-
Die
vorliegende Erfindung bezieht sich auf die Sicherung einer zeitkritischen,
ein-, zwei- oder mehrseitigen und zumindest während eines Teilabschnitts
der Übertragungsstrecke
digitalen, paketbasierten Kommunikation zwischen mind. zwei Personen
und/oder Maschinen.
-
Das
neueste Beispiel für
die immer weiter voranschreitende Konvergenz der Informationstechnologie
ist das Transportieren von Sprache über das Internet-Protokoll
(Voice over IP, VoIP). Analysten erwarten eine jährliche Wachstumsrate von 20%
bis 45% pro Jahr. Der Anteil der (im vereinigten Königreich) über VoIP
geführten
geschäftlichen
Telefonate werde in wenigen Jahren auf über 50% wachsen. Der Erfolg
von VoIP wird nicht nur auf Kabelnetze beschränkt bleiben, sondern konvergente Übertragung von
Sprache und Daten wird auch die nächste Generation der Mobilfunknetze
beeinflussen. Diese neue Technologie bringt allerdings einige Sicherheitsbelange
mit sich: Um einen traditionellen leitungsvermittelten digitalen
oder analogen Anruf abzuhören oder
zu verfälschen,
muss ein Angreifer physikalischen Zugriff auf das Transportmedium
erlangen. Digitale Netzwerke sind im Allgemeinen wegen ihrer Offenheit
und Möglichkeiten
zu unbemerkter Manipulation weniger widerstandsfähig gegen solche Angriffe.
Dies trifft bereits auf ISDN zu und in einem wesentlich größeren Umfang
auf digitale, paketbasierte Netzwerke, zum Beispiel auf IP-Netzwerke.
Anstrengungen, den VoIP-Produkten Sicherheits-Funktionen hinzuzufügen sind
derzeit ungenügend,
auch wenn Vorschläge
für den
Schutz der Privatsphäre
existieren. Aus dem Stand der Technik sind Protokolle wie SRTP (Secure
Real Time Transport Protocol) bekannt, die Ende-zu-Ende Abhörsicherheit
für Telefonate
bieten können
und sie von der Sicherheit des Transportmediums und des Kommunikationsanbieters
unabhängig
zu machen. Diese Protokolle sichern allerdings nur die Abhörsicherheit,
gewährleisten
aber nicht die Nichtabstreitbarkeit der Kommunikation, insbesondere
deren Inhalt, Kommunikationsteilnehmer, Datum und Uhrzeit. Diese
Erfindung befasst sich weniger mit Sicherheitsverfahren zum Schutz
gegen das Abhören
von Kommunikation, sondern mit dem Schutz gegen Verfälschungen
der Kommunikationsinhalte. Dies ist zum Beispiel im Bereich von
Telefonbanking ein wichtiger Aspekt. Hierbei werden Anweisungen,
z.B. Überweisungen,
des Bankkunden per Telefon an die Bank gegeben. Eine weitere Anwendung
ist die Vertragsverhandlung über Telefon
oder Videokonferenz. Wünschenswert
wäre die
Möglichkeit
einer Sicherheitstechnik, die die Integrität und/oder die Nichtabstreitbarkeit
der Kommunikation sichert entsprechend eines mündlichen Vertrages mit Zeugen.
Eine entsprechende Technik ist bisher nicht bekannt.
-
Wird
das Gespräch über VoIP
geführt
so wäre
es relativ einfach möglich,
während
des Gesprächs
ohne Wissen der Kommunikationspartner das Gespräch zu verfälschen.
-
Auf
der anderen Seite bieten Sprach-Unterhaltungen inhärente Beweiskraft
durch die Möglichkeit
der forensischen Bewertung und Untersuchung der enthaltenen biometrischen
Daten, z.B. als unabhängige
Art der Sprecher-Authentifikation. Die Möglichkeiten für letzteres
sind weit fortgeschritten, wodurch aufgezeichnete analoge Sprachkommunikation
eine sehr hohe Beweiskraft erlangt, z.B. vor Gericht.
-
Eine
Absicherung des Inhaltes von VoIP-Gesprächen über beispielsweise kryptographische
Verfahren ist wünschenswert
und würde
einen deutlichen Vorsprung gegenüber
bisherigen Systemen wie ISDN darstellen. Hierdurch kann eine Sicherheit
der Verbindung (in Verbindung mit Vertraulichkeit schützenden
Protokollen) erreicht werden, die unabhängig ist von der Dienstleistung
die der Netzbetreiber zur Verfügung
stellt. Dies kann besonders in mobilen Netzwerken von Bedeutung
sein.
-
Daher
wird in der hier vorgestellten Methode die Kommunikation zwischen
Parteien auf einer Transaktionsebene betrachtet, für die eine
Nichtabstreitbarkeit erreicht wird. Diese Nichtabstreitbarkeit ist
eng mit dem Sicherheitsziel der Integrität verbunden. Es muss sichergestellt
werden, dass eine Kommunikation nicht verändert wurde weder zu irgendeinem
Zeitpunkt während
der Übermittlung
noch danach. Diese Eigenschaft muss sich auch auf die Zusatzdaten
der Kommunikation beziehen, die während der Kommunikation erzeugt
oder verwendet werden.
-
Der
Anwendungsbereich der vorliegenden Erfindung geht in voller Allgemeinheit über den
primären
Anwendungsbereich paketbasierte, digitale Sprachkommunikation, für die VoIP
das bekannteste Beispiel ist, hinaus. Denn wesentlich für die Anwendbarkeit
der erfundenen Methoden ist nicht die Art der in der Kommunikation
verwendeten Mediendaten, sondern dass es sich um eine (ein-, zwei-
oder mehrseitige) Kommunikation im Sinne der Kommunikations- und Sprachtheorie
zwischen Partnern handelt. Wesentlich ist, dass die Partner einen
bestimmten Grad der Nichtabstreitbarkeit für die Inhalte der durchgeführten Kommunikation
erreichen möchten. Für die Anwendbarkeit
der entworfenen Technik ist die Paketbasierung wesentliche Bedingung.
Nicht wesentlich und im Allgemeinen beliebig ist die Art der in
der Kommunikation benutzten Medien und ihrer spezifischen Übertragung.
Das heißt
zum Beispiel, dass der Anwendungsbereich der Erfindung auch Videodaten,
Bildtelefonie, textbasierte Chats und so weiter umfassen kann, sowie
auch paketbasierte Medien-Kommunikation die in Zukunft erst erfunden wird.
Ein Beispiel für
in der Forschung entwickelte, aber noch nicht in voller Breite am
Markt angewandte Kommunikation, die in den genannten Anwendungsbereich
fällt,
ist z.B. das gemeinsame Arbeiten von Personen, auch an mehreren
voneinander entfernten Orten, in dreidimensionalen, virtuellen Konstruktionsumgebungen.
Weiterhin ist nicht wesentlich, das natürliche Personen die Kommunikation
ausführen. Dies
ist schon im Falle der digitalen, paketbasierten Sprachkommunikation
wichtig, wo der Anwendungsfall sich natürlich und nur als Beispiel
auch auf Ticket-Reservierungs-
oder Auskunftssysteme erstreckt, bei denen einer der Kommunikationspartner ein
Automat ist. Wesentlich ist in Bezug auf die Anwendbarkeit der Methoden
nur das Ziel der Kommunikationspartner, Nichtabstreitbarkeit zu
erreichen.
-
Es
sei angemerkt, dass für
nicht zeitkritische Datenübertragungen,
wie z.B. E-Mail, digitale Sicherungsmethoden, wie die elektronische
Signatur oder Verschlüsselungsverfahren,
bereits aus dem Stand der Technik bekannt sind. Hierbei spielt aber
der Zeitaspekt und die mehrseitige Kommunikation keine Rolle, ganz
im Gegensatz zu den hier betrachteten zeitkritischen Echtzeitanwendungen
(auch bekannt als realtime applications), die entsprechend andere Anforderungen
an die Sicherungsverfahren stellen.
-
Die
Aufgabe der vorliegenden Erfindung besteht darin, eine Sicherung
einer zeitkritischen, ein-, zwei- oder mehrseitigen und zumindest
während
eines Teilabschnitts der Übertragungsstrecke
digitalen, paketbasierten Kommunikation (im Folgenden mit zpdK abgekürzt) zwischen
mind. zwei Personen und/oder Maschinen zu realisieren, so dass die
Integrität
und/oder Nichtabstreitbarkeit für
die Inhalte und/oder den Zeitpunkt und/oder den Ort und/oder die
Identität
der Gesprächspartner
der Kommunikation während
bestimmter Teile oder der gesamten Dauer der Kommunikation gewährleistet
wird.
-
Die
Aufgabe wird mit dem Verfahren des unabhängigen Anspruchs 1 gelöst. Vorteilhafte
Ausgestaltungen der Verfahren sind Gegenstand der Unteransprüche. Der
Anspruch 36 gibt eine Vorrichtung zur Durchführung des Verfahrens aus Anspruch
1 an.
-
Der
vorliegenden Erfindung liegt die Erkenntnis zugrunde, dass sich
der Schutz einer zpdK vor Fälschung
und Manipulation vom Schutz der Integrität von anderen Daten dadurch
unterscheidet, dass der zeitliche Zusammenhang relevant ist. Insbesondere
die Reihenfolge und Verluste der Kommunikationspakete müssen korrekt
behandelt werden. Außerdem
muss jeder Kommunikation ein Erzeugungszeitpunkt zugeordnet werden.
Die Erfindung verwendet zwar bekannte digitale Sicherungsverfahren,
wie zum Beispiel die digitale Signatur, wendet diese allerdings
in bisher nicht bekannter Art und Weise auf zeitkritische Kommunikationen
an.
- 1) Die Sicherung der Integrität einer
zpdK ist eine Grundaufgabe, deren Lösung für alle drei folgenden, anwendungsbezogenen
Aufgaben eine wesentliche Voraussetzung ist. Die Lösung von
1) basiert auf einem technischen Grundkonzept mit Erfindungscharakter,
das für
2)–4)
an die jeweiligen Anforderungen angepasst wird. Die technischen
Ausführungsbeispiele
von 2)–4)
beinhalten demgemäß technische
Ausführungsbeispiele
von 1).
- 2) Sichere Archivierung einer zpdK. Digitale Daten unterliegen
grundsätzlich
weitgehenderen Manipulationsmöglichkeiten
als analoge, bei denen Manipulationen stets Spuren hinterlassen. Daher
ist eine die Integrität
auch über
lange Zeiträume
sichernde Aufbewahrung digitaler Sprachkommunikation eine Grundvoraussetzung
für eine spätere Beweisführung damit.
- 3) Authentifizierung der Sprecher. Eine Sicherung der Authentizität der Kommunikationsteilnehmer kann
durch eine anfangs durchgeführte
Authentifikation der Geräte
von Anrufer und Angerufenen zusammen mit der inhärenten biometrischen Authentizität der Stimme
gelöst
werden. Auch wenn man es prinzipiell allein auf der Transportebene lösen könnte, ist
es von Vorteil, es mit den Methoden aus 1) und 2) zu kombinieren
um den Beweis erbringen zu können,
dass ein aufgezeichnetes Gespräch
durchgängig
mit authentifizierten Geräten
von den bezeichneten Sprechern geführt wurde.
- 4) Elektronische Signaturen über
zpdK. Aufbauend auf 1)–3)
wird es möglich,
für Gespräche das Maß an Nicht-Abstreitbarkeit zu
erreichen, das elektronische Signaturen für digitale Dokumente ermöglichen,
d.h. eine bewusste Absichtserklärung.
Dafür müssen die
oben genannten Aufgaben durch den Nachweis, dass man ein vertrauenswürdiges Signatur-Token
besitzt ergänzt
werden um die ausgesprochene Absicht, zu unterschreiben, auszudrücken. Die
rechtliche Wirkung von elektronischen Signaturen erhöht sich,
wenn vertrauenswürdige
Geräte
benutzt werden. Es wird ein entsprechendes technisches Ausführungsbeispiel
vorgestellt.
-
Ein
Vorteil der Erfindung ist, dass in ihrer technischen Ausführung die
existierende Infrastruktur größtenteils
unberührt
gelassen werden kann, da das Grundkonzept eine effiziente und nahtlose
Integration in z.B. die secure internet protocol (SIP)- und realtime
transport protocol (RTP)-Protokolle erlaubt. Ein weiterer Vorteil
der Erfindung liegt in der effizienten Nutzung von Arbeitsspeicher,
Bandbreite, Speicherbedarf und Rechenlast, denn eine zusätzliche
Datenübertragung
ist bei der vorgestellten Lösung
nur in sehr geringem Umfang notwendig. Die zusammengenommenen Vorteile
der entwickelten Technik tragen zu einem neuen Paradigma für die Nicht-Abstreitbarkeit
von digitalen Daten bei.
-
Die
Kombination von Integritätsschutz,
Sicherheit von aufgezeichneten digitalen Gesprächen, Sicherheit über die
Identität
der Dialogpartner und letztlich die Absichtsbekundung verkörpert durch
Signaturen ermöglicht
rechtlich bindende mündliche Verträge zwischen
unbekannten Personen. Prinzipiell ist so für mündliche Verträge die Sicherheit
einer qualifizierten elektronischen Signatur nach dem Signaturgesetz
erreichbar.
-
1.2 Anforderungen für die Integrität digitaler
Sprachkommunikation
-
Die
zentralen Anforderungen, um Nicht-Abstreitbarkeit bei der zpdK zu
erzielen beziehen sich auf Aspekte der Informationssicherheit. Aus
dem wohlbekannten Dreiergespann Vertraulichkeit, Integrität und Verfügbarkeit
der Grundforderungen an IT-Sicherheit ist Integrität die hier
wesentliche. Es muss sichergestellt werden, dass ein Kommunikationsvorgang
zu keinem Zeitpunkt verändert
wurde, sei es während
der Übertragung
oder später.
Des Weiteren umfasst Integrität
auch die Integrität
jeglicher relevanter Zusatz-Daten, die während des Anrufs erzeugt oder
benutzt werden, insbesondere also den Daten, die die Gesprächspartner
authentifizieren.
-
Auf
Grund der speziellen Eigenschaften der zpdK bieten nur beide bzw.
alle Sprachkanäle
gemeinsam den nötigen
Kontext um den Inhalt der Kommunikation komplett zu verstehen und
um die inhärente
Sicherheit zu nutzen, die eine verwobene natürlichsprachige Konversation
bietet. Um sicherzustellen, dass Teile des Gesprächs weder mit anderen Teilen
ausgetauscht, durch Einfügungen
ersetzt werden, noch herausgeschnitten werden können, muss eine besondere Eigenschaft
sichergestellt werden. Diese Eigenschaft bezeichnen wir im Folgenden
mit dem Begriff Kohäsion.
Kohäsion
bedeutet, dass die zeitliche Abfolge der Kommunikation und ihrer
Richtung Daten sind, deren Integrität auf eine Art geschützt werden
muss, die Manipulationen praktisch unmöglich macht, also z.B. durch
hinlänglich
starke kryptografische Methoden. Kohäsion als zeitbezogenen Eigenschaft
bringt eine ergänzende
Anforderung mit sich, nämlich
das gesicherte Zuweisen eines zeitlichen Zusammenhangs zu einer
zpdK. Jede zpdK muss zuverlässig
einer bestimmten Zeit zugeordnet werden, die so nah wie möglich am
Anfang des Gesprächs
liegt. (Man beachte, dass bei z.B. elektronischen Signaturen das
Zuweisen eines Signierzeitpunktes eine rechtliche Anforderung für qualifizierte Signaturen
ist gemäß des Europäischen Signaturgesetztes
und entsprechender nationaler Regelungen). Abweichungen der Zeitbasis
sollten während
der signierten Konversation minimiert werden.
-
Schließlich hängt Kohäsion auch
mit den qualitativen Aspekten des Kommunikationskanals zusammen.
Bei schriftlichen Dokumenten ist es in Analogie so, dass ein Unterzeichnender
gut daran tut, keine Dokumente zu unterschreiben, die unlesbar oder
mehrdeutig sind. In der digitalen Domäne entspricht dies dem Präsentationsproblem
für elektronisch
signierte Daten. Analog dazu muss die Qualität des Kanals der zpdK auf einer
Ebene gewährleistet
werden, dass für
beide Gesprächspartner
Verständlichkeit
sichergestellt ist in dem Zeitraum, während dem das Gespräch abgesichert
werden soll, z.B. in dem eine der der Aufgaben 2)–4) durchgeführt werden
soll. Dazu muss jede Architektur, die sich mit Sicherheitsaspekten
der zpdK beschäftigt
insbesondere Paketverluste angemessen betrachten, und zwar in mit
der Kohäsions-Anforderung
konsistenter Weise.
-
Eine
triviale Voraussetzung, damit ein Teilnehmer ein Gespräch als Beweisstück verwenden kann,
ist, dass sichergestellt wird, dass das Gespräch später zur Verfügung steht.
Weitere, eher praktische Anforderungen betreffen die Effizienz des Systemdesigns
und der Implementierung. Erstens ist es sowohl vom Standpunkt der
Sicherheit als auch der Effizienz sehr wünschenswert, die zpdK so „nah" wie möglich an
ihrer Übertragung
und konzeptionell nah am tatsächlich
Datenstrom, z.B. dem VoIP-Strom, zu sichern. Eine einfache Implementierung
sollte die Auswirkungen auf existierende Systeme und Infrastrukturen
minimieren, z.B. sollten Anforderungen an die Client-Seite minimiert
werden. Um die Nutzung existierender Infrastruktur ohne oder mit
nur geringen Änderungen
zu ermöglichen
ist eine tiefe Integration erforderlich. Eine effiziente Nutzung von
Arbeitsspeicher, Bandbreite, Speicherbedarf und Rechenlast können durch
grundsätzliche
konzeptionelle Designentscheidungen erreicht werden. Des Weiteren
ist eine Skalierbarkeit des Konzepts auf eine große Anzahl
an gleichzeitigen Anrufen eine Notwendigkeit in real existierenden
Geschäftsumgebungen.
Dies bedeutet z.B., dass zentralisierte Infrastrukturen wenn möglich vermieden
werden sollen.
-
2 TA 1) Integrität
-
In
diesem Abschnitt wird die Grundaufgabe gelöst, die Integrität von zpdK
zu sichern. Dazu beschreiben wir vier Methoden deren Zusammenwirken das
gewünschte
leistet.
-
2.1 Intervallbildung
-
Die
Sicherung einzelner Pakete der zpdK, z.B. durch kryptografische
Methoden, ist generell nicht praktisch, z.B. würde sie bei über RTP
transportierten Paketen einen nicht annehmbaren Overhead erzeugen,
was zu deutlichen Ressourcenverschwendungen, etwa in Bezug auf die
zur Verfügung
stehende Bandbreite, führen
würde.
-
Um
dies zu vermeiden, wird eine einstellbare Zahl von aufeinander folgenden
Paketen zu einem so genannten Intervall, z.B. einer Sprachdauer
von einer Sekunde entsprechend, zusammengefasst. Die Länge eines
Intervalls kann sich nach tatsächlicher Paket-Anzahl
oder nach einem zeitlichen Intervall der zpdK bemessen. Erstere
Möglichkeit
bringt in praktischen Ausführungen
den Vorteil mit sich, dass z.B. Zwischenspeicher für Pakete
und Feldlängen
für Zusatzdaten
feste Größen pro
Intervall haben können.
-
Bei
zpdK sind übertragene
Pakete üblicherweise
mit ihrer Kommunikationsrichtung, unter Umständen auch Angabe von Sender
und Empfänger, ausgezeichnet.
Dies gilt insbesondere für SIP/RTP-basiertes
VoIP. Dies muss bei der Bildung von Intervalldaten und ihrer Sicherung
berücksichtigt werden.
Prinzipiell ist es nicht erheblich, ob ein Intervall nur Pakete
umfasst, die zu einer bestimmten Kommunikationsrichtung gehören. In
allen Ausführungsbeispielen
der technischen Aufgaben, die unten dargestellt werden, beziehen
sich Intervalle jeweils auf eine einzige Kommunikationsrichtung.
Dies vereinfacht viele Abläufe
und erlaubt es zum Beispiel bei zweiseitiger, gesicherter zpdK die
Darstellung der Methoden für
Sende- und Empfangsrichtung voneinander zu trennen.
-
Zur
Sicherung der Integrität
wird nun auf jedes einzelne Intervall sowie die für die Anwendung relevanten
und während
des Intervalls angefallenen (Zusatz-)Metadaten, z.B. die Richtung
des zpdK-Stroms in einem Gespräch
zwischen zwei Teilnehmern – die
zusammen die so genannten Intervalldaten bilden – eine geeignete technische
Sicherungsmethode angewendet. Die Sicherung macht die Intervalldaten
unverwechselbar und unveränderbar in
dem Sinne, dass jede Veränderung
sofort bemerkt werden kann.
-
Die
genannte Sicherung kann zum Beispiel in der Anwendung eines Hash-Algorithmus' auf die Intervalldaten
bestehen, eines keyed-hash message authentication codes (HMAC),
in der Anbringung einer elektronischen Signatur, oder eines Zeitstempels. Solche
Sicherungen beruhen im Allgemeinen auf mathematischen Einwegfunktionen
und gelten daher als Kollisionssicher, d.h. sie sind ein wirksames
Mittel um die Identität
oder Verschiedenheit zweier Datensätze nachzuweisen. Sie sichern
somit Datenintegrität.
Als weitere Methoden zur Sicherung von Daten werden im Folgenden
die allgemein bekannten Techniken elektronischer Signaturen, z.B.
beruhend auf asymmetrischer Kryptographie, sowie elektronische Zeitstempel
vorausgesetzt und wiederholt benutzt.
-
Während der
Dauer eines Intervalls kann es je nach zu lösender Aufgabe immer noch nötig sein, Sicherungswerte,
z.B. Hash-Werte, jedes einzelnen Pakets zu erzeugen. Diese können wiederum
als Zusatzdaten in die Intervalldaten eingehen. Die hier vorgestellten
Methoden machen es jedoch prinzipiell nicht nötig, dass Sicherungswerte einzelner
Pakete übertragen
werden. Wichtig ist anzumerken, dass der Begriff der Intervalldaten
eine logische Einheit bezeichnet und nicht etwa ein Datenformat.
Insbesondere ist nicht ausgesagt, welche Teile der Intervalldaten
zwischen Kommunikationspartnern übertragen
werden. Entscheidend für
letzteres ist, dass ein Empfänger
jeweils in die Lage versetzt wird, die Integrität nachzuprüfen.
-
Spezielle
Intervalle treten am Anfang bzw. Ende der Sicherung einer zpdK auf.
Diese Start- bzw. End-Intervalle tragen entsprechende Kennzeichnungen
und weitere Daten wie z.B. Startzeitpunkt, Grund des Gesprächsendes
(Auflegen, Abbruch durch Fehler, oder ähnliches). Das Start-Intervall
kann, muss aber nicht unbedingt Sprachdaten umfassen.
-
2.2 Verkettung von Intervallen
-
Um
die Kohäsion
der sprachlichen Kommunikation wie gefordert sicherzustellen, reicht
die Sicherung der einzelnen Intervalle oft nicht aus. Vielmehr muss
verhindert werden, dass Intervalle von einem Angreifer ersetzt oder
herausgeschnitten werden.
-
Kohäsion im
beschriebenen Sinne wird hier erreicht durch eine Verkettung der
Intervalle. Dies geschieht im Grundsatz immer dadurch, dass Sicherungsdaten,
die ein bestimmtes Intervall N, sichern, also dessen Inhalte unverwechselbar
machen, in die Daten des darauf folgenden Intervalls mit aufgenommen
werden.
-
Die
zur Verkettung verwendeten Daten können dieselben sein, die bereits
zur Sicherung von Intervall N benutzt wurden, oder auch eigens für den Zweck
der Verkettung gebildete. Zum Beispiel kann man den zur Sicherung
von Intervall N verwendeten Hash-Wert nehmen und einfach in Intervall
N + 1 einfügen.
Oder man kann, wo dies die Sicherheit erhöht, einen neuen Hash-Wert über N und
ggf. Ns elektronische Signatur bilden und in die Intervalldaten
des Intervalls N + 1 einfügen.
-
Die
Verkettung ist schematisch in 1 gezeigt.
Zunächst
wird eine erste Sicherungsmethode S(), zum Beispiel eine elektronische
Signatur, auf die Intervalldaten IN und
den Sicherungswert des vorhergehenden Intervalls VN–1 angewendet.
Der zur Verkettung des Intervalls N + 1 mit Intervall N benutzte Wert
VN wird gebildet durch Anwendung einer geeigneten
Funktion, z.B. eines Hash-Algorithmus, auf S(IN,
VN–1)
oder auf S(IN, VN–1)
und die Intervalldaten IN und/oder VN–1.
Das erste Intervall besitzt keinen Vorgänger. Es kann dennoch genau
so geformt sein wie die folgenden, indem man den Verkettungswert
des letzten Intervalls an der entsprechenden Stelle durch eine nur
einmal verwendete Zufallszahl (Nonce) ersetzt. Die Verwendung von
Noncen gilt als probate Methode zur Erhöhung der Sicherheit. Sie kann
hier dazu dienen, die Kette der Intervalle und damit die gesamte
zpdK unverwechselbar zu machen.
-
Bei
späteren Überprüfungen der
Sicherungsdaten und Vergleich mit den tatsächlich vorliegenden zpdK-Paketen
lässt sich
somit der Beweis über
die zugesicherte Eigenschaft, z.B. Signatur eines Gesprächspartners,
führen.
Im konkreten Fall kann dies zum Beispiel durch Vergleich von in
den gesicherten Intervallen enthaltenen Hash-Werten mit neu aus
den vorliegenden zpdK-Paketen berechneten geschehen.
-
2.3 Behandlung von Paketverlusten
-
In
der zpdK ist die Berücksichtigung
von Verlusten und anderen Fehlern auf Paketebene, wie z.B. Pakete
die nicht in der richtigen Reihenfolge ankommen, essentiell. Hierzu
tragen Pakete üblicherweise (z.B.
bei RTP) fortlaufende Nummern. Für
die Sicherung der Integrität
der zpdK ist wesentlich, das Paketverlust vor der Sicherung toleriert
werden muss, danach aber nicht mehr auftreten darf und z.B. nachweisbar
gemacht wird.
-
In
Bezug auf die Verkettung von Intervallen, die jeweils mehrere Pakete
enthalten, werden im Folgenden vier grundlegende Möglichkeiten
dargestellt, um Paketverlust abzufangen. Bei der Beschreibung dieser
Möglichkeiten
werden öfters
Hash-Werte als Beispiele einer Methode zur Sicherung von Datenintegrität verwendet.
-
Die
grundsätzliche,
erfindungsgemäße Methode
zur Behandlung von Paketverlusten ist stets gleich. Es wird von
einem Empfänger
von zpdK eine Meldung über
die tatsächlich
empfangenen Pakete erzeugt und an den oder die Sender, oder eine
je nach zu lösender
Aufgabe zu bestimmenden ausgezeichneten Empfänger gesandt. Diese Meldung
kann unter Umständen
ebenfalls, z.B. mittels kryptographischer Methoden, abgesichert
sein. Die Meldung kann zudem zusätzliche
Daten enthalten, die zum Beispiel die Unverfälschtheit der beim Empfänger angekommenen
zpdK-Pakete nachprüfbar machen.
Die vier grundlegenden Möglichkeiten
zur Rückmeldung
folgen im Einzelnen.
- 1. Ein zpdK-Sender bildet
für alle
von ihm ausgehenden Pakete eines Intervalls Sicherungsmerkmale,
z.B. Hash-Werte.
Die Sicherungsmethode zur Sicherung eines Intervalls wird dann auf
alle Paketsicherungswerte und gegebenenfalls auf weitere Metadaten
angewendet. Damit ein Empfänger
später
die Integrität
der zpdK verifizieren kann, muss daher die Übertragung der Paketsicherungswerte
verlustfrei erfolgen. Insbesondere muss der Empfänger Paketsicherungswerte aufheben,
für die
ihm keine Paketdaten vorliegen.
- 2. Der zpdK-Sender erfährt über einen
eigenen Kanal, welche Pakete angekommen sind, z.B. deren Paketnummern.
Er muss daraufhin nur die Sicherungswerte für diese Pakete bilden und sie übertragen.
Dies kann z.B. eingebettet in die Intervalldaten geschehen. Die
Sicherungsmethode zur Sicherung der Intervalldaten wird in diesem Fall
auf die Paketsicherungswerte der tatsächlich empfangenen Pakete und
gegebenenfalls auf weitere Metadaten angewendet.
- 3. Der zpdK-Sender überträgt im Unterschied
zu 2. keine Sicherungswerte über
einzelne Pakete. Er erhält
aber wie in 2. Rückmeldung über die
pro Intervall angekommenen Pakete und bildet Sicherungswerte über diese.
Diese Information gehört dann
zu den Intervalldaten und wird somit abgesichert. Die Sicherung
der Intervalldaten (z.B. der Hash über sie) umfasst somit die
Gesprächsdaten aller
angekommenen Pakete (und ausschließlich dieser). Die einzelnen
Paketsicherungswerte müssen
in diesem Fall nicht übertragen
werden, da ein Empfänger
sie aus den erhaltenen Paketen rekonstruieren kann.
- 4. Der zpdK-Sender bildet keine Paketsicherungswerte, sondern
fügt die
digitalen Daten der Pakete, die ihm als Empfangen gemeldet wurden,
in der richtigen Reihenfolge hintereinander. Dieser Datenblock wird
den Intervalldaten hinzugefügt und
abgesichert, muss aber nicht nochmals übertragen werden.
-
Der
Empfänger
muss in den Möglichkeiten 2.,
3. und 4., um die Integrität
eines Intervalls zu verifizieren, die Sicherungswerte berechnen
die ihm fehlen. Dies sind bei 2. und 3. die Sicherungswerte jedes nach
seiner eigenen Meldung übertragenen
Pakets, bei 4. der Sicherungswert über die Hintereinanderfügung aller
dieser Pakete.
-
Modifizierbar
ist in 2.–4.
der Zeitpunkt der Berechnung der Sicherungswerte der einzelnen Pakete
auf Seiten des Senders. Sie kann sofort erfolgen und das einzelne
Paket gelöscht
werden, oder erst nach Meldung über
den Empfang des Pakets. Hierdurch ist z.B. eine Anpassung an vorhandene
Ressourcen möglich.
-
In
den technischen Ausführungsvarianten der
Aufgaben 2)–4)
wird hier Möglichkeit
2. mit Übertragung
der Paket-Hashes bevorzugt. Dies erweist sich als Effizient auf
Seiten des Senders, insbesondere in Bezug auf Speicherplatz. Andererseits
ermöglicht
diese Option eine erweiterte forensische Analyse, da beispielsweise
bei Verlorengehen eines Pakets, z.B. in einem Archiv noch dessen
Hash als redundante und über
die Sicherung der Intervalldaten abgesicherte Information verfügbar ist.
-
2.4 Sicherheits-Überprüfungen und
Politiken
-
Protokolle
zur Übertragung
von Multimediadaten wie RTP bieten einige Ansatzpunkte für Sicherheitsüberprüfungen und
-maßnahmen.
Diese sind auch im Zusammenspiel mit der vorgestellten Sicherung
der zpdK Integrität
sinnvoll. Beispielsweise erlaubt SIP/RTP den Einsatz eines Wiedereinspielungsfensters
(replay window), welches das Einfügen eines zweiten Datenstromes
verhindert. Sequenznummern einzelner Pakete können geprüft werden um die Verlustquote
zu überprüfen. Die
in den RTP-Paketen enthaltenen Zeitangaben können gegen eine Systemzeit
auf Diskrepanzen geprüft
werden.
-
Darüber hinaus
werden nun einige Sicherheitsmassnahmen vorgestellt, die erst im
Kontext des vorgestellten Sicherungsverfahrens möglich und sinnvoll werden.
-
2.4.1 Kanalqualität
-
Eine
wesentliche Angriffsmöglichkeit
auf nach den oben dargestellten Konzepten gesicherte zpdK ist ein
gezieltes Unterdrücken
von Paketen, d.h. eine künstliche
Reduktion der Kanalqualität.
Um solchen Angriffen zu begegnen, wird permanent die Kanalqualität/gemessen
(dies ist in 2.–4.
in Abschnitt 2.3 implizit durch die Rückmeldung der angekommenen
Pakete der Fall). Sinkt die Qualität unter einen vorher zu bestimmenden
Grenzwert (Unterlauf), so können
verschiedene Maßnahmen
ergriffen werden, z.B.
- 1. Der Unterlauf wird
ignoriert.
- 2. Der Unterlauf wird den Kommunikationspartnern signalisiert,
aber das Sicherungsverfahren (Intervallverkettung) wird nichtsdestotrotz
fortgesetzt.
- 3. Die Sicherung wird abgebrochen (dies wird in der Regel den
Partnern signalisiert).
- 4. Die Kommunikation wird zwangsweise beendet.
-
Es
ist eine wesentliche Eigenschaft des vorgestellten Sicherungsverfahrens,
das die Durchsetzung dieser Sicherheitspolitiken überhaupt
erst ermöglicht
wird. Alle Politiken 1.–4.
können
in Anwendungsfällen
sinnvoll werden. 1. und 2. sind dies aber letztlich nur, weil die
Sicherungsmethode eine nachgelagerte Überprüfung der Kanalqualität erlaubt.
-
2.4.2 Bruch der Verkettung
-
Die
Verkettung der Intervalle führt
zu einer Fragilität
der gesicherten zpdK. Fehlt ein Intervall oder ist es nicht mehr
zu verifizieren, so schlägt
auch die Verifikation aller folgenden Intervalle und damit der gesamten
späteren
Kommunikation fehl. Ein Angreifer könnte Teile der zpdK später Entfernen,
ohne das z.B. eine verlusttolerante Signatur bricht, was somit nicht
erkennbar wäre.
Dies könnte
z.B. zu schädlichen
Spekulationen über
sprachlich (syntaktisch, grammatikalisch, semantisch) mögliche Vervollständigungen
des fehlenden Abschnittes Anlass geben. Der Abbruch der Sicherungskette
beugt dem vor, da ein ganzes fehlendes Stück am zpdK-Ende kaum spekulativ
rekonstruiert werden wird. Die im letzten Abschnitt gezeigte Möglichkeit,
die sichernde Verkettung im Falle eines Unterlaufs der Kanalqualität abzubrechen
ist in diesem Sinne eine Sollbruchstelle für das Sicherungsverfahren.
In den unten vorgestellten Anwendungs- und Ausführungsbeispielen wird daher die
Politik 4. aus Abschnitt 2.4.1 favorisiert, die maximale Sicherheit
bietet. Dies ist jedoch je nach Anwendungsfall eine zu treffende
Entscheidung – z.B. ist
4. keine gute Politik für
eingehende Notrufe.
-
2.4.3 Zeitliche Festlegung
-
Für die zeitliche
Festlegung einer gesicherten zpdK können mehrere Methoden kombiniert
werden. Zum Beispiel können
am Anfang und/oder Ende der Kommunikation, insbesondere bei den
Start- und End-Intervallen signierte Zeitstempel hinzugefügt werden.
Sie können
die jeweiligen Intervalldaten umfassen und mit abgesichert werden
oder umgekehrt die Sicherungsdaten umfassen. Zwischen Anfangs- und End-Zeitstempel
können
die in Paketen enthaltenen zeitlichen Informationen auf Drift überprüft werden.
-
Zeitstempel
sind eine allgemein bekannte Technologie. Sie beruhen auf elektronischen
Signaturen (üblicherweise
mittels asymmetrischer Kryptographie) die sich zusätzlich zu
den signierten Daten auch über
einen Vermerk der Uhrzeit und des Datums erstrecken. Wird der Zeitstempel
von einer ausreichend vertrauenswürdigen Instanz, einem so genannten
(qualifizierten oder akkreditierten) Zeitstempeldienst angebracht,
so gestehen ihm entsprechende Gesetze in Deutschland einen besonderen
Beweiswert zu. Bei vorliegen eines qualifizierten Zeitstempels über einen
Datensatz geht z.B. ein Richter im Rahmen der Anscheinsbeweisregelung
davon aus, dass dieser Datensatz zu dem im Zeitstempel bezeichneten
Zeitpunkt bestanden hat.
-
Wird
ein Zeitstempel an ein digitales Dokument angebracht, das von einem
Unterzeichner elektronisch signiert wurde und umfasst der Zeitstempel (d.h.
die Zeitstempelsignatur) die ursprüngliche Signatur des Dokuments,
so ist damit nachweisbar, dass der Unterzeichner spätestens
zum bezeichneten Zeitpunkt das Dokument signiert hat.
-
3. TA 2) Archivierung
-
Telefongespräche zu archivieren
wird in Geschäftsumgebungen
zur späteren
Nachweisführung häufig als
Notwendigkeit angesehen und ist zum Beispiel im Telefon-Banking
und in Call-Centern üblich (die
Einwilligung zur Aufzeichnung ist meist eine Klausel der entsprechenden
Nutzungsverträge).
Bei zpdK, z.B. VoIP, ist es Stand der Technik die ankommenden und
ausgehenden VoIP-Ströme direkt
auf Massenspeicher zu spielen, ggf. unter Zuhilfenahme von Verschlüsselung
auf der Transportebene, z.B. Secure Sockets Layer (SSL).
-
Der
Beweiswert solcher digitaler Aufzeichnungen scheint jedoch unter
Umständen
in Frage zu stehen. Dies ist bedingt durch die spurlose Verfälschbarkeit
digitaler Daten, zusammen mit den langen Zeiträumen, über die die Aufzeichnungen
in einem Archiv verbleiben. Ein Angreifer hätte ggf. genügend Zeit
Teile eines Gesprächs
zu „schneiden", umzuordnen, oder
sogar synthetische Sprache einzufügen. Dabei könnte er
durchaus die entsprechenden Datenpakete, z.B. ihre Sequenznummern,
geeignet fälschen,
so dass die Veränderung
nicht auffallen würde.
-
Es
ist daher wünschenswert,
archivierte zpdK stärker
zu sichern. Ein sehr einfacher Ansatz wäre es, Gespräche als
ganzes zwischenzuspeichern, in ein Archiv-Format, etwa MP3, zu transformieren
und dann kryptografisch (HMACs, Hashes, Signaturen) zu sichern und
im Archiv abzulegen. Dies bringt unter Gesichtspunkten der Effizienz
und Sicherheit etliche Nachteile mit sich. Zunächst verliert die zpdK bei
der Transformation in ein Archiv-Format möglicherweise die enthaltene
Kontext-Information z.B. über
Kanalrichtung und -qualität (Paketverluste,
Jitter), sowie Zeitmarken und Sender- und Empfänger-Addressierung. Die Konversion der
Audiodaten führt
zudem eine weitere Komponente in das Gesamtsystem ein, die Angriffen
unterliegen könnte.
Zudem ist das Zwischenspeichern von Gesprächen, die ja eine zunächst unbestimmte
Dauer haben, mit hohem, schwer kalkulierbarem Speicheraufwand verbunden.
Ein so konstruiertes Archivierungssystem würde auch schlecht auf eine
hohe Anzahl gleichzeitiger Anrufe skalierbar sein – der verfügbare Zwischenspeicher
wird hier ggf. zu einer festen oberen Schranke. Außerdem ist
der Zwischenspeicher ein Ziel für
mögliche
Angriffe. Schließlich würde – da ein
solches Archivsystem die Signatur und evtl. Zeitstempel ja über das
gesamte Dokument bilden muss, was erst nach dem Ende des Gesprächs erfolgen
würde – ein gewisser
Zeitraum bleiben, den ein Angreifer in jedem Fall nutzen kann, um das
Gespräch
zu verändern,
oder Passagen umzukopieren. Er könnte
während
des Gesprächs
anfängliche
Teile bereits manipulieren und trotzdem zu einem plausiblen Zeitpunkt
ein Sprach-Dokument plausibler Länge
im Archiv ablegen. Diese Probleme werden durch die hier vorgestellte
Methode verhindert, da diese Fälschungsmöglichkeit
nur für
die wesentlich kürzere Intervalllänge besteht,
die aber nicht ausreichend ist, um ganze Sätze zu verändern.
-
Die
hier vorgestellte erfindungsgemäße Methode
beruht auf der Sicherung der Integrität von zpdK wie sie in Abschnitt
2 entworfen wurde und unterscheidet sich von dem im letzten Absatz
skizzierten, naiven Ansatz stark. Mit dem unten vorgestellten Ansatz
wird es möglich,
den zpdK-Strom direkt und vollständig
unter nachweisbarem Erhalt der Kohäsion zu archivieren.
-
3.1 Beispielarchitektur
und Grundkonzept
-
Das
Hauptmerkmal in der hier gezeigten technischen Realisierung ist,
dass nur minimale technische Anforderungen an die verwendeten Kommunikationsendgeräte gestellt
werden. In 2 wird eine idealisierte zpdK
zwischen zwei Kommunikationspartnern A und B gezeigt. Die Beschränkung auf zwei
Partner dient der Übersichtlichkeit
und ist keine konzeptionelle Einschränkung. Mit der unten gezeigten
Methode können
auch z.B. Konferenzen mit mehreren Teilnehmern sicher archiviert
werden. An einem bestimmten Punkt der Übertragungsstrecke wird die
Komponente VSec eingeführt,
welche die Kommunikation mithören
kann. Hierbei ist zu beachten, dass alle kommunikationsrelevanten
Datenpakte hier durch VSec mithörbar
sein müssen.
VSec als Hauptkomponente, welche das Sicherheitskonzept implementiert,
kann somit beispielsweise auf Seiten der Kommunikationsendgeräte, innerhalb
der Kommunikationsvermittlungsgeräte oder an anderen Orten positioniert
werden. Die Komponente Arc bezeichnet ein Archiv, an das die durch
VSec erzeugten Daten übertragen
und persistent gespeichert werden. T1 und T2 bezeichnen zusätzliche
Zeitstempeldienste, welche eine höhere Resistenz gegen bestimmte
Angriffe bieten.
-
Arc
ist eine logische Komponente, welche die an ein Archiv zu stellenden
Langzeitsicherheitsanforderungen erfüllt. Hier bieten verschiedene,
bereits auf dem Markt verfügbare
Konzepte Lösungen an,
welche eine effiziente, sichere, Langzeitarchivierung ermöglichen.
VSec und Arc stellen logische Einheiten innerhalb des Konzeptes
dar. Diese können
integriert in ein System sein, aber müssen nicht notwendigerweise
getrennte Komponenten sein. Es ist auch in bestimmten Szenarien
sinnvoll, Arc als eine externe Komponente, die sich unter einer
getrennten Kontrolle befindet, zu realisieren. Beispielsweise kann
Arc eine externe Dienstleistung einer zweiten Firma sein, welche
sich auf Archivierungsaufgaben spezialisiert hat oder unter der
Kontrolle einer anderen Abteilung mit anderen Vertrauensannahmen
stehen. Die logische Separation einer Komponente, die Funktionen
zur Kontrolle und Durchsetzung von Sicherheitspolitiken vereint
ist eine Standardmethode im Design von sicheren Systemen. Eine solche
Komponente wird in der Literatur als Referenzmonitor bezeichnet.
-
VSec
wird sich in einer praktischen Implementierung zumeist unter der
Kontrolle einer der Kommunikationspartner befinden. Weder die exakte Position
noch die technische Methode des Zugriffs auf die Kommunikation werden
hier explizit definiert, da sie ohne Auswirkung auf das hier vorgestellte Konzept
ist. Spezifische Möglichkeiten
hierzu werden unten im ersten Absatz von Abschnitt 3.2 erläutert. VSec
wird dort als so genannter Proxy beschrieben, d.h. ein Knoten in
einem Kommunikationsnetz der über
die reine Vermittlung und Durchleitung von Kommunikation weitere
spezifische Aufgaben erfüllt. Traditionell
erfüllen
Proxies Aufgaben stellvertretend für Nutzer des Kommunikationsnetzes.
-
Die
Rolle von VSec innerhalb der Kommunikation kann passiv oder aktiv
sein, je nachdem, ob VSec lediglich den Datenstrom zum Zwecke der
Archivierung verarbeitet, oder z.B. zusätzlich noch die in Kapitel
2.4 eingeführten
sicherheitsrelevanten Politiken auf der zpdK durchsetzt.
-
Aufgrund
der Forderung einer minimalen Auswirkung auf die Kommunikationsendgeräte muss die
Kommunikation zwischen den Kommunikationspartnern nicht von Ende
zu Ende digital sein. Insbesondere müssen die Kommunikationsendgeräte nicht
notwendigerweise digital, z.B. ISDN oder VoIP, sein. Die Voraussetzung
zum Einsatz der vorgestellten Methode wird bereits in vielen bestehenden
Netzen erfüllt,
da hier die notwendige Digitalisierung und Paketorientierung realisiert
wurde. Der Einsatz der Methode ist nicht auf den Einsatz zur Sicherung
von Ende-zu-Ende Kommunikation beschränkt. Jede paketbasierte, digitale
Kommunikation, wie z.B. (Tele-)Konferenzen oder digitale Radioprogramme,
ist durch diese Methode absicherbar.
-
Die
zpdK zwischen A und B ist bidirektional gerichtet und besteht im
Allgemeinen aus zwei Kanälen
für die Übertragung
von Nutz-(Audio-, Video-) und Meta-Daten. Zu Beginn einer Archivierung,
z.B. angestoßen
durch SIP-Signalisierung,
sammelt VSec initiale Daten welche eine Eindeutige Identifizierung (Unverwechselbarkeit)
des aufzuzeichnenden Datenstroms ermöglichen. Daraus bildet VSec
gemäß Abschnitt
2.1 ein Start-Intervall, dass auf geeignete Weise gesichert wird,
in der Regel mittels eines Geheimnisses das nur VSec bekannt ist,
oder das sich VSec und Arc teilen. Gemäß Abschnitten 2.2 und 2.3 wird
nun von VSec basierend auf dem Start-Intervall eine gesicherte Intervallkette
gebildet. Bei Beendigung oder Abbruch der zpdK (z.B. auch nach der
Politik 4. aus Abschnitt 2.4.1) wird ein End-Intervall gebildet.
Fehlt dieses End-Intervall, so besteht Grund zu der Annahme, dass
die Aufzeichnung auf der Übertragungsstrecke
zwischen VSec und Arc oder im Archiv selbst manipuliert wurde. Vorteilhaft
ist an den hier vorgestellten Verfahren allerdings auch, dass es
im Falle eines Ausfalls bis dahin geleistete Aussagen bereits signiert
hat.
-
Übernimmt
VSec eine aktive Rolle in der Durchsetzung von (Sicherheits-)politiken
bezüglich der
zpdK, so kann VSec z.B. die in 2.4.1 aufgezeigte Funktion der Überwachung
der Kanalqualität übernehmen
und entsprechende Maßnahmen
bei Unterlauf ergreifen. Intervalllänge und Unterlaufs-Grenzwert sind in
diesem Fall wichtige freie Parameter des Konzepts, die an die jeweiligen
Gegebenheiten anzupassen sind. Im unten gezeigten Ausführungsbeispiel
wird die Intervalllänge
dynamisch an die zur Verfügung
stehende Rechenleistung angepasst. Zu beachten ist, dass die von
VSec beobachtete Kanalqualität
nicht unbedingt die bei A und B ankommende sein muss, je nach „Entfernung" zwischen diesen
drei Parteien. VSec misst im Allgemeinen nur eine obere Schranke
der Kanalqualität.
In realen Anwendungen kann sich daher eine direkte, verlustfreie
Anbindung an die Kommunikationsschnittstellen eines der Teilnehmer
(A oder B, je nachdem wem die Aufzeichnung dient) anbieten.
-
In
einer bestimmten Hinsicht ist das Archiv-Konzept eine Vereinfachung
des Grundkonzepts zur Sicherung der zpdK- Integrität aus Abschnitt 2. Nämlich kann
hier eine Behandlung von Paketverlusten durch Signalisierung zwischen
Sender und Empfänger
wie in Abschnitt 2.3 nicht erfolgen, da die Kommunikationsgeräte von A
und B (KA und KB) diesbezüglich
passive Geräte
sind. Paketverluste können
nur wie oben gesagt und in Abschnitt 2.4.1 gezeigt behandelt werden.
-
3.2 Technisches Ausführungsbeispiel
-
Die
in dem folgenden Ausführungsbeispiel verwendeten
Protokolle entsprechend den bekannten Internetstandards RFC2327,
RFC2543 und RFC3261 der IETS (Internet Engineering Task Force),
siehe http://ietf.org/rfc.html. Wie bereits erwähnt ist die Erfindung auch
auf Basis anderer digitaler, paketbasierter Übertragungsprotokolle realisierbar.
Als Kommunikationsgeräte
KB und/oder KA können
Handys, ISDN-Telefone und auch SIP-Software-Clients benutzt werden.
Zur technischen Realisierung von VSec bietet sich ein Proxy zwischen
KA und dem Internet an, etwa unter Benutzung eines eingebetteten
PCs mit mehreren Netzwerkkarten. Dies unterstützt von vorneherein mehrere
Clients, die auch mehrere parallele Anrufe durchführen können. VSec
kann als ausgehender Proxyserver (outgoing proxy) implementiert
werden, der den ursprünglichen „outgoing
proxy" in der Konfiguration
von Kommunikationsgerät
KA ersetzt. Genauso gut könnte
der Proxy bei KB oder irgendeinem dazwischen liegenden Knoten angesiedelt
sein, sofern dieser alle Kommunikation durchleitet. Der Proxy modifiziert RTP-Ports
und IP-Adressen,
die in den SIP-Paketen enthalten sind, um sie auf sich selbst umzuleiten
und leitet sie dann an den ursprünglichen
Empfänger
weiter.
-
Für die Komponente
Arc kann z.B. ein klassischer PC oder Server benutzt werden, der
mit der dritten Netzwerkkarte von VSec verbunden ist. Beide kommunizieren über einen
zuverlässigen
Transmission control protocol TCP-Kanal (für Vertraulichkeit kann z.B.
das Transport Layer Security TLS-Protokoll benutzt werden).
-
RTP-Pakete
werden in Intervalle gruppiert, wobei jedes Intervall gesichert,
z.B. digital signiert, und auf Arc gespeichert wird. Jedes Intervall
enthält etwa
eine Sekunde an RTP-Paketen. Im Beispiel eines zweiseitigen VoIP-Gesprächs existierten
effektiv zwei Intervalle pro Sekunde, eins für jeden Kanal bzw. RTP-Strom.
Die Dauer eines Intervalls ist einer der Haupt-Konfigurationsparameter, der justiert
werden kann. Eine Sekunde stellt sich Erfahrungsgemäß als geeignet
heraus, um einerseits ein hohes Sicherheitsniveau für den Kontext
des Gesprächs
im Hinblick auf Verständlichkeit
zu bieten. Andererseits hält diese
Wahl den Bedarf an Rechenzeit bei weitem niedrig genug für z.B. einen
x86-Prozessor und bietet auch ein gutes Verhältnis zwischen Nutzdaten und Speicher-Overhead
(z.B. 400 Bytes für
Public Key Cryptography Standards PKCS#7 Signaturen die keine Zertifikatskette
speichern).
-
VSec
besitzt nun ein Zertifikat, beispielsweise ein X.509-Zertifikat, zusammen
mit dem zugehörigen
privaten Schlüssel
beispielsweise ein aus der Stand der Technik bekannten RSA-Schlüssel, benannt
nach seinen Erfindern Ronald L. Rivest, Adi Shamir und Leonard Adleman)
um mit Hilfe von asymmetrischer Kryptografie alle Intervalle zu
signieren, inklusive der speziellen Start- und End-Intervalle, die zusätzliche
Metadaten enthalten. Das Zertifikat, das VSec besitzt, wird in diesem
Ausführungsbeispiel
nicht nur benutzt, um die Inhalte des Anrufs für das endgültige Archivieren und spätere Überprüfungen zu
sichern, sondern auch um VSec gegenüber Arc zu authentifizieren:
Intervalle werden nach Fertigstellung direkt an Arc übermittelt,
wo dann verschiedene Tests (unter anderem das Überprüfen der Signatur) auf das Intervall
angewendet werden und es dann als Segment in eine offene Datei geschrieben
wird.
-
Ausführbare Tests
sind insbesondere:
CHK1 Prüfen,
ob das erste Intervall, das so genannte Start-Intervall in den Metadaten
ordnungsgemäß von dem
externen Zeitstempeldienst T1 signiert wurde. Insbesondere vergleicht
Arc die Zeit, d.h. seine lokale Systemzeit, mit der, die von VSec
im Intervall gespeichert wurde, um VSec daran zu hindern, die Anruf-Zeit
nach vorne zu datieren. Dies kann unabhängig von der Prüfung der
von T1 angebrachten Zeitstempel geschehen. Weiterhin kann die T1-Zeitstempelzeit mit
der lokalen Zeit von Arc und mit der von VSec in den Intervallen
aufgezeichneten auf Diskrepanzen überprüft werden. So wird der Zeitraum
beschränkt,
in dem die zpdK-Daten unter alleiniger Verfügung von VSec stehen und evtl.
von VSec verfälscht
werden können.
-
Wenn
ein weiterer Beweis über
den Kommunikationszeitpunkt durch eine dritte Partei (z.B. ein Einzelverbindungsnachweis
eines Telekommunikationsdiensteanbieters) existiert, kann dieser
ebenfalls mit dem ersten Zeitstempel verglichen werden.
-
CHK2 Überprüfung der
Sicherung des Intervalls, z.B. der PKCS#7 Signatur. Dies authentifiziert VSec
gegenüber
Arc und stellt sicher, dass keine andere Person Intervalle an Arc übermitteln
kann. Arc kennt zwar nicht den privaten Schlüssel, der nur VSec bekannt
ist, kann ihn aber gegen das Zertifikat und einen Vertrauensanker
prüfen.
-
CHK3 Überprüfung der
Intervall-Verkettung. Arc berechnet (aus den vollständigen Intervalldaten des
vorhergehenden Intervalls) den zur Verkettung mit dem vorhergehenden
Intervall benutzten Sicherungswert, z.B. einen aus dem Stand der
Technik bekannten Secure Hash Algorithm SHA1- oder SHA-256-Hash-Wert, oder ähnliches
und vergleicht ihn mit dem eingebetteten Sicherungswert im aktuellen
Intervall. Wenn sie nicht übereinstimmen,
wurde die Kette unterbrochen und die Kommunikation wird abgebrochen.
Dies stellt eine analoge Ausführung der
Sicherheitspolitik 4 aus Abschnitt 2.4.1 dar.
-
CHK4 Überprüfung des
Paketverlusts durch Prüfen
der absoluten Sequenznummern in der Intervall-Datenstruktur. Wenn
der Paketverlust oberhalb der Quality of Service QoS-Grenze liegt, wird
das Archivieren von Arc abgebrochen und der Anruf von VSec unterbrochen,
indem nach dem Einspeisen eines „BYE"-Kommandos das Weiterleiten von SIP und
RTP eingestellt wird. Man kann zum Beispiel 1% als Paketverlust-Grenze
wählen.
Dadurch wird eine gute Verstehbarkeit sichergestellt.
-
CHK5 Überprüfung der
Zeit, die von VSec in den Intervallen eingebettet wurde, ob sie
nicht mehr als die doppelte Intervalldauer von der internen Uhrzeit
von Arc abweicht. Die internen Uhren können zum Beispiel mit NTP synchronisiert
werden. Dies sollte in einem Produktionssystem durch eine sichere,
vertrauenswürdige
Zeitquelle ersetzt werden.
-
CHK6 Überprüfen der
zeitlichen Integrität der
RTP-Pakete, also insbesondere, ob die Zeitstempel und Sequenznummern,
die im RTP-Protokoll übertragen
werden und von Überläufen und Überlappungen
geprägt
sind, konsistent zur im Intervall gespeicherten Zeit sind.
-
Auf
diese Weise wird die gesamte Konversation kontinuierlich und sicher
von VSec zu Arc gestreamt und VSec muss nie mehr als 2 Sekunden
an RTP-Paketen pro gleichzeitigem Anruf im Speicher behalten (insbesondere
ist eine Festplatte in VSec im Prinzip nicht notwendig). Außerdem muss
VSec nur etwa 2 (RSA-)Signatur-Operationen pro Sekunde durchführen.
-
Das
Format, mit dem der Anruf von VSec zu Arc gesandt wird, besteht
aus Intervallen, einschließlich
einem speziellen anfänglichem
Intervall mit Metadaten, einem abschließendem Intervall das den Grund
der Gesprächsabbruch
enthält
und verschiedenen Intervallen mit Sprachdaten (Start- und End-Intervall
enthalten keine Sprachdaten). Das Datenformat und die Verkettung
der Intervalle sind in 3 gezeigt. Jedes Intervall kommt
entweder vom RTP-Kanal von A zu B oder der entgegengesetzten Richtung.
Jedes Intervall ist in diesem Beispiel in einen PKCS#7-„signed
envelope"-Container
eingebettet. Nur der erste PKCS#7-„signed envelope"-Kontainer enthält die gesamte Zertifikatskette
bis zur, aber nicht einschließlich
der Zertifikatswurzel, während alle
anderen Container diese redundanten Informationen nicht enthalten
müssen.
Das erste Intervall ist außerdem
zusätzlich
in eine Signatur des Zeitstempeldienstes T1 eingebettet. Arc speichert
einfach jedes Intervall (zusammen mit seiner Signatur) auf z.B. seine
Festplatte, nachdem die beschriebenen Tests darauf angewendet wurden.
-
Der
signierte und mit einem Zeitstempel versehene Inhalt des ersten
Intervalls besteht aus:
- • Einem zufälligen Nonce. Dies verhindert
einen Wiedereinspielungs- und einen Verdopplungsangriff, siehe Abschnitt
3.4
- • Datum
und Uhrzeit des Anrufs
- • Absender-
und Ziel-SIP-URL des Anrufers und Angerufenen
- • Die
Zuordnung der RTP-„Payload-Types" zu den tatsächlich verwendeten
Medienformaten und Codecs. Diese Information ist in den Session
Description Protocol (SDP)-Daten von z.B. dem INVITE-Befehl der
SIP-Signalisierung enthalten. Ohne diese Information wären die
Codecs für
die Payload-Typen im dynamischen Bereich von 96–127 später nicht bekannt, wenn der
archivierte Anruf abgespielt wird. Als Variante ist es auch möglich, dass
die Implementierung die SDP-Aushandlung
so modifiziert, dass nur bestimmte Codecs (bei denen es anzunehmen
ist, dass sie später
noch abspielbar sind, z.B. keine properitären Codecs) erlaubt sind.
-
Der
signierte Inhalt des letzten Intervalls besteht aus: Dem Hash des
vorletzten Intervalls, um die kryptografische Kette abzuschließen.
- • Einem
Flag, dass dies das letzte Intervall des archivierten Anrufs ist
- • Dem
Grund für
den Abbruch des Gesprächs: Protokoll- oder Netzwerkfehler,
normales Auflegen des Hörers
durch A oder B, Verstoß gegen
die Paketverlust QoS-Grenze
oder Manipulationsversuch.
-
Die
anderen Intervalle enthalten die eigentlichen Sprachdaten und bestehen
aus:
- • Einem
Hash über
das komplette, signierte (und – im
Fall von Intervall Nr. 2 – mit
einem Zeitstempel versehenen) Intervall, das diesem Intervall vorausging.
- • Datum
und Uhrzeit dieses Intervalls
- • Richtung/Kanal
dieses Intervalls. In der Implementierung für Duplex-Kommunikation zwischen nur
zwei Parteien kann dies die Richtung A nach B oder die Gegenrichtung
sein.
- • Einer
Liste der absoluten Sequenznummern der enthaltenen RTP-Pakete
- • Den
kompletten RTP-Paketen, auf die diese Liste verweist, inkl. ihrer
Payload-Typen und den abgeschnittenen Zeitstempeln und Sequenznummern.
-
Alle
Intervalle zusammen bilden eine kryptografische Kette vom ersten
bis zum letzten Intervall. Intervalle beider Richtungen (bzw. Kanälen der
Duplex-Kommunikation) sind miteinander verwebt. Nach zwei Intervallen
einer Richtung muss ein Intervall der anderen Richtung kommen und
Datum und Uhrzeit müssen
zueinander passen. Andernfalls muss Arc (oder jeder andere Überprüfer des
archivierten Anrufs) die Datei ablehnen, ganz genauso wie wenn ein Hash
oder eine Signatur ungültig
wären.
-
VSec
enthält
eine Komponente, die eingehende Pakete sortiert und einen Schutz
gegen Wiedereinspielung enthält,
indem doppelte Pakete entfernt werden. Dies ist z.B. durch ein 32-Bit
Schieberegister zu realisieren. Solche Komponenten zum Schutz vor
Wiedereinspielungen gehören
zu den Standard-Techniken im Design sicherer Kommunikationsprotokolle.
Da RTP-Pakete nur 16-Bit-Sequenznummern
enthalten (für
die sogar empfohlen wird, dass das erste Paket nicht mit 0 oder
1 beginnt, sondern mit einem Zufallswert, um symmetrische Verschlüsselung
zu unterstützen)
und auch nur 32-Bit Zeitstempel (die ebenfalls mit einem zufälligen Wert starten, überlaufen
können
und nichts mit der absoluten Zeit zu tun haben) hilft diese Komponente
auch dabei, absolute Sequenznummern zu erzeugen, die mit 0 beginnen
und nicht überlaufen.
Außerdem
prüft sie
die Systemzeit gegen die Zeitstempel der Pakete auf Konsistenz.
Wenn irgendeine dieser Prüfbedingungen
verletzt wird, wird der Anruf abgebrochen. Wenn VSec dies nicht
erkennen sollte (z.B. auf Grund einer Manipulation), dann würde Arc
das Archivieren abbrechen, da Arc die gleichen Tests durchführt.
-
3.4 Sicherheitsanalyse
-
Die
angestrebte Sicherheit des gezeigten zpdK-Archivs ist die eines
analogen (Band-)Archivs für
analog geführte
Telefongespräche.
Obwohl das Fälschen
natürlicher
Sprache durch Synthese allgemein als schwierig gilt, ist es einem
Angreifer, der über
ausreichende Ressourcen verfügt,
prinzipiell möglich
komplett gefälschte
Telefonate in das Archiv einzuspielen, z.B. von der mit (2a) markierten
Position in 2. Solche Angriffe können häufig durch
Absicherung von Kommunikationskanälen auf der Transportebene
unterdrückt
werden und werden hier nicht betrachtet.
-
Gemäß den Betrachtungen
in Abschnitt 2.4.2 bietet die Umsetzung der Sicherheitspolitik 4. aus
Abschnitt 2.4.1, d.h. Abbruch bei Unterlauf des Kanalqualitäts-Grenzwerts,
vorteilhafte Sicherheitseigenschaften. Das gezielte Unkenntlichmachen oder
Löschen
von Abschnitten in der Mitte eines Gesprächs könnte einem Angreifer sonst
die aufgezeigten semantischen Manipulationsmöglichkeiten eröffnen, die
zu von ihm absichtlich herbeigeführten
Fehlinterpretationen führen
können.
Dieser Aspekt erlangt besondere Bedeutung für die Beweiskraft über längerer Zeiträume archivierter
Gespräche,
bei denen die ursprünglichen
Sprecher nicht mehr für
die Beweisführung
zur Verfügung
stehen, d.h. befragt werden können.
-
Im
Folgenden wird gezeigt, welchen Angriffen das vorgestellte sichere
zpdK-Archiv zu widerstehen vermag. Die Analyse richtet sich dabei
nach der Position eines hypothetischen Angreifers im System, entsprechend
den nummerierten Positionen in 2. Die informatorischen
Schutzziele, die unter Angriff stehen, werden dabei im Einzelfall
genannt.
- (1) Man-in-the-middle. Ein Angreifer
der die Kommunikation zwischen VSec und Arc abfangen und manipulieren
kann (der also etwa eine angelegte Sicherung auf Transportebene
gebrochen hat), stellt die größte anzunehmende
Bedrohung dar. Für
ihn bestehen zwei grundsätzliche
Möglichkeiten,
gefälschte
Gespräche
in Arc einzuspielen. Entweder unterbricht er eine andauernde zpdK-Archivierung,
etwa nach Intervall N, und setzt sie mit eigens gefälschten
Intervallen N + 1, N + 2, ... fort. Oder aber er initiiert eine
eigene zpdK Archivierung und übernimmt
die Rolle von VSec selbst. Diese Angriffe bedrohen die Kohäsion eines
Gesprächs
beziehungsweise die Integrität
des Archivs. Spezifische Gegenmaßnahmen sind im vorgestellten
Archiv-Konzept bereits
beinhaltet oder als Möglichkeit
der technischen Ausführung
angelegt:
G1.1 Die Verkettung der Intervalle mittels eines kryptografischen
Geheimnisses gemäß Abschnitt 2.2
verhindert die erste Angriffsvariante, da (1) die Kette der Intervalle
nicht eigenständig
fortsetzen kann, wenn er dieses Geheimnis nicht kennt. Damit (1)
bei diesem Angriffsversuch erkannt werden kann, sollte die Benutzung
des korrekten Geheimnisses durch VSec auf Seiten von Arc verifizierbar
sein. Hierfür
bieten sich verschiedene symmetrische und asymmetrische kryptografische
Verfahren an.
G1.2 Die Sicherung des Start-Intervalls in geeigneter,
nur VSec und Arc bekannter Weise unterdrückt die zweite Angriffsvariante.
Zur Erhöhung der
Sicherheit können
hier zum Beispiel das aus dem Stand der Technik bekannte Diffie-Hellman Protokoll
zur Aushandlung eines geheimen Schlüssels, oder wie im technischen
Ausführungsbeispiel
in Abschnitt 3.3., digitale Signaturen mittels asymmetrischer Kryptoverfahren
zum Einsatz kommen.
Die Gegenmaßnahmen G1.1 und G1.2 sind
bereits im Konzept des Archivs angelegt. Die weiteren nun folgenden
Gegenmaßnahmen
sind von ihnen abhängig
und dienen einer weiteren, graduellen Erhöhung der Sicherheit des Archivsystems.
- (2) Fälschung
durch Wiedereinspielung. In der Position (2) kann ein Angreifer
gegenüber
VSec eine zpdK simulieren. Eine Möglichkeit für (2), die Integrität des Archivs
zu kompromittieren ist, einen kurzen Abschnitt vom Anfang eines
echten Gesprächs
zwischen A und B aufzuzeichnen, zu einem späteren Zeitpunkt wiedereinzuspielen, und
nach eigenem Gutdünken
fortzusetzen (synthetisiert, zusammen geschnitten, oder sogar in Komplizenschaft
mit A und/oder B). Es ist dann später leichter abzustreiten,
das die ursprüngliche,
authentische zpdK stattgefunden hat, da Arc nun zwei archivierte
Gespräche
mit sehr ähnlichen
oder sogar bitweise identischen Anfängen enthält.
- (2a) Fälschung
durch Wiedereinspielung mit Kontrolle der zpdK-Quelle. Die Bedrohung
durch Wiedereinspielungen ist noch größer von dieser Position aus.
Denn der Angriff von (2) aus ist technisch durchaus schwierig, da
(2) wegen der Unvollkommenheit z.B. des VoIP-Kanals nicht genau
weiß, welche
Pakete des Original-Gesprächsanfangs bei
VSec ankamen. Abhängig
von der Intervalllänge
kann dies schon für
die ersten paar Intervalle zu bemerkbaren Diskrepanzen führen, die
(2) verraten. Mögliche
Gegenmaßnahmen
gegen eine Wiedereinspielung von (2a) aus sind
G2.1 Ausnutzung
von Zufälligkeiten
von Voice over IP, insbesondere Paket-Verlust. Dies macht (2) wie
gesagt bemerkbar, wenn die Intervalllänge hinreichend groß ist, allerdings
nur mit einer gewissen Wahrscheinlichkeit, die z.B. von der Paket-Verlustrate
abhängt.
G2.2
Eine Zufallszahl hoher Qualität
in das Start-Intervall
einzubauen ist eine erheblich stärkere
Gegenmaßnahme
und verhindert auch effektiv den Angriff von (2a). In der technischen
Ausführung
in Abschnitt 3.3 fügt
VSec insbesondere eine zufällige
Nonce ein.
Was mit einem Gespräch geschieht, das als Artefakt
eines Wiedereinspielungs-Angriffs erkannt wurde, insbesondere ob
es im Archiv verbleiben oder nur markiert werden soll, bestimmt
sich je nach Anwendungsfall.
- (3) Kompromittiertes Geheimnis von VSec. Ein Angreifer, der
VSecs Geheimnis zur Sicherung der Intervallkette und ggf. zur Authentisierung
gegenüber
Arc kennt, erscheint für
Arc wie VSec selbst. Er ist daher in der Lage wie (1), nur mit erhöhter Wirksamkeit,
gefälschte
Gespräche
in Arc einzuführen.
Dennoch gibt es zwei mögliche
Gegenmaßnahmen.
G3.1
Als interne Maßnahme
kann VSec Einmal-Geheimnisse benutzen, die aus einem Master-Geheimnis
abgeleitet werden und sich für
jedes Gespräch
unterscheiden. Das Master-Geheimnis
müsste
dann erheblich besser als die Einmal-Geheimnisse gegen Offenbarung geschützt sein.
G3.2
Eine externe Quelle für
zusätzliches
Vertrauen kann zur Sicherung jedes einzelnen Gesprächs miteinbezogen
werden. Im Ausführungsbeispiel
ist hier der Zeitstempeldienst eingeführt worden, der das Start- Intervall jedes Gesprächs mit
einem signierten Zeitstempel versieht. G3.2 erhöht zusätzlich die Sicherheit bezüglich Wiedereinspielungsangriffen
(2), bzw. (2a).
- (4) Fälschungen
durch den Archivar. Diesen wird durch Eigenschaften der Architektur
wie in 2 gezeigt vorgebeugt.
G4.1 Die Teilung von
Aufgaben und Verantwortlichkeiten zwischen VSec und Arc macht es
Arc schwer, gesicherte zpdK zu fälschen
und zu behaupten, sie stamme von VSec. Dies gilt insbesondere stets
in der asymmetrischen Situation in der Arc das Geheimnis von VSec
nicht kennt, aber verifizieren kann (wie z.B. bei asymmetrischer
Kryptografie). Selbst wenn (4) sich zudem in der Position von (3)
befindet und VSecs Geheimnis kennt, wirkt noch immer G3.2 und hindert ihn
daran, Gespräche
zu erzeugen, die wie solche von VSec „aussehen".
G4.2 Als grundsätzliches
Problem der Langzeitarchivierung digitaler Daten verbleibt die Hoheit
von Arc über
diese. Mit hinreichend Zeit und Rechenleistung versehen kann Arc
oder jemand mit Zugriff auf Arc die archivierten Gespräche manipulieren.
Eine Methode, die gemeinhin als wirksam gegen solche Bedrohungen
angesehen wird, ist das periodische Auffrischen von Zeitstempeln über die archivierten
Daten, z.B. unter Zuhilfenahme eines weiteren Zeitstempeldienstes
T2. Effizient wird dies durch so genannte Hash-Bäume realisiert.
-
Weitere
Angriffe können
durch ein Zusammenspiel der Angreifer (1)–(4) versucht werden, sind aber
alle durch die gezeigten Gegenmaßnahmen ausgeschlossen. Zum
Beispiel kann (1) in Kombination mit (2a) versuchen einen zurückdatierten
Anruf in Arc einzuspielen. Er würde
dazu Anrufe zu von ihm gewählten
Zeitpunkten in VSec einspielen (2a), die von VSec abgehenden initialen
Teile dieser Anrufe einschließlich
der Zeitstempel von T1 einsammeln (1) und die Übertragung an Arc unterdrücken. Später würde er den
Anruf, den er zurückdatieren
möchte, von
(2a) aus einspielen, wobei er von (1) aus das initiale Intervall
mit einem „gestohlenen" seiner Wahl, d.h.
mit dem ihm genehmen Zeitstempel, ersetzt. Auch dieser Angriff schlägt jedoch
fehl aufgrund der Verkettung der Intervalle und der Eindeutigkeit
der initialen Intervalle die zum Beispiel durch zufällige Noncen
erzwungen wird. Das heißt,
es greifen hier G2.2, im Zusammenhang mit G1.1 und G1.2.
-
4. TA 3) Authentisierung
von Kommunikationspartnern
-
Unerwünschte Anrufe
durch verschiedenste Organisationen oder Personen nehmen verstärkt zu. In
diesem Bereich haben sich die Begriffe SPIT (SPam over Internet
Telephony) und Phishing (erlangen von Informationen durch Vortäuschen von
Identitäten)
etabliert. Entsprechende Organisationen verwenden zunehmend internetbasierte
zpdK, da diese den Betreibern eine erhöhte Anonymität durch
frei wählbare
Anruferidentifikation und Kostenreduktionen ermöglichen. Es droht besonders
durch automatisierte Anrufe, dass sich der Benutzer einer ähnlichen
Flut von ungewünschten
Anrufen ausgesetzt sieht, wie dies bereits im Bereich der elektronischen Post
der Fall ist.
-
Diesem
kann im technischen Bereich hauptsächlich durch eine hinreichende
Authentisierung der Kommunikationspartner begegnet werden. SIP beispielsweise
bietet hier eine anfängliche
Authentisierung, welche auf einem shared secret (Passwort) und einem
Frage/Antwort-Prinzip
(challenge/response) beruht (siehe RFC2617) oder lediglich die bekannte http-Basic
Authentisierung (siehe RFC 2543). Nachdem die Authentisierung durchgeführt ist,
wird dem zpdK-Datenstrom vertraut. Eine Validierung des Ursprungs
wird danach nicht durchgeführt,
so dass die Möglichkeit
besteht, hier einen zweiten Datenstrom einzuschleusen, welcher dem
entsprechenden Kommunikationspartner wiedergegeben wird. RTP bietet hier
die Möglichkeit
durch die Verwendung von SRTP einen Schutz der Vertraulichkeit der
Daten zu erreichen. Außerdem
stellt SRTP auf Basis eines geheimem Sitzungsschlüssels sowie
eines HMAC Authentizität
bereit. Durch den Einsatz eines symmetrischen Sitzungsschlüssels, dessen
sichere, authentische Übertragung
schwierig ist, kann SRTP die Authentizität in vielen Szenarien nicht
für die
gesamte Dauer des Gesprächs
sichern. Hierzu ist auf jeden Fall eine Sicherung der Kohäsion nötig, so
dass ein Gesprächspartner
sicher sein kann, während
der gesamten Dauer eines Gesprächs,
denselben Partner auf der Gegenseite zu haben.
-
4.1 Methode und Ausführung
-
Die
hier vorgestellte Methode kann auf bestehende Methoden wie z.B.
SRTP aufsetzen und die in Abschnitt 1.2 beschriebenen Eigenschaften
der Integrität
und Kohäsion
sichern. Hierzu wird eine Authentisierung am Anfang der Kommunikation
durchgeführt,
welche sich auf eine oder mehrere der bekannten Klassen von Authetisierungstoken
Besitz, Wissen oder Sein stützen
kann. Diese Information wird in das Start-Intervall integriert.
Hierdurch wird die Authentisierung Bestandteil der Kommunikation. Dieses Start-Intervall
wird als Basis für
die aus Abschnitt 2 bekannte Intervall-Kette verwendet. Der Empfänger kann
die in Abschnitt 3.2 beschrieben Prüfungen durchführen und
hierdurch feststellen, dass der Datenstrom der zpdK auf dem Start-Intervall beruht.
-
Die
Integration kann an verschiedenen Stellen der zpdK erfolgen. Zumeist
wird eine Integration in das Kommunikationsendgerät erfolgen,
welches beispielsweise unter der direkten Kontrolle des Besitzers
ist. In einem organisationsweiten Einsatz bietet sich eine Integration
in die Kommunikationsgeräte (z.B.
Telefonanlagen) an, welche diese Funktionalität dann zentral den Benutzern
anbieten.
-
Es
ist hier zu beachten, dass für
die prinzipielle Methode zur Authentisierung keine Archivierung des
Datenstroms gefordert wird. Die Authentizität des Kommunikationspartners
kann durch eine permanente Signalisierung des empfangenden Kommunikationsendgerätes gegenüber dem
Benutzer erfolgen, nachdem dieser sich vor oder während der Kommunikation
von der Identität
des Kommunikationspartners überzeugt
hat. Diese Signalisierung kann in verschiedener Ausführung geschehen,
da dies vom Anwendungsfall abhängig
ist. Eine mögliche
Signalisierung kann durch das Kommunikationsendgerät erfolgen,
welches synthetisierte Multimediadaten in den Kanal einblendet (z.B.
durch eine Sprachmeldung „Sie
sind mit dem authentisierten Anschluss von Herrn X verbunden" oder durch Anzeige
eines Bildes der Person). Dieser Weg kann auch erfolgen, falls sich
die Funktionalität
z.B. in einem Kommunikationsvermittlungsgerät befindet. Es kann auch in dem
Gerät in
Form einer einfachen visuellen Signalisierung (z.B. grüne Lampe)
erfolgen.
-
Im
Fall eines Abbruchs der Intervall-Kette, wie in Abschnitt 2.4.2
beschrieben, können
die Politiken aus Abschnitt 2.4.1 durchgeführt werden. Hierbei ist der
jeweilige Kontext der Verwendung der Methode zu beachten und eine
angemessene Politik zu wählen.
Falls eine permanente Signalisierung durch das Kommunikationsendgerät erfolgt,
muss diese entsprechend den Politiken den Abbruch signalisieren.
Es ist wünschenswert,
dass dies für
den Benutzer deutlich erkennbar ist.
-
Bis
hierher ist die Methode zur Lösung
von TA 3 ähnlich
der von TA 2, in der VSec einen in analoger Weise gesicherten zpdK-Strom
an die Archivierungs-Komponente sendet. Aufgrund der nun bidirektionalen
Kommunikation zwischen A und B, ohne zwischen liegende Sicherungskomponente,
ist nun aber eine gesonderte Behandlung von Paketverlusten nötig.
-
Zur
Beschreibung der Methode und als technisches Ausführungsbeispiel
wird hier das Szenario auf den Fall reduziert das eine Person A
einer Person B seine Identität
mitteilen möchte.
Die Methode kann aber auch auf komplexere Szenarien angewendet werden,
die mehrere Kommunikationspartner involvieren. KA und KB sammeln
permanent alle Pakete in einem kleinen Zwischenspeicher, wie dies
in 4 dargestellt wird. Sobald KB auf bestimmte Weise
angeregt wird, sendet KB eine Liste von Paketsequenznummern von
gesammelten Paketen aus dem aktuellen Intervall an KA. Die notwendige
Anregung kann zeitgesteuert oder paketorientiert sein oder könnte auch
durch eine explizite Anfrage von KA ausgelöst werden.
-
KA
berechnet die Sicherungswerte der in einem Intervall gesammelten
Pakete und erzeugt und sichert die Intervalldaten. Die Sicherung
muss in jedem Intervall die Authentisierung von A durch B ermöglichen,
was den Kern der kontinuierlichen Authentisierungsmethode ausmacht.
Wie in 4 gezeigt beinhalten die Intervalldaten insbesondere
einen Verkettungs-Wert V (vorhergehendes Intervall), z.B. einen
Hash-Wert, der jeweils vorherigen Intervalldaten wodurch Verkettung
erreicht wird. Die gesicherten Hash-Werte h(Paket) werden dann an
B übertragen.
B kann anhand dieser Daten die Hash-Werte mit denen der von ihm
tatsächlich
empfangenen Pakete vergleichen und die Sicherung der Intervalldaten überprüfen.
-
Das
zuvor beschriebene Start-Intervall unterscheidet sich dann dadurch
von den weiteren Intervallen, dass letztere keine Daten des Authentisierungstokens
mehr enthalten müssen.
Konkrete Methoden zur Sicherung sind vielfältig, zum Beispiel kann das
Start Intervall von A digital signiert werden und zusätzlich ein
digitales Zertifikat enthalten, dass A als Besitzer des privaten
Signaturschlüssels
ausweist, während
weitere Intervalle nur noch von A digital signiert werden. Im Unterschied
zur weiter unten in Abschnitt 5 beschriebenen Methode zur kompletten
Signierung eines Gesprächs
durch A wird aber immer noch nicht die Kommunikationsrichtung von
B nach A gesichert. Digitale Signaturen sind zur Authentisierung
wie hier beschrieben nicht die einzige technische Möglichkeit.
Zum Beispiel könnten
A und B auch mittels des bekannten Diffie-Hellman Verfahrens einen
geheimen, symmetrischen Schlüssel
vereinbaren, der zur Sicherung der Intervalle nach dem Start-Intervall
verwendet wird.
-
Durch
die Rückmeldung
von KB wird sichergestellt, dass KA lediglich übermittelte Pakete sichert.
Nicht bestätigte
Pakete werden verworfen. Des Weiteren erhält KA einen Wert für die Kanalqualität, der im
Rahmen von sicherheitsrelevanten Politiken ausgewertet werden kann.
Dies sind zwei grundlegende Vorteile der Authentisierung mit Rückmeldung durch
B gegenüber
einer einfachen Variante, bei der KA einfach alle gesendeten Pakete
in Intervallen sichert. Die Rückmeldung
bietet A zusätzliche
Sicherheit in dem Fall, dass B die Kommunikation etwa ohne Wissen
von A aufzeichnet. Mit Rückmeldung
ist A dennoch sicher, dass er nur von ihm ausgehende zpdK authentisiert,
die bei B angekommen ist. B erreicht nichts dadurch, z.B. mehr Pakete
als empfangen zu melden, als er wirklich erhalten hat, da er damit
höchstens
Authentisierungsdaten für
Sprachdaten erhält,
die er später
nicht vorzeigen kann.
-
Die
Bildung der Intervall-Kette entspricht dem Verfahren 2. aus Abschnitt
2.3 zur Behandlung von Paketverlusten. Die anderen Varianten 1.,
3., und 4. können
alternativ angewendet werden. In 4 werden
lediglich Audiodaten betrachtet. Es ist aber problemlos möglich auch
andere Kommunikationsdaten zu erfassen, da das vorgestellte Verfahren transparent
gegenüber
den zu sichernden Daten ist.
-
Bei
der Übertragung
der Paketsequenznummern von B zu A ist zu beachten, dass die Übermittlung
gegen Datenverlust zu sichern ist. B sollte entweder ein Protokoll
wie z.B. TCP verwenden, welches die Übertragung sichert oder auf
eine andere Art eine Bestätigung
erhalten über
den Empfang des Paketes. Eine Erweiterung der Datenstruktur um Integritätssichernde
Daten wie z.B. ein Cyclic Redundancy Check (CRC) oder HMAC kann
je nach verwendetem unterliegendem Transportprotokoll sinnvoll sein.
Falls kein sicherndes Transportprotokoll zur Anwendung kommt, muss
dies durch ein eigenes Protokoll nachgebildet werden. Hierzu werden
Empfangsbestätigungen
und Zeitgrenzen verwendet, welche ein erneutes Versenden anstoßen. Als
Empfangsbestätigung
kann auch das durch KA erzeugte Intervalldatenpaket verwendet werden.
-
Die
Anforderung einer gesicherten Übertragung
gilt ebenso für
die gesicherten Intervalldaten (von A nach B). Wenn B das Paket
erhält,
muss es den Empfang gegenüber
KA quittieren und damit die Intervallnummer, welche eine monoton
steigende, eindeutige Nummer für
die Intervallpakete ist, übertragen.
Hiermit wird sichergestellt, das KB die gesicherten Intervalldaten
erhalten hat. Dies ist nicht selbstverständlich, da der Übertragungskanal,
wie etwa bei User Datagram Protocol (UDP) der Fall, verlustbehaftet
sein kann. Falls nach einer bestimmten Zeit diese Quittierung nicht
bei KA eintrifft, so ist eine Neuübertragung notwendig.
-
Nach
der Berechnung der Hash-Werte durch KA (angestoßen durch die übermittelten
Paketnummern von KB) können
alle gesammelten Pakete des Intervalls gelöscht werden, da im Fall eines Übertragungsfehlers
lediglich die Intervalldaten neu übertragen werden müssen, nicht
aber die zpdK-Datenpakete.
-
5. TA 4) Signatur
-
Aus
dem Bereich der Geschäftkorrespondenz
ergeben sich zwei unterschiedliche Fälle, in denen Nichtabstreitbarkeit
verlangt wird. Im ersten Fall gibt eine Partei eine einseitige,
Erklärung
ab (z.B. ein Angebot), welches ab diesem Zeitpunkt bindend ist, was
zum Beispiel durch eine Signatur erreicht wird. Der zweite Fall
behandelt mehrseitige Erklärungen (z.B.
Verträge),
die durch mehrere Parteien unterzeichnet werden müssen und
dann auch für
diese bindend sind. Bei digitalen Signaturen gibt es hier die Möglichkeit
mehrere Signaturen an ein Dokument anzubringen, entweder parallel,
oder ineinander verschachtelt.
-
In
einem vereinfachten Szenario in welchem zur besseren Illustration
lediglich die Parteien A und B agieren, entspricht der erste Fall
einer Absicherung der Kommunikation von A nach B, was prinzipiell
der in Abschnitt 4 vorgestellten Methode ähnelt. Es müssen aber insbesondere Methoden
zur Aufzeichnung der zpdK bei B und eine vollständige Sicherung beider Richtungen
des zpdK-Stroms
ergänzt
werden. Denn zur Wahrung des Gesprächs- oder Verhandlungs-Kontextes also der
Kohäsion,
sind in diesem Fall die Äußerungen
beider Gesprächspartner
wesentlich. Nur sie zusammen (und im richtigen zeitlichen Zusammenhang)
ergeben das zpdK-Analogon zum digital zu signierenden Dokument.
-
Der
zweite Fall kann durch zwei unterschiedliche Ansätze gelöst werden. Der naive Ansatz
führt Fall
eins, d.h. eine Signatur der zpdK von A für B bzw. von B für A für jeden
Kommunikationspartner durch. So entstehen auf beiden Seiten signierte
Datensätze, die
zwar beide für
sich genommen gültig,
aber nicht bitweise identisch sind, was vorteilhaft wäre. Außerdem ist
jeder Datensatz nur von der jeweiligen Seite signiert. Erst wenn
beide vollständig
und gleichzeitig vorliegen erhalten sie einen mehrseitigen Nichtabstreitbarkeitscharakter.
Ein solcher Ansatz ist ineffizient und bedarf zum späteren Nachweis
insbesondere jeweils eine Überprüfung der
(wenigstens zwei) Datensätze
durch „Ohrenschein" oder Inhaltsvergleich.
-
Daher
ist es wünschenswert
eine einheitliche Datenstruktur analog zu einem digitalen Dokument mit
mehreren elektronischen Signaturen zu erzeugen, welche bei allen
Parteien entsteht und durch alle Parteien bestätigt wird. So ist jeder Kommunikationspartner
im Besitz eines Dokumentes, welches eine Kommunikation nichtabstreitbar
dokumentiert. Diese einheitliche Datenstruktur erfüllt die
Forderung nach Kohäsion,
welche in Abschnitt 1.2 beschrieben ist.
-
5.1 Signaturszenario und
Basiskonzept
-
5 zeigt
das bereits vorgestellte vereinfachte Szenario in dem eine zweiseitige,
interaktive Kommunikation zwischen den Parteien A und B stattfindet,
die hier beispielsweise über
Vermittlungsgeräte
KA und KB läuft.
A möchte
den Gesprächsinhalt unabstreitbar
an B übertragen
(Fall 1 in der Einleitung zu Abschnitt 5). Dies wird im weiteren
Verlauf als zpdK-Willenserklärung
bezeichnet und beinhaltet eine explizite Willenserklärung durch
A, dass der Gesprächsinhalt
durch ihn selbst in Zukunft nichtabstreitbar ist. Diese neue Bezeichnung
dokumentiert insbesondere die Unterscheidung zu elektronischen Signaturen
digitaler Dokumente, bei denen es nicht um zeitlichen Bezug und
Ablauf eines kontinuierlichen Kommunikationsprozesses geht.
-
Zum
Zwecke der zpdK-Willenserklärung
besitzt A einen dafür
bestimmten Token, z.B. ein digitales Zertifikat, welcher von A zur
Sicherung der Intervalldaten eingesetzt wird. A signiert die vollständige Kommunikation
inklusive aller ein- und ausgehenden Daten. Hierdurch wird das komplette
Gespräch
durch die Signatur erfasst. B kann die resultierende Datenstruktur
in einem sicheren Archiv seiner Wahl aufbewahren. Diese archivierte
Version kann B später
als Beweis einer dritten Partei vorlegen, dass das Gespräch stattgefunden
hatte. Falls B die Datenstruktur löscht, kann A das Gespräch leugnen.
-
In
der technischen Umsetzung wird in der Regel eine Funktionalität zur Aufzeichnung
und Archivierung auf Seiten von B integriert werden. Die Aufzeichnung,
die Anforderungen an das Archiv und die Übertragung an das Archiv durch
die Aufzeichnungskomponente sind durch die entsprechende Beschreibung
in Abschnitt 3 (Archiv) abgedeckt.
-
Eine
technische Ausführung
dieses Szenarios kann auf SIP/RTP basieren. Es ist wiederum anzumerken,
dass ebenfalls das Inter-Asterisk-Protokoll (AIX) oder das bekannte
H.323 benutzt werden könnten,
da die vorgestellte Methode unabhängig vom unterliegenden Protokoll
angewendet werden kann. Im Folgenden wird SIP/RTP als durchgängiges Beispiel
verwendet. Das Signaturprotokoll erweitert den SIP/RTP Standard
in einem kompatiblen Weg um Transportsignaturen und Bestätigungen
dieser Signaturen.
-
Da
das Signieren einzelner Pakete wie gezeigt ineffizient ist, wird
Methode 2 aus Abschnitt 2.3 verwendet. Hierdurch werden die Konzepte
der Intervalle und Intervalldaten, wie in Abschnitt 2.1 eingeführt, angewendet.
Der Begriff der Intervallsignatur beschreibt die Sicherungswerte
(siehe Abschnitt 2.1), die benötigt
werden die Intervalldaten abzusichern. Sie haben zur Lösung der
TA 4 Signaturcharakter und müssen
A entsprechend ausweisen, z.B. durch asymmetrische Kryptografie
und digitale, Public Key Infrastructure (PKI)-basierte Zertifikate.
-
In
der Signalisierungsphase des SIP-Protokolls werden die Beschreibung
der Anrufparameter inklusive der IP-Adresse, Ports, Multimediacodecs und
deren Parameter im SIP Paket (eingebettet in ein SDP-Paket) zum
Kommunikationspartner transportiert. Es wird ein ähnlicher
Applikations-Datenstrom für den Transport
der Signaturdaten verwendet. Dieser ist UDP-basiert und daher nicht
als zuverlässig anzusehen,
da hier Paketverluste eintreten können. Der Wunsch zur Signalisierung
wird durch einen speziellen so genannten k-Wert im SDP-Paket an
den Kommunikationspartner signalisiert. Hierfür existieren viele Alternativen.
Die genaue Art der Signalisierung ist nicht relevant für die Methode
und lediglich exemplarisch.
-
Jede
Partei sammelt nun Pakete in Intervallen von einstellbarer Länge. Die
Intervalllänge
kann zeit- oder paketbasiert bestimmt werden. Am Ende eines Intervalls
werden die Pakete sortiert anhand ihrer Sequenznummern und ihre
Hash-Werte zusammen mit notwendigen Zusatzdaten wie Richtung der Übertragung,
Sequenznummer und Zeit in einer Datenstruktur zusammengefasst (Intervalldaten)
und dann z.B. durch den RSA-Algorithmus signiert unter Verwendung des
Signaturtokens von A. Diese Einheit wird an KB übertragen, welcher diese in
Verbindung mit den dazugehörigen
Pakten speichert. Es ist zu beachten, dass die eigentlichen zpdK-Daten
aufgrund der Methode nicht noch einmal übertragen werden. Dies führt zu einer
guten Bandbreiten- und Rechenzeit-Ausnutzung.
-
Da
signierte Intervalle die geforderte Kohäsion nicht sicherstellen, denn
ein Angreifer könnte
einzelne Intervalle austauschen, müssen die Pakete untereinander
verkettet werden, wie dies in Abschnitt 2.2 beschrieben wird. Hierdurch
wird eine Intervall-Kette gebildet, aus der einzelne Intervalle
nicht entfernt oder ausgetauscht werden können. Die Signaturkette bricht
bereits, wenn ein einzelnes Bit in der Kette oder in den Paketdaten
verändert
wird. Durch die Wahl von Methode 2 aus Abschnitt 2.3 können bei Bitfehlern
in einzelnen Intervallen diese Intervalle lokalisiert werden und
unter Umständen
eine eingeschränkte,
forensische Aussage über
die Glaubwürdigkeit
der Aufzeichnung gemacht werden.
-
Die
Signatur erstreckt sich – im
Unterschied zum Authentisierungsverfahren aus Abschnitt 4 – auf beide
Kanäle
der Kommunikation und wird so der bidirektionalen Natur der Kommunikation
gerecht. Die Signatur über
den Kanal von A nach B entspricht dabei der Methode aus Abschnitt
4.1 in der technischen Ausprägung,
die in 4 gezeigt ist. Die notwendige Signierung der Daten
von B nach A unterscheidet sich davon, wie in 6 zu
sehen. Wieder sammeln KA und KB alle Pakete auch dieses Kanals.
KA entscheidet, wann ein neues Intervall beginnt. KA nimmt dann
die übertragenen
und sortierten Pakete von B nach A, erzeugt Hash-Werte über diese
und erzeugt ein Datenpaket aus den Hash-Werten und signiert dieses.
Dieses Datenpaket entspricht einer Intervallsignatur und wird an
den Kommunikationspartner B übertragen,
was auf geeignete Weise, etwa durch Quittierung durch KB, abzusichern
ist, wie in den letzten drei Absätzen
von Abschnitt 4.1 beschrieben. Start- und Endintervalle werden durch
KA entsprechend Abschnitt 4.1 gebildet.
-
Die
beiden Richtungen werden nun miteinander untrennbar verwoben. KA übernimmt
hierzu eine Steuerungsfunktion, die auf verschiedene Weisen ausgeführt werden
kann. Zum Beispiel könnte KA
nach jedem Intervall von A nach B die Erzeugung eines Intervalls
von B nach A erzwingen. Dies hätte den
Nachteil, dass letzteres Intervall gegebenenfalls keine zpdK-Pakete
enthalten würde,
wenn KB in der Zwischenzeit nicht sendet. Ein solcher Fall wäre gesondert
zu behandeln. Die hier bevorzugte Ausprägung für den Richtungswechsel zwischen
Intervallen funktioniert deshalb asynchron. KA führt gleichzeitig zwei Puffer
für Sende-
und Empfangsrichtung. Je nachdem, ob sein Sendepuffer zuerst voll
gelaufen ist, oder ihn zuerst eine Rückmeldung über empfangene Pakete von KB
erreicht (siehe 4) bildet KA ein Intervall der
entsprechenden Richtung. Es kann hierbei hilfreich sein, die Intervalllänge dynamisch anzupassen
wie es im vorletzten Absatz von Abschnitt 3.1 beschrieben wurde,
um Verzögerungen, d.h.
ein Hinterherhinken des Bildens und Sicherns von Intervallen hinter
den zpdK-Datenströmen,
zu vermeiden.
-
KB
kann die aus Abschnitt 3.2 bekannten Tests (soweit anwendbar) durchführen. KB
hat beispielsweise die Quality of Service (QoS) der Verbindung zwischen
B nach A zu überprüfen. Dies
setzt KB in die Lage zu überprüfen, ob
A versucht Teile der Konversation von B zu unterdrücken und
somit aus der Aufzeichnung und Signatur zu entfernen. Wenn ein vorher
bestimmter Schwellwert an verlorenen Paketen von B nach A überschritten
wird, so kann z.B. KB die Kommunikation als nicht vertrauenswürdig ansehen.
Insbesondere sind sowohl durch KA als auch durch KB die Sicherheitspolitiken
aus Abschnitt 2.4.1 anwendbar.
-
Während der
Signierung sollte allen Kommunikationsparteien die Durchführung der
Signatur signalisiert werden, zum Beispiel wie dies im dritten Absatz
von Abschnitt 4.1 beschrieben wird. Des Weiteren sollte die Signatur
auch während
einer Kommunikation von den Partnern absichtlich gestartet und auch
beendet werden können,
zum Beispiel um von einer mündlichen
Aushandlung von Vertragsbedingungen zum Abschluss des Vertrages überzugehen. Dies
muss den Teilnehmern vorher signalisiert und je nach Anwendungsfall
auch bestätigt
werden. Auch diese Zustimmung sollte aufgezeichnet werden und bereits
durch die Signatur abgedeckt sein.
-
Am
Ende der Signatur steht die Datenstruktur, welche bei KB archiviert
werden muss oder von KB an ein ausgelagertes Archiv übergeben
wird. Alle Intervalle werden wie in 7 gezeigt
kontinuierlich gespeichert. Zeitstempel können zusätzlich hilfreich sein, eine
aufgezeichnete, signierte zpdK auf einen exakten Zeitpunkt zu datieren.
Das Speicherformat ist analog zur Archivierungsmethode aus Abschnitt
3 gebildet und entspricht dem in 3 gezeigten.
Im Unterschied zu 3 werden hier die eigentlichen Datenpakete
separat gespeichert. Diese Ausführungsvariante
ergibt sich hier daraus, dass As Signatur nur über die Intervallmetadaten
angewendet wird und damit nur über
die Hash-Werte der Paketdaten, aber nicht über die Paketdaten selbst.
Dies erlaubt es B, im Wesentlichen einfach die von A empfangenen gesicherten
Intervallmetadaten abzuspeichern.
-
Das
Format ist ein einfaches blockbasiertes, kontinuierliches Format,
welches mit einem Start-Block beginnt, in dem die SIP-URIs der Kommunikationspartner,
Zeitpunkt des Kommunikationsbeginns und die verwendeten Codecs erfasst
sind. Folgende Intervalle werden durch B archiviert, wie sie produziert
werden, was den Speicherbedarf der Methode im temporären Arbeitsspeicher
auf die Größe eines
Intervalls begrenzt. Am Ende einer Kommunikation wird ein spezieller
Abschlussblock gespeichert, der den Abbruchgrund sowie Zeitpunkt
erfasst.
-
Jeder
mit einem Intervall verbundene Block beinhaltet die zugehörigen Pakete
dieses Intervalls und mindestens die folgenden Zusatzinformationen: Die
Richtung/Kanal des Intervalls, der Zeitpunkt, die Liste der absoluten
Paketnummern des Intervalls und die Hash-Werte der zugehörigen Pakete.
Diese Zusatzinformationen werden z.B. in einem PKCS#7 Container
signiert durch KA gespeichert. Der erste PKCS#7 Container muss zusätzlich die
komplette Zertifikatskette speichern, auf die sich das Signaturzertifikat
von A bezieht. Dies muss für
die folgenden Container nicht erfolgen.
-
5.2 Mehrseitige Signatur
-
Wie
in Abschnitt 5 bereits dargestellt kann die beschriebene Technik
auch von beiden Seiten angewendet werden, um der jeweils anderen
Seite ein von ihr signiertes Gespräch anzubieten, das dort dann
archiviert werden kann. In diesem Fall gibt es keinen Partner, der
den Signiervorgang zentral steuern würde. Es kann sogar passieren,
dass die alternierende Verschränkung
anders anfängt.
-
Eine
bessere Lösung
ist jedoch das Übersignieren
durch beide Parteien, so dass jedes Intervall (also beispielsweise
jede Sekunde des Gesprächs) erst
von der einen Partei signiert wird und diese Signatur dann erneut
von der zweiten Partei signiert wird. Erst danach setzt sich die
Verkettung zum nächsten
Intervall wie in 7 zu sehen fort. Beide Parteien
erhalten nach Gesprächsende
identische Aufzeichnungen, die einfach und effizient verglichen werden
können.
Die genaue Ausführung
der Übersignatur
ist in vielen Varianten möglich,
von denen zwei erfindungsgemäße Varianten,
die besonders sinnvoll erscheinen, vorgestellt werden. Der Übersicht
halber werden die Darstellungen der Verfahren auf zwei Teilnehmer
beschränkt.
Die Methoden sind aber prinzipiell auch auf Konferenzen mit mehreren
Teilnehmern anwendbar.
-
5.2.1 Variante A für zweiseitige
Signaturen
-
Die
in 4 und 6 beschriebenen Protokolle sind
dazu wie folgt zu erweitern: Hierbei ist es vorteilhaft, einen Partner
(z.B. den Anrufer) als steuernde Partei zu definieren. Nachdem in 4 die steuernde
Partei KA eine Intervallsignatur an KB gesendet hat wartet sie mit
dem nächsten
Paket, bis KB auf diese Intervallsignatur geantwortet hat oder ein Timeout
aufgetreten ist: KB signiert die ankommende Intervallsignatur mit
seinem Signaturschlüssel,
hängt sein
Zertifikat an und sendet sie zurück.
Dabei kann auch zur Bandbreitenersparnis nur die Signatur gesendet
werden. Für
das nächste
Intervall (egal welcher Richtung) wird nun nicht der Hash des letzten von
KA signierten Intervalls verwendet, sondern der Hash dieses übersignierten
Pakets.
-
Für die Gegenrichtung
in 6 wird ebenfalls eine Übersignierung durch KB eingeführt: Statt einer
expliziten Quittierung sendet KB das übersignierte Intervallpaket
zurück,
so dass KA es speichern kann. Wieder kann auf die erneute Übertragung
des von KA gesendeten Intervallpakets verzichtet werden, indem nur
die Signatur gesendet wird.
-
Das
sich auf beiden Seiten ergebende Datenformat ist in 8 dargestellt.
-
5.2.1 Bevorzugte Variante
B für zweiseitige
Signaturen
-
Die
folgende Variante zum verketteten Übersignieren eines Gesprächs zwischen
zwei Parteien ist stärker
an die zuvor gezeigten Sicherungsmethoden angelehnt als Variante
A. Im Prinzip erweitert und verallgemeinert sie die in 4 und 6 gezeigten
Methoden zur einseitigen Signatur. Nun besitzen A und B Signaturschlüssel und
Zertifikate. Das Verfahren ist symmetrisch bezüglich der ausgetauschten signierten
Daten.
-
Im
Folgenden wird die Methode zum Bilden von zweiseitig signierten
Intervallen und ihrer Verkettung gezeigt.
-
Die
Methode ist in 9 für die Senderichtung von A nach
B skizziert, die andere Richtung funktioniert exakt gleich. KA sendet
zpdK-Pakete an KB und sammelt sie in einem Zwischenspeicher, KB sammelt
die empfangenen Pakete. Zu einem bestimmten Zeitpunkt, etwa dem
Ablauf einer festgelegten Intervalldauer, führt KB das folgende aus: KB
bildet eine Sicherung der empfangenen Pakete, etwa durch Hash-Werte
der einzelnen Pakete. Dazu fügt KB
wie in den oben geschilderten Methoden weitere Metadaten (Zeit,
Richtung, etc.). Zudem fügt
KB ein Sicherungsdatum des letzten Intervalls, z.B. einen Hash-Wert,
hinzu. Wie dieser gebildet werden kann, wird weiter unten beschrieben.
Diesen gesamten Datensatz sichert KB nun z.B. durch seine elektronische Signatur.
Das signierte Datenpaket sendet er dann an KA. Es ersetzt bei der
vorliegenden Methode die einfache Rückmeldung der empfangenen Pakete durch
KB, wie sie in 4 gezeigt wurde. KA kann dem
empfangenen, gesicherten Paket weitere Metadaten hinzufügen. Diese
Gesamtheit von Daten bildet nun die Intervalldaten dieses Intervalls.
Danach sichert KA diese Intervalldaten etwa durch Übersignieren.
(Gegebenenfalls kann es reichen, wenn KA die Signatur von B und
die von KA hinzugefügten
Metadaten übersigniert,
da die Signatur von B schon die von KB gesandten Daten sichert.
Dazu muss KA aber unter Umständen
zuvor die Signatur von B geprüft haben.)
KA sendet die gesicherten Intervalldaten an KB. Beide Parteien sollten
diese doppelt signierten Intervalldaten zusammen mit den darin referenzierten
zpdK-Paketen abspeichern oder geeignet archivieren.
-
Das
Senden redundanter Daten kann gemäß den in Abschnitt 2.3 beschriebenen
Varianten vermieden werden. Von KA muss außerdem im letzten Schritt nur
die Signatur über
das Datenpaket gesendet werden, als so genannte abgehängte (detached) Signatur,
zuzüglich
evtl. von ihm hinzugefügter
und signierter Metadaten.
-
Die
Verkettung wird nun erreicht, indem Sicherungsdaten dieses Intervalls
auf geeignete Weise gesichert werden. Zum Beispiel kann ein Hash-Wert über die äußere, von
KA angebrachte Signatur gebildet werden, oder über beide Signaturen (von A
und B), oder über
die gesamten Intervalldaten inklusive aller Signaturen. Letzteres
ist unter Umständen
zu bevorzugen, da dann keine Verifikation der schon angebrachten
Signaturen nötig
ist. Beide Parteien müssen
für die
Fortsetzung der Verkettung über
diesen Sicherungswert (in der 9 mit V(N)
bezeichnet) verfügen.
-
Zwei
aufeinander folgende Intervalle N – 1 und N sichern die Intervalldaten
des Intervalls N – 1 durch
eine Signaturkette der Form BABA, BAAB, ABAB, oder ABBA. Damit ist
für die
Intervalldaten N – 1
eine zweiseitige Nichtabstreitbarkeit erreicht, die dem bekannten
BAKO-Protokoll entspricht. Dass heißt, beide Parteien sind sicher,
dass die jeweils andere die von beiden Parteien signierten Daten
des Intervalls N – 1
besitzt.
-
Die
Bildung des jeweils nächsten
Intervalls kann auf verschiedene Weise angestoßen werden. Zum Beispiel kann
von vornherein vereinbart sein, dass KA und KB alternierend Intervalle
bilden, was etwa durch Zeitsteuerung – nach jeder Sekunde ist der
jeweils andere an der Reihe – realisiert
werden kann. Die genaue technische Ausführung ist hier offen gelassen.
-
Während des
signierten Gesprächs
können beide
Parteien die bereits oben genannten Tests kontinuierlich durchführen. Z.B.
können
alle Sicherungswerte stichprobenweise oder kontinuierlich überprüft werden.
Auch sollte bei der oben gezeigten Richtung KA prüfen, ob
die von KB angeblich empfangenen Pakete einen ausreichenden QoS
bieten, um die Verständlichkeit
von A zu gewährleisten.
-
In
Analogie zum BAKO-Protokoll kann das End-Intervall vom letzten Empfänger noch
ein drittes Mal übersigniert
und zurückgesandt
werden, um auch für
dieses den gleichen Grad an zweiseitiger Nichtabstreitbarkeit zu
erreichen.
-
5.3 Erhöhung des
Beweiswerts durch Verwendung vertrauenswürdiger Endgeräte
-
Um
unter Verwendung der in Abschnitt 5 bisher dargestellten Methoden
zu einer sicheren, vertrauenswürdigen
Signaturerstellungseinheit für
zpdK, z.B. gemäß des EU-Schriftstücks CEN
CWA 14170 (European Committee for Standardization (CEN) Workshop
Agreement CWA 14170: Security requirements for signature creation
applications. Mai 2004. ftp://ftp.cenorm.be/PUBLIC/CWAs/eEurope/eSign/cwa14170-00-2004-May.pdf),
zu gelangen, sind weitere technische Sicherungsmaßnahmen
notwendig. Insbesondere müssen
für Hard-
und Software die geforderten Sicherheitseigenschaften nachweisbar
sein.
-
Die
im Weiteren beschriebene technische Realisierung von TA 5 fußt hierzu
auf den von der Trusted Computing Group TCG erarbeiteten Standards
für sichere
Rechnerplattformen, so genannte Trusted Platforms (TP). Die Grundidee
ist die Realisierung der zpdK-Signatureinheit als TP, wobei insbesondere
die Verarbeitung und Übertragung
von Sprachdaten durch TC-Methoden zu sichern ist.
-
Es
ist hervorzuheben, dass die im Folgenden beschriebene technische
Ausprägung über den
Einsatzbereich von TA 5 hinaus relevant ist. TC kann ebenfalls in ähnlicher
Weise in TA 2–4
eingeführt
werden.
-
Mögliche technisch-kommerzielle
Realisierungen des unten vorgestellten Konzeptes liegen besonders
im Bereich der mobilen Kommunikation nahe. In der Tat deutet sich
eine baldige Markteinführung
von TC Technologie enthaltenden mobilen Endgeräten bereits an. Auch ist gerade
die Mobilfunkindustrie in der TCG besonders aktiv. Gerade für elektronische
Signaturen sind mobile Endgeräte,
die sich wie üblicherweise
Signatur-Token sowieso schon im Besitz des Unterzeichners befinden,
attraktiv. Dies ermöglicht
ggf. eine Vereinigung von Signatur-Token (klassisch das in einer
Smartcard befindliche digitale Zertifikat und der geheime Schlüssel) und
Signatur-Erstellungsgerät.
-
10 zeigt
das Schema eines TC-basierten, vertrauenswürdigen zpdK-Signiergeräts. Der
Ablauf des Signierens ähnelt
der gewöhnlichen
elektronischen Signatur. Der Signierer weist sich dazu am Gerät durch
Wissen und Besitz aus. Zur Erzeugung der eigentlichen elektronischen
Signatur verwendet die Signaturerzeugungseinheit je nach Einsatzszenario
im Gerät
die Methode aus Abschnitt 5.1 oder 5.2. Hier wird weiterhin davon
ausgegangen, dass Signaturen auf asymmetrischer Kryptografie beruhen und
Identitäten
durch digitale Zertifikate nachgewiesen werden (PKI). Die wesentliche
Verwendung von TC besteht in folgenden Punkten, die auch die jeweilige
technische Ausführung
beschreiben.
- 1. Der TPM-basierte Trusted Boot
Prozess überprüft beim
Start des Gerätes
die Unverändertheit seiner
Komponenten gegenüber
einem Referenzzustand. Das Ergebnis der Prüfungen wird aufgezeichnet und
durch das TPM geschützt
und kann später
zum Nachweis der Unverändertheit
der Gerätefunktion
gegenüber
Dritten verwendet werden. Insbesondere misst der Trusted Boot Prozess
die Integrität
a)
der Signaturerzeugungssoftware, welche je nach Anwendungsszenario
die Methode aus Abschnitt 5.1 oder 5.2 verwendet,
b) der Hard-
und Softwarekomponenten die Audiodaten verarbeiten und weitergeben,
c)
Der Ein- und Ausgabeeinheiten zur Signalisierung des Benutzers (Signierers)
und Eingabe der Signatur-Token,
d) ggf. einer im Gerät enthaltenen
hard- und/oder softwarebasierten vertrauenswürdigen Zeitquelle zur Verwendung
im Signierprozeß gemäß Abschnitt
5.1 oder 5.2
- 2. Im TC-Prozess der Remote Attestation kann das Gerät von A
nun gegenüber
den Kommunikationspartnern die Unverändertheit der im Trusted Boot
Prozess gemessenen Komponenten nachweisen. Insbesondere weist A
dadurch nach, dass er im Besitz eines vertrauenswürdigen Signaturterminals
mit einem geschützten
Audiokanal und geschützter
Signaturerzeugungssoftware ist.
- 3. Der Audiokanal, d.h. die Soft- und Hardware im Gerät, die Audiodaten
verarbeiten und weiterreichen, sind besonders geschützt, z.B.
durch TC-Methoden der Verschlüsselung
von Transportwegen und Nachweis der Integrität im Trusted Boot. Die besondere
Bedeutung dieses Schutzes liegt darin, dass die zu signierenden
Daten ausschließlich
durch diesen I/O-Kanal laufen. Vorteilhaft ist hierbei insbesondere,
dass nur der Audiokanal als einziger I/O-Kanal gesichert werden muss,
wodurch die bei einem Signierterminal gewöhnlich nötige Sicherung von Tastatur
und Bildschirm nicht nötig
ist.
- 4. Eine TP-basierte zpdK-Signatureinheit kann insbesondere über eine
vertrauenswürdige
Zeitquelle, basierend auf einer zuverlässigen internen Uhr, oder aber
auf einem zum Beispiel vom mobilen Netzbetreiber gelieferten Zeitnormal
enthalten. Diese Zeitquelle kann wesentlich zur zeitlichen Festlegung
des signierten Gesprächs
gemäß Abschnitten
2.4.3, 4.1 und 5.1 verwendet werden.
- 5. Im Remote Attestation Prozess wird eine Zertifizierungsinstanz
(Privacy CA, PCA) verwendet, die im Prinzip die Identität des von
A verwendeten Gerätes
bestätigen
kann. Es ist möglich,
diese Zertifizierungsinstanz zu verwenden, um die für die Signatur
nötige
Authentisierung zu erreichen. Das heißt, dass dann von der TP verwaltete
so genannte Attestation Identity Keys (AIK) als zpdK-Signaturschlüssel verwendet
werden. Sie sind mit einem Zertifikat der PCA versehen und weisen
so die Identiät
des Gerätes
nach. Zusammen mit der üblichen
Nutzerauthentisierung am Gerät,
etwa mittels SIM-Karte
und Eingabe der PIN oder direkt gegenüber des TPM, entstehen zusammengenommen
die notwendigen Eigenschaften eines Signier-Tokens.
- 6. Wird im Unterschied zum vorherigen Punkt 5. eine externe
PKI zur Zertifizierung der zpdK-Signaturschlüssel verwendet, so kann weiters
TC benutzt werden, um die Sicherheit des Speichers, in dem Schlüssel und
Zertifikate im Gerät
aufbewahrt werden, herzustellen.