News und Termine

25.09.2017

Weniger Kryptografie ist manchmal mehr

Verschlüsselungstechnologien schützen Datenbestände, Nachrichten und Datenverbindungen vor Angriffen. Aber nicht alle IT-Security-Probleme lassen sich mit Kryptografie lösen, wie der neuseeländische Computerwissenschaftler Peter Gutmann am 21. September bei den Campus Lectures an der FH Campus Wien erläuterte.

 

SicherheitsexpertInnen empfiehlt Gutmann, flexibel zu sein und sicherheitskritische Probleme aus einer anderen Perspektive heraus zu lösen: mit einfachen Maßnahmen, die vielleicht nicht perfekt, aber „gut genug‘“ sind.

Nicht lösbar

Seit gut 30 Jahren suche man nach Lösungen, damit Computer sicher arbeiten. „Aber wie soll man Daten in der Cloud schützen? Sie ist nichts Anderes als der Computer von jemand anderem“, so Peter Gutmann. Und Sicherheitsfeatures in PCs würden oft nur Teile des Systems schützen bzw. höchstens garantieren, dass alles so bleibt, wie es beim ersten Sicherheitscheck war. „Man muss akzeptieren, dass in Wirklichkeit nichts, was man auf einem PC tut, vertrauenswürdig ist“, so der Krypto-Experte.

Neue Perspektive

Peter Gutmann schlägt vor, dass SicherheitsexpertInnen Probleme nicht mit noch mehr Verschlüsselungstechnologien lösen, sondern den Blick auf das Problem verändern. „Attackiert wird ja nicht die Krypto - diese wird meist umgangen -, sondern die Anwendung an sich. Es nützt also wenig, in sicherheitskritischen Systemen die vorhandene Krypto durch noch mehr Krypto upzugraden.“ Der Computerwissenschaftler plädiert vielmehr dafür, den Blick auf das Problem zu verändern: „Es gibt keine perfekten Lösungen, aber solche, die wirksam und ‚gut genug‘ sind“.

Einfach und gut

Manche IT-Security-Probleme ließen sich auf diese Weise relativ einfach lösen, wie Gutmann anhand von CAPTCHA, E-Mail-basierter Identifizierung und Eigenkontrolle durch E-Mail-Bestätigung aufzeigt: „Die einzeln eher unspektakuläre Maßnahmen können gemeinsam angewendet eine außerordentlich positive Wirkung haben.“ Eine andere einfache und wirkungsvolle Methode in der IT-Security erläutert Gutmann abschließend: die Kontinuität (Key Continuity). Sie stellt sicher, dass ein User heute mit demselben Dateiserver, Mailserver oder Online-Shop zu tun hat wie auch vor einer Woche. Möglich ist das, indem beide Seiten immer denselben Schlüssel zur Authentifizierung verwenden.

Peter Gutmann

Peter Gutmann ist Computerwissenschaftler und forscht am Department of Computer Science an der Universität Auckland in Neuseeland. Er beschäftigt sich mit Computersicherheit und Verschlüsselungsverfahren. Sein Forschungsschwerpunkt liegt im Design und der Analyse von Sicherheitssystemen. Peter Gutmann hat cryptlib, eine plattformübergreifende Open-Source-Verschlüsselungssoftware, entwickelt und ist Mitentwickler des Verschlüsselungsprogramms PGP2.0. Er ist Autor zahlreicher einschlägiger Fachpublikationen und der Erfinder der 1996 erstmals veröffentlichten und nach ihm benannten Gutmann-Methode zur vollständigen Löschung von Daten auf elektronischen Speichermedien.



Campus Lectures IT-Security

Campus Lectures sind kostenlos und stehen allen Interessierten offen. Die Vortragsreihe des Campusnetzwerks der FH Campus Wien erfolgt in Kooperation mit dem Kompetenzzentrum für IT-Security und dem Masterstudiengang IT-Security. Die nächsten Termine sind:

30.10.17: Bitcoin und die Blockchain
30.11.17: Es werde Licht – eine Einführung in das Darknet
17.01.18: E2EE bei Instant Messengern und E-Mail
01.03.18: IT-Security-Awareness im IoT-Zeitalter: Wie sensibilisiere ich meine MitarbeiterInnen?
11.04.18: Authentifizierung im Internet
23.05.18: ZigBee Security – Broken by Design?
29.06.18: (Un)Usable Security – Muss das wirklich so komplex sein?

Details zu allen Campus Lectures