|
|
 |
 |
Schlüsselmanagement |
| |
|
|
|
In einem kryptographischen System treten verschiedene Schlüssel auf, die nach Einsatz, Lebenszeit und "Hierarchieebene" klassifiziert werden können, und durchaus unterschiedlichen "Wert" widerspiegeln.
Key Generation Keys (KGK) findet man meist in Systemen, wo mit symmetrischen Schlüsseln gearbeitet wird und wo andere Schlüssel von solchen Masterschlüsseln abgeleitet werden.
Key Encrypting Keys (KEK) sind Schlüssel mit denen andere Schlüssel verschlüsselt werden. Dieses Wrapping dient oft zur Transportsicherung. Bei hybriden Verfahren ist der öffentliche Key des Empfängers der KEK, bei 802.11i
existiert auch Key Confirmation Key (KCK)
|
|
|
|
Data Encryption Keys (DEK) können neben langfristigen Einsatzzwecken, wie digitale Signatur, Authentifizierung, verschlüsselte Speicherung, etc. , auch nur zu kurzfristigen Zwecken wie einzelne Sitzungen (Session Keys, Transaction Keys) benutzt werden. Bei Dateiverschlüsselung spricht man auch von File Encryption Keys (FEK).
Ein Keymanagementsystem (KMS) befasst sich mit der sicheren Generierung, Personalisierung, Verteilung, Verwaltung, Erneuerung, Archivierung und Vernichtung von kryptographischen Schlüsseln. Eine PKI als Gesamtes, kann als solches KMS betrachtet werden, das mit öffentlichen und privaten Schlüsseln arbeitet.
|
|
|
Schlüsselgenerierung |
Damit die kryptanalytische Stärke eines sicheren Algorithmus greifen kann, sind die Schlüssel und Initialisierungsvektoren möglichst zufällig auszuwählen. Der Schlüsselraum, sprich die Schlüssellänge, sollte hinreichend groß sein, und spezifische Eigenschaften des eingesetzten Algorithmus beachtet werden, z.B. schwache Schlüssel und "Schlüssel Prüfbits" beim DES, große Primfaktoren beim RSA.
Fragen die überlegt sein, und beantwortet werden wollen sind:
Wo, ... mit welcher Cryptoimplementation (Hardware, Software), ...gespeichert oder hinterlegt,
Wie ... werden "Zufallswerte" ermittelt, ... werden Primzahlen ermittelt oder konstruiert, ...lange sind die Schlüssel gültig, ...geschieht ein Schlüsselwechsel
|
Schutz von Schlüssel |
Der angediehene Schutz sollte dem Wert des Schlüssels entsprechen, und über den gesamten Lebenszyklus vom
Generieren,
- Parameter
- Zufallszahlen
- Ort (abhören)
Speichern,
- Löschung aus Generator
- persistente Speicherung
- Zugriffschutz
Übertragen,
- richtiger Empfänger
- garantierte Zustellung
- geeignete Transportsicherung
Benutzen,
- leicht für Befugte, unmöglich für Unbefugte
- Schutz vom privaten Schlüssel
Vernichtung,
- leicht für Befugte, unmöglich für Unbefugte
- unwiederbringlich
Hinterlegen,
- persistente Speicherung
- Zugriffschutz
- nur für bestimmte Schlüssel
Wiederherstellen,
- korrekte Wiederherstellung
- nur Befugte
richtig ausgeführt werden.
Schutz bei der Speicherung und Benutzung eines (wertvolleren) Schlüssels, z.B. des Signierschlüssel:
- auf Massenspeicher geschützt durch Passphrasen (sw-keystores) und Benutzung in einer ungeschützten Umgebung ist nicht ideal,
- auf entfernbaren Medien schon besser aber Kompromittierung immer noch während der Benutzung möglich,
- auf einem manipulationssicheren Gegenstand (Smart Cards) wo Speicherung und Verarbeitung geschieht am besten zu gewährleisten.
|
Schüsselverteilung |
In symmetrischen KMS kommen zumeist KEKs als Transportschutz bei der Verteilung zum Einsatz. Der sichere Transport von öffentlichen Schlüsseln
wird mittels Zertifikaten am besten bewerkstelligt. Werden ganze Schlüsselpaare übertragen kommen besondere Transportformate
zum Einsatz.
|
Archivierung und Wiederherstellung |
Archivierung und Hinterlegung von Schlüsseln wird für gewöhnlich zum Schutz gegen Verlust von Schlüsseln angewandt. Strafverfolgungs- oder Staatsschutzbehörden haben natürlich andere Beweggründe, dort wird meist mit Key Escrow Systemen (z.B. EES - Escrowed Encryption Standard) die mit Schlüsselrekonstruktionsmechanismen arbeiten.
Ansonsten sind Archivierungen (aktueller, vorheriger, ältere) und Hinterlegungen ein heikles Thema, weil diesen derselbe Zugriffsschutz angediehen werden muss, wie dem in Verwendung befindlichen Schlüssel.
|
Linktipps |
|
Cryptoshop Tipps |
|
Angewandte Kryptographie
Bruce Schneier bei Amazon
Mit diesem Standardwerk liefert Bruce Schneier all denen umfassende Informationen, die Sicherheitskontrollen in Netze einbauen und Daten verschlüsselt übermitteln. Nach einer Einführung in die Theorie werden Protokolle und Algorithmen zur Datenverschlüsselung ausführlich vorgestellt und ihre Funktionsweisen und Sicherheitsstufen analysiert. Das Buch enthält Quellcode in C und zeigt, wie dieser in größere Anwendungen eingebaut werden kann. |
|
Practical Cryptography
Schneier / Ferguson bei Amazon
Sprache: Englisch. Das Nachfolgebuch von Angewandte “Kryptographie” zeigt, dass Sicherheit ein komplexes Thema ist und Kryptographie kann viel zur Lösung der Probleme beitragen kann, wenn man sie richtig anwendet. Genau darum geht es in diesem Buch. |
|
Handbook of applied Cryptography
von Alfred J. Menezes, Paul C. van Oorschot und Scott A. Vanstone
Sprache: Englisch. Dieses Buch gibt eine Einführung die die praktischen Aspekte von Secret Key- und Public Key Cryptography. Einige mathematische Grundkenntnisse vorausgesetzt ist dieses Buch ein Nachschlagewerk für Praktiker. |
|
 |
 |
|
|
 |
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
|
Impressum