Die Grenzen technischer Schutzmöglichkeiten ecambria® experts

ecambria experts
®
Die Grenzen technischer
Schutzmöglichkeiten
Dr. Oliver Stiemerling*
Diplom-Informatiker
ecambria systems GmbH
Herzogenrather Str. 11
50933 Köln
Tel +49 (0) 221 595527-0
Fax +49 (0) 221 595527-5
[email protected]
* von der IHK öffentlich bestellter und vereidigter Sachverständiger
für Systeme und Anwendungen der Informationsverarbeitung
© 2014 ecambria systems GmbH Dr. Oliver Stiemerling
1
1
Verschlüsselungsverfahren und -protokolle sind zumeist durch
jahrelange Angriffsversuche gehärtet bzw. entwertet worden
• MD5
• DES
vollständige
Offenlegung
„peer review“
…
Wettbewerbe
• AES 256
• RSA 2024
• SHA 3
weltweiter,
industrieller Einsatz
physikalische Grenzen
(benötigte Energie)
• …?
t
© 2014 ecambria systems GmbH Dr. Oliver Stiemerling
mathematische
Eigenschaften
2
2
Beim Einsatz von Verschlüsselung in der Praxis ergeben sich häufig
gravierende Sicherheitslücken durch Organisationsmängel
© 2014 ecambria systems GmbH Dr. Oliver Stiemerling
3
3
Typische organisatorische Schwachstellen in der Anwendung von
Verschlüsselung
 Einfaches Anbringen von Keyloggern (Hardware, Software, oft
auch Kameras und Beobachtung)
 Passwörter werden notiert (gerade komplexe Passwörter)
 Passwortersatzprozesse (Passwortersatzfrage…)
 Temp-Files (Worddokumente aus Truecrypt-Containern)
 Unsichere Transportwege (Abfrage verschlüsselter Festplatten)
 Unsichere Verarbeitung (Daten müssen entschlüsselt werden)
 Unsichere Speicherung (PGP-E-Mails auf unverschlüsselter,
verlorener Platte)
 Falsche „Einbau“ in den Rest der Software (hardkodierte
Schlüssel etc.)
 Rechtliche Pflicht zur Herausgabe von Passwörtern
 …
© 2014 ecambria systems GmbH Dr. Oliver Stiemerling
4
4
Auch wenn man typische Fehler bei der Anwendung von Kryptografie
vermeidet, verbleibt als Problem das notwendige Vertrauen in zentrale
Stellen, die angreifbar sind oder staatlichen Weisungen folgen müssen.
 Alle für normale Nutzer anwendbaren kryptografischen
Verfahren erfordern Vertrauen in zentrale Stellen – zumeist in
anderen Staaten / Jurisdiktionen.
• Transportverschlüsselung im Internet (SSL) → Vertrauen in
Zertifikatstellen
• Nutzung von Software z.B. zur Festplattenverschlüsselung, E-MailVerschlüsselung → Vertrauen in Softwarehersteller
• Anwendung von Standards z.B. zur Generierung von Zufallszahlen
→ Vertrauen in Standardisierungsgremien
 Beispiele der jüngeren Vergangenheit haben gezeigt, dass
solche zentralen Stellen technisch angreifbar (DigiNotar) oder
zur Kooperation mit staatlichen Organisationen im eigenen Land
verpflichtet sind (Google, Microsoft, Facebook, …).
© 2014 ecambria systems GmbH Dr. Oliver Stiemerling
5
5
Zentrale Schwachstellen in der Anwendung von Verschlüsselung: SSL
PKI
 SSL (Online-Banking, E-Mail, eShops…) basiert auf Vertrauen
in die mit dem Browser installierten Root-Zertifikate:
 Hier hat der Nutzer anscheinend Vertrauen in Firmen, die in
verschiedenen fremden Jurisdiktionen angesiedelt sind.
© 2014 ecambria systems GmbH Dr. Oliver Stiemerling
6
6
Zentrale Schwachstellen in der Anwendung von Verschlüsselung:
Download von Verschlüsselungssoftware
 Beispiel: Nutzung von TrueCrypt (Container- oder Festplattenverschlüsselung) basiert auf Vertrauen in eine anonyme
Entwicklergruppe
 Aktuell laufen Bemühungen, den gesamten Quellcode vom
TrueCrypt auf Hintertüren zu durchsuchen.
 Es wurde schon geprüft, dass die zum Download gestellte
Version tatsächlich aus dem entsprechenden Sourcecode
erstellt wurde.
 Andere Beispiele: Browser, Betriebssysteme, EMailverschlüsselung
© 2014 ecambria systems GmbH Dr. Oliver Stiemerling
7
7
Zentrale Schwachstellen in der Anwendung von Verschlüsselung:
Vertrauen in Standardisierungsgremien
 Beispiel: Standardisierung eines schwachen
Zufallszahlengenerators durch das NIST:
© 2014 ecambria systems GmbH Dr. Oliver Stiemerling
8
8
Fazit
 Verschlüsselung muss sorgfältig und vollständig angewandt
werden – selbst um sich vor zufälliger, ungewollter Offenlegung
von privaten Daten zu schützen.
 Ein technischer Schutz gegen staatlichen Zugriff ist de facto
unmöglich, da alle Verfahren für den Normalnutzer auf
Vertrauen in zentrale Stellen basieren.
 Hier sind Justiz und Gesetzgeber gefragt:
• Was darf der Staat? Wie darf der Bürger sich schützen?
• Wie kann ein Staat seine Bürger vor dem Zugriff durch andere
Staaten schützen?
• Wie kann der gesetzeskonforme Umgang mit staatlich im
Geheimen „erhobenen“ Daten sichergestellt werden?
© 2014 ecambria systems GmbH Dr. Oliver Stiemerling
9
9
Vielen Dank für Ihre Aufmerksamkeit!
Fragen?
© 2014 ecambria systems GmbH Dr. Oliver Stiemerling
10
10
© 2014 ecambria systems GmbH Dr. Oliver Stiemerling
11
11

Download Report