12:45 Uhr - Vortrag "Sicherheit im Internet"

 

Der Vortrag hielt Prof. Rettinger von der FH Dortmund. Seine Lehrgebiete dort sind Grundlagen der Informatik und Compilerbau. Herr Rettinger hat Erfahrung mit Fernlehre, unter anderem weil er als Lehrbeauftragter für die Fernuni Hagen tätig ist. Bei Springer Campus betreut er künftig Grundlagen der Informatik 1 und 2, also die Einführungen in die strukturierte und objektorientierte Programmierung in Java. Herr Rettinger hat früher einmal im Bereich "Public Key Kryptographie" geforscht. Möglicherweise ist dies sein Bezug zum Thema des Vortrages. Dieses lautet...

"Sicherheit im Internet. Eine kurze Einführung in die moderne Kryptographie"

 

Der Vortrag begann mit einer alltäglichen Anwendungssituation im Internet, dem Abruf eines Wikipedia-Eintrages. Dabei wird eine HTML-Datei von einem Server per Internet auf den heimischen Laptop gesendet. Die Übertragung erfolgt mit den bekannten Protokollen, die aufeinander aufbauen.

- Ethernet als Netzzugangsschicht
- IP als Internetschicht
- TCP als Transportschicht
- HTTP als Anwendungsschicht

 

3 Grundfragen der Sicherheit im Internet

 

Im Hinblick auf die Sicherheit dieser Situation stellen sich folgende 3 Grundfragen:
1. Wer sagt mir, dass am anderen Ende der Kommunikation wirklich ein Server der Wikipedia ist? Das ist das Problem der Authentizität.
2. Liest jemand mit? Das ist das Problem der Vertraulichkeit.
3. Ist der empfangene Inhalt manipuliert? Das ist das Problem der Integrität.

 

Symmetrische Verschlüsselung

 

Der klassische Ansatz wäre Verschlüsselung beim Sender, Entschlüsselung bei Empfänger. Dann kann ich Inhalt über einen unsicheren Kanal wie das Internet übertragen. Eine gängige Technik dazu wäre z.B. die Verschlüsselung mit AES. Verwendet man EINEN Schlüssel zum Ver- und Entschlüsseln, so spricht man von symmetrischer Verschlüsselung. Dabei treten 2 prinzipielle Probleme auf:
1. Wie vereinbaren die Kommunikationspartner den gemeinsamen Schlüssel? Dazu bräuchten sie einen sicheren Kanal. Wenn sie den hätten, bräuchten sie nicht verschlüsseln. Tatsächlich ist das eine gängige Strategie. Beispielsweise verschicken Banken das Kennwort für den Zugang zum Online-Banking per Briefpost, in der Hoffnung, dass die Abhörsicherer ist als eine E-Mail.
2. Die Anzahl der nötigen Schlüssel. Wollen 1000 Teilnehmer miteinander kommunizieren, müssen sie an die 500.000 Schlüssel vereinbaren. Bei einer Million Teilnehmern braucht man schon an die 500.000.000.000 Schlüssel.

 

Um die genannten Probleme zu überwinden, hat man asymmetrische Verschlüsselungsverfahren entwickelt. Hier verwendet man unterschiedliche Schlüssel zum Ver- und Entschlüsseln. Davon später mehr.

 

Einwegfunktionen

 

Verschlüsselung basiert allgemein auf Einwegfunktionen. Eine Einwegfunktion ist eine Funktion, deren Umkehrung schwierig ist. Ein einfaches Beispiel für eine Einwegfunktion ist die Multiplikation von Primzahlen:
- Das 143 das Produkt der Primzahlen 11 und 13 ist, errät man nicht so schnell.

- Dagegen ist es sehr leicht, 11*13 zu rechnen.

- Werden die Primzahlen größer, steigt die Schwierigkeit der Faktorisierung enorm. Man ist im wesentlichen auf rumprobieren angewiesen.

Die Multiplikation von Primzahlen ist also eine Einwegfunktion, weil ihre Umkehrung, die Primfaktorzerlegung, schwierig ist.

 

Prinzipiell immer möglich: Brute-Force-Angriffe

 

Schwierig ist natürlich ein schwammiger Begriff. Möglich ist die Umkehrung einer Einwegfunktion prinzipiell immer, nämlich mit dem brute force Ansatz. Er besteht im Ausprobieren aller möglichen Schlüssel. Die in der Praxis relevante Frage ist, wie lange brute force Entschlüsselung dauert. Für die meisten Anwendungsfälle würde es reichen, wenn das Brechen der Verschlüsselung im Schnitt 50 Jahre dauert.

 

Hat ein Schlüssel die Länge 500 Bit, so muss man im Schnitt 2 hoch 249 mögliche Schlüssel ausprobieren. Wir nehmen an, jedes Atom im Universum sei als Prozessor nutzbar. Man schätzt, dass es 10 hoch 85 Atome bzw. ungefährt 2 hoch 282 Atome gibt. Wir nehmen an, dass jedes Atom mit 1 PHz gtaktet wird. Für die Berechnung geben wir uns 1.000.000.000 Jahre. Dann können wir 2 hoch 387 Schritte ausführen. Das reicht bei weitem nicht, um den Schlüssel durch Ausprobieren zu finden. Man kann also sagen: Ist ein Schlüssel nur lang genug, so wird brute force Entschlüsselung praktisch unmöglich.

 

Wichtige Einwegfunktionen sind z.B. Hashfunktionen. Diese dampfen in kurzer Rechenzeit große Datenmengen, z.B. komplette Internetseiten, auf einen kleinen Zahlenwert ein, den sogenannten Hashwert. Gängige Hashfunktionen sind SHA1 (gebrochen) und SHA256 (noch sicher).

 

Primfaktorzerlegung: Grundlage des RSA-Verfahrens

 

Für Verschlüsselung bedeutsamer sind Einwegfunktionen mit Hintertür (im englischen auch trap door also eigentlich Falltür). Sie verwenden 2 Schlüssel, einen zum Ver- und einen zum Entschlüsseln. Das sind also die oben genannten asymmetrischen Verschlüsselungsverfahren. Die beiden Schlüssel nennt man auch öffentlichen Schlüssel und privaten Schlüssel. Wichtig dabei ist: Es muss unmöglich sein, den privaten Schlüssel aus dem öffentlichen Schlüssel zu errechnen. Das nennt man Unabhängigkeit der Schlüssel. Ein bekanntes asymmetrisches Verschlüsselungsverfahren ist RSA. Es basiert auf der oben erwähnten Schwierigkeit der Primfaktorzerlegung.

 

An dieser Stelle sei bemerkt: Die Schwierigkeit der Primfaktorzerlegung ist ein Erfahrungswert. Mathematiker versuchen sich seit langer Zeit an diesem Problem und konnten es bislang nicht in akzeptabler Zeit lösen. Es könnte natürlich sein, dass es ein schnelles Verfahren zur Primfaktorzerlegung gibt, das bislang nicht entdeckt wurde. In dem Fall wäre die Multiplikation von Primzahlen keine Einwegfunktion mehr und die darauf basierenden Verschlüsselungen leicht zu brechen.

 

Auf die Details des RSA-Verfahrens gehe ich hier nicht länger ein, auch wenn sie im Vortrag kurz vorgestellt wurden. Knapp gesagt verschlüsselt man eine Botschaft M (message) mit einem Schlüssel e und erhält die verschlüsselte Botschaft C. C wird mit dem Schlüssel d entschlüsselt und man erhält wieder M.

 

Die Grundidee lieferten im Jahr 1975 Merkle, Hellman und Diffie. 1978 wurde das eigentliche RSA Verfahren am MIT von Rivest, Shamir und Adleman entwickelt. Ihre Initialen wurden namensgebend. Kurios ist, dass diese zentrale Methode 20 Jahre vor dem eigentlichen, massenhaften Durchbruch des Internets entwickelt wurde.

 

Problem: Authentizität

 

Kehren wir zurück zu unserem ursprünglichen Anwendungsfall, dem Abruf einer Wikipedia-Seite. Wikipedia hat einen privaten und einen öffentlichen Schlüssel. Wikipedia könnte meinen öffentlichen Schlüssel kennen, z.B. weil ich ihn bei Aufnahme der Kommunikation genannt habe. Wikipedia verschlüsselt damit eine Seite und schickt sie mir über den unsicheren Kanal Internet. Ich kann die Seite nun mit meinem privaten Schlüssel entschlüsseln. Wer meinen privaten Schlüssel nicht kennt, kann nicht entschlüsseln. Die Vertraulichkeit der Nachricht ist also gewährt. Nicht gewährt ist allerdings die Authentizität. Ein anderer Akteur könnte eine gefälschte Wikipedia-Seite mit meinem öffentlichen Schlüssel verschlüsseln und mir senden. Ich könnte mit meinem privaten Schlüssel entschlüsseln, würde aber nicht bemerken, dass mir eine falsche Seite untergeschoben wurde.

 

Hybride Verschlüsselung

 

Ein weiteres Problem von RSA: Diese Art der Verschlüsselung ist langsam. Darum nutzt man RSA lediglich, um mit asymmetrischer Verschlüsselung einen symmetrischen Schlüssel zu vereinbaren, den man im folgenden benutzt. Das nennt man dann hybride Verschlüsselung. Als symmetrisches Verfahren verwendet man z.B. AES. Das ist sehr schnell und oft in Hardware implementiert. 

 

Unser Netzwerkstack sieht nun so aus:
- Ethernet als Netzzugangsschicht
- IP als Internetschicht
- TCP in Verbindung mit SSL/TLS als Transportschicht
- darauf aufbauend HTTPS als Anwendungsschicht

 

Problem: Echtheit öffentlicher Schlüssel

 

Auch aus Sicht des Senders Wikipedia gibt es ein Problem. Meinen öffentlichen Schlüssel habe ich über das Internet bekannt gemacht. Natürlich könnte jemand anderes Wikipedia einen falschen öffentlichen Schlüssel unterschieben. Wikipedia würde die Seite dann nicht für mich sondern für einen anderen Akteur verschlüsseln. Wie kann der Sender wissen, dass der öffentliche Schlüssel echt ist?

 

Die Lösung für dieses Problem ist eine vertrauenswürdige Instanz. Man nennt sie Zertifizierungsstelle. Diese hat ebenfalls einen öffentlichen und einen privaten Schlüssel. Die Zertifizierungsstelle verschlüsselt den öffentlichen Schlüssel des Senders mit ihrem privaten Schlüssel. Ich entschlüssele mit dem öffentlichen Schlüssel der Zertifizierungsstelle und erhalte den öffentlichen Schlüssel des Senders. Diesen kann ich vergleichen mit einem mir bekannt gemachten öffentlichen Schlüssel. Stimmen beide überein, ist der mir bekannt gemachte Schlüssel echt. Die Zertifizierungsstelle kann also öffentliche Schlüssel beglaubigen.

 

Die künftige Sicherheit der Kommunikation im Internet wird von verschiedenen Grundproblemen bedroht. Das erste war bereits erwähnt:

 

1. Wie schwer ist Faktorisierung wirklich?

 

Oben war erwähnt, dass brute force bei hinreichend langem Schlüssel unmöglich ist. Es gibt aber zur Primfaktorzerlegung bessere Verfahren als brute force. Die Rechenleistungen steigen. Darum empfehlen Institutionen wie das BSI ständig längere Schlüssel. Für RSA gelten 1900 Bit als minimum, bis 2016 wurden 2000 Bit empfohlen und ab 2016 sogar 3000 Bit. An dieser Stelle muss man sich noch einmal klar machen, das jedes zusätzliche Bit die Anzahl möglicher Schlüssel verdoppelt.

 

MIt Elliptische Kurven steht ein alternative Ansatz im Hintergrund bereit. Dieser wird praktisch nicht genutzt, weil er sehr rechenaufwendig ist. Außerdem ist unklar, wie sicher elliptische Kurven wirklich sind. Bei der Faktorisierung weiß man, dann man sie seit langer Zeit erfolglos versucht. Elliptische Kurven sind noch nicht so gut erforscht. Mag sein, dass unerwartet schnelle Umkehrungen entdeckt werden.

 

2. Implementierungsprobleme

 

i. Gebrochene Verschlüsselung basiert oft auf mangelnden Implementierungen, z.B. auf mangelnder Zufälligkeit.

ii. Auch Protokolle sind ein häufiger Angriffspunkt, z.B. die Einigung auf ein Verschlüsselungsverfahren und die Methode des Schlüsseltausches.

iii. Betriebssysteme halten viele Daten in Zwischenspeichern. Manche Verfahren zur Überwindung von Verschlüsselung basieren darauf, den Hauptspeicher eines Rechners auszulesen. Aus dem Speicherinhalt probiert man mögliche Passwörter. Das reduziert die Anzahl der möglichen Schlüssel erheblich.

iv. Zertifizierungsstellen arbeiten nicht immer sauber.

v. SSL/TLS sind auf Betriebssystem-Ebene implementiert. Der Browser vertraut dem OS. Hier ist eine Eingriffmöglichkeit.

 

3. Quantencomputer

 

Die ultimative Bedrohung für die aktuellen Verschlüsselungsverfahren sind Quantencomputer. Sollten sie verfügbar werden, könnten RSA und auch bekannte Alternativen wie elliptische Kurven gebrochen werden. Bislang erweist sich die Konstruktion von Quantencomputern aber als schwierig.

 

Absolute Sicherheit

 

Absolute Sicherheit versprechen 2 Ansätze

 

1. One-Time-Pad

 

Dieser Ansatz ist theoretisch perfekt und praktisch irrelevant. Man wählt einen zufälligen Schlüssel, der so lang wie die Botschaft sein muss und nur ein Mal verwendet werden darf. Diesen nimmt man zum Ver- und Entschlüsseln. Das Verfahren ist praktisch nicht nutzbar, weil man einen sicheren Kanal braucht, um diesen Schlüssel zu vereinbaren. Wenn ich einen Schlüssel von der Länge der Nachricht sicher vereinbaren könnte, so könnte ich auch gleich die Botschaft senden und bräuchte keine Verschlüsselung. (Wollen zwei Partner die Vertraulichkeit ihrer Kommunikation zu sichern, könnte man sich die Anwendung etwa so vorstellen. Man trifft sich einmalig und bespielt zwei Festplatten mit einer identischen, zufällig erzeugten Bitfolge, die mehrere Terrabyte lang ist. Die Partner trennen sich räumlich. In der folgenden Kommunikation verschlüsseln und entschlüsseln sie mit dieser Bitfolge, bis die gesamte Bitfolge konsumiert ist. Die Gefahr: Diese Bitfolge darf nicht in falsche Hände geraten. Sie muss sicher transportiert und aufbewahrt werden.)

 

2. Quanten-Kryptographie

 

Sie arbeitet mit verschränkten Quanten. Misst man den Zustand verschränkter Quanten an zwei Orten, so erhält man gleiche Ergebnisse. Man kann so eine zufällige Bitfolge vereinbaren. Da jede Messung den Zustand verändert, würde ein Mithören sofort bemerkt. Die Partner hätten dann nämlich keinen gemeinsamen Schlüssel mehr und könnten gar nicht kommunizieren. In der praktischen Implementierung gilt Quanten-Kryptgraphie als noch nicht sicher.

 

Fazit

 

Soweit die Inhalte des Vortrages von Herrn Rettinger, die ich hier aus dem Gedächtnis und auf Grundlage meiner Notizen wiedergegeben habe. Studierenden, die das Modul "IT-Sicherheit" schon hinter sich haben, dürften die meisten Inhalte bekannt gewesen sein. Sie sollten insbesondere auch deutlich mehr über die mathematischen Grundlagen und die Abläufe im Detail wissen. Allerdings erodieren solche Kenntnisse schnell, wenn sie nicht regelmäßig angewendet werden, wie ich beim Hören des Vortrages bemerkt habe. Insofern war der Besuch des Vortrages in jedem Fall lohnend. Für Studierende, die "IT-Sicherheit" noch vor sich haben, war es ein guter Einstieg ins Thema.

 

Zum Thema Quanten-Kryptographie sei noch auf diese aktuelle Meldung verwiesen:

Wissenschaftler kommunizieren quantenverschlüsselt

 

Möglicherweise rückt die praktische Anwendung also näher als man denkt.

 

Sehr empfehlenswert finde ich zu diesem Thema auch das Hörbuch "Spukhafte Fernwirkung" aus dem kleinen aber feinen Verlag supposé. Hier erzählt der Physiker Anton Zeilinger ca. 100 Minuten lang über Quantenphysik und spannt am Ende den Bogen zur praktischen Anwendung Quanten-Kryptographie. Das Hörbuch ist ein paar Jahre alt, aber für einen Einblick ins Thema noch immer hervorragend geeignet.

 

Mathe-Tutorium

 

Parallel zum Vortrag von Herrn Rettinger fanden die üblichen Mathe-Tutorien mit den Themen "Lineare Algebra" und "Analysis" statt. Die sind üblicherweise gut besucht, denn der Stoff des Moduls Mathe2 ist erfahrungsgemäß für viele Studierende herausfordernd, insbesondere für Studierende ohne Abitur, aber auch für diejenigen, deren Abitur länger zurück liegt. Da ich diesen Teil meines Studiums schon hinter mir habe, habe ich diesmal an den Tutorien nicht teilgenommen.

 

Zum neuen Studiengang "Elektrotechnik"

 

Mitarbeiter von Springer Campus standen für Fragen zu den Studiengängen Chemie, Biologie und Elektrotechnik bereit. Als Studierender im Studiengang Web- und Medieninformatik interessierte mich vor allem, ob denkbar sei, einzelne Module aus dem E-Technik-Studium als Ergänzungsmodule zum Informatikstudium zu belegen. Aus meiner Sicht könnten folgende Module aus dem Curriculum des Studiengangs Elektrotechnik auch für Informatiker interessant sein:

- Programmierung eingebetteter Systeme (hier käme es freilich darauf an, wie hardwarelastig das Modul konzipiert ist)

- Maschinelles Lernen (insbesondere weil im Curriculum der Informatik-Studiengänge bislang kein KI-Modul zur Verfügung steht)

- Bildverarbeitung

 

Zum gegenwärtigen Zeitpunkt kann man über solche Möglichkeiten der Verknüpfung der Curricula noch nichts sagen. Der Studiengang Elektrotechnik ist im Aufbau. Bislang gibt es nur wenige Studierende und viele Module sind noch nicht fertig. Ähnlich wie in den Fernstudiengängen Biologie und Chemie richtet sich auch Elektrotechnik an Studierende mit einschlägiger Berufsausbildung, um die praktischen Teile eines E-Technik-Studiums abzudecken. Präsenzen spielen in diesem Studiengang natürlich eine Rolle. Vielleicht gibt es zu einem späteren Zeitpunkt eine Möglichkeit, dass Informatik-Studenten von einzelnen Modulen aus dem E-Technik-Studium profitieren können.

 

Das "Drumherum" eines Präsenztages

 

Ein Präsenztag ist natürlich mehr als die Summe der gebotenen Veranstaltungen. Zunächst ist ein Präsenztag immer auch Prüfungstag. Viele Studierende bringen ihre Prüfungen schon am Anreisetag Freitag hinter sich und können den Samstag dann genießen. Aber manche müssen noch am Samstagmorgen in den Klausuren schwitzen. Ich hatte es zum Glück auch schon am Freitag hinter mich gebracht und konnte dann am Samstag gemütlich frühstücken. Interessant und nützlich ist natürlich auch immer der allgemeine Austausch mit anderen Studierenden: Über belegte Module, Prüfungen, Zeitplanung im Studium, sinnvolle Modulkombinationen und andere Themen, die im Leben eines Fernstudenten eine Rolle spielen. Das allgemeine "Hallo" macht natürlich abgesehen vom Nutzen auch Spaß, denn meistens kämpfen wir ja alleine. Schön ist auch, dass die Mitarbeiter von Springer Campus immer wieder den Kontakt zu den Studierenden suchen und an Rückmeldungen sichtlich interessiert sind. Der nächste Präsenztag ist am 10.03.2018. Ich komme gerne wieder.