Arbeitgeber
18.6.3
Schlüssellängen und ihre Bedeutung
Im Zusammenhang mit der Qualität kryptografischer Verfahren ist immer wieder von der Länge der verwendeten Schlüssel die Rede, wobei je nach Zusammenhang sehr unterschiedliche Werte genannt werden. Einer Analyse aus Sicht des Datenschutzes muss vorausgeschickt werden, dass eine zu geringe Schlüssellänge zu einer nicht ausreichenden Sicherheit führt, die Frage der Schlüssellänge aber nicht als alleiniges Kriterium zur Bewertung eines Verschlüsselungsverfahrens dienen kann. Letztlich dient sie zur Ermittlung der Obergrenze für den Aufwand, der erforderlich ist, um ein Verfahren zu brechen (s. Ziff. 18.6.5). Sofern ein Verfahren jedoch auf andere Weise angegriffen werden kann, spielt die Schlüssellänge u. U. eine unwesentliche Rolle.
- Schlüssellängen bei symmetrischen und asymmetrischen Verfahren Zwischen beiden Verfahren muss bei der Betrachtung der Schlüssellänge unterschieden werden. Da es bei der Betrachtung der Schlüssellänge um den Aufwand geht, der für ein Brechen des Verfahrens höchstens erforderlich ist, müssen die jeweiligen mathematischen Methoden, die den Verfahren zugrunde liegen, berücksichtigt werden. Dabei ergibt sich folgende Gegenüberstellung in etwa aufwandsäquivalenter Schlüssellängen [Schneier96, S. 194]: symmetrisch asymmetrisch (Beispiel RSA) 56 Bit 384 Bit 64 Bit 512 Bit 80 Bit 768 Bit 128 Bit 2.304 Bit
- Zeitliche Relativität der Schlüssellängen Aussagen zur (ausreichenden) Länge von kryptografischen Schlüsseln sind immer im Zusammenhang mit dem angenommenen Aufwand zu betrachten, der einem potenziellen Angreifer unterstellt wird. Dieser ist vom Stand der Technik und von dessen finanziellen und zeitlichen Ressourcen abhängig. Allein durch die Weiterentwicklung der Computertechnik werden daher die Anforderungen an Schlüssellängen immer größer. Dabei spielt nicht nur die durch ein einzelnes Gerät zur Verfügung gestellte Leistung eine Rolle, sondern in zunehmendem Maße auch die Vernetzung, die es ermöglicht, eine umfangreiche Entschlüsselungsaufgabe durch viele Geräte arbeitsteilig in kurzer Zeit zu lösen.
- Theoretische Obergrenzen Gleichwohl sind auch bei weiterhin steigenden Rechenkapazitäten den Möglichkeiten der Entschlüsselung physikalische Grenzen gesetzt. Aus Erwägungen der Thermodynamik heraus lässt sich folgern, dass symmetrische Verfahren ab ca. 256 Bit Schlüssellänge in konventioneller Technik nicht mehr mit Brute-Force-Methoden attackierbar sind, da hierfür schlichtweg die Energie des gesamten Universums nicht ausreichen würde [Schneier96, S. 185]. Neuartige Computertechniken (Stichwort: Quantencomputer) könnten diese Aussage allerdings relativieren.
- Verwendungsspezifische Erwägungen
Bei der Überlegung, mit welchem Aufwand durch einen Angreifer zu rechnen ist, spielt es u. a. eine Rolle, für welche Zeitdauer die Daten geheim bleiben müssen. Daten mit kurzem Geheimhaltungsbedarf können schwächer (mit kürzeren Schlüssellängen) verschlüsselt werden als Daten mit langem Schutzbedarf (z. B. im Rahmen der Archivierung).
Eine unberechtigte Entschlüsselung kann hingenommen werden, wenn die Daten bereits nicht mehr schützenswert oder aus anderen Gründen uninteressant geworden sind.
Allerdings kommt dieser Unterscheidung im Datenschutzumfeld eine geringe Bedeutung zu, da bei personenbezogenen Daten generell von einem Langzeitschutzbedarf auszugehen ist. Daher kommt es hier in der Hauptsache auf die Sensibilität der Daten an.
- Empfehlungen aus Datenschutzsicht
Unter Berücksichtigung der datenschutzrechtlichen Hintergründe ist die Wahl der Verschlüsselungsverfahren und deren Parameter unter dem Aspekt des angemessenen Aufwands zu betrachten. Dabei liegt der wesentliche Faktor nicht so sehr im Aspekt des Rechenaufwandes bei einer Verschlüsselung, der für höhere Schlüssellängen zu leisten ist (dieser ist vergleichsweise gering), sondern aufgrund der Marktsituation vielmehr in der Beschaffung von Produkten, die mit geeigneten Schlüssellängen operieren können (s. hierzu Ziff. 18.6.9). Für den symmetrischen Bereich lässt sich beim jetzigen Stand der Technik folgende Bewertung vornehmen:
Effektive Schlüssellänge datenschutzrechtliche Bewertung datenschutzrechtliche Empfehlung 40 bis 55 Bit Schutz gegen zufällige Kenntnisnahme Einsatz bei nicht sensiblen personenbezogenen Daten, wenn ein gezielter Angriff unwahrscheinlich ist. ab 56 Bit Schutz von Daten mit niedrigem bis mittlerem Schutzbedarf Einsatz bei nicht sensiblen personenbezogenen Daten oder in solchen Fällen, in denen ein Angriff mit hohem Aufwand aus anderen Gründen unwahrscheinlich ist (z. B. geschlossenes Netz). Zukünftige Sicherheitsprobleme sind jedoch zu erwarten. ab 80 Bit Schutz von Daten mit mittlerem bis hohem Schutzbedarf Einsatz uneingeschränkt außer bei Daten mit sehr hohem Schutzbedarf; bei Archivierung generell höhere Schlüssellängen ab 112 Bit Schutz von Daten mit sehr hohem Schutzbedarf Einsatz uneingeschränkt
In jedem Fall sollten möglichst hohe Schlüssellängen eingesetzt werden, um einen ausreichenden Schutz gegen Brute-ForceAngriffe (s. Ziff. 18.6.5) zu erhalten. Da ein einmal installiertes Verschlüsselungssystem sich in der Regel nicht ohne erheblichen Aufwand mit anderen Schlüssellängen oder Algorithmen versehen lässt, sollten für neue Anwendungen nur Algorithmen mit Schlüssellängen ab 112 Bit zum Einsatz kommen. Dieses entspricht auch dem aktuellen Stand der Technik: Aktuelle Produkte erreichen diesen Mindeststandard in jedem Falle.
Die empfohlenen Schlüssellängen bei asymmetrischen Algorithmen differieren in Abhängigkeit vom gewählten Algorithmus. Der bekannteste und auch verbreitetste Algorithmus ist derzeit der RSA-Algorithmus. Da er gleichzeitig Objekt intensiver und erfolgreicher Forschung zur Kryptoanalyse ist, kann er heute nicht mehr als hinreichend angesehen werden, wenn die Schlüssellänge 1.024 Bit verwendet wird. Es sollten daher RSA-Schlüssel von mindestens der Länge von 2.048 Bit eingesetzt werden [Weis/Lucks/Bogk03].
Schlüsselverwaltung Erfolgt die Verschlüsselung nur zwischen zwei oder wenigen Beteiligten, bereitet die Verwaltung der Schlüssel keine nennenswerten Probleme. Bei der Verwendung symmetrischer Verfahren steigt die Komplexität jedoch mit höherer Benutzerzahl rasch an. Um eine jeweils bilateral sichere Kommunikation zu ermöglichen, sind bei n Teilnehmern ca. n²/2 Schlüssel zu verwalten, d. h. zu erzeugen, zu verteilen, zu verifizieren und nach gewisser Zeit wieder zu ersetzen. Daher wird auf zwei- oder mehrstufige Verfahren ausgewichen, bei denen die eigentlichen Schlüssel - durch besondere Schlüssel (keyencryption keys) verschlüsselt - sicher elektronisch übermittelt werden können. Nur die Schlüssel höherer Ordnung müssen dann aufwändig auf besonderem Weg verteilt werden (vgl. X9.17-Standard).
Die asymmetrische Verschlüsselung hingegen erfordert zum einen weniger Schlüssel (n Schlüssel bei n Teilnehmern), zum anderen ist deren Versand selbst weniger sicherheitskritisch. Gleichwohl stellen sich auch hier Fragen der Schlüsselverwaltung. Das wesentliche Sicherheitsproblem bei öffentlichen Schlüsseln liegt in der korrekten Zuordnung eines öffentlichen Schlüssels zu dem zugehörigen Eigentümer. Diese Aufgabe übernehmen typischerweise besondere Stellen, für die sich im deutschen Sprachraum der Begriff „Trust Center" (TC) etabliert hat. Im Englischen wird dabei von "Certification Authority" (CA) gesprochen.
TC bzw. CA stellen öffentliche Schlüssel zur Verfügung und belegen zugleich mit Hilfe eines kryptografischen Zertifikats die Korrektheit des Schlüssels sowie dessen Zugehörigkeit zu dem angegebenen Eigentümer. Als technisches Rahmenwerk für solche Zertifikate hat sich der X.509-Standard etabliert (siehe hierzu die Orientierungshilfe Verzeichnisdienste des AK Technik). Die Verwendung eines solchen Schlüssels setzt also das Vertrauen in diese Stelle voraus. Durch eine baumartige Hierarchie von CA kann das Vertrauen jedoch auf eine höhere Instanz gestützt werden, wobei am oberen Ende im Idealfall eine Stelle angesiedelt ist, der alle Beteiligten vertrauen. In diesem Zusammenhang wird von einer PKI (Public Key Infrastructure) gesprochen.
Neben diesem hierarchischen Modell hat sich durch das weit verbreitete E-Mail-Verschlüsselungsprogramm PGP ein vermaschtes Vertrauensmodell (so genanntes "web of trust") etabliert. Bei diesem bestimmt jeder Benutzer selbst, in welchem Maße er oder sie einem Zertifikat traut, wobei sowohl die eigene Einschätzung eines Ausstellers als auch das Vertrauen Dritter einfließen können. Das Vertrauen in einen PGP-Schlüssel hängt dabei nicht nur vom Aussteller allein ab, sondern vom Distributionsweg und von der Korrektheit des zugehörigen Hashwerts (so genannter Fingerprint).
18.6.5
Attacken
Als Gegenpart zur Kryptografie ist die Kryptoanalyse zu sehen. Hierbei handelt es sich um die Kunst, ohne Kenntnis des geheimen Schlüssels möglichst viele Informationen über den Klartext zu gewinnen, der einer Verschlüsselung zugrunde lag.
Es gibt eine Reihe von Angriffsmöglichkeiten auf einen Algorithmus, die Kryptologen zur Verfügung stehen [Wobst97, Kapitel 3].
Ein häufiger Angriff ist die so genannte Brute-Force-Attacke, bei der alle möglichen Schlüssel ausprobiert werden. Die Empfehlungen zur Schlüssellänge von symmetrischen Verfahren in Ziff. 18.6.3 sind Einschätzungen, inwieweit dieser Angriff derzeit eine realistische Gefahr darstellt. Dabei muss man sich vor Augen halten, in welcher zeitlichen Relation ein Brechen der Schlüssel steht. Wenn man hypothetisch annimmt, ein 56-Bit-Schlüssel könnte in einer Stunde ausgeforscht werden, so benötigt man für einen 80-Bit-Schlüssel mehr als 1.900 Jahre. Bei einem 112-Bit-Schlüssel kommt man auf die nicht mehr vorstellbare Dauer von mehr als 8.000 Milliarden Jahren; ein Vielfaches der Existenzdauer des Universums.
Um auch in der überschaubaren Zukunft gegen diesen Angriff gesichert zu sein, insbesondere wenn es darum geht, archivierte Daten gegen unberechtigte Kenntnisnahme zu schützen, sind Schlüssellängen ab 112 Bit als ausreichend sicher anzusehen. Da die meisten heute verfügbaren Algorithmen Schlüssellängen von mindestens 112 Bit haben, können sie nicht mit Brute-Force-Attacken allein, sondern nur zusammen mit anderen Methoden geknackt werden.
Die Ansatzpunkte für Angriffe auf Verschlüsselungsverfahren sind daher weniger in unzureichenden Schlüssellängen zu suchen, als in Schwächen des Algorithmus und bei der Implementierung.
Es könnten in einen Algorithmus mathematische Schwachstellen vorhanden sein, die ihn gegenüber bestimmten Analysemethoden angreifbar machen. Um derartige Schwachstellen aufzuzeigen und eventuell Gegenmaßnahmen zu treffen, bietet sich eine öffentliche Diskussion unter Experten an. Der FEAL-Algorithmus bietet ein gutes Beispiel für Analysen und eine offene Diskussion darüber [Wobst97, S. 228]. Bei asymmetrischen Verfahren tritt ein vergleichbares Problem auf. Die Sicherheit beruht auf mathematischen Problemen, beim RSA z. B. die Faktorisierung großer Zahlen, die schwer zu lösen sind.
Wenn die mathematische Forschung Fortschritte macht, die bestimmte Algorithmen unsicher werden lässt, kann das nur bei offen gelegten Algorithmen publik werden. Für diesen Fall müssen Ersatzalgorithmen vorhanden sein, die auf anderen mathematischen Fragestellungen beruhen. Anderenfalls profitieren zwar die Stellen, die den Algorithmus kennen, der Bürger wiegt sich aber in einer nicht vorhandenen Sicherheit. Aus diesem Grund bewirkt die Geheimhaltung von Kryptoalgorithmen in der Regel keine Verbesserung der Sicherheit.
Ein großes Problem stellt die sichere Implementierung dar. Dazu gehören Details wie Passworteingabe, Verwaltung geheimer Daten, Größe des Schlüsselraums oder Betriebsart. Zwei Beispiele sollen das illustrieren:
Bei der Implementierung eines Verschlüsselungsverfahrens in Hard- oder Software kann eine Hintertür eingebaut werden, die beispielsweise Teile des Schlüssels im Geheimtext oder im Kommunikationsprotokoll versteckt. Ein kundiger Angreifer kann den Text sofort entziffern oder muss nur noch einen kleinen Teil der möglichen Schlüssel testen. In Exportversionen vieler Produkte amerikanischer Hersteller ist für denjenigen eine effektive Schlüssellänge von 40 Bit implementiert, der die Hintertür kennt. Alle anderen Angreifer sehen sich einer Schlüssellänge von 56 und mehr Bit gegenüber.
Eine weitere wichtige Komponente in einem Verschlüsselungssystem ist ein Zufallszahlengenerator. Er ist unverzichtbar, wenn Schlüssel erzeugt werden. Wenn der Generator aber, absichtlich oder irrtümlich, nicht alle möglichen Schlüssel generiert, reduziert das die Zahl der möglichen Schlüssel. Eine Brute-Force-Attacke kann dann trotz eigentlich ausreichender Schlüssellänge machbar sein. Ein Beispiel hierzu lieferte Netscape, das in einer alten Version des Navigator Zufallszahlen in Abhängigkeit von der Systemzeit und anderen Informationen des Rechners erzeugte [Wobst97, S. 187]. Mit diesen Informationen wurde die Zahl der möglichen Schlüssel stark reduziert.
Neben Versuchen, den Algorithmus selbst zu knacken oder Schlüssel auszuforschen, gibt es Angriffe auf die Kommunikation und den Schlüsselaustausch. So sind Angriffe denkbar, bei denen keine Daten entschlüsselt werden, sondern Daten eingefügt oder Nachrichten wiederholt werden. Der bekannteste Angriff auf den Schlüsselaustausch wird "Mann in der Mitte" (Man in the middle) genannt. Dabei gibt sich der Angreifer M gegenüber dem Teilnehmer A als Teilnehmer B aus und umgekehrt. Wenn nun A an B verschlüsselte Daten senden will, schickt A sie tatsächlich an M. Der entschlüsselt die Daten und schickt sie dann an B weiter, wobei er sich als A ausgibt. Durch ein entsprechendes Design der Kommunikation können diese Angriffe unterbunden werden.
In vielen Fällen werden solche Lücken nicht vorsätzlich eingebaut, sondern sind durch Fehler im Entwurf oder der Umsetzung entstanden.
18.6.6
Recovery
Wenn Daten verschlüsselt gespeichert oder übertragen werden, gibt es zwei Szenarien, die eine Entschlüsselung durch Dritte erforderlich machen können. Es kann der geheime Schlüssel verloren gegangen sein oder es soll (ohne Mitwirkung des Schlüsselinhabers) Dritten ein Zugriff auf die Originaldaten ermöglicht werden. Dritter kann beispielsweise der Arbeitgeber oder eine staatliche Stelle sein.
Um einen Zugang zu den Originaldaten zu ermöglichen, sind verschiedene Lösungen denkbar. Es könnte der geheime Schlüssel bereitgestellt werden, der zur Entschlüsselung benötigt wird (Key-Recovery).