G 2.19 Unzureichendes Schlüsselmanagement bei Verschlüsselung
Werden zum Schutz der Vertraulichkeit zu übermittelnder Daten Verschlüsselungssysteme eingesetzt, so kann aufgrund eines unzureichenden Schlüsselmanagements der gewünschte Schutz unterlaufen werden, wenn
- die Schlüssel in einer ungesicherten Umgebung erzeugt oder aufbewahrt werden,
- ungeeignete oder leicht erratbare Schlüssel eingesetzt werden,
- die zur Verschlüsselung bzw. Entschlüsselung eingesetzten Schlüssel nicht auf einem sicheren Weg den Kommunikationspartner erreichen.
Beispiele:
- Einfachstes Negativbeispiel ist der Versand der verschlüsselten Informationen und des benutzten Schlüssels auf ein- und derselben Diskette. In diesem Fall kann jeder, der in den Besitz der Diskette gelangt, die Informationen entschlüsseln, vorausgesetzt, dass das bei der Verschlüsselung eingesetzte Verfahren bekannt ist.
- Kryptographische Schlüssel werden im Allgemeinen durch Zufallsprozesse erzeugt und evtl. nachbearbeitet. Wenn die verwendete Zufallsquelle ungeeignet ist, können Schlüssel erzeugt werden, die unsicher sind.
- Bei der Erzeugung von kryptographischen Schlüsseln, insbesondere von Masterkeys, ist es für die Sicherheit entscheidend, dass keine schwachen kryptographischen Schlüssel erzeugt werden. Dies können Schlüssel sein, die leicht zu erraten sind, oder Schlüssel, die für die Verschlüsselung ungeeignet sind (Beispiel: schwache und semischwache DES-Schlüssel). Wenn bei der Ableitung von Schlüsseln aus Masterkeys nicht überprüft wird, ob dabei ein schwacher Schlüssel erzeugt wurde, kann dadurch ein schwacher Schlüssel im Wirkbetrieb zum Einsatz kommen.
- Werden beim Triple-DES identische Teilschlüssel verwendet, bewirkt die Triple-DES-Verschlüsselung nur eine einfache DES-Verschlüsselung. Der Sicherheitsgewinn geht verloren.
Aber nicht nur die Offenlegung, sondern auch der Verlust von kryptographischen Schlüsseln kann zu großen Problemen führen. Kryptographische Schlüssel können
- verloren oder vergessen werden,
- nicht mehr zugreifbar sein, z. B. wenn der Schlüsselinhaber die Firma verlassen hat oder
- zerstört werden, indem sie versehentlich gelöscht werden oder indem sie verändert werden, z. B. durch Datenträgerversagen oder Bitfehler.
Wenn die Schlüssel nicht mehr verfügbar sind, können damit geschützte Daten nicht mehr entschlüsselt oder auf ihre Authentizität überprüft werden.