*Franz-Peter Heider hat an der Entwicklung von Verschlüsselungsverfahren für Datennetze in der Gesellschaft für Elektronische Infomationsverarbeitung mbH, GEI, Bonn, entscheidend mitgearbeitet. Auf der diesjährigen Hannover-Messe wurde die Nullversion eines entsprechenden Kryptorechners der GEI der Öffentlichkeit vorgestellt.

Die Übertragung sensitiver Daten in öffentlichen Netzen ist risikoreich. Die leichte Zugänglichkeit der Datenströme ist nicht zu vermeiden. Trotzdem ist es möglich, die Informationen abzuschirmen. Diese "Abschirmung" soll einmal unbeabsichtigtes Mithören verhindern, andererseits aber auch beabsichtigte Angriffe abwehren: so zum Beispiel das unzulässige Mithören, das Einfügen falscher Nachrichten und das Wiedereinspielen korrekter Nachrichten sowie Versuche zur System-Blockierung oder zur Herstellung unberechtigter Verbindungen.

Die Datenverschlüsselung ist das wichtigste Mittel, diesen Bedrohungen zu begegnen. Zwei Hauptaufgaben sind zu leisten:

- das Verbergen von Nachrichten-Inhalten vor unberechtigter Kenntnisnahme,

- die Gewährleistung der Authentizität der Nachricht, also eine Art digitaler Unterschrift.

Zum einen gibt es die konventionelle Art der Verschlüsselungsverfahren. Hier dient die Datenverschlüsselung dazu, "physikalisch unsichere" Übertragungskanäle zu "logisch sicheren", Übertragungskanälen zu machen. Die herkömmlichen Verfahren verwenden zu diesem Zweck zwei Übertragungskanäle:

- einen sicheren Kanal, um einen Schlüssel zu verteilen. Dieser Kanal bietet die Möglichkeit zur Authentifizierung. Er ist aber für den übrigen Datenverkehr zu langsam.

- einen unsicheren schnellen Übertragungskanal, über den jedoch nur verschlüsselte Nachrichten gesendet werden.

Erzeugung, Verteilung und Verwaltung problematisch

Beim weiträumigen Einsatz solcher Verschlüsselungssysteme wird die sichere Erzeugung, Verteilung und Verwaltung von Schlüsseln problematisch. Sehr schnell stößt man auf ein Dilemma zwischen Sicherheit und Kosten-Effizienz.

Zum anderen gibt es die asymmetrischen Verschlüsselungsverfahren. Vor zirka zehn Jahren wurde von Whitfield Diffie und Martin Hellman von der Stanford-University das Konzept der Public-Key-Verschlüsselungsverfahren oder asymmetrischen Verschlüsselungsverfahren entwickelt, durch das das Schlüsselverteilungs- und

-verwaltungsproblem gelöst wird.

Die Grundidee eines asymmetrischen Verschlüsselungsverfahrens besteht in dem revolutionären Gedanken, daß jeder Teilnehmer A eines Datennetzes ein Schlüsselpaar verwendet, das aus

- einem öffentlichen Schlüssel besteht, der in einem öffentlichen Register geführt wird, sowie

-einem geheimen oder privaten Schlüssel, den der Teilnehmer bei sich erzeugt und stets bei sich behält.

Durch die Verwendung des öffentlichen Schlüssels zur Verschlüsselung entfällt die Notwendigkeit eines sicheren Schlüsselverteilungskanals, wie die folgende Beschreibung eines Kommunikationsvorgangs zwischen zwei Teilnehmern A und B zeigt.

Vor der Übersendung einer Nachricht an B besorgt sich A aus dem öffentlich

zugänglichen Register den öffentlichen Schlüssel von B. Damit verschlüsselt A seine Nachricht, den Chiffretext sendet er an B.

Nur B kann nun mit seinem geheimen Schlüssel aus dem Chiffretext wieder den Klartext zurückgewinnen. Beide Kanäle, der Schlüsselverteilungskanal wie der Übertragungskanal, dürfen in einem asymmetrischen Verschlüsselungssystem unsicher sein.

Zusammenfassend läßt sich sagen, daß asymmetrische Verschlüsselungsverfahren folgende Optionen für Datennetze bieten:

- zuverlässige Versendung vertraulicher Nachrichten,

- unverfälschbare "digitale Unterschrift",

- Versendung signierter vertraulicher Nachrichten.

Die Abbildung zeigt ein Datennetz, in dem alle Teilnehmer über Host-Rechner mit einem zentralen Schlüsselregister verbunden sind. Die Teilnehmer kommunizieren sowohl untereinander wie auch mit dem Schlüsselregister über elektronische Post.

Die einzige Bedingung an die Sicherheit des Netzes bei einem asymmetrischen Verschlüsselungssystem ist das vertrauenswürdige Funktionieren des öffentlichen Schlüsselregisters. Es sind keine Voraussetzungen über die Sicherheit der Übertragungswege im Netzwerk oder an die Sicherheit der Host-Rechner zu treffen.

Die Aufgabe des Schlüsselregisters liegt darin

- eine korrekte Antwort auf jede Frage nach einem öffentlichen Schlüssel zu geben,

- diese Antwort mit dem geheimen Schlüssel des Schlüsselregisters digital zu unterschreiben.

Eine Variante der Verwendung eines Schlüsselregisters liegt darin, daß man lediglich die Schlüsselverteilung mittels eines asymmetrischen Verfahrens vornimmt, ansonsten aber in einem Netz auf der Basis eines symmetrischen Verschlüsselungssystems (etwa auf DES-Basis) arbeitet.

Hierin sind alle Übertragungskanäle unsicher. Das Schlüsselregister hält für jeden Kommunikationsvorgang zwischen zwei Teilnehmern einen Schlüssel bereit, der vor Aufnahme der eigentlichen Kommunikation über das asymmetrische Verfahren verschlüsselt beiden zugesandt wird.

Denkbare Sicherheitsbedrohungen

Aber zurück zum anfangs behandelten Fall eines Netzes auf der Basis eines "echten" asymmetrischen Verfahrens. Da für die Kommunikationsvorgänge selbst nur die öffentlichen Schlüssel verwendet werden, brauchen sie nicht geheimgehalten zu werden. Dennoch gibt es denkbare Sicherheits-Bedrohungen:

Der Teilnehmer A erhält den öffentlichen Schlüssel von B über das elektronische Medium. Wie kann verhindert werden, daß ihm ein (1) gefälschter öffentlicher Schlüssel, etwa ein zeitlich abgelaufener, außer Kraft gesetzter Schlüssel zugespielt wird?

Dazu kann man zwei unterschiedliche Schutzmaßnahmen heranziehen:

- die Offline-Validierung oder

- die Online-Validierung.

Die Offline-Validierung kann geschehen zum Beispiel durch wöchentliche Veröffentlichung eines Hardcopy-Auszugs der im Schlüsselregister geführten gültigen Schlüssel etwa im Bundesanzeiger. Aus Praktikabilitätsgründen wird man jedoch eine Online-Validierung mittels sogenannter Zertifikate bevorzugen. Auch die (2) Kompromittierung des geheimen Schlüssels eines Teilnehmers stellt eine ernsthafte Gefahr dar, da sowohl alle an ihn gerichteten Nachrichten entschlüsselt werden können als auch seine digitalen Signaturen auf anderen Schreiben gefälscht werden können.

Zertifikate mit Zeitmarken können die Authentizität der Schlüssel wieder herstellen, wenn der Verlust eines geheimen Schlüssels sofort dem Schlüsselregister mitgeteilt wird. Schließlich sei darauf hingewiesen, daß geheime Schlüssel gar nicht im Teilnehmer -Terminal gespeichert sein müssen. ROMs, wie etwa das neue Intel KEPROM 27916 oder Smart-Cards, reduzieren das Kompromittierungsrisiko erheblich.

Ähnliche Überlegungen treffen zu im Falle der (3) Kompromittierung des geheimen Schlüssels des Schlüsselregisters.

Es ist daher dringend zu empfehlen, den Betrieb eines Schlüsselregisters zusammen mit einem Online-Zertifizierungs-Log zu fahren, dessen Aufgabe in folgenden Punkten zusammengefaßt ist:

- Registrierung der öffentlichen Schlüssel durch Eintrag der Zertifikate in das Log,

- Registrierung von Signaturen durch Eintrag eines Signatur-Zertifikats in das Log,

- Aufzeichnen von Schlüssel-Kompromittierungen.

In den vergangenen Jahren wurden zahlreiche Verfahren zur Realisierung asymmetrischer Verschlüsselungs- beziehungsweise Signaturverfahren vorgeschlagen.

Während die Sicherheit der sogenannten Tornister-Systeme durch neue mathematische Methoden (vergleiche COMPUTERWOCHE Nr. 5, vom 1. Februar 85, Seite 20) erheblich in Frage gestellt wurde, haben die auf zahlentheoretischen Berechnungsproblemen beruhenden asymmetrischen Verfahren jedem Analyse-Versuch widerstanden.

Als Beispiel ist in dem Kasten kurz das nach den Mathematikern R. Rivest, A. Shamir und L. Adleman benannte RSA-Verschlüsselungsverfahren erläutert.

Als realistische Größenordung für die zu wählende Schlüsselgröße-das ist im vorliegenden Fall die Bit-Länge von n - werden 512 Bits in Betracht gezogen.

Die Verschlüsselung von Text erfolgt so, daß zunächst die Charaktere in Ziffern codiert werden, die entstehende Ziffernkette wird dann so in Blöcke aufgeteilt, daß jeder Block eine 512-Bit-stellige Zahl repräsentiert, die kleiner als n ist.

Das Hauptproblem bei der Implementierung ist, die erforderliche 512stellige Integer -Arithmetik. Software-Implementierungen sind sehr langsam (4 Sek. pro 512-Bit-Block sind die beste nur bekannte Zeit für einen Mikrorechner mit MC68000-Prozessor). Allerdings sind bei Nippon Telegraph & Telephone und British Telecom C-MDS VLSI-Chip-Entwicklungen im Gange, die Verschlüsselungsraten von 50-100 KBit pro Sekunde leisten sollen.

Sorgfältige Sicherheitsanalysen des RSA-Verfahrens zeigen, daß Datennetze mit 512-Bit-Schlüsseln eine sichere Alternative auch in der Zukunft sein werden.

Zeitschriften:

D. Davies-W. Price,

Digital signatures - an update, NPL Report DITC 51 / 84, 1984

W. Diffie-M. E. Hellman,

New Directions in Cryptography, IEEE Transactions Information Theory, Vol-

IT-22, 1976, 644-654

J. Donnelley-J. Fletcher,

Ressource Access Control in a Network

Operating System, Proc. ACM Pacific '80, 1980,115-125

H. W. Lenstra,

Integer Programming and Cryptography, The Mathematical Intelligencer, Vol. 6, 1984,14-19

E. Michelman,

The Design and Operation of Public-Key Cryptosystems, NCC AFIPS-Nat. Comput. Conf. Proc. Vol. 48, 1979, 305-311

R. Rivest-A. Shamir-L. Adleman,

A Method of Obtaining Digital Signatures and Public-Key Cryptosystems, Communications ACM, Vol. 21, 1978, 120-126

V. Voydock-S. Kent,

Security Mechanisms in High-Level Network Protocols, ACM Computing Surveys,

Vol. 15,1983

Bücher:

Advances in Cryptology, Proceedings of Crypto 83, Plenum Press 1984

D. Davies-W. Price, Security for Computer Networks: An lntroduction to Data Security in

Teleprocessing and Electronic Funds Transfer, John Wiley & Sons, 1984 F.-P. Heider-D. Kraus-M. Welschenbach, Mathematische Methoden der Kryptoanalyse, Vieweg, erscheint 1985

Informationen: GEI, Dr. Franz-Peter Heider, Oxfordstraße 12-16, 5300 Bonn 1,

Telefon 02 28 / 72 90 20.