![[Chaos CD]](/file/6530/Chaos_CD_Blue__[1999].iso/images/chaoscd.jpg) |
| ![[Gescannte Version]](/file/6530/Chaos_CD_Blue__[1999].iso/images/scan.jpg) |
![[ -- ]](/file/6530/Chaos_CD_Blue__[1999].iso/images/prev.jpg) |
![[ ++ ]](/file/6530/Chaos_CD_Blue__[1999].iso/images/next.jpg) |
![[Suchen]](/file/6530/Chaos_CD_Blue__[1999].iso/images/search.jpg) |
|
| |
|
|
|
Kapitel 6: Verschlüsselung und Authentifizierung
6Verschlüsselung im ISDN6.1EinleitungDie vorangegangenen Kapitel beschäftigten sich mit Schwachstellen des ISDN und möglichen Angriffen. Auf verschiedenen Ebenen und an verschiedenen Stellen wurden Angriffspunkte aufgezeigt. Die nun folgenden Kapitel behandeln Lösungsansätze für die gezeigten Probleme. Dieses Kapitel befaßt sich mit der Verschlüsselung auf den verschiedenen Ebenen und untersucht bekannte Verschlüsselungsverfahren aus anderen Anwendungsbereichen, ob sie für die Anwendung im ISDN geeignet sind. Das nächste Kapitel befaßt sich mit Authentifizierungsverfahren und das übernächste untersucht, ob und wie der aus dem Internet bekannte Firewall-Mechanismus die Sicherheit im ISDN verbessern kann. Man kann drei Sicherheitsanforderungen an Kommunikationssysteme unterscheiden:1 Vertraulichkeit, Integrität und Verfügbarkeit. Die Vertraulichkeit wird verletzt, wenn Andere von einer stattgefundenen Kommunikation oder sogar ihrem Inhalt Kenntnis erlangen. Hierunter fallen also beispielsweise Kommunikationsprofile und das Abhören oder Mitschneiden von Leitungen. Die Integrität der übermittelten Nachrichten wird verletzt, wenn beim Empfänger nicht die Informationen ankommen, die der Absender an ihn übermittelt hat. Das kann sowohl eine vorgetäuschte Rufnummer als auch manipulierte Daten bei einer Fax- oder Datenübertragung sein. Die Verfügbarkeit des Kommunikationssystems schließt die Verfügbarkeit der Leitungen und die Erreichbarkeit der Teilnehmer mit ein. Eine Reihe von Angriffen dagegen ist in den vorangegangenen Kapiteln beschrieben. Zur Sicherung der Integrität und Vertraulichkeit der übermittelten Informationen können Verschlüsselung und Authentifizierung eingesetzt werden. Angriffe auf die Verfügbarkeit von Telekommunikationseinrichtungen sind oft mit der physikalischen Zerstörung von Einrichtungen und Leitungen verbunden. Dagegen schützen die hier vorgestellten Verfahren nicht. 6.2VerschlüsselungsverfahrenVerschlüsseln heißt, einen Klartext mit Hilfe einer Rechenvorschrift und eines Schlüssels in einen Schlüsseltext zu überführen. Das macht nur Sinn, wenn es eine andere Rechenvorschrift gibt, die den Vorgang umkehrt. Je nachdem, ob für das Entschlüsseln derselbe oder ein anderer Schlüssel verwendet wird, spricht man von symmetrischen und von asymmetrischen Verfahren. 6.2.1Symmetrische und asymmetrische KryptographieBei symmetrischen Kryptoverfahren wird derselbe Schlüssel sowohl zum Ver- als auch zum Entschlüsseln verwendet. Beide Kommunikationspartner müssen ihn kennen. Unabhängig davon, in welcher Richtung eine Nachricht gesendet wird, verwendet der jeweilige Absender diesen einen Schlüssel. Jeder Andere, der den Schlüssel kennt, kann die Kommunikation mitlesen und sogar gefälschte Nachrichten erzeugen und verschicken. Die Schlüsselinhaber können echte von falschen Paketen nicht unterscheiden, vertrauen aber womöglich darauf, daß niemand ihren Schlüssel kennt und falsche Nachrichten erzeugen kann. Um die Echtheit tatsächlich beweisen zu können, müssen die Nachrichten zusätzlich digital unterschrieben werden.2 Bei asymmetrischen Verfahren hat jeder Beteiligte zwei Schlüssel, einen öffentlichen und einen privaten. Wenn jemand eine Nachricht verschicken will, verschlüsselt er sie mit dem öffentlichen Schlüssel des Empfängers. Dieser kann sie mit Hilfe seines privaten Schlüssels lesen. Das Verfahren gewährleistet, daß man aus dem öffentlichen Schlüssel den privaten nicht mit vertretbarem Aufwand erhalten kann. Gängige Rechner benötigen bei sicheren Verfahren und heutigen Schlüssellängen Jahrhunderte um einen einzigen Schlüssel zu brechen. Jeder, der den öffentlichen Schlüssel eines Beteiligten kennt, kann ihm eine Nachricht schicken. Der Empfänger kann die Gültigkeit nicht überprüfen, weiß das aber und wird sich deshalb ohne eine digitale Unterschrift oder vorangegangene Authentifizierung nicht darauf verlassen. Die digitale Unterschrift zu einer Nachricht kann man ebenfalls mit Hilfe eines solchen Verfahrens erzeugen. Für ein symmetrisches Verfahren benötigt man bei n Benutzern n*(n-1)/2 verschiedene Schlüssel, damit jeder mit jedem kommunizieren kann. Dabei muß jeder Beteiligte alle (n-1) Schlüssel kennen und geheimhalten, die er selbst mit Anderen vereinbart hat. Bei einer größeren Zahl von Benutzern wird die Schlüsselanzahl schnell unübersichtlich. Für ein asymmetrisches Verfahren benötigt man nur doppelt so viele Schlüssel wie es Benutzer gibt. Jeder muß seinen eigenen privaten Schlüssel kennen und geheimhalten und kann die öffentlichen Schlüssel seiner Kommunikationspartner von Schlüsselservern abfragen. Auch für die erstmalige Übermittlung der Schlüssel haben asymmetrische Verfahren Vorteile: Man kann Schlüsselserver verwenden. Neue Benutzer schicken ihren öffentlichen Schlüssel einfach an den Server. Jeder, der einem Anderen etwas übertragen will, erfragt beim Server den öffentlichen Schlüssel des Empfängers. Bei symmetrischen Verfahren muß ein neuer Benutzer zunächst mit jedem seiner zukünftigen Kommunikationspartner einen eigenen Schlüssel vereinbaren. Meist steht dazu nur ein unsicherer Kanal zur Verfügung3, so daß die Schlüssel selbst verschlüsselt übertragen werden müssen. Das klingt zunächst paradox, läßt sich mit Hilfe spezieller Verfahren aber lösen.4 Wenn ein geheimer Schlüssel einmal bekannt geworden ist, muß er als ungültig erklärt werden. Das ist bei asymmetrischen Verfahren schwieriger als bei symmetrischen: Der betroffene Benutzer teilt dem Schlüsselserver den ungültigen Schlüssel zusammen mit seinem neuen öffentlichen Schlüssel mit. Der beantwortet alle Anfragen mit dem neuen Schlüssel. Dennoch kann es Benutzer geben, die nicht beim Schlüsselserver anfragen, weil sie den (inzwischen ungültigen) öffentlichen Schlüssel des Empfängers kennen.5 Bei einem symmetrischen Verfahren muß dagegen nur zwischen den beiden Betroffenen, deren Schlüssel bekannt wurde, ein neuer vereinbart werden. In puncto Geschwindigkeit haben die symmetrischen Verfahren die Nase vorne. Sie sind um Faktoren schneller als die asymmetrischen. In der Praxis verwendet man deshalb eine Mischung aus beiden: Zunächst wird mit Hilfe eines asymmetrischen Verfahrens ein sogenannter Sitzungsschlüssel vereinbart. Das ist ein symmetrischer Schlüssel, der zufällig erzeugt und nur für diese eine Kommunikation verwendet wird. Er wird mit einem asymmetrischen Verfahren an alle beteiligten Kommunikationspartner übermittelt. Ab dann wird mit Hilfe eines symmetrischen Verfahrens weiter gearbeitet. So ist auch eine vertrauliche Kommunikation ganzer Gruppen möglich. 6.2.2BlockchiffrenBeim Einsatz von Blockchiffren wird die zu verschlüsselnde Nachricht in Blöcke fester Länge (meist 64 Bit) geteilt und diese werden verschlüsselt. Es gibt verschiedene Modi: Den electronic-codebook-Modus (ECB), den cipher-block-chaining-Modus (CBC) und den cipher-feedback-Modus (CFB). Beim ECB wird derselbe Klartextblock mit dem selben Schlüssel immer zum selben Schlüsseltext codiert, beim CBC hängt das Verschlüsselungsergebnis auch von den vorangegangenen Blöcken ab. Daneben gibt es noch eine Reihe von Varianten, auf die ich hier nicht näher eingehe.6 6.2.3StromchiffrenEine Stromchiffre verschlüsselt bitweise und das Ergebnis hängt ja nach dem verwendeten Verfahren nicht nur vom Schlüssel sondern auch von der vorangegangenen Nachricht ab. Ein und die selbe Nachricht wird also in verschiedenen Zusammenhängen trotz gleichen Schlüssels zu unterschiedlichen Schlüsseltexten verarbeitet. Dazu verfügen Sender und Empfänger über Zufallsgeneratoren, die zu jedem Schlüssel einen anderen, festen Bitstrom generieren. Der Sender verknüpft den Klartext XOR mit dem erzeugten Schlüsselstrom. Der Empfänger erhält nach Eingabe des selben Schlüssels den Schlüsselstrom, den auch der Sender verwendet hat. Er verknüpft die verschlüsselte Nachricht mit diesem Strom und erhält den Klartext. Bei den Stromchiffren gibt es selbstsynchronisierende (ciphertext auto key, CTAK) und synchrone (key auto key, KAK) Varianten. Bei den selbstsynchronisierenden hängt jedes Bit des Schlüsselstroms von einer festen Anzahl vorangegangener Bits ab. Der Schlüsselstromgenerator synchronisiert sich von selbst, wenn er diese Anzahl Bits empfangen hat. Man stellt einer so verschlüsselten Nachricht einfach einen header dieser Länge voran. Nachdem ihn der Empfänger mit Hilfe seines Schlüssels entschlüsselt hat, sind beide Schlüsselstrom-Generatoren synchronisiert. Bei KAK müssen die Schlüsselstrom-Generatoren des Senders und des Empfängers auf eine andere Weise synchronisiert werden. Das Verfahren arbeitet nur korrekt, solange sie synchron sind. Dafür ist diese Variante immun gegen die Fehlerfortpflanzung. 6.3Verschlüsselungsmöglichkeiten im ISDNMan unterscheidet die abschnittsweise (link-by-link-) und die Ende-zu-Ende (end-to-end-) Verschlüsselung von Kommunikationskanälen.7 Beide haben Vor- und Nachteile: 6.3.1Abschnittsweise VerschlüsselungBei der abschnittsweisen Verschlüsselung werden die Daten jeweils zwischen zwei Stationen auf dem Weg vom Sender zum Empfänger neu verschlüsselt. Das hat den Vorteil, daß die Stationen nur jeweils die Schlüssel ihrer unmittelbaren Nachbarn kennen müssen, aber den Nachteil, daß durch die häufige Ver- und Entschlüsselung eine Verzögerung auftritt. Außerdem ist beim Empfänger nicht nachzuvollziehen, ob die Daten in einem der Knoten manipuliert wurden. Dieses Verfahren schließt nur die Manipulation der Daten auf den einzelnen Teilstrecken zwischen den Knoten aus. Es eignet sich besonders für die Absicherung der Steuerdaten im ISDN. Denn sie müssen ohnehin in jedem Knoten ausgewertet werden. Wenn der Netzbetreiber die Sicherheit seiner Knoten gewährleisten kann, ist so eine sichere Steuerung der Komunikationsverbindungen möglich. Für die Verschlüsselung der Nutzkanäle eignet es sich aufgrund der beschriebenen Nachteile nicht. 6.3.2Ende-zu-Ende-VerschlüsselungBei der Ende-zu-Ende-Verschlüsselung werden die Daten beim Absender verschlüsselt, durch das Netz über mehrere Knoten transportiert und erst beim Empfänger wieder entschlüsselt. Die Daten können unterwegs nicht manipuliert werden, weil sie während der Übertragung auch in den Knoten nie unverschlüsselt vorliegen. Dieses Verfahren ist besonders gut für die Verschlüsselung der Nutzkanäle (B-Kanäle) geeignet. Sie müssen im Laufe der Übertragung nicht ausgewertet werden, da die Steuerinformationen in den D- und ZGS-7-Kanälen enthalten sind und Nutzkanäle transparent über alle dazwischenliegenden Vermittlungsstellen durchgeschaltet werden. 6.3.3Verschlüsselung der B-KanäleIn den B-Kanälen werden die eigentlichen Nutzdaten zwischen den beiden verbundenen Anschlüssen übertragen. Die Vermittlungsstellen transportieren 64kBit/sec in beiden Richtungen, ob Daten enthalten sind oder nicht und unabhängig vom Inhalt. Das macht die Verschlüsselung im B-Kanal relativ leicht. Sie ist vom Netz unabhängig; Die beiden Kommunikationspartner können individuell vereinbaren, ob sie überhaupt verschlüsseln und wenn ja nach welchem Verfahren. Dazu brauchen sie gegebenenfalls noch einen geeigneten Schlüssel. Sie müssen sich dabei an keine Standards halten. Im Extremfall können sie ein eigenes Verschlüsselungsverfahren entwickeln und verwenden. Sie benötigen aber entsprechende Endgeräte, die die Ver- und Entschlüsselung für sie durchführen. Beim Telefonieren müssen also die Telefone an beiden Enden der Leitung zueinander kompatibel sein. Das ist die Schattenseite der Freiheit durch fehlende Standards: Das Telefon eines Teilnehmers muß alle Verschlüsselungsverfahren der Endgeräte aller anderen Teilnehmer beherrschen, mit denen er verschlüsselt telefonieren will. Das ist für die Kommunikation innerhalb einer bestimmten Gruppe von Teilnehmern kein Problem: Sie müssen sich nur auf ein Verfahren einigen. Jeder Teilnehmer, der der Gruppe beitreten will, muß sich dem verwendeten Verfahren anpassen. Außenstehende Teilnehmer oder solche aus anderen Gruppen können nicht sicher mit den Gruppenmitgliedern oder miteinander kommunizieren. Dazu müßte die Verschlüsselung in den Euro-ISDN-Standard aufgenommen und ein einheitliches Verfahren in alle Endgeräte implementiert werden. Viel leichter ist das Verschlüsseln beim Telefonieren oder Datenaustausch mit Hilfe von Computern. Es ist ein Trend hin zur computergestützten Telefonie zur erkennen. Dabei wird ein Telefonhörer oder eine Kopfhörer-Mikrofon-Kombination an einen Computer angeschlossen, der mit einer ISDN-Karte ausgestattet ist. Die Bedienung erfolgt mit Hilfe spezieller Software. Sie kann auch die Verschlüsselung der zu übertragenden Daten oder der Sprache übernehmen. Dabei läßt sich die Software erheblich leichter an andere Verschlüsselungsverfahren anpassen als Hardware. Das oben Gesagte gilt auch für die zahlreichen anderen ISDN-Dienste. Sie alle übertragen letztendlich Daten, die von speziellen Endgeräten interpretiert und gegebenenfalls in wahrnehmbare Reize umgewandelt werden. Wenn diese Endgeräte selbst keine Verschlüsselung unterstützen, können Verschlüsselungsgeräte zwischengeschaltet werden. Sie arbeiten unabhängig von Endgeräten und ver- bzw. entschlüsseln die 64kBit/sec-Daten eines oder mehrerer Endgeräte in Echtzeit. Die Endgeräte bemerken den Vorgang nicht. 6.3.4Verschlüsselung des D-KanalsAuch der Inhalt des D-Kanals läßt sich verschlüsseln. Dadurch kann man die Daten, die eine Verbindung steuern, vor Manipulation und Abhören schützen. Das D-Kanal-Protokoll ist international genormt. Alle Vermittlungsstellen und alle Endgeräte verstehen und verwenden es. Eine generelle Einführung von Verschlüsselung im D-Kanal erfordert die Ergänzung und Anpassung des D-Kanal-Protokolls. Das zieht Änderungen in allen Teilnehmervermittlungsstellen und bei allen eingesetzten Endgeräten nach sich. Die Vermittlungsstellen, ISDN-TK-Anlagen und moderne Telefone sind softwareprogrammiert und lassen sich deshalb mit einer Softwareänderung an neue Standards anpassen. Für andere Geräte kann man einen Kompatibilitätsmodus ohne Verschlüsselung, aber auch ohne Sicherheit vorsehen. Die Verschlüsselung der Daten im D-Kanal aus Richtung des Kunden schützt ihn vor Mißbrauch seiner Telefonleitung. Zusammen mit der Authentifizierung des Endgeräts8 stellt sie sicher, daß Verbindungen nur von einem Endgerät des Kunden aufgebaut werden können. Außerdem schützt sie den Netzbetreiber, weil Manipulationsversuche an der Vermittlungsstelle eindeutig einem Kunden zugeordnet werden können. Ein Angreifer, der sich auf die Teilnehmeranschlußleitung aufgeklemmt haben könnte, scheidet aus. Die Verschlüsselung des D-Kanals in umgekehrter Richtung zusammen mit der Authentifizierung der Vermittlungsstelle schützt den Kunden vor Angriffen auf seine Endgeräte. Zumindest solange sie nicht aus der Vermittlungsstelle heraus sondern durch Aufklemmen auf den D-Kanal9 erfolgen. Außerdem kann so niemand durch Abhören des D-Kanals ein Kommunikationsprofil10 erstellen. 6.3.5Verschlüsselung der ZGS-7-KanäleAuch auf das Zeichengabe-7-Netz (ZGS-7) sind zahlreiche Angriffe möglich. Sie sind in Kapitel beschrieben. Ein Teil dieser Angriffe läßt sich ausschließen, wenn die Daten zwischen den Netzknoten verschlüsselt übertragen werden. Sie können dann nicht mehr abgehört werden. Damit ist es nicht mehr möglich, Kommunikationsprofile von Teilnehmern zu erstellen. Außerdem können die übertragenen Steuerdaten nicht mehr verändert werden. Das vermeidet die Angriffe gegen eine Vermittlungsstelle über das ZGS-7. Es sei denn, eine Vermittlungsstelle wurde auf anderem Wege bereits manipuliert und greift nun ihrerseits andere Vermittlungsstellen an. Dagegen hilft auch die Verschlüsselung nicht. Es wird einem Angreifer so auch nicht mehr gelingen, zusätzliche Datenpakete ins ZGS-7 einzuschleusen und zu einem Ziel seiner Wahl transportieren zu lassen. Das ZGS-7 transportiert eine Mischung aus Ende-zu-Ende und abschnittsweise ausgewerteten Paketen. Ende-zu-Ende Pakete werden erst in der Zielvermittlungsstelle ausgewertet. Dazu gehören beispielsweise die Rufnummer des Anrufenden, die Information, ob diese angezeigt werden darf und eventuelle User-to-User-Signalling-Pakete. Die abschnittsweise ausgewerteten Pakete dienen der Steuerung der eigentlichen Nutzkanalverbindung. Sie müssen in jedem Knoten auf dem Weg von der Ursprungs- zur Zielvermittlungsstelle vorliegen. Deshalb können sie nicht Ende-zu-Ende verschlüsselt werden. Doch auch die Ende-zu-Ende-Pakete werden in den unteren Schichten des ZGS-7 abschnittsweise übertragen. Sie enthalten neben der Zieladresse auch die Adresse des nächsten Knotens auf dem Weg zum Ziel. Diese wird in jedem Knoten durch die nächste ersetzt. Zumindest diese Teile können also auch bei Ende-zu-Ende-Paketen nur abschnittsweise verschlüsselt werden. Näheres dazu später. 6.3.6Verschlüsselung innerhalb der ISDN-TK-AnlagenBeim Betrieb einer ISDN-TK-Anlage an einem Anschluß bieten sich eine Reihe zusätzlicher Angriffspunkte. Im Prinzip verhalten sich TK-Anlage und Benutzer-Endgeräte zueinander wie Vermittlungsstelle und Endgeräte ohne TK-Anlage. Aber eine TK-Anlage ist leichter zu manipulieren als eine Vermittlungsstelle. Deshalb macht es auch Sinn, innerhalb der TK-Anlage zu verschlüsseln und zu authentifizieren. Dabei muß man unterscheiden zwischen analogen und digitalen Nebenstellen: Bei ISDN-Anlagen mit analogen Endgeräten übernimmt die Anlage die Umsetzung zwischen den beiden Technologien. Auf der Teilnehmeranschlußleitung werden die Steuerdaten gemeinsam mit den Nutzdaten „inband“ übermittelt. Hier kann man also nur entweder alles oder nichts verschlüsseln. Man muß sich bei der Verschlüsselung nicht an Standards halten, sondern kann eigene Protokolle verwenden. Denn die Anlage muß ohnehin wieder entschlüsseln, zwischen Steuer- und Nutzdaten unterscheiden und gegebenenfalls in Richtung der Vermittlungsstelle neu verschlüsseln. Eine Alternative ist die Verschlüsselung im oder bereits vor dem Endgerät, beispielsweise in einem Computer mit einem Modem. Die bereits verschlüsselten Daten werden dann zusammen mit den unverschlüsselten Steuerdaten zur Anlage übertragen. Diese trennt die Steuerdaten von den Nutzdaten. Die Steuerdaten werden interpretiert, die Nutzdaten auf einen B-Kanal weitergeleitet. Die Anlage kann dabei nicht erkennen, daß die Nutzdaten verschlüsselt sind. Bei ISDN-Anlagen mit digitalen Nebenstellen bildet die Anlage eine digitale Vermittlungsstelle nach. Hier gilt also in bezug auf Verschlüsselung im Prinzip alles, was für die Vermittlungsstelle auch gilt. Zwischen Benutzer-Endgerät und Anlage werden die Nutz- und die Steuerdaten in getrennten Kanälen auf einer Leitung übermittelt. Das bietet die Möglichkeit Nutz- und Steuerkanäle getrennt und unabhängig voneinander zu verschlüsseln oder auch nicht. Abstrakt betrachtet ist in diesem Fall die ISDN-TK-Anlage aus Sicht des B-Kanals nur eine weitere Vermittlungsstelle zwischen den beiden Kommunikationspartnern. Für den D-Kanal stimmt das so nicht, denn er ist jetzt dreimal vorhanden: Zwischen dem Endgerät und der Anlage, zwischen der Anlage und der Vermittlungsstelle und zwischen der Zielvermittlungsstelle und dem Endgerät am anderen Ende der Kommunikationsbeziehung.11 In jedem Fall läßt sich aber bereits innerhalb der Anlage verschlüsseln: Die B-Kanäle werden ohnehin transparent durchgereicht. Der Inhalt des D-Kanals muß in der Anlage wieder entschlüsselt werden, damit er ausgewertet werden kann. Nach Außen hin kann sie ihn mit ihrem eigenen Schlüssel in Richtung der Vermittlungsstelle wieder verschlüsseln. Auch bei ankommenden Gesprächen wird der D-Kanal in der ISDN-Anlage entschlüsselt und ausgewertet. Mit Hilfe der so gewonnenen Steuerungsinformation wird der Inhalt des B-Kanals transparent an das richtige Endgerät weitergeleitet. 6.4Wer will überhaupt verschlüsseln?Bei den Überlegungen zur Verschlüsselung im ISDN muß man auch immer die unterschiedlichen Interessen der Beteiligten betrachten. Dazu gehören neben den Benutzern der Endgeräte auch deren Betreiber12 und die Netzbetreiber. Man darf auch nicht die Interessen der staatlichen Stellen wie Polizei, Verfassungsschutz und Geheimdienste vergessen. Die Benutzer wollen, daß der Inhalt ihrer Gespräche und Datenverbindungen nicht abgehört oder manipuliert werden kann. Außerdem wollen sie nicht, daß ihre Leitungen durch Andere genutzt werden können. Und sie wollen im Allgemeinen nicht, daß Kommunikationsprofile über sie erstellt werden. Die Betreiber von ISDN-TK-Anlagen wollen außerdem nicht, daß Angreifer von innen oder von außen an der Konfiguration der Anlage manipulieren können. Die Netzbetreiber wollen, daß ihre Vermittlungsstellen und Verbindungswege sicher sind. Denn Sicherheit wird ein wesentliches Verkaufsargument konkurrierender Netzbetreiber mit vergleichbarem Leistungsspektrum. Sie wollen außerdem nicht, daß auf ihre Kosten kommuniziert wird oder Daten in einem ihrer Netze übertragen werden. Und wenn Manipulationen vorkommen, sollen sie eindeutig dem Verursacher zugeordnet werden können. Am Besten auch beweisbar. Diesen Sicherheitsinteressen stehen die Interessen der staatlichen Stellen gegenüber. Sie wollen alle übertragenen Nutzinformationen abhören können. Dazu gehören die Informationen, wer wann mit wem kommuniziert hat und auch die Inhalte der Gespräche oder die übertragenen Daten. Sie werden sich deshalb immer gegen eine Verschlüsselung der Nutz- und Steuerkanäle wehren. Oder sie fordern speziell für sie eingebaute Hintertürchen wie beim amerikanischen Clipper-Chip. In Frankreich ist beispielsweise Verschlüsselung jeglicher Art verboten. Deshalb dürfte es schwer sein, Verschlüsselung als Pflichtelement in den Euro-ISDN-Standard aufzunehmen. 6.5Besondere Anforderungen des ISDN an die VerschlüsselungIn einem Telekommunikationsnetz wie dem ISDN bestehen besondere Anforderungen an kryptographische Verfahren. Sie entstehen aus der historisch gewachsenen Struktur und aus besonderen Eigenschaften eines solchen Netzes. Im Folgenden werden einzelne Eigenschaften und die sich ergebenden Anforderungen beschrieben: 6.5.1Sehr große TeilnehmerzahlAllein in Deutschland gibt es 35 Millionen Telefonanschlüsse. Früher oder später werden sie alle digitalisiert sein. Weltweit dürften es mehrere hundert Millionen Anschlüsse sein. Sie sind an Netzen in ganz unterschiedlicher Technik angeschlossen. Dennoch wollen alle Teilnehmer mit allen anderen Teilnehmern weltweit uneingeschränkt kommunizieren können. Deshalb muß es Netzübergänge geben. Die eingesetzten Verschlüsselungsverfahren müssen also für eine große Zahl von Teilnehmern in jeder beliebigen Kombination geeignet sein. Bei der Kommunikation über Netzgrenzen hinweg können sie zwischen dem ISDN-Teilnehmer und dem Netzübergang verschlüsseln. Damit ist zumindest einem Angriff aus dem ISDN heraus vorgebeugt. Nach dem Gesetzt des schwächsten Glieds13 ist diese Kommunikation aber nicht sicher. Außerdem scheiden alle Verfahren aus, bei denen vorab über einen sicheren Kanal Schlüssel ausgetauscht werden müssen. Dazu müßten die Teilnehmer erst einmal per Post oder in einem persönlichen Treffen Schlüssel für die spätere Kommunikation vereinbaren. Das ist unpraktikabel. 6.5.2VerzögerungenKommunikation über das ISDN geschieht in Echtzeit. Sowohl beim Verbindungsaufbau als auch während der Verbindung dürfen deshalb keine zu großen Verzögerungen auftreten. Dabei wird die Verzögerung beim Verbindungsaufbau durch die Verschlüsselung der Steuerdaten in den D-Kanälen und im ZGS-7 bestimmt. Mit der Einführung des ISDN wurden die Verbindungsaufbauzeiten von mehreren Sekunden auf 0,8 bis 1,7 Sekunden gesenkt.14 Diesen Fortschritt will man nicht wieder aufgeben. Das verwendete Verfahren muß sich also effizient in Hardware implementieren lassen. Während der Verbindung würde sich eine zu große Verzögerung noch störender auswirken: Bei Telefongesprächen entstehen Pausen wie man sie von Überseegesprächen her kennt, bei Datenübertragungen kann es zum Abbruch der Verbindung kommen, wenn die Quittung für ein Paket zu lange braucht. Hier sind also effizient in Software implementierbare Verfahren wichtig. 6.5.3SchlüssellängeFür die genannten Verzögerungen spielt auch die Länge der verwendeten Schlüssel eine Rolle: Hier stehen sich Sicherheit und Effizienz gegenüber. Je länger der gewählte Schlüssel ist, desto schwieriger ist er zu knacken. Aber je kürzer er ist, desto schneller arbeitet die Verschlüsselung. Man muß also einen Kompromiß finden, der bestmögliche Sicherheit bei gerade noch akzeptabler Verzögerung bietet. 6.5.4KonferenzschaltungenEin Ziel der Verschlüsselung im B-Kanal ist es, das Abhören zu vermeiden. Nur die beiden Kommunikationspartner sollen das Gesprochene oder die Daten verstehen können. Daraus ergibt sich aber ein Problem bei den Konferenzschaltungen. Hier will man ja gerade mehr als zwei Kommunikationspartner miteinander verbinden. Dabei macht die Konferenzschaltung nur bei Telefongesprächen, nicht aber bei der Datenübertragung Sinn. Bei einer Dreierkonferenz15 wird der Inhalt von jeweils zwei B-Kanälen gemischt und zum dritten Gesprächspartner übertragen. Das Verschlüsselungsverfahren muß deshalb geeignet sein, auch solche gemischten verschlüsselte Datenströme richtig zu entschlüsseln. Dem Autor sind keine am Markt angebotenen Verschlüsselungsgeräte bekannt, die Konferenzschaltungen unterstützen 6.5.5Länge des SchlüsseltextesBei der Verschlüsselung der Datenpakete des D-Kanals und des ZGS-7 möchte man möglichst keine Protokolländerungen vornehmen müssen. Die verschlüsselten Pakete müssen deshalb genauso lang sein wie die unverschlüsselten. Noch wichtiger ist diese Forderung16 bei der Verschlüsselung der Nutzkanäle. Ein B-Kanal überträgt 64kbit/sec transparent von einem Ende einer Verbindung zum anderen. Hierbei darf der verschlüsselte Text auf gar keinen Fall größer sein als der Klartext. Andernfalls treten stetig wachsende Verzögerungen auf und es kommt zu Datenverlust. Die wenigen Verschlüsselungsverfahren, die diese Forderung nicht erfüllen, scheiden deshalb für den Einsatz im ISDN aus. 6.5.6GültigkeitsdauerZwei Kommunikationspartner können über Jahre hinweg ihre Gespräche mit dem selben Schlüssel vor neugierigen Ohren schützen. Sobald der Schlüssel aber kompromittiert wird, liegen alle Gespräche offen. Mit Hilfe eines lange gültigen Schlüssels kann für jede Verbindung ein neuer Schlüssel17 vereinbart werden.18 Mit ihm werden die eigentlichen Nutzdaten verschlüsselt. Da der lange gültige Schlüssel immer nur für wenige Bytes verwendet wird, ist er nicht so leicht zu brechen. Und die jeweils vereinbarten Sitzungsschlüssel werden zufällig erzeugt, haben nichts miteinander zu tun und werden auch immer nur für eine Verbindung benutzt. So entsteht mit keinem Schlüssel eine Datenmenge kritischer Größe, die ihn leicht knacken ließe. 6.6Eignung/Anpassung bekannter VerfahrenAufbauend auf den oben genannten Anforderungen und Verschlüsselungsmöglichkeiten werden jetzt konkrete Einsatzgebiete und geeignete Verfahren untersucht. An einigen Stellen sind Einschränkungen oder Anpassungen nötig. 6.6.1Abschnittsweise oder Ende-zu-Ende-Verschlüsselung?Die Steuerdaten einer Telekommunikationsbeziehung werden in allen Zwischenstationen ausgewertet. Diese Zwischenstationen sind die Teilnehmer-Endgeräte, eine eventuell vorhandene TK-Anlage, die Ursprungsvermittlungsstelle, gegebenenfalls mehrere Durchgangsvermittlungsstellen, die Zielvermittlungsstelle und die Endeinrichtungen beim Angerufenen. Sie müssen deshalb abschnittsweise verschlüsselt werden. Eine Ausnahme stellen die Pakete der Steuerdaten dar, die transparent bis zum Zielteilnehmer befördert werden. Sie enthalten die Zieladresse und die Adresse der nächsten Zwischenstation auf dem Weg zum Ziel. In den Zwischenstationen werden sie nicht bis in die oberste Schicht durchgereicht sondern sie erhalten lediglich die Zieladresse der nächsten Zwischenstation. Dazu muß der Teil des Pakets entschlüsselt werden, der die Adressen enthält. Der Rest kann verschlüsselt bleiben. Hier bietet es sich an, zwei verschiedene Schlüssel zu verwenden: Der erste Teil mit den Adressen wird mit dem Schlüssel der nächsten Zwischenstation verschlüsselt, der transparent zu übertragende Teil wird gleich mit dem Schlüssel des Ziels verschlüsselt. Hier liegt also eine Mischform von abschnittsweiser und Ende-zu-Ende-Verschlüsselung vor. Die Nutzdaten hingegen sollen in den Zwischenstationen gar nicht ausgewertet werden können. Hier bietet sich die Ende-zu-Ende-Verschlüsselung an. 6.6.2Symmetrisches oder asymmetrisches Verfahren?Wegen der großen Anzahl der Teilnehmer im weltweiten Telekommunikationsverbund und wegen der leichteren Schlüsselverwaltung sind asymmetrische Verfahren im Vorteil. Dem gegenüber steht der klare Geschwindigkeitsvorteil der symmetrischen Verschlüsselung. Die ideale Lösung für die Ende-zu-Ende-Verschlüsselung stellt deshalb eine Mischform dar, wie sie beispielsweise auch das bekannte Programm pgp19 verwendet: Zu Beginn der Kommunikation wird mit Hilfe eines asymmetrischen Verfahrens ein Sitzungsschlüssel vereinbart. Mit diesem wird die eigentliche Kommunikation symmetrisch verschlüsselt. Damit dieses Verfahren funktionieren kann, muß eine Hierarchie von Schlüsselservern installiert werden. Sie stellen einen Engpaß dar, so daß für eine reibungslose Kommunikation eine ausreichende Anzahl von Servern bereit gestellt werden muß. Auf der anderen Seite sind sie ein lohnendes Angriffsziel, denn sie haben alle Teilnehmerschlüssel und alle Teilnehmer vertrauen ihnen. Deshalb müssen sie besonders gut geschützt werden. Für die abschnittsweise Verschlüsselung der Steuerdaten eignet sich ein symmetrisches Verfahren mit beschränkter Schlüssellebensdauer am besten, da hier jeder Knoten nur mit seinen unmittelbaren Nachbarn kommuniziert, immer nur kurze Pakete ausgetauscht werden und im Prinzip eine ständige Kommunikationsverbindung besteht. Hier ist ein asymmetrisches Verfahren zu langsam. 6.6.3Block- oder Stromchiffre?Für den Einsatz im ISDN eignen sich Block- und Stromchiffren gleichermaßen, wenn man einige Randbedingungen beachtet: Auf einer niedrigen Ebene des 7-Schichten-Protokolls werden in den Nutz- und Steuerkanälen ohnehin ständig die maximal möglichen 9.6 bzw. 64 kBit/sec übertragen. Wenn man hier die Verschlüsselung implementiert, sind Block- und Stromchiffren gleichwertig. Wenn man aber höhere Ebenen betrachtet, so werden Daten bereits dann übertragen, wenn sie anfallen. Hier sind Stromchiffren den Blockchiffren überlegen. Beim Einsatz von Blockchiffren muß man einen Modus verwenden, bei dem der Schlüsseltext nicht nur von den aktuellen Daten sondern auch von den vorangegangenen verschlüsselten Blöcken abhängt. Damit schützt man sich vor block-replay-Angriffen. Dabei werden gesendete Blöcke von einem Angreifer zwischengespeichert und zu einem späteren Zeitpunkt erneut eingespielt. Er kann dann zwar den Inhalt der Blöcke nicht verändern, aber unter Umständen reicht schon die Wiederholung für einen erfolgreichen Angriff aus.
1 vgl. [sai97-1] 2 siehe dazu z.B. [sch96-1], Kapitel 20; mehr dazu im nächsten Kapitel 3 denn über die Telefonleitung kann ja (noch) nicht verschlüsselt kommuniziert werden. 4 siehe [sch96-1] Kapitel 8 5 Eine Lösung für dieses Problem sind Gültigkeitsintervalle 6 Sie sind bei [sch96-1] nachzulesen. 7 vgl. [sch96-1] Abschnitt 10.3 8 siehe Abschnitt 9 siehe Abschnitt 10 siehe Abschnitt 11 Falls dort auch eine ISDN-Anlage mit digitalen Endgeräten installiert ist, gibt es sogar vier D-Kanal-Abschnitte 12 bei privaten Anschlüssen ist der Benutzer auch der Betreiber 13 „Eine Kette ist nur so stark wie ihr schwächstes Glied.“ 14 je nach dem wie viele Vermittlungsstellen beteiligt sind. 15 Eine größere Konferenz mit bis zu 10 Teilnehmern funktioniert ähnlich 16 siehe [sch96-1] Seite 223 17 ein sogenannter Sitzungsschlüssel, „session key“ 18 vgl. [sch96-1] Seite 215 19 pretty good privacy, ein kostenloses Programm zur Verschlüsselung und Signatur von e-mails etc. |
[Contrib]
[Sicherheit im ISDN]
Kapitel 6: Verschlüsselung und Authentifizierung