanbieter Gesendete/empfangene Daten sind irgendwo gespeichert Etwas digital gespeicherte kann kopiert und analysiert werden Schnittstellen bei den Providern i.d.r. vorhanden Mailserver Mailstore Nachricht an Mathias.Gaertner@it-svbuero.de Mailserver IP: 127.0.0.1
Datentypen
Metadaten Metadaten sind die Daten über die Kommunikation, nicht jedoch die Inhalte der Kommunikation selbst Absender Adresse Zieladresse E-Mail Adressen Zeitpunkt und -dauer der Kommunikation Benutzte Anwendungen Mit den Metadaten kann das Kommunikationsverhalten einer Person (Computers) festgestellt werden. Auch ggf. von wo aus er kommuniziert hat und vor allem mit wem
Inhaltsdaten Inhaltsdaten sind die übertragenen oder gespeicherten Daten selbst Mit diesen Daten kann festgestellt werden, was die Person kommuniziert hat Im Falle der sozialen Netzwerke auch noch welche soziale Vernetzung die Person hat In der Cloud können auch Geschäftsgeheimnisse kopiert werden
Verschlüsselung Bei der Verschlüsselung können sowohl die gespeicherten Inhaltsdaten als auch die laufende Kommunikation verschlüsselt werden Jedoch nicht die Metadaten Je nach Einsatz wird ein symmetrisches oder asymmetrisches Verfahren verwendet Der verwendete Algorithmus muss mathematisch sicher sein
Inhalts-Verschlüsselung In der Regel symmetrisches Verfahren, ein Schlüssel verschlüsselt und entschlüsselt Ist der Schlüssel verloren, sind die Daten unlesbar Ist der Schlüssel kopiert worden so kann auch der Zweitinhaber die Daten entschlüsseln In einigen Ländern können Personen gezwungen werden solche Schlüssel herauszugeben
Transport-Verschlüsselung In der Regel asymmetrisches Verfahren, ein frei bekannter Schlüssel verschlüsselt und ein privater Schlüssel entschlüsselt Jedoch endet die Verschlüsselung beim ersten Provider (siehe DE-Mail) Im Falle einer SSL-Verschlüsselung (Webshops, Secure E-Mail) wird nur der Master-SSL Schlüssel benötigt um die Kommunikation in Echtzeit zu entschlüsseln
Generelles Problem Es ist bekannt geworden, dass die verwendeten Verfahren durch Geheimdienste kompromittiert wurden Der Algorithmus an sich ist sicher, die Schlüsselgenerierung jedoch nicht Die dazu notwendigen Zufallszahlen und/oder sog. Seed-Values wurden so gewählt, dass sie mathematisch schwache Schlüssel ergeben Damit sind die Daten auch ohne Kenntnis des Schlüssels entschlüsselbar
Schutzmöglichkeiten
Mögliche Schutzmassnahmen E-Mail Verschlüsseln der E-Mail mit Hilfe eines asymmetrischen Verfahrens (z.b. PGP) Verschlüsselt nicht die Metadaten Jeder Sender benötigt den Public Key des Empfängers Nicht jedes Verfahren ist mehr sicher, z.b. warnt RSA inc. vor der Verwendung einiger ihrer Produkte
Mögliche Schutzmassnahmen Datenübertragung Verschlüsseln der Kommunikationsinhalte mit Hilfe eines symmetrischen Verfahrens (TSL, SSL) Verschlüsselt nicht die Metadaten Verwenden Sie Anonymisierungsdienste (z.b. Tor) um die Metadaten zumindest teilweise zu verschleiern Die Verschlüsselung endet jedoch beim Provider. Die Daten können dort im Klartext gelesen werden
Mögliche Schutzmassnahmen Cloud Benutzen Sie keine Cloud, die Daten in Ländern oder Firmen speichert, welche fremden Gesetzen unterliegen. Das Gesetz in den USA z.b. erlaubt ausdrücklich das Kopieren von Daten von Nicht-US-Amerikanern zu JEDEM Zweck, auch und besonders der Industriespionage Verschlüsseln der Inhalte mittels symmetrischem Verfahren durch eigene Verfahren und eigene Schlüssel Die Verschlüsselung endet jedoch beim Provider. Die Daten können dort im Klartext gelesen werden
Fazit
Fazit Einen 100% wirksamen Schutz gibt es nicht Das Mitlesen kann deutlich erschwert werden Verschlüsselung hilft, jedoch ist große Sorgfalt auf das Verfahren zu legen. Verfahren, die durch die NIST standardisiert wurden sind abzulehnen Abhören dient in der Regel NICHT zum Fangen von Kriminellen sondern auch und besonders zur Wirtschaftsspionage
Vielen Dank für Ihre Aufmerksamkeit! Weitere Informationen unter www.nifis.de