und der IT-Sicherheit (11) Vorlesung im Sommersemester 2005 von
Struktur der heutigen Vorlesung Fortsetzung der Vertiefung zu grundlegenden Anfragen: Beispiele zu kryptographischen Grundlagen - symmetrische Verschlüsselung: Stromchiffre - asymmetrische Verschlüsselung: RSA Verfahrensverzeichnis Risikobewertung nach dem IT-Sicherheitshandbuch des BSI von 1992 Hinweise zu Primzahlen und zum V-Modell XT Sammlung potentieller Prüfungsfragen 2
Vertiefung einzelner Grundlagen 3
Zum Verfahrensverzeichnis jedes einzelne Verfahren zur Verarbeitung personenbezogener Daten inhaltliche Anforderung aus 4e BDSG (Meldepflicht gegenüber Aufsichtsbehörden, sofern kein Datenschutzbeauftragter bestellt wurde) Einsichtsrecht für Jedermann Unterteilung in öffentlichen Teil und nicht öffentlichen Teil der nicht öffentliche Teil unterscheidet sich bei nicht-öffentlichen Stellen (BDSG) von öffentlichen Stellen (jeweiliges LDSG bzw. BDSG) eine fundierte Datenschutzkontrolle erfordert detailliertere Angaben, als das Gesetz vorschreibt (Grund für Beschränkung: Betriebsgeheimnisse und Entwicklungsoffenheit!) 4
Beispiel zur Kryptographie: Symmetrische Verschlüsselung Sender: Klartext: 1 0 1 1 + Schlüssel: 1 1 0 1 [XOR] = Chiffre: 0 1 1 0 Empfänger: Chiffre: 0 1 1 0 - Schlüssel: 1 1 0 1 [XOR] = Klartext: 1 0 1 1 5
Beispiel zur Kryptographie: Asymmetrische Verschlüsselung Verfahren nach Rivest, Shamir und Adleman (RSA): Ausgangspunkt für Empfänger (!): wähle zwei Primzahlen p + q; z.b. p=3 und q=7 berechne das Produkt dieser Primzahlen und dessen Eulerschen Funktionswert; n=p*q=3*7=21 und ϕ(n)=(p-1)*(q-1)=2*6=12 wähle zufällig den geheimen Dechiffrierschlüssel d, für den gilt: ggt(d, ϕ(n))=1; z.b. d=5 berechne den zu d gehörenden öffentlichen Chiffrierschlüssel e, für den gilt: d*e 1 mod ϕ(n); 5*e 1 mod 12 e=17 (5*17=85=7*12+1); Anm: empfohlen sind e=3, e=17, e=65537 veröffentliche n und e 6
Beispiel zur Kryptographie: Asymmetrische Verschlüsselung Sender: (e=17, n=21) Klartext: 10 11 Chiffre: 19 2 c i =(m i ) e mod n Empfänger: (d=5, n=21) Chiffre: 19 2 Klartext: 10 11 m i =(c i ) d mod n 7
Zum Vergleich symmetrischer zu asymmetrischer Verschlüsselung Gemäß Primzahlensatz gilt für die Primzahl-Anzahl: (n/[ln(n)+2]) < π(n) < (n/[ln(n)-4]) π(n) [n/ln(n)] im Intervall [1.. 1024] π(n) 148 (Primzahlen) im Intervall [1.. 2048] π(n) 269 (Primzahlen) im Intervall [1.. 3072] π(n) 382 (Primzahlen) im Intervall [1.. 4096] π(n) 492 (Primzahlen) beim Vergleich mit Bits ist zu beachten, dass jedes Bit den Wert 0 oder 1 annehmen kann 8
Risikomanagement nach IT- Sicherheitshandbuch des BSI 9
Risikobewertung nach dem IT- Sicherheitshandbuch des BSI Schadensskala: 4+ lebensgefährdend 4 existenzbedrohend 3 groß 2 mittel 1 gering 0 unbedeutend Skala zur Schadenshäufigkeit: 4 sehr häufig 3 häufig 2 mittel 1 selten 0 gering 0- ausgeschlossen 10
Überblick zum V-Modell XT 11
Ergebnis: Vertiefung einzelner Grundlagen Einblick in die Praxis der Tätigkeit von Datenschutzbeauftragten Wichtige Datenschutz-Normen außerhalb der Datenschutzgesetze Strafrechtsnormen Beispiel zu Nutzerprofil: Cookies Erstellung eines Verfahrensverzeichnisses (am Beispiel Netzwerktrafficanalyse) Beispiele zur Verschlüsselung Risikomanagement und bewertung nach IT-Sicherheitshandbuch des BSI 12
Aufgabe: Prüfungsfragen Formulieren Sie je eine Prüfungsfrage zu den Grundlagen der IT-Sicherheit soweit diese bisher in Vorlesung oder Übung behandelt wurden! Erstellen Sie zu einer Frage Ihre Musterlösung! Geben Sie zur Musterlösung die Punktevergabe an! Zeit: 15 Minuten! (pro Teil ca. 5 min) Ziel: Präsentierbare Lösung! 13