Cryptography Reference
In-Depth Information
wird, und sie kann digitale Signaturen sowie schlüsselabhängige Hashfunktionen
benutzen. Bob kann empfangene Daten gleich oder später entschlüsseln, er kann
sie verschlüsselt weiterleiten und kann ein digitales Dokument samt Signatur
speichern. Wenn Alice irgendwann einmal bestreitet, die signierte Nachricht
abgeschickt zu haben, dann kann Bob anhand der Signatur nachweisen, dass dies
nicht stimmt.
Digitale Signaturen für Nutzdaten haben ohnehin nur in Schicht 7 wirklich
einen Sinn (anders verhält es sich nur mit digitalen Signaturen, die in einem Chal-
lenge-Response-Verfahren eingesetzt werden). Dies liegt daran, dass in unteren
Schichten stets nur Pakete sichtbar sind, in denen die eigentliche Nachricht zer-
stückelt untergebracht ist. Alice kann dort also nur Pakete signieren, nicht die
ganze Nachricht. Da Pakete üblicherweise nicht aufbewahrt werden, ist zudem
eine spätere Verifizierung nicht möglich. Auch Authentifizierungsmaßnahmen
passen am besten in Schicht 7, denn darunter liegende Schichten können vom
Anwender kein Passwort abfragen und keine Smartcard verlangen, ohne Schicht
7 zu Hilfe zu nehmen und damit das Schnittstellenparadigma zu verletzen.
Der wesentliche Nachteil des Krypto-Einsatzes auf Schicht 7 besteht darin,
dass alle Anwendungsprogramme, die Alice und Bob zum Verschlüsseln nutzen
wollen, Krypto-Verfahren unterstützen müssen. Von Nachteil ist außerdem, dass
Informationen, die in tieferen Schichten relevant sind (zum Beispiel Absender-
und Empfängeradressen), in Schicht 7 nicht verschlüsselt werden können. Dies
erleichtert Verkehrsflussanalysen.
31.2.2
Kryptografie in Schicht 4 (Transportschicht)
Schicht 4 umfasst im Internet die beiden Protokolle TCP (Transmission Control
Protocol) und UDP (User Datagram Protocol). Die meisten Protokolle der
Schicht 7 arbeiten über TCP. Schicht 7 übergibt an TCP eine sogenannte Port-
nummer, anhand derer auch auf dieser Ebene noch festgestellt werden kann, zu
welcher Anwendung die zu befördernden Daten gehören. Kryptografische Ver-
fahren in Schicht 4 einzubauen, heißt, einen sicheren Tunnel zwischen zwei
Anwendungsprogrammen (zum Beispiel Webserver und Webbrowser) zu schaf-
fen. Anwendungsprogramme bekommen von diesem Tunnel nichts mit, was in
der Praxis der wichtigste Vorteil eines Kryptografie-Einsatzes unter der Anwen-
dungsebene ist. Statt zahlreicher Applikationen muss lediglich dasjenige Pro-
gramm geändert werden, welches das entsprechende Protokoll realisiert.
Durch die Portnummer ist in Schicht 4 bekannt, welche Anwendung gerade
aktiv ist. Somit kann die Art der Verschlüsselung oder Authentifizierung immer
noch davon abhängig gemacht werden, welche Anwendung damit geschützt
wird. Da die Portnummer selbst mitverschlüsselt werden kann, ist es Abhörer
Mallory dennoch nicht möglich, Informationen über die Art der verschlüsselten
Daten zu gewinnen, was wiederum eine Verkehrsflussanalyse erschwert.
