Mehr Offenheit bitte!

Salve All,

wie sicher kann ein Schutzmechanismus oder eine Verschlüsselungsmethode sein, die in ihren Grundzügen und ihrer Funktionsweise nicht der Öffentlichkeit zugänglich ist? Vor allem die drängenste Frage bei Unternehmen, welche die Einführung einer solchen Sicherheitsmaßnahme planen, ist doch, wie bewertet man die Sicherheit oder auch die mögliche Unsicherheit eines Systems wenn über die internene Funktionen System selbst keine Informationen zur Verfügung stehen?

Viele Anbieter von Sicherheitssystemen handeln immer noch in dem Glauben, wenn die Funktionsweise ihres Systems nicht bekannt ist dann würde diese Tatsache die Sicherheit noch erhöhen. Aber in der Praxis zeigt sich, daß wohl das Gegenteil der Fall ist.

GSM-Netze wurden zuerst Ziel eines Angriffs. Alle Protokolle und Verfahren (auch Verschlüsselungsverfahren) die für die Authentifizierung innerhalb eines GSM-Netzes verwendet werden waren nicht öffentlich zugänglich und konnten daraufhin nicht von Fachleuten außerhalb der GSM-Gemeinde auf ihre Sicherheit hin überprüft werden. So ist es 1998 Ian Goldberg und Dave Wagner in Zusammenarbeit mit Marc Briceno gelungen durch Cryptoanalyse und Reverse Engineering eine Schwachstelle im verwendenten COMP128 Algorithmus entdeckt. Diese Schwachstelle erlaubt es von der SIM-Karte durch ein Challenge-Response-Verfahren den verschlüsselt abgespeicherten geheimen Schlüssel zu extrahieren.

Als nächstes traf es das Pay-TV. Bei Premiere hat man sich darauf verlassen einen sicheren Verschlüsselungsalgorithmus für die Übertragung des Pay-TV Programms zu haben. Bis Cracker im Internet mit Brute Force Attacken das System knackten und die Software im Internet zum Download bereitstellten. Plötzlich konnte jeder PC-Anwender mit einer TV-Karte im Computer Premiere sehen.

Der jüngste Fall ist der Kopierschutz von DVDs (Digital Versatile Disk). Auch hier wurde ein propritäres System angewandt, welches vor Weihnachten 1999 ebenfalls geknackt wurde. Noch bevor der DVD Interessenverband überhaupt seine Rechtsanwälte auspacken konnte war die Software zum Umgehen des Kopierschutzes auf über 100 Webseiten erhältlich.

Die Konsequenz aus diesen Vorfällen wird den Verantwortlichen wahrscheinlich nicht gefallen, aber bei einer Offenlegung der Verfahren hätten System- und Designschwächen schneller erkannt und noch vor der praktischen Implementierung verbessert werden können. Jetzt steht z.B. die DVD-Lobby vor einem geknackten Kopierschutz und es sind weltweit bereits Millionen von DVD-Abspielgeräten verkauft und eine Anpassung des Kopierschutzes an aktuelle Bedürfnisse wird die bereits verkauften Geräte wahrscheinlich inkompatibel machen. Damit stellt sich die Frage, ob der Verbraucher nun dafür bezahlen muß weil die Industrie auf propritäre Systeme gesetzt hat.

Best regards,

Howard