IT-GSHB 2000 - Einsatz von kryptographischen Verfahren auf den verschiedenen Schichten des ISO/OSI-Referenzmodells

M 4.90 Einsatz von kryptographischen Verfahren auf den verschiedenen Schichten des ISO/OSI- Referenzmodells

Verantwortlich für Initiierung: IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement

Das OSI-Referenzmodell nach ISO

Kryptographische Verfahren können auf den verschiedenen Schichten des ISO/OSI-Referenzmodells implementiert werden. Dieses Modell, welches in Maßnahme M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung dieses Handbuches kurz erläutert wird, definiert vier transportorientierte Schichten und drei anwendungsorientierte Schichten. Instanzen einer Schicht in verschiedenen Systemen kommunizieren über Protokolle miteinander. Jede Schicht bietet der nächst höheren Schicht ihre Dienste an. Das kann neben den üblichen Kommunikationsdiensten auch ein Sicherheitsdienst sein. Welcher Sicherheitsdienst in welcher Schicht des Schichtenmodells plaziert werden sollte und welche Mechanismen dazu genutzt werden können, ist im Teil 2 der ISO 7498 (Security Architecture) beschrieben.

Auch wenn konkrete Kommunikationssysteme, Referenzmodelle oder Protokolle sich nicht immer konform zum ISO-Referenzmodell verhalten, so hilft die Kenntnis des ISO-Referenzmodells bei der Beurteilung von Sicherheitsfunktionen von Produkten und erleichtert damit auch die systematische Erstellung "sicherer" Gesamtsysteme.

Im folgenden soll erläutert werden, welche Vor- bzw. Nachteile mit dem Einsatz von kryptographischen Verfahren auf den jeweiligen Schichten verbunden sind.

Sicherheitsdienste

Kryptographische Verfahren werden zur Sicherung verschiedener bei der Kommunikation anfallender Informationen eingesetzt, also um Informationen zu verschlüsseln, mit kryptographischen Prüfsummen zu versehen oder zu signieren. Zum einen können die vom Benutzer zu übermittelnden Daten gesichert werden, zum anderen aber auch Informationen, die sich beim Informationsaustausch implizit ergeben (z. B. Verkehrsflußinformationen).

Sicherheitsbeziehungen können für verschiedene Sicherheitsdienste in verschiedenen OSI- Schichten gleichzeitig existieren. Oberhalb der Schicht, in der ein Sicherheitsdienst realisiert ist, liegen die Informationen (bezüglich dieses Dienstes) ungesichert vor. Kryptographische Mechanismen (Verschlüsselung, digitale Signatur, kryptographische Prüfsummen) liefern Beiträge zur Realisierung wichtiger Sicherheitsdienste (Authentizität, Vertraulichkeit, Integrität, Kommunikations- und Datenursprungsnachweise).

Hierzu wird zunächst ein Überblick über die Gesichtspunkte gegeben, die für oder gegen den Einsatz von kryptographischen Verfahren auf den verschiedenen OSI-Schichten sprechen:

Ein einfaches Schlüsselmanagement ergibt sich i.d.R. dann, wenn Gruppenschlüssel verwendet werden können, z. B. beim Aufbau von sicheren Teilnetzen (VPNs), bei denen die Zugänge mit Kryptogeräten versehen werden.

Kryptographische Produkte für die unteren Schichten liegen im Anschaffungspreis meist deutlich über solchen für obere Schichten, dafür werden allerdings auch weniger benötigt. Außerdem ist der Administrations- und Implementierungsaufwand meist niedriger, da Sicherheitsdienste nicht in verschiedensten Anwendungen implementiert werden müssen. Auch "exotische" Anwendungen - ohne eigene Sicherheitsfunktionalität - können dadurch gesichert Daten austauschen.

In vielen Fällen bietet sich auch eine Kombination von kryptographischen Diensten auf verschiedenen Schichten an. Dies hängt von den jeweiligen Sicherheitsanforderungen und den Einsatzbedingungen ab, wie Kosten, Performance und inwieweit entsprechende Komponenten erhältlich sind. Entscheidende Faktoren sind auch die angenommenen Gefährdungen, gegen die die implementierten Sicherheitsdienste wirken sollen, sowie die zugrundeliegende Systemarchitektur.

Sicherheits-Endgeräte <-> Sicherheits-Koppelelemente

Sicherheitssysteme können als Endgerät bzw. Teil eines Endgeräts oder als Koppelelement bzw. Teil eines Koppelelements ausgelegt sein. Koppelelemente sind z. B. aktive Netzkomponenten wie Router oder Gateways.

Im Unterschied zu Endgeräten weisen Sicherheits-Koppelelemente gewöhnlich zwei Netzschnittstellen auf, die auf einer für dieses System typischen Schicht über ein Kryptomodul (Hard- oder Software) gekoppelt sind. Eine Schnittstelle ist mit dem "sicheren" Netz verbunden (z. B. Hausnetz), die andere Schnittstelle mit einem als "unsicher" bewerteten Netz (z. B. öffentliche Netze).

Sicherheits-Endgeräte haben den Vorteil, daß die Sicherheitsmechanismen gut an die Anforderungen der Anwendung angepaßt werden können. Typische SicherheitsEndgeräte sind Kryptotelefone, Kryptofaxgeräte oder hard-/softwarebasierte Sicherheitslösungen für PCs. Sicherheits-Endgeräte bieten i.d.R. Lösungen für einzelne Arbeitsplätze. Teilweise unterstützen diese Lösungen lediglich einen Dienst. Die Grenzen sind hier jedoch fließend (Telefonie über Internet-PC, Kryptotelefon mit Dateneingang). In Endgeräten ist im Gegensatz zum Koppelelement die Wahl der Sicherheitsschicht nicht eingeschränkt, da Endgeräte grundsätzlich vollständig sind, also über 7 Schichten verfügen.

Sicherheits-Koppelelemente sind häufig derart leistungsfähig konstruiert, daß sie größere Arbeitseinheiten bis hin zu ganzen Liegenschaften absichern können. Dabei versuchen die Hersteller solcher Systeme möglichst viele Dienste bzw. übergeordnete Protokolle zu unterstützen, damit eine universelle Verwendung möglich ist. Auch die weitgehende Unabhängigkeit von den Betriebssystemen der Endgeräte liefert einen Beitrag zur universellen Einsatzbarkeit von Koppelelementen. Natürlich können auch einzelne Endgeräte durch Sicherheits-Koppelelemente abgesichert werden. Jedoch führt die höhere Leistungsfähigkeit der Geräte häufig zu höheren Kosten. Bei Koppelelementen handelt es sich definitionsgemäß um unvollständige OSI-Systeme. Daher ist auch die Implementierung von Sicherheitsdiensten auf die Schichten beschränkt, die das Koppelelement aufweist.

Auch Mischformen sind im Einsatz. Das setzt voraus, daß Sicherheits-Endgeräte und Sicherheits-Koppelelemente aufeinander abgestimmt sind, insbesondere bezüglich der verwendeten Sicherheitsmechanismen und Sicherheitsparameter (z. B. kryptographische Schlüssel).

Nutzer-, Steuer- und Managementinformationen

Ein Anwender ist hauptsächlich an der Übermittlung von Nutzerinformationen an entfernte Anwender interessiert. Je nach konkretem Referenzmodell (z. B. ISDN) werden aber zwischen den Systemen (Endgeräte, Koppelelemente) zudem Steuer-, Signalisier- und Managementinformationen zwecks Aufbau/Abbau von Verbindungen, Aushandeln von Dienstgüteparametern, Konfiguration und Überwachung des Netzes durch Netzbetreiber, usw. übertragen.

Das jeweilige Netz hat dabei die Aufgabe, Benutzerinformationen unverändert und unausgewertet zu übertragen, d. h. Benutzerinformationen müssen nur von den Endgeräten interpretiert werden können. Damit lassen sich diese Informationen unabhängig von der übrigen Netzinfrastruktur sichern, notfalls sogar unter Verwendung proprietärer Sicherheitsfunktionen (geschlossene Benutzergruppe). Steuer-, Signalisier- und Managementinformationen der Transportschichten müssen von Netzelementen des Netzbetreibers ausgewertet, geändert oder erzeugt werden können. Damit entziehen sich diese Informationen einer vom Netzbetreiber unabhängigen Sicherung (z. B. Verschlüsselung) weitgehend. Die Sicherung dieser Informationen erfordert neben entsprechenden Standards die vertrauensvolle Zusammenarbeit mit dem Netzbetreiber. Bedrohungen können sich dadurch ergeben, daß Sicherheitsfunktionen von Produkten falsch eingeschätzt werden. Bei der Auswahl von Kryptogeräten ist genau zu prüfen, welche Informationsanteile gesichert oder gefiltert werden. Ebenso ist im Umkehrschluß zu überprüfen, welche Informationen trotz des Einsatzes von Kryptogeräten ungesichert bleiben und in wieweit dies zu tolerieren ist.

Beispiel: Beim ISDN erfolgt die Übertragung der Benutzerinformationen i.d.R. über die B-Kanäle. Aber auch der D-Kanal, welcher primär für die Signalisierung genutzt wird, kann zur Übertragung paketierter Daten verwendet werden. Ist das Ziel die Sicherung aller Benutzerdaten, so reicht im Fall der Übertragung von paketierten Daten über den D-Kanal die Absicherung der B- Kanäle offensichtlich nicht aus.

Sicherheit in leitungsvermittelten Netzen

Bei leitungsvermittelten Netzen werden durch den Verbindungsaufbau Kanäle definierter Bandbreite eingerichtet, die den Kommunikationspartnern exklusiv zur Verfügung stehen. Nach Einrichten der Verbindung erfolgt die Übertragung der Nutzdaten, anschließend der Verbindungsabbau. Der Netzbetreiber kann Festverbindungen einrichten, bei denen dann der durch den Teilnehmer gewöhnlich durchzuführende Verbindungsauf- und -abbau entfällt. Ein Beispiel für ein leitungsvermitteltes Netz ist ISDN.

Durch den Verbindungsaufbau werden Nutzdatenkanäle auf OSI-Schicht 1 zwischen den Kommunikationspartnern eingerichtet, die beim ISDN B-Kanäle heißen. Um die Vertraulichkeit der übertragenen Nutzdaten zu gewährleisten, kann dieser Kanal verschlüsselt werden. Soll darüber hinaus der Signalisierungskanal abgesichert werden, bei N-ISDN also der D-Kanal (Schicht 1-3), so muß bedacht werden, daß als Gegenstellen eines Endgeräts sowohl das Endgerät des Kommunikationspartners als auch Vermittlungsstellen des Netzbetreibers auftreten können. Der D-Kanal wird normalerweise nicht verschlüsselt, da hierzu besondere Anforderungen an den Netzbetreiber zu stellen wären. In diesem Fall sollte man die Überwachung und Filterung des D-Kanals vorsehen (siehe auch M 4.62 Einsatz eines D-Kanal-Filters).

Leitungsverschlüssler: Als Sonderfall muß die Verschlüsselung synchroner vollduplex Festverbindungen gesehen werden, da in diesem Fall die Vertraulichkeit - auch des Verkehrsflusses - gewährleistet werden kann. Stehen keine Daten zur Übertragung an, werden Fülldaten verschlüsselt, so daß auf der Leitung immer ein kontinuierliches "Rauschen" zu sehen ist. Der Leitungsverschlüssler stellt eine Alternative zur Verlegung geschützter Leitungen dar.

Sicherheit in paketvermittelten Netzen

Bei paketvermittelten Netzen ist zwischen verbindungsorientierter und verbindungsloser Paketvermittlung zu unterscheiden. Bei der verbindungsorientierten Paketvermittlung wird während der Verbindungsaufbauphase eine virtuelle Verbindung eingerichtet, wodurch der Datenpfad durch das Paketnetz im Anschluß festgelegt ist. Datenpakete werden nach dem Verbindungsaufbau auf Basis der zugeordneten virtuellen Kanalnummer auf dem selben Pfad durch das Netz geroutet. Sende- und/oder Empfängeradressen sind hierzu nicht mehr erforderlich. Ein Beispiel hierfür ist das X.25-Netz.

Bei verbindungsloser Paketvermittlung gibt es keine Verbindungsauf und -abbauphasen. Datenpakete werden - u. a. ausgestattet mit Quell- und Zieladresse - einzeln vermittelt. Dies ist typisch für LAN- Datenverkehr.

Die Wahl der Schicht, in der die Sicherheitsmechanismen wirken, bestimmt, welche Informationsanteile gesichert werden. Je niedriger die gewählte Sicherheitsschicht, desto umfangreicher die Informationssicherung. Beim Durchlauf der Benutzerdaten durch die Instanzen der Schichten 7 bis 1 (Sender) werden den Daten zusätzliche Steuerinformationen hinzufügt. Geht es also nicht nur um die Sicherung von Benutzerdaten, sondern auch um die Sicherung des Verkehrsflusses, so bietet sich die Wahl einer niedrigen OSI-Schicht an. Andererseits gilt: je niedriger die gewählte OSI-Schicht, desto weniger Koppelelemente (Repeater, Bridge, Switch, Router, Gateway) lassen sich transparent überwinden.

Sollen Sicherheitsdienste über Koppelelemente hinweg wirken, dann sind sie in einer Schicht zu implementieren, die oberhalb der höchsten (Teil-) Schicht der Koppelelemente liegt. Dadurch wird sichergestellt, daß die Übermittlungseinrichtungen die gesicherten Informationen unverarbeitet/ uninterpretiert weiterleiten können.

Beispiele und Folgen fehlerhafter Netzkonfigurationen:

Beispiel 1: Sämtliche Endgeräte zweier über Router und öffentliche Kommunikationsnetze gekoppelter LANs sollen zur Gewährleistung der Vertraulichkeit - insbesondere im Bereich öffentlicher Kommunikationsnetze - mit Schicht-2-Verschlüsselungskomponenten ausgestattet werden. Der Router muß zur Weiterleitung der LAN-Datenpakete über das öffentliche Netz die Adressen der Schicht 3 auswerten. Da sämtliche Schicht-3-Daten jedoch durch die Schicht-2-Verschlüsselung verborgen sind, kann die Auswertung der Schicht-3-Adressen nicht erfolgreich durchgeführt werden. Dadurch wird die Datenübertragung verhindert. Zur Abhilfe müssen hier die Verschlüsselungskomponenten für Schicht 3 (obere Teilschicht) oder höher eingesetzt werden.

Beispiel 2: Ein Großteil des Schriftverkehrs einer Institution soll zukünftig elektronisch über X.400 (Schicht 7) abgewickelt werden. Zur Sicherung der Datenintegrität plant die Institution den Einsatz von Schicht-4-Kryptokomponenten in den Endgeräten (hier PCs). Zum Zweck der Sicherung werden die Datenpakete beim Sender auf Schicht 4 mit kryptographischen Prüfsummen versehen, welche von der zugehörigen Schicht-4-Kryptokomponente des Empfängers geprüft wird. Nur Datenpakete mit korrekten Prüfsummen sollen zugestellt werden. Falls aber nicht alle MTAs (Message Transfer Agents, also die Vermittler für elektronische Mitteilungen auf Schicht 7) ebenfalls mit interoperablen Kryptokomponenten ausgestattet sind, können die MTAs ohne Kryptokomponente keine gültigen Prüfsummen erzeugen, so daß nachfolgende MTAs oder Endgeräte mit Kryptokomponente die Daten laut Vorgabe verwerfen müssen.

Aber selbst wenn sämtliche genutzten MTAs ebenso wie die Endgeräte mit interoperablen Kryptokomponenten und Sicherheitsparametern ausgestattet sind, ist die Datenintegrität nicht sichergestellt. Dann kann die abschnittsweise Sicherung der Daten zwar gewährleistet sein, eine Verfälschung der Daten innerhalb der MTAs ist jedoch unbemerkt möglich. Ferner könnten (je nach Protokoll) einzelne Schicht-4-Datenpakete verloren gehen, was zu Lücken in der Gesamtnachricht führt, deren Unversehrtheit eigentlich gesichert werden sollte. Eine Abhilfe ist hier die Integritätssicherung der Daten auf Schicht 7.

Wie die Beispiele zeigen, ist genau zu untersuchen, welche Netztopologie vorliegt und welche Netzbereiche wie gesichert werden müssen, damit eine angepaßte Lösung mit den gewünschten (Sicherheits-)Merkmalen gefunden werden kann.

Abschnittsweise Sicherheit <-> Ende-zu-Ende-Sicherheit

Benutzer von Kommunikationssystemen erwarten häufig, daß Sicherheitsdienste durchgängig erbracht werden (Ende-zu-Ende-Sicherheit), also von der Eingabe der Information (Daten, Sprache, Bilder, Text) am Endgerät A bis zur Ausgabe der Information an einem entfernten Endgerät B. Ist kein durchgehender Sicherheitsdienst gewährleistet, so existieren - abgesehen von den beteiligten Endgeräten - weitere Systeme, auf denen die Informationen ungesichert vorliegen. Existiert beispielsweise keine Ende-zu-Ende-Verschlüsselung zur Sicherung der Vertraulichkeit einer Kommunikationsbeziehung zwischen zwei Teilnehmern, so liegen die Daten in mindestens einem weiteren Netzelement unverschlüsselt vor. Solche Netzelemente müssen lokalisiert und durch zusätzliche Maßnahmen abgesichert werden. Personal, welches Zugriff auf insbesondere solche ungesicherten Netzelemente hat (z. B. Administrator), muß entsprechend vertrauenswürdig sein. Sicherheitsdienste werden in diesem Fall nicht durchgängig, sondern abschnittsweise erbracht. Auf die angemessene Sicherung aller relevanten Abschnitte ist zu achten.

Mehrfache Sicherung auf verschiedenen OSI-Schichten

Gegen eine Mehrfachsicherung der zu übertragenden Informationen auf verschiedenen OSI-Schichten ist nichts einzuwenden, wenn gewisse Regeln befolgt werden, die bei standardkonformen Produkten jedoch implizit gewährleistet sind. Insbesondere bei der Verschlüsselung sind die aus der Schule bekannten Klammerregeln anzuwenden. So entspricht das Verschlüsseln dem Öffnen einer Klammer, das Entschlüsseln dem Schließen einer Klammer. Innerhalb der Klammer können nun wiederum weitere Sicherheitsmechanismen zur Anwendung kommen.

Nachteilig kann sich die Mehrfachsicherung dadurch auswirken, daß der Datendurchsatz aufgrund zusätzlicher Operationen reduziert wird oder daß sich die übertragbare Nutzdatenmenge dadurch vermindert, daß zusätzliche Daten zur Erhöhung der Redundanz (z. B. kryptographische Prüfsummen) übertragen werden müssen. Auch durch Daten, die vor der Übermittlung über Kryptosysteme gesichert werden, z. B. digital signierte Dokumente, ergibt sich implizit eine Mehrfachsicherung. Dadurch erhöht sich die Sicherheit der Datenübertragung hinsichtlich der verwendeten Sicherheitsdienste.

Oft läßt sich die Sicherheit des Gesamtsystems erst durch die Kombination mehrerer Sicherheitsprotokolle oder Sicherheitsprodukte erreichen. Sind beispielsweise anwendungsnahe Sicherheitslösungen verfügbar, deren vertrauenswürdige Implementierung jedoch nicht (von unabhängiger Seite) überprüft wurde (z. B. Evaluierung nach ITSEC, CC) und existieren gleichzeitig vertrauenswürdige transportorientierte Sicherheitsprodukte zur Absicherung unsicherer Netzabschnitte zwischen entfernten Liegenschaften, so kann durch die Kombination der Maßnahmen u. U. eine den Anforderungen genügende Gesamt-Sicherheitslösung geschaffen werden. Nachteilig wirken sich dabei meist der erhöhte Administrationsaufwand und/oder erhöhte Anschaffungskosten aus.