Bundesamt für Sicherheit in der Informationstechnik

M 2.46 Geeignetes Schlüsselmanagement

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Fachverantwortliche, IT-Sicherheitsbeauftragter

Die Verwendung kryptographischer Sicherheitsmechanismen ( z. B. Verschlüsselung, digitale Signatur) setzt die vertrauliche, integere und authentische Erzeugung, Verteilung und Installation von geeigneten Schlüsseln voraus. Schlüssel, die Unbefugten zur Kenntnis gelangt sind, bei der Verteilung verfälscht worden sind oder gar aus unkontrollierter Quelle stammen (dies gilt auch für die Schlüsselvereinbarung zwischen Kommunikationspartnern), können den kryptographischen Sicherheitsmechanismus genauso kompromittieren wie qualitativ schlechte Schlüssel, die auf ungeeignete Weise erzeugt worden sind. Qualitativ gute Schlüssel werden in der Regel unter Verwendung geeigneter Schlüsselgeneratoren erzeugt (siehe unten). Für das Schlüsselmanagement sind folgende Punkte zu beachten:

Schlüsselerzeugung

Die Schlüsselerzeugung sollte in sicherer Umgebung und unter Einsatz geeigneter Schlüsselgeneratoren erfolgen. Kryptographische Schlüssel können zum einen direkt am Einsatzort (und dann meistens durch den Benutzer initiiert) oder zum anderen zentral erzeugt werden. Bei der Erzeugung vor Ort müssen meistens Abstriche an die Sicherheit der Umgebung gemacht werden, bei einer zentralen Schlüsselgenerierung muss sichergestellt sein, dass sie ihre Besitzer authentisch und kompromittierungsfrei erreichen.

Geeignete Schlüsselgeneratoren müssen kontrollierte, statistisch gleichverteilte Zufallsfolgen unter Ausnutzung des gesamten möglichen Schlüsselraums produzieren. Dazu erzeugt z. B. eine Rauschquelle zufällige Bitfolgen, die mit Hilfe einer Logik nachbereitet werden. Anschließend wird unter Verwendung verschiedener Testverfahren die Güte der so gewonnenen Schlüssel überprüft.

Einige Kryptomodule, insbesondere solche, die keinen integrierten Zufallszahlengenerator besitzen, greifen auf Benutzereingaben zur Schlüsselerzeugung zurück. Beispielsweise werden hier Passwörter abgefragt, aus denen dann ein Schlüssel abgeleitet wird, oder der Benutzer wird gebeten, beliebigen Text einzutippen, um zufällige Startwerte für die Schlüsselgenerierung zu erhalten. Solche Passwörter sollten dabei gut gewählt sein und möglichst lang sein. Wenn möglichst "zufällige" Benutzereingaben angefordert werden, sollten diese auch zufällig, also schlecht vorhersagbar, sein.

Schlüsseltrennung

Kryptographische Schlüssel sollten möglichst nur für einen Einsatzzweck dienen. Insbesondere sollten für die Verschlüsselung immer andere Schlüssel als für die Signaturbildung benutzt werden. Dies ist sinnvoll,

  • damit bei der Offenlegung eines Schlüssels nicht alle Verfahren betroffen sind,
  • da es manchmal erforderlich sein kann, Verschlüsselungsschlüssel weiterzugeben (Vertretungsfall),
  • da es unterschiedliche Zyklen für den Schlüsselwechsel geben kann.

Schlüsselverteilung / Schlüsselaustausch

Kryptographische Kommunikationsbeziehungen können nur dann funktionieren, wenn die Kommunikationspartner über aufeinander abgestimmte kryptographische Schlüssel verfügen. Dazu müssen alle Kommunikationspartner mit den dazu erforderlichen Schlüsseln versorgt werden. Zur Schlüsselverteilung und zum Schlüsselaustausch können unterschiedliche Verfahren verwendet werden. Die Unterschiede ergeben sich aus der Anwendung verschiedener kryptographischer Verfahren und Mechanismen bzw. aus ihrer Kombination (siehe M 2.164 Auswahl eines geeigneten kryptographischen Verfahrens ). Unter Schlüsselverteilung wird hier die initiale Versorgung der Kommunikationspartner mit Grundschlüsseln verstanden. Die Schlüssel werden dazu von einer meist zentralen Schlüsselerzeugungsstelle (z. B. einem Trust Center) an die einzelnen Kommunikationspartner übermittelt.

Die Verteilung der Schlüssel sollte auf geeigneten Datenträgern (z. B. Chipkarten) oder über Kommunikationsverbindungen (z. B. LAN , WAN ) vertraulich (z. B. mit KEK - Key Encryption Key - verschlüsselt), integer (z. B. MAC -gesichert) und authentisch (z. B. digital signiert gemäß Signatur-Gesetz) erfolgen. Die unbefugte Kenntnisnahme bzw. Verfälschung der Schlüssel muss verhindert oder wenigstens erkannt werden können.

Mit Schlüsselaustausch wird die Schlüsseleinigungsprozedur zwischen zwei Kommunikationspartnern auf einen Sitzungsschlüssel (Session Key) bezeichnet. Der Session Key ist ein Schlüssel, der nur eine begrenzte Zeit, etwa für die Dauer einer Kommunikationsverbindung, verwendet wird. Diese Zeit muss festgelegt werden, da Sitzungen sehr lange dauern können. Die Festlegung erfolgt z. B. durch einen relativen Zeitablauf oder durch einen Paketzähler. Für jede neue Verbindung wird ein neuer Session Key zwischen den Kommunikationspartnern ausgehandelt.

Moderne Systeme bedienen sich heute asymmetrischer kryptographischer Verfahren zur Schlüsselverteilung und zum Schlüsselaustausch. Zum Nachweis der Authentizität der öffentlichen Schlüssel kann eine vertrauenswürdige Zertifizierungsstelle eingerichtet werden. Die Kommunikationsteilnehmer müssen sich gegenüber der Zertifizierungsstelle ausweisen und dort ihren öffentlichen Schlüssel mittels einer digitalen Signatur der Zertifizierungsstelle beglaubigen lassen. Das so erzeugte digitale Zertifikat sollte mindestens den öffentlichen Schlüssel und ein Identifikationsmerkmal des Kommunikationsteilnehmers, die Gültigkeitsdauer des Zertifikats und die digitale Signatur der Zertifizierungsstelle enthalten. Mit Kenntnis des öffentlichen Signaturschlüssels der Zertifizierungsstelle ist jeder Kommunikationsteilnehmer in der Lage, die Authentizität des öffentlichen Schlüssels des Kommunikationspartners zu verifizieren.

Schlüsselinstallation und -speicherung

Im Zuge der Schlüsselinstallation ist die authentische Herkunft sowie die Integrität der Schlüsseldaten zu überprüfen. Generell sollten Schlüssel nie in klarer Form, sondern grundsätzlich verschlüsselt im System gespeichert werden. Bei Software-Verschlüsselungsprodukten muss berücksichtigt werden, dass Schlüssel zumindest zeitweise während des Ver-/Entschlüsselungsprozesses in Klarform im PC -System vorliegen müssen. Bieten die IT-Systeme, auf denen das kryptographische Produkt eingesetzt ist, keinen ausreichenden Zugriffsschutz für die Schlüssel, sollten diese nicht auf diesem IT-System gespeichert werden. Es bietet sich dann eine bedarfsorientierte manuelle Eingabe an. Eine andere Möglichkeit wäre die Auslagerung der Schlüssel auf einen externen Datenträger, der dann aber sicher verwahrt werden muss, wie unter Schlüsselarchivierung beschrieben. Aus Sicherheitsaspekten ist deshalb der Einsatz von Hardware-Verschlüsselungskomponenten vorzuziehen, bei denen die Schlüssel vom Datenträger (z. B. Chipkarte) verschlüsselt auf direktem Weg in die Verschlüsselungskomponente geladen werden und diese nie in Klarform verlassen.

Auf jeden Fall muss sichergestellt werden, dass bei der Installation des Verschlüsselungsverfahrens voreingestellte Schlüssel geändert werden.

Schlüsselarchivierung

Für Archivierungszwecke sollte das kryptographische Schlüsselmaterial auch außerhalb des Kryptomoduls in überschlüsselter Form speicherbar und gegebenenfalls wieder einlesbar sein. Dazu können mehrere Schlüssel zu einem Satz zusammengefasst werden, der dann ebenfalls mit Hilfe eines KEK (Key-Encryption-Key: Überschlüsselungsschlüssel) kryptiert wird. Der KEK muss entsprechend sicher (z. B. auf Chipkarte im Safe) aufbewahrt werden. Wird der KEK in zwei Teilschlüssel geteilt, so lässt sich das "Vier-Augen-Prinzip" umsetzen: zwei verschiedene Personen haben Zugriff auf je einen Datenträger (z. B. Chipkarte, Diskette), auf der sich nur jeweils einer der beiden Teilschlüssel befindet. Um den KEK zu generieren, müssen sich beide Datenträger gleichzeitig oder nacheinander in der Leseeinheit des Kryptomoduls befinden.

Zugriffs- und Vertreterregelung

In der Sicherheitsrichtlinie sollten Fragen bzgl. der Zugriffs- und Vertretungsrechte geregelt sein. Entsprechende Mechanismen müssen vom Schlüsselmanagement und von den einzusetzenden Kryptomodulen und -geräten unterstützt werden (z. B. Schlüsselhinterlegung für den Fall, dass ein Mitarbeiter das Unternehmen verlässt oder wegen Krankheit längere Zeit ausfällt, siehe auch Schlüsselarchivierung).

Schlüsselwechsel

Im Kryptokonzept muss basierend auf der Sicherheitsrichtlinie festgelegt werden, wann und wie oft Schlüssel gewechselt werden müssen. Je größer die Menge verschlüsselter Daten ist, die einem Angreifer für eine Analyse zur Verfügung steht, um so größer ist bei manchen Verfahren die Chance, dass das Analyseverfahren erfolgreich ist. Ein regelmäßiger Schlüsselwechsel minimiert die Angriffsmöglichkeiten auf verschlüsselte Daten. Die Wechselfrequenz ist von verschiedenen Faktoren abhängig. Dabei spielt die Art des verschlüsselten Mediums (z. B. Langzeitdatenträger, Datenübertragungsmedium) ebenso eine Rolle wie der kryptographische Algorithmus, die Detektion von Angriffen (z. B. Diebstahl oder Verlust eines Schlüssels) und die Schutzwürdigkeit der Daten. Weitere Faktoren bei der Festlegung der Wechselfrequenz sind die Häufigkeit des Schlüsseleinsatzes, das relevante Bedrohungspotential und die Sicherheit der lokalen Aufbewahrung der Schlüssel.

Je nach verwendetem Verfahren sind für jede einzelne Kommunikationsverbindung neue Schlüssel auszuhandeln, also Sitzungsschlüssel (Session Keys) zu verwenden. Dies sollte natürlich für die Benutzer unbemerkt durch die Verfahren gesteuert werden. Schlüsselwechsel bedeutet hierbei den Austausch der Masterkeys, die die Grundlage bilden, auf der die Sitzungsschlüssel gebildet werden, und sollte natürlich auch regelmäßig durchgeführt werden.

Besteht der Verdacht, dass ein verwendeter Schlüssel offen gelegt wurde, so ist dieser Schlüssel nicht mehr zu verwenden und alle Beteiligten sind zu informieren. Bereits mit diesem Schlüssel verschlüsselte Informationen sind zu entschlüsseln und mit einem anderen Schlüssel zu verschlüsseln.

Schlüsselvernichtung

Nicht mehr benötigte Schlüssel (z. B. Schlüssel, deren Gültigkeitsdauer abgelaufen sind) sind auf sichere Art zu löschen bzw. zu vernichten (z. B. durch mehrfaches Löschen/Überschreiben und/oder mechanische Zerstörung des Datenträgers). Auf Produkte mit unkontrollierbarer Schlüsselablage sollte generell verzichtet werden.

Prüffragen:

  • Werden kryptographische Schlüssel in sicherer Umgebung unter Einsatz eines geeigneten Schlüsselgenerators erzeugt?

  • Werden für Verschlüsselung und Signaturbildung unterschiedliche kryptographische Schlüssel benutzt?

  • Wird bei der Schlüsselinstallation die authentische Herkunft und die Integrität der Schlüsseldaten überprüft?

  • Werden im Zuge der Installation eines Kryptoproduktes alle voreingestellten kryptographischen Schlüssel geändert?

  • Wurde ein geeignetes Schlüsselmanagement etabliert?

  • Sind die Zugriffs- und Vertretungsrechte bei den genutzten Kryptoprodukten geregelt?

  • Werden die verwendeten kryptographischen Schlüssel hinreichend häufig gewechselt?

  • Gibt es eine festgelegte Vorgehensweise für den Fall, dass ein Schlüssel offen gelegt wurde?

  • Gibt es eine festgelegte Vorgehensweise für das sichere Löschen und Vernichten von Schlüsseln?

Stand: 13. EL Stand 2013