1. Grundprobleme von Datenschutz und Datensicherheit
Die Bedeutung der Kryptologie
Kryptologie
... ist die Lehre von der Datensicherheit in unsicherer,
potenziell feindlicher Umgebung.
Wirksame Sicherheit in offenen und verteilten Systemen ist nur
mit kryptologischen Methoden zu erreichen.
Kryptographie
- ... beruht auf mathematischen Methoden.
- ... erfordert Know-How bei Systemherstellern.
(Die erforderlichen Programmbausteine sind aber weitgehend frei.)
- ... erfordert Grundkenntnisse und erzwingt Infrastrukturmaßnahmen
bei Systembetreibern.
(Z. B. Installation und Pflege von Sicherheitsmaßnahmen und
Sicherheitsdiensten, geeignete Kartenleser, Schlüsselmanagement.)
- ... reduziert sich für den Benutzer auf die Verwendung einer Chipkarte.
(Wenn's denn mal so weit ist!)
- ... sorgt für Vertraulichkeit, Echtheit, Verbindlichkeit, Einmaligkeit.
Kryptographie schützt nicht die Verfügbarkeit.
Kryptographische Methoden
... die benötigt werden:
- Verschlüsselung - sie schützt die Daten vor unbefugten
(versehentlichen oder absichtlichen) Einblicken, z. B. durch
- IT-Personal,
- Netzbetreiber,
- Lieferfirmen (z. B. beim Plattentausch),
- Wartungspersonal,
- digitale Signatur,
- starke Authentisierung,
- ...
Diese werden durch kryptographische Protokolle umgesetzt.
Dazu gehört aber auch Infrastruktur:
- breit angewendete Standards,
- Integration in Kommunikationsprotokolle und Anwendungen,
- Chipkarten,
- Schlüsselmanagement.
Keine Angst vor kryptographischen Methoden!
- Verschlüsselung ist vergleichbar mit Kompression,
- kryptographische Protokolle sind vergleichbar mit
Kommunikationsprotokollen -
- in Komplexität und Performanz.
Nennenswerter Aufwand entsteht nur beim Know-How-Erwerb. Vor allem
Hersteller brauchen Know-How: Es gibt viel zu viele und immer wieder
neue unbrauchbare Implementierungen, siehe die
Snake
Oil FAQ.
Die Entwicklung kryptographischer Algorithmen ist eine Aufgabe für
Mathematiker, die Entwicklung kryptographischer Protokolle eine für
Informatiker.
Vorlesung Datenschutz und Datensicherheit
Autor: Klaus Pommerening, 31. März 1999;
letzte Änderung: 16. November 2006.
E-Mail an Pommerening »AT« imbei.uni-mainz.de.