Wohin bloss mit all den vielen Schlüsseln?

Ansgar Dodt ist Director of Sales Embedded Systems für Europa bei Safenet.

C-Karte, digitaler Firmenausweis oder privater E-Mail-Account - wir alle nutzen regelmässig digitale Identitäten zur Abwicklung elektronischer Transaktionen. Um die Daten auf diesen digitalen Ausweisen zu schützen, werden sie mit Hilfe so genannter Keys verschlüsselt. Die digitale Signatur weist nach, dass der Key zum richtigen Empfänger gehört und die Public Key Infrastructure (PKI) legt die Hierarchie der Zertifizierungsinstanzen fest. In diesem komplexen Gefüge werden hohe Mengen sensibler kryptografischer Daten produziert. Je mehr Nutzer digitale Transaktionen durchführen, umso mehr Schlüssel und -Signaturen gilt es zu speichern. Viele aktuelle Techniken eignen sich zur Verwaltung Tausender von Keys. Wenn es aber um Millionen Schlüssel geht, stossen viele Key-Management-Verfahren an ihre Grenzen.

Bei den meisten Authentifizierungsmethoden - beispielsweise über Smartcards - kommen asymmetrische, aber mathematisch miteinander verwandte Schlüsselpaare zum Einsatz, die jeweils aus einem Public und einem Private Key bestehen. Der öffentliche Schlüssel dient dazu, Daten zu chiffrieren. Der private Schlüssel kommt bei der Dechiffrierung und der digitalen Signatur zum Einsatz. Damit Private Keys, mit deren Hilfe Dritte auf geschäftskritische E-Mails zugreifen könnten, nicht in falsche Hände geraten, sichert man die Schlüssel ab. Bei geringen Datenmengen reicht die Speicherung auf Smartcards aus. Diese haben aber sehr begrenzte Speicherkapazitäten und geringe Performance.

Im Bereich Online-Banking oder bei Web-basierten E-Mail-Accounts muss daher grösseres Geschütz aufgefahren werden. Hier weicht man auf Softwarelösungen wie DBMS (Databank-Management-Systeme) aus. Diese Datenbanken sind in der Lage, sehr grosse Mengen von Schlüsseln zu verwalten. Leider bieten sie jedoch nicht ausreichend Sicherheit.

Eine zuverlässige Alternative stellen Hardware-Sicherheits-Module (HSM) dar. Diese eignen sich dazu, eine grosse Anzahl wasserdichter Private Keys zu erzeugen und zu schützen. Manchmal ist es jedoch nötig, die Daten aus den HSM zu exportieren. Sei es aufgrund der Speicherbegrenzung bei einer grösseren Anzahl Schlüssel oder, weil die Codes zwar im HSM erstellt, dann aber auf Smartcards gespeichert werden sollen. Auch falls die HSM selbst nicht transportiert werden können, kann ein Export der Private Keys aus den Geräten erforderlich sein. Zur Absicherung der Keys beim Export aus den HSM kommen verschiedene Techniken zum Einsatz. Das Grundgerüst ist dabei bei allen Methoden dasselbe: Zuerst wird innerhalb des HSMs der Private Key erstellt. Anschliessend wird dieser verschlüsselt und erhält ein kryptografisches Couvert, einen sogenannten Wrapper. Deshalb nennt man das Verfahren auch «Key Wrapping».

Die verschiedenen Verfahren unterscheiden sich hinsichtlich der Sicherheit: In vielen Fällen greifen Unternehmen zur 3DES-Verschlüsselung (Dreifacher Data Encryption Standard): Zuerst wird dafür der Private Key encodiert. Dann wird die encodierte Datei mittels einer 3DES-Verschlüsselung abgesichert. Den einmaligen Key für die 3DES-Verschlüsselung generiert dabei das HSM. Der so verschlüsselte Public Key ist dann bereit für den Export aus dem HSM. Dieses Verfahren hat aber zwei Schwachpunkte: Erstens berücksichtigt es nur den Private Key, während dessen so genannte Attribute Flags ignoriert werden. Bei Letzteren handelt es sich um zusätzliche Informationen, welche zusammen mit dem Private Key abgespeichert werden und ihm gewisse Eigenschaften zuweisen. Bei manchen Attributen, die nur administrativen Zwecken dienen und beispielsweise den Namen des Zertifikats angeben, ist es nicht sicherheitskritisch, wenn die Information verloren geht. Andere Attribute hingegen beinhalten spezifische Sicherheitsanweisungen. Ohne sie fehlen wichtige Informationen über den sicheren Umgang mit den Codes.

Der zweite kritische Aspekt des Verfahrens ist die Möglichkeit, den Key für das 3DES-Wrapping als eigenen Schlüssel aus dem HSM zu exportieren. Dazu ist kein spezielles Hacking-Wissen nötig, die Möglichkeiten sind laut Standard definiert. Exportiert man allerdings sowohl den verschlüsselten Private Key als auch den Key für die 3DES-Verschlüsselung, so führt das zu einem ähnlichen Effekt, als ob man die Haustüre zwar abschliesst, den Schlüssel aber anschliessend vor die Türe legt.

Es gibt allerdings auch Verfahren, die das Sicherheitsproblem einiger Key-Wrapping-Methoden umgehen. Dabei kommt ein Prozess zum Zuge, der die Integrität des Public Key bewahrt und auf eine andere Verschlüsselungsmethode setzt.

In einem ersten Schritt verschlüsselt man dazu nicht nur den Private Key, sondern das gesamte Key-Objekt - bestehend aus dem Key und den dazugehörigen Attributen. So bleiben die zum Public Key gehörigen Sicherheitsvorschriften erhalten. Ein anschliessender Integritäts-Check des gesamten Key--Objekts dient dazu, eventuelle Korruptionen aufzudecken. Fehlen nach dem Export beispielsweise Attribute Flags, zeigt der Integritäts-Check diesen Fehler an. Das Verfahren schliesst Daten, die den Integritäts-Check nicht bestanden haben, aus. Bestehen die Daten den Check, lässt sich das Key-Objekt zusammen mit seinen Daten aus dem Integritäts-Check verschlüsseln. Diesen Schritt bezeichnet man als «Key Masking».

Auch bei diesem Verschlüsselungs-Verfahren kommt ein kryptografischer Wrapper zum Einsatz. Unter Verwendung einer mehrstufigen Verschlüsselung mit 512 oder 256 Bit starkem AES-Code (Advanced Encryption Standard) wird der Public Key gegen unerwünschte Blicke seitens Dritter abgesichert. Anders als bei anderen Verfahren kann der 512 Bit starke AES-Key, auf dem die Verschlüsselung basiert, die sicheren Grenzen des HSMs nicht verlassen - und somit auch nicht in die Hände Dritter geraten. Damit bleibt die Verschlüsselung wasserdicht.

Ein erheblicher Vorteil dieses Verfahrens ist die gemeinsame Verschlüsselung von Private Key, Attribute Flags und Daten aus dem Integritäts-Check. Diese Verschlüsselung schliesst aus, dass dem einmal exportierten Private Key andere Eigenschaften zugewiesen werden. Der Integritäts-Check verhindert überdies, dass das Key Objekt unbemerkt verändert wird und unberechtigte Daten in den Key-Management-Prozess gelangen. Somit sorgt das Verfahren für zuverlässige Schlüssel, die auch jenseits der Grenzen der HSM sicher bleiben.

Die Vorgehensweise des Key Masking erfüllt die hohen Anforderungen an ein Key-Mana-gement, das sich zur Verwaltung sehr grosser Schlüsselmengen eignet - beispielsweise für die Absicherung Web-basierter E-Mail-Kommunikation. Die mehrstufige Verschlüsselung des gesamten Key-Objekts sowie der Integritäts-Check machen die Methode äusserst zuverlässig und verhindern, dass sich korrupte Keys in den Prozess einschleichen können. Die mehrstufige Verschlüsselung beruht zudem auf einem Verfahren, das mehrere Algorithmen berücksichtigt und ist somit stärker als die 3DES-Verschlüsselung, die bei anderen Wrapping-Verfahren zum Einsatz kommt. Auf diese Weise wird die Basis für sichere digitale Identitäten geschaffen, auf die sich auch Unternehmen in hochsensiblen Bereichen wie dem Finanz- oder Regierungssektor verlassen können.

Begriffserklärung

Das Kürzel DES steht für Data Encryption Standard. Es handelt sich dabei um einen Kodierungs-algorithmus, mit welchem digitale Daten ge-sichert werden. DES, der vor über 30 Jahren ausgetüftelt wurde, ist auch unter dem Namen «Lucifer» bekannt. Der in die Jahre gekommene DES mit einer Schlüsselgrösse von 56 Bit erfüllt heute nur noch in dreifacher Auflage als Triple DES (3DES) seine Aufgabe. Zur Suche nach einem neuen Standard, dem sogenannten AES (Advanced Encryption Standard oder eingedeutscht «Verbesserter Verschlüsselungsstandard») rief das amerikanische National Institute of Standards and Technology (Nist) 1997 einen inter-nationalen Wettbewerb aus und kürte nach dreijähriger Laufzeit «Rijndael» (sprich: Rejndahl) zum offiziellen Nachfolger von Lucifer. Den Vorzug vor seinen Konkurrenten erhielt Rijndael wegen seines sehr kleinen Speicherplatzbedarfs, seiner einfachen Implementierbarkeit und seiner hohen Flexibilität. Der von den beiden belgischen Wissenschaftlern Joan Daemen und Vincent Rijmen entwickelte Kryptocode unterstützt Schlüsselgrössen von 128, 192 und 256 Bit. Diese Masseinheiten stehen für die Anzahl möglicher Schlüssel, die sich mit einem Algorithmus generieren lassen, und damit für das Sicherheitsniveau des ganzen Verfahrens. Mit einer Schlüsselgrösse von 128 Bit lassen sich beispielsweise 3,4 mal 1038 mögliche Schlüssel erzeugen, von denen aber nur ein einziger ins virtuelle Schloss passt. Gemessen an der stetigen Steigerung der Prozessorgeschwindigkeit wird der AES nach Ansicht des Nist sicherlich noch für die nächsten 20 Jahre Gültigkeit haben.