Safety vs. Security
Safety
Zustand des Geschütztseins von schützenswerten Gütern vor bestimmten Gefahren
Funktions- / Betriebssicherheit (Verlässlichkeit)
z.B. Schutz der Umgebung, Verhindern von Personenschäden
Gefährdung durch „wohlwollenden Angreifer“
Ist-Funktionalität von Komponenten stimmt mit der Soll-Funktionalität überein
(Information-) Security
Angriffssicherheit
Bedrohung durch „böswilligen Angreifer“
Schutz von Informationen
Was ist Geheimhaltung?
Verhindert das Abhören und das beabsichtigte oder unbeabsichtigte Abändern von Nachrichten durch Dritte.
Steganographie vs. Kryptographie
Steganographie
Kunst, Informationen in anderen Informationen zu verstecken. Ziel ist es,die komplette Existenz der Nachricht zu verheimlichen. Beispiel „verstecktes Bild im Bild“ oder„geheime Botschaft auf der Kopfhaut“.
Anwendung des Prinzips “Security by Obscurity”
Geheimhalten der Funktionsweise der Schutzmaßnahmen bildet die Sicherheit.
Sicher, so lange das System nicht intensiv analysiert wird.
Kryptographie
Wissenschaft der Verschlüsselung von Informationen. Ziel ist es, dieNachricht durch Chiffrierung für Dritte unlesbar zu machen.
Codesysteme vs. Krypotsysteme
Codesysteme
Arbeiten auf semantischen Spracheinheiten. Oft werden Wörter oder ganze Nachrichten durch Wörter einer künstlichen Sprache (Code) ersetzt. Zur Berechnung werden häufig Codebücher eingesetzt.
Krypotsysteme
Arbeiten auf syntaktischer Ebene. Hier zerlegt man den Klartext in Blöcke fester Länge. Jeder Block wird auf Zeichen eines Chiffrieralphabets abgebildet.
Kerckhoffs’ Prinzip
Besagt, dass die Sicherheit eines Systems nicht von der Geheimhaltung der Algorithmen abhängen darf, sondern nur von der Geheimhaltung eines Schlüssels.
=> Geheimhalten eines Schlüssels ist einfacher als das Geheimhalten eines Algorithmus.
=> Der Austausch eines bekannt gewordenen Schlüssels ist einfacher als der Austausch eines Algorithmus
Moderne Kryptographie
Symmetrische Verschlüsselung (ein Schlüssel)
Data Encryption Standard (DES)
Advanced Encryption Standard (AES)
Asymmetrische Verschlüsselung (geteilter Schlüssel)
Ronald L. Rivest, Adi Shamir und Leonard M. Adleman (RSA)
Hybride Verschlüsselung
Kombination von symmetrischer und asymmetrischer Verschlüsselung
Hashes (Prüfsummenverfahren)
Secure Hash Algorithm (SHA-256)
Krypto-Agilität
Bedeutet Verfahren so zu entwerfen, dass die verwendete Kryptographie ausgetauscht werden kann. Es ermöglicht es auf ein alternatives Krypto-System(kryptografischer Algorithmus, Schlüssellänge, Schlüsselgenerierungsverfahren, ...) sehr schnell umzuschalten, ohne wesentliche Änderungen am System vorzunehmen.
Kryptographische Verfahren werden ständig verbessert:
Neue Verfahren werden entworfen.
Alte Verfahren werden gebrochen oder als unsicher eingestuft.
Eingesetzte Verfahren können Implementierungsfehler enthalten.
Klare Empfehlung: in 99% der Fälle ist der Einsatz von etablierter Technik sicherer, einfacher,billiger und zukunftssicherer als Eigenentwicklungen.
Die klassischen Kryptosysteme sind aus heutiger Sicht nicht mehr sicher.
Viele Prinzipien klassischer Kryptosysteme kommen auch in modernen Kryptosystemen zumEinsatz.
Moderne Kryptosysteme folgen Kerckhoffs’ Prinzip: Das Verfahren ist öffentlich, nur der Schlüssel ist geheim.
Kryptographische Protokolle nach Möglichkeit nicht selbst programmieren.
Mit Quantencomputern werden neue Anforderungen an die Kryptosysteme gestellt.
Kein System ist sicher.
Last changeda year ago