itsa 2011

Die Fakultät Elektrotechnik der Hochschule Schmalkalden war eine, der 322 Aussteller auf der Fachmesse für IT-Sicherheit in Nürnberg.

Auf einer Ausstellungsfläche von zirka 11 Quadratmeter am Rande des itsa-Campusstandes präsentierten die Standbetreuer Prof. Dr. Werner Rozek, Master Sc. Manuel Schneider und der Bachelor-Student Normen Kranich die Forschungsergebnisse des BMWi-Förderprojektes FKZ 03VWP0044. Anhand von vorwettbewerblichen Prototypen Transparenter Security Gateways (TSG) wurden ONE-TIME-PAD-Sichere Kommunikation bei VoiceIP, Secure Chat und Bank Security demonstriert.
Man sah Alice und Bob über das Internet telefonieren oder chatten und konnte Mister Sniffer beim Spionieren über die Schulter sehen.

Alice und Bob chatteten und telefonierten mit VoiceIP über das Transparente Security Gateway (TSG) unverschlüsselt bzw. One-Time-Pad-verschlüsselt im Netz.

Mister Sniffer zeigte den Standbesuchern die Daten auf seinen als Bridge verwendeten Computer, die mit der Software "WireShark" beim Mitschneiden des Datenverkehrs zwischen Alice und Bob sichtbar wurden.

Im Fall der unverschlüsselten Übertragung einer HTML-Anmelde-Seite konnten die Messebesucher das mitgeschnittene Passwort lesen.

Viele waren entsetzt, wie einfach es ist, Daten im Hypertext-Transfer-Protocol zu sehen. So konnten sie erfahren, wie das Passwort "1234" vom USER "Admin" in der Regel unverschlüsselt über das Netz von Mister Sniffer abgefangen und gelesen werden konnte.

Im Fall der, über das TSG, OTP-verschlüsselten Übertragung derselben HTML-Anmelde-Seite wurde gezeigt, welcher Datensalat Mister Sniffer vorfindet.

 

Auch das Wissen, wo im unverschlüsselten Datenstrom des HTP-Telegramms das Passwort gesendet wurde, nutzte nichts, da die Bit-Daten mehrfach zufallsverschlüsselt und permutiert gesendet wurden.

OTP-verschlüsselte Kommunikation mit Transparenten Security Gateways

 

Gateways sind nach dem, von der ISO (Internationale Standardisierung-Organisation) festgelegten, sieben Schichten umfassenden OSI-Schichtenmodell (Open System Interconnection) Netzwerkkomponenten, die Protokollumsetzungen in mindestens einer der obigen vier Schichten vornehmen.

Im vier Schichten umfassenden TCP/IP- Referenzmodell sind Gateways Kopplungselemente, die in den beiden oberen Schichten (Transport und Anwendung) Protokollinformationen verändern. 

Security Gateways sind sichere Protokollumsetzer, wobei die Sicherheit in mehrfacher Bedeutung zu sehen ist. Zum einen wird die Sicherheit in Bezug auf den Manipulationsschutz der TSG-Hardware, der TSG-Software und der Daten im TSG gesehen. (Siehe Link "Schutzraum")

Zum anderen bezieht sich der Begriff auf nicht manipulierbaren Authentifikationen von Personen, Geräten und Daten.(Siehe Link "Authentifikation")

Des Weiteren drückt sich die Bedeutung der Sicherheit auf die OTP-Verschlüsselung aller außerhalb sicherer Hardware vorliegenden  Daten aus. (Siehe Link "Verschlüsselung")

Verschlüsselungen sind im OSI- Schichtenmodell der Schicht sechs zugeordnet. Im TCP/IP Schichtenmodell ist die Verschlüsselung wie bei SSL (Secure Sockets Layer) oder TLS (Transport Layer Security) Bestandteil der Transportschicht.

Die Transparenz im Kontext der IT5D-Technologie besitzt ebenfalls eine Mehrdeutigkeit. Eine der Deutungen bezieht sich auf die Arbeitsweisen der Verfahren in Hard- und Software. Diese können weltweit in der DEPATISNET-Datenbank des Deutschen Patent- und Markenamts eingesehen werden. Die zweite Deutung betrifft die Implementationen dieser Verfahren, die das Kerckhoff-Prinzip erfüllen. Die wesentliche Aussage von Kerckhoff liegt in der Gewährleistung der IT-Sicherheit nicht in der Geheimhaltung sondern in dem IT5D-Fundament und dem DZRR-Modell.

Eine weitere Deutung ist durch die Einbindung des Gateways im Kommunikationssystem gegeben. Dabei bedeutet Einbindungs-Transparenz das Nichtbemerken der im Kommunikationsweg eingebundenen Security Gateways. 

Transparente Security Gateways werden z. B. zwischen dem Intranet eines Unternehmens und dem Internet oder dem Home-PC und dem Internet zwischen geschaltet.

Sie gewährleisten Personen-/Geräte-Authentifikationen und Datenintegrität durch OTP-verschlüsselte Datenübertragung. Transparent verschlüsseln sie einkommende IP-Protokolle, tunneln diese in neue TCP/UDP-Protokolle und bauen somit Sicher Private Netze (SPN) auf.

Vertrauen in die IT-Sicherheit ist zwingende Lebensnotwendigkeit 

In mehr als 250 Vorträgen äußerten sich auf offenen Foren hochrangige Experten wie der im Jahr 2011 amtierende  Bundesinnenminister Dr. Hans-Peter Friedrich, Dr. Karsten Ottenberg, Mitglied des Hauptvorstandes BITKOM, Herr Horst Flätgen, Vizepräsident vom BSI, und Herr Martin Schallbruch, IT-Direktor im Bundesministerium des Innern, zur Bedeutung der IT-Sicherheit für die Gesellschaft.

In einer Jahresrückschau über Medienberichte zu IT-Sicherheitsproblemen stellte Herr

Schallbruch im Grußwort die enormen zukünftigen Anforderungen für die IT-Sicherheitsindustrie heraus. Herr Flätgen sprach ebenfalls davon, dass sich die IT- Sicherheitslage stark verschärft hat. Die Bedrohungen sind so groß, dass die Infrastruktur "Internet" in Frage gestellt wird. Vertrauen in die IT-Sicherheit ist zwingende Lebensnotwendigkeit.

Den Nutzern muss Vertrauen zurückgegeben werden.

Rückgabe des Vertrauens in die IT-Sicherheit durch IT5D 

Ausgehend von diesen Gedanken sprach Prof. Dr. Rozek in seinem Vortrag "ONE-TIME-PAD-Sichere Kommunikation mit Transparenten Security Gateways" von den Voraussetzungen der Rückgabe des Vertrauens in die IT-Sicherheit.

Eine der wesentlichen Grundlagen dafür ist die vollständige Transparenz. Das beinhaltet nicht nur die Transparenz in den Arbeitsweisen der Verfahren in Hard- und Software sondern auch in deren Implementationen. Nicht Sicherheit durch Unklarheit (Security through obscurity) schafft Vertrauen sondern nur die Erfüllung des Kerckhoff-Prinzips auf allen Ebenen der Entwicklung von IT-Sicherheitsprodukten.

In dem Vortrag und am Messestand 251 bot Prof. Dr. Rozek Einblicke in die Schmalkalder Sicherheitstechnologie IT in 5D.
Besonders wurde darauf verwiesen, dass das Forschungsteam "IT-5D" schon vor einigen Jahren mit der Entwicklung einer ganzheitlichen IT-Sicherheitstechnologie begonnen hat.   

Eine Vielzahl von Fachbesuchern aus Wirtschaft, Wissenschaft und Politik, darunter auch der derzeit amtierende Bundesinnenminister Dr. Friedrich konnten sich umfassend über die, vom Forschungsteam "IT5D" entwickelte, ganzheitliche, mit Selbstheilungseffekten ausgestattete IT-Sicherheitstechnologie "IT in 5D" informieren. 

Master Schneider hob besonders hervor, dass im Wesentlichen alle sicherheitsrelevante Daten wie z. B. Permutationssteuerinformationen und Schlüsseldaten am Ort der Verschlüsselung mit dem SSR-Zufallsgenerator des dortigen TSG´ s generiert werden, die in Form permutierter relativer Daten im Datenfeld eines TCP bzw. UDP-Telegramms zum Ort der Verschlüsselung übertragen werden.

Richtungsbezogene OTP-Verschlüsselung

Viele der Standbesucher sahen sofort, dass jede Kommunikationsrichtung mit anderen zufallsbestimmten Datenmassiven ausgeführt werden.

Doch wie kann ein OTP-Zufallsschlüssel generiert werden, ohne den SSR-Zufallsgenerator des TSG` s am Ort der Entschlüsselung zu benutzen?

Die Antwort auf diese Fragestellung wurde noch brisanter diskutiert, wenn der Besucher wusste bzw. erfuhr, dass die Schlüssellänge und die zu verschlüsselnde Datenlänge gleich sein müssen. 
Die Antwort von Standbetreuer Kranich, wir übertragen die sicherheitsrelevanten Daten als permutierte relativen Daten, warf gleich neue Frage auf.

Bei VoiceIP verschlüsselter Telefonie ist das Datenmassiv (Header) zur Übertragung der sicherheitsrelevanten Daten doch kleiner 2KByte groß. 
Ist es möglich aus einer begrenzten Teilmenge von Zufallszahlen einen sehr langen OTP-Schlüssel zu generieren, so dass ein Telefonat mehrere Stunden, ja sogar ein Tag lang geführt werden kann? 

Die Antwort von Prof. Dr. Rozek ist ein eindeutiges ja. Man stelle sich vor der Zufallsgenerator generiert eine Teilmenge von Zufallsdaten aus einer sehr großen Gesamtzufallsdatenmenge. Bei Verwendung von 1024Bit tiefen Zufallsdaten umfasst die Gesamtzufallsdatenmenge eine Anzahl mit mehr als 2600 Stellen vor dem Komma. Aus dieser großen Anzahl werden am Ort der Verschlüsselung je neue Verschlüsselung mehrere Zufallsdaten zufällig entnommen, aus denen dann der OTP-Schlüssel ohne Wiederholung und Periode gebildet wird.    

Eine Vielzahl von Entscheidern war von der neuartigen Herangehensweise zur Lösung der IT-Kernfragen  der Verschlüsselung, des Schlüsselaustausches und des Schlüsselmanagements beeindruckt. Am liebsten hätten sie das Transparente Security Gateway gleich geordert.

 

weiterlesen...