30. Juli 2013 - Datensicherheit

Sicherheit durch Verschlüsselung?

Spätestens seit den Veröffentlichungen zu den Themen Prism, Boundless Informant und Tempora kommt das Thema Verschlüsselung und Sicherheit immer mehr auf, um sowohl die ruhenden als auch und vor allem die übertragenen Daten zu schützen.

sicherheit-durch-verschlusselung.jpeg
Selbst durch Verschlüsselung ist keine hundertprozentige Sicherheit für Daten möglich (Bild: Thinkstock)

Die Verschlüsselung sensibler Daten ist bei Unternehmen und Behörden meist bereits selbstverständlich.

In früheren Zeiten war die Verschlüsselung oft nur eingeschränkt möglich, beispielsweise bei DES mit einer Schlüsseltiefe von 40 Bit. Das Knacken dieser Verschlüsselung ist durch Ausprobieren aller 240 Schlüssel möglich und einfach, besonders wenn hierfür spezielle und massiv parallel geschaltete CPUs eingesetzt werden. Der materielle Aufwand ist zwar hoch, der Einsatz solcher Systeme aber wohl nicht unüblich.

Sicherheit durch Verschlüsselung hat Tücken

Die sichere Datenübertragung zu Servern geschieht heute oft durch den Einsatz von SSL.

US-Medien haben nun berichtet, dass Regierungsbehörden versuchen, auf Serverbetreiber und Dienstanbieter im Internet einzuwirken, die geheimen Schlüssel herauszugeben. Mit diesen Schlüsseln ist die dann nur noch vermeintlich vertrauliche Übertragung von Daten direkt zu überwachen [1]. In einem solchen Fall kann auch oft nicht nur die momentan stattfindende Übertragung entschlüsselt, sondern auch auf bereits übertragene und gespeicherte verschlüsselte Daten zugegriffen werden.

Browser haben eine Liste von Zertifizierungsstellen (CAs), denen vertraut wird. Diese Liste wird, wenn z.B. eine CA nicht mehr als vertrauenswürdig gilt, automatisch aktualisiert. Diese Automatik ist bei allen Windows-Versionen automatisch eingeschaltet. Stammzertifikate anderer CAs lassen sich so automatisch in ein Windows-System integrieren, wodurch sich auch auf diesem Weg die verschlüsselten Strecken überwachen lassen [2]. Dieses Problem betrifft alle Browser bis auf Firefox, der eine eigene Krypto-Infrastruktur nutzt.

Auch durch Verschlüsselung ist keine 100%-Sicherheit möglich

Die Überwachung von HTTPS-Verbindungen geschieht heute häufig auch durch Unternehmen und Behörden an deren Firewall. Hier werden die übertragenen Daten entschlüsselt, geprüft und dann neu verschlüsselt weitergeleitet. Insofern ist HTTPS bzw. SSL/TLS nicht immer für die Übertragung sensibler Daten geeignet.

Besser geschieht die Übertragung mit anderen Verschlüsselungsmethoden, die eine sog. „Ende-zu-Ende“ Sicherheit bieten. Beispiele hierfür wären IPSec-VPN, bei denen feste Verschlüsselungsstecken mit (eigenen und überprüften) Zertifikaten authentifiziert und mit sicheren symmetrischen Verschlüsselungsalgorithmen und großen Schlüssellängen gesichert sind.

Es lauern aber weitere Probleme, beispielsweise beim Einsatz von Multi-Core Systemen. Forscher fanden heraus, dass beim Zugriff auf den gleichen virtuellen L3-Cache Schlüssel ausspioniert werden können [3]. Hiervon betroffen ist u.a. GnuPG, für das jetzt ein Update zur Verfügung steht [4].

Insofern sind auch durch Verschlüsselung die oft geforderte „100%-Sicherheit“ nicht erreichbar.

Links:

[1] http://news.cnet.com/8301-13578_3-57595202-38/feds-put-heat-on-web-firms-for-master-encryption-keys/

[2] http://www.heise.de/ct/artikel/Microsofts-Hintertuer-1921730.html

[3] http://eprint.iacr.org/2013/448.pdf

[4] http://lists.gnupg.org/pipermail/gnupg-announce/2013q3/000330.html

(30.07.2013/fgo)

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln