Helmut Stoiber Selbständig

Asymmetrische Schlüsselpaare, digitale Zertifikate und Zertifizierungsstellen sind die Hauptbestandteile einer Public Key Infrastructure (PKI).

PKCS#11 (Public-Key Cryptographic Standard) ist der De-facto-Standard für die Programmierung von kryptografischen Tokens wie Smartcards, Hardware Security Modules (HSM) oder Trusted Platform Modules (TPM). Die ersten Veröffentlichungen dieses Standards durch RSA Security Inc. reichen bis ins Jahr 1994 zurück. Ziel dieser Standardisierung war und ist die Vereinheitlichung einer plattformunabhängigen Schnittstelle für die Programmierung kryptografischer Hardware. Dadurch soll erreicht werden, dass die Hersteller der jeweiligen Security-Hardware ein generisches, kryptografisches API zur Verfügung stellen, das ein produktübergreifendes Programmieren ermöglicht.

Der erste Teil dieses zweiteiligen Artikels gibt zunächst einen einführenden Abriss über aktuelle Standards und Technologien moderner kryptografischer Systeme. Basierend auf den vorgestellten kryptografischen Technologien wird die konkrete Realisierung einer Public Key Infrastructure (PKI) aufgezeigt. Daran anschließend werden die gebräuchlichsten kryptografischen Token und deren Eigenschaften beschrieben. Eine Einführung in die wichtigsten kryptografischen Algorithmen und Verfahren rundet diesen ersten Artikelteil ab.

Schutz digitaler Daten

Sensible Daten in digitaler Form müssen mit geeigneten Technologien vor unberechtigtem Zugriff und vorsätzlicher Manipulation geschützt werden. Aktuelle kryptografische Verfahren sind hier das Mittel der Wahl und gewinnen diesbezüglich immer mehr an Bedeutung. Jedoch reicht es nicht, Algorithmen mit erhöhten Schlüssellängen einzusetzen, um die Verschlüsselung oder das sichere Schlüsselmanagement zu optimieren. Vielmehr bieten die nachstehend detailliert beschriebenen kryptografischen Hardwarekomponenten im Vergleich zu ausschließlichen Softwarelösungen den weitaus höheren Gewinn an Sicherheit. Natürlich sind höhere Sicherheitsstands nicht zum Nulltarif zu bekommen. Es ist daher fallweise abzuwägen, inwieweit beispielsweise ein teures HSM einer preisgünstigen Smartcard vorzuziehen ist.

Artikelserie
Teil 1: Kryptografische Grundlagen
Teil 2: Standards und Implementierungen

Primäranforderungen für sicherheitsrelevante Daten

Vertraulichkeit: Zur Gewährleistung der Vertraulichkeit müssen die durch ein IT-System zu verarbeitenden oder über Kommunikationseinrichtungen zu übertragenden Daten durch Verschlüsselung vor unberechtigtem Zugriff geschützt werden. Es ist sicherzustellen, dass die relevanten Informationen ausschließlich den autorisierten Kommunikationspartnern zugänglich sind.
Integrität: Die Korrektheit des Inhalts und der unmanipulierte Zustand einer Nachricht werden als Integrität bezeichnet. Realisieren lässt sich Integrität mithilfe einer digitalen Signatur, da diese direkt mit dem Inhalt der Nachricht verknüpft ist und somit etwaige Manipulationen sicher erkannt werden können.
Authentizität: Steht für die Echtheit und Glaubwürdigkeit einer Nachricht sowie die Vertrauenswürdigkeit eines Kommunikationspartners. Auch hier lässt sich zum Beispiel die Authentizität eines Nachrichtensenders mit einer digitalen Signatur verifizieren.
Nichtabstreitbarkeit: Hat zum Ziel, dass das Senden und das Empfangen von Daten und Nachrichten nicht in Abrede gestellt werden kann. Grundsätzlich wird zwischen Nichtabstreitbarkeit der Herkunft und Nichtabstreitbarkeit des Erhalts unterschieden. Der Sender einer Nachricht offenbart seine Identität durch eine digitale Signatur, sodass der Empfänger die Herkunft der Nachricht nachweisen bzw. verifizieren kann. Soll zudem der Empfang der Nachricht belastbar nachzuweisen sein, muss eine dritte Instanz hinzugezogen werden, die das Versenden der Nachricht an den Empfänger kontrolliert und mit einem Zeitstempel versehen protokolliert.

Den vollständigen Artikel lesen Sie in der Ausgabe:

Entwickler Magazin Spezial Vol.16: Security - "Security"

Alle Infos zum Heft
579842032Kryptografische Grundlagen
X
- Gib Deinen Standort ein -
- or -