Perfect Forward Secrecy

aus Wikipedia, der freien Enzyklopädie
(Weitergeleitet von Folgenlosigkeit (Kryptographie))
Wechseln zu: Navigation, Suche

Folgenlosigkeit (englisch perfect forward secrecy, PFS; auf deutsch etwa perfekte vorwärts gerichtete Geheimhaltung) bedeutet in der Kryptographie die Eigenschaft von Schlüsselaustauschprotokollen, dass aus einem aufgedeckten geheimen Langzeitschlüssel nicht auf damit ausgehandelte Sitzungsschlüssel eines Kommunikationskanals geschlossen werden kann.[1]

Hintergrund[Bearbeiten]

Prinzipiell kann jeder Schlüssel aufgedeckt werden – entweder durch aufwändige Analyseverfahren oder durch Ausspähung, Diebstahl, Bestechung, Erpressung oder Nachlässigkeit des Eigentümers. Aus diesem Grund werden Sitzungsschlüssel verwendet, welche in kurzen Abständen neu ausgehandelt werden. Ein Angreifer, dem ein derartiger Sitzungsschlüssel bekannt wird, kann deshalb nur einen Teil der Daten entschlüsseln.

Allerdings sind sämtliche Sitzungsschlüssel der Gefahr ausgesetzt, dass derjenige Langzeitschlüssel kompromittiert wird, der dafür verwendet wird, die Sitzungsschlüssel selbst gesichert zu übertragen. Durch die Kenntnis dieses Langzeitschlüssels könnte ein möglicher Angreifer sämtlichen Datenverkehr entschlüsseln, insbesondere also auch die Übertragung der Sitzungsschlüssel und somit Zugriff auf den gesamten Datenverkehr erhalten.

Dies wird durch Perfect Forward Secrecy unterbunden. Ein möglicher Angreifer kann trotz Kenntnis des Langzeitschlüssels keinerlei Rückschlüsse auf die ausgehandelten Sitzungsschlüssel ziehen. Bei TLS wird dies dadurch erreicht, dass der Langzeitschlüssel zu einem Signaturverfahren gehört und nur benutzt wird, um Kurzzeitschlüssel zu signieren. Mit diesen wird jeweils durch einen Diffie-Hellman-Schlüsselaustausch ein Sitzungsschlüssel ausgehandelt. Wird ein Server kompromittiert, erfährt der Angreifer nur den langfristigen Signaturschlüssel und die Sitzungsschlüssel gerade aktiver Verbindungen. Die Sitzungsschlüssel zurückliegender Verbindungen sind bereits gelöscht und lassen sich nicht mehr rekonstruieren.

Praxis[Bearbeiten]

Bei den heutigen Standardverfahren, bei denen zusammen mit symmetrischen Sitzungsschlüsseln (session key) auch asymmetrische Master-Keys eingesetzt werden, müssen auch diese sehr viel langlebigeren Hauptschlüssel (master keys) eines Kommunikationskanals PFS-fähig sein. Die Kenntnis eines oder beider privaten Schlüssel der Kommunikationsendpunkte darf Angreifern das Aufdecken der Sitzungsschlüssel nicht erleichtern.

Ein Nachteil von Folgenlosigkeit ist der deutlich höhere Aufwand zur Generierung von Sitzungsschlüsseln. Aus diesem Grunde kann es bei manchen Verschlüsselungsverfahren (z. B. IPsec) deaktiviert werden.

Einem c’t-Artikel zufolge setzen nur wenige Web- und E-Mailserver das Verfahren ein, obwohl dadurch die Internetsicherheit verbessert werden könnte.[2]

Von den großen internationalen IT-Unternehmen war Google das erste Unternehmen, das den Standard verwendete. Sowohl Facebook als auch YouTube verwenden dieses Verfahren heutzutage.[3]

Microsoft verwendet den PFS Standard seit Mitte 2014 für Outlook.com, Microsoft OneDrive und Office 365.[4]

Literatur[Bearbeiten]

  • Naganand Doraswamy, Dan Harkins: IPSec. The New Security Standard for the Internet, Intranets, and Virtual Private Networks. 2nd Edition. Prentice Hall PTR, Upper Saddle River NJ 2003, ISBN 0-13-046189-X.

Weblinks[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1.  Alfred J. Menezes, Paul C. van Oorschot, Scott A. Vanstone: Handbook of Applied Cryptography. CRC Press, 1996, Definition 12.16, S. 496 (http://cacr.uwaterloo.ca/hac/about/chap12.pdf).
  2. c’t 18/2013, S. 16 ff.: Verpfuschte Verschlüsselung
  3. Die bessere Verschlüsselung, Artikel von Christiane Schulzki-Haddouti in Zeit online vom 3. September 2013
  4. Advancing our encryption and transparency, Artikel von Matt Thomlinson in Microsoft TechNet vom 1. Juli 2014