Wie funktionieren digitale Signaturen?

Prinzipiell dient eine digitale Signatur zur Überprüfung der Echtheit von digitalen Nachrichten und Dokumenten. Die Echtheit der Signatur kann ebenfalls elektronisch geprüft werden.

Die digitale Signatur ist eine schlüsselabhängige Prüfsumme, die von einer digitalen Nachricht oder Dokument in Kombination mit einem digitalen Schlüssel (asymmetrische Verschlüsselung mit einem öffentlichen und einen privaten Schlüssel) generiert wird. Die digitale Signatur wird der Nachricht oder Dokument hinzugefügt. Die Nachricht oder das Dokument ist dann digital unterzeichnet.

Eine digitale Signatur wird benötigt, da Nachrichten und Dokumente bei der Datenübertragung manipuliert bzw. gefälscht werden können. Ein Bösewicht könnte z.B. die Absender-Adresse einer Email fälschen (hier kann sich also jemand als eine andere Person ausgeben). Auch im realen Leben könnte jemand eine beliebige Absender-Adresse auf ein Papierdokument setzen. Eine Unterschrift am Ende des Dokumentes unterstreicht die Glaubwürdigkeit des Dokumentes. Eine digitale Signatur macht letztendlich das Gleiche.

Für eine digitale Signatur müssen folgende Anforderungen erfüllt sein:

1. Die Echtheit einer digitalen Signatur muss überprüfbar sein.
   Nur wenn die digitalen Signaturen in übertragenen Nachrichten und Dokumenten permanent geprüft werden, ist eine Infrastruktur mit digitalen Signaturen überhaupt sinnvoll. 
2. Die digitale Signatur darf nicht von einem Dokument auf ein anderes übertragbar sein.
   Eine digitale Signatur passt immer nur zu einer Nachricht oder Dokument. Es wird eine so genannte Prüfsumme zum Text der Nachricht oder Dokument generiert. Die Prüfsumme passt dann nur zu dem entsprechenden Text.
3. Das digital signierte Dokument darf nicht verändert werden können.
   Muss ein signiertes Dokument doch geändert werden, dann muss es erneut digital signiert werden, da die alte Signatur nicht mehr zum geänderten Dokument passt.
4. Die digitale Signatur darf nicht fälschbar sein.

Wie schon oben beschrieben, basiert die digitale Signatur basiert auf der asymmetrischen Verschlüsselung, wobei aber das verwendete asymmetrische Verfahren umgekehrt wird.

Bei der asymmetrischen Verschlüsselung dient der öffentliche Schlüssel zum Verschlüsseln und der private Schlüssel zum Entschlüsseln. Bei der digitalen Signatur werden die Daten mit Kennzeichen versehen, die durch den privaten Schlüssel hinzugefügt werden.

Mit dem öffentlichen Schlüssel kann man nun feststellen, ob die gesendeten Daten von demjenigen stammen, der mit seinem privaten Schlüssel signiert hat und ob die Daten unverändert sind.

Wie funktioniert nun genau das Signatur-Verfahren?
Für das zu versendende Dokument wird ein Hashwert ermittelt und mit dem privaten (geheimen) Schlüssel des Benutzers (Versender) verschlüsselt.

Dieses neu verschlüsselte Dokument wird mit dem Originaldokument an den Empfänger übertragen. Der Empfänger berechnet nun ebenfalls den Hashwert aus dem Originaldokument, entschlüsselt mit dem öffentlichen Schlüssel das verschlüsselte Dokument und vergleicht beide.

Das Signieren und die Überprüfung der Signatur kann sehr rechenintensiv sein. aus diesem Grund wird nicht die vollständige Nachricht signiert. Statt dessen wird aus der Nachricht zuerst eine Prüfsumme errechnet bzw. generiert, die viel kürzer sein kann als die vollständige Nachricht. Erst dann wird das Signatur-Verfahren auf diese Prüfsumme angewendet.

Was ist Ransomware?

Ransomware sind Schadprogramme, die den Zugriff auf Daten und Systeme einschränken
oder verhindern.  Nur gegen Zahlung von Lösegeld werden diese Ressourcen wieder freigeben. Prinzipiell wird hierbei die Verfügbarkeit von Daten und Systemen als Sicherheitsziel verletzt. Zusätzlich stellt Ransomware eine Form von digitaler Erpressung dar.

Der Name Ransomware setzt sich aus den beiden englischen Begriffen ransom (deutsch: Lösegeld) und malware (deutsch: Schadprogramm) zusammen.

Ransomware werden in zwei Kategorien eingeteilt:

1. Ransomware sperrt ein Rechnersystem - sperrt den Systemzugang
2. Daten auf einem Rechnersystem werden verschlüsselt

Welche System-Plattformen sind von Ransomware betroffen?

• Microsoft Windows (am meisten)
• Apple macOS X
• Linux
• Google Android (Mobile-Betriebssystem)

Nach Auswertung der dem BSI (https://www.bsi.bund.de/DE/Home/home_node.html) vorliegenden Daten war Deutschland im ersten Quartal 2016 hauptsächlich von den Ransomware-Familien:

• Locky
• TeslaCrypt
• Nemucod
• CryptoWall
• CTB-Locker
• Petya

Was ist eine Virensignatur?

Antivirus-Software nutz Virensignaturen um Viren bzw. Schadprogramme auf einem Rechnersystem zu erkennen. Eine Virensignatur ist ein eindeutiges Erkennungsmerkmal oder auch Steckbrief eines bekannten Virus.

Bei der Erstellung einer Virussignatur wird mehrere Objekte eines Virus nach bestimmten Mustern und Regelmäßigkeiten geprüft bzw. durchsucht, die speziell für diesen Virus zutreffend sind. Der Grund, warum mehrere Objekte eines Virus geprüft werden, liegt daran, dass ein Virus auch mutieren kann, ohne dass sich der Virus-Code ändert. So lange für einen Virus keine Signatur vorliegt, versucht die Antivirus-Software mittels Heuristik festzustellen, ob eine Software Schadcode beinhaltet oder nicht.

Antivirus Softwarehersteller stellen in regelmäßigen Abständen aktuelle Virensignaturen-(Dateien) zum Download bereit oder sie werden automatisch von der Antivirus-Software eingespielt und aktualisiert.

Pishing - Infografik

Sehr interessante Infografik zum Thema Pishing.

https://www.betrugstest.com/phishing/

Übrigens:
Der Ursprung des Kunstwortes "Pishing" liegt bei den Begriffen "password fishing".

Was bedeutet Pishing und wie schützt man sich davor?

Pishing ist keine spezielle Methode von Bösewichten. Bei Pishing handelt es sich um verschiedene Möglichkeiten, um an Informationen (z.B. Banking-Zugangsdaten) zu kommen.

Die Kreativität von Phishing-Betrügern ist schier grenzenlos: Beinahe täglich beobachtet das BSI neue Varianten mit phantasievoll erfundenen Geschichten. Oft knüpfen Betrüger an aktuellen Ereignissen an, um ihren Lügen den Anschein von Glaubwürdigkeit zu verleihen. Aber auch die Aussicht auf einen Bonus oder Preis soll zur Eingabe persönlicher Informationen verlocken. Nach wie vor haben Phishing-Wellen vor allem Bankkunden im Visier.

Hier gehts zum vollständigen Fachartikel "Spam, Pishing & Co" vom Bundesamt für Sicherheit in der Informationstechnik (BSI)

Was bedeutet Spoofing?

Als Spoofing wird im Allgemeinen das Vortäuschen falscher Tatsachen bezeichnet. Im Internet wird das Fälschen von Daten als Spoofing bezeichnet.

Welche Arten von Spoofing gibt es im Internet?

• ARP-Spoofing
• IP-Spoofing
• DNS-Spoofing
• URL-Spoofing
• Mail-Spoofing
• Abhören von Routern

ARP-Spoofing

In einem lokalen Netzwerk (LAN Local Area Network) besitzt jedes angeschlossene Endgerät eine weltweit eindeutige Hardware-Adresse, die so genannte MAC-Adresse (Media-Access-Control Adresse). Mit dem Address Resolution Protocol (ARP) kann nun ein Endgerät das Endgerät des anderen Kommunikationspartners finden. Die Kommunikation in Netzen findet aber mit der so genannten IP-Adresse statt (IP-Adresse ist eine logische Adresse). Hierfür muss das Endgerät eine Tabelle führen, in der für die jeweiligen IP-Adressen die MAC-Adresse eingetragen ist. Da sich die IP-Adressen sehr oft ändern (Zuweisung von dynamische IP-Adresse durch Provider), ändert sich auch oft die Mapping-Tabelle. Kennt das Endgerät die MAC-Adresse des Kommunikationspartners gerade nicht (Tabelleneintrag gerade nicht aktuell), kann es eine ARP-Nachricht mit der logischen IP-Adresse des Ziel-Teilnehmers an alle anderen Endgeräte im LAN senden. Das Endgerät mit der entsprechenden IP-Adresse meldet sich dann und gibt die MAC-Adresse zurück.

Durch einen Angriff auf das ARP-Protokoll kann eine andere MAC-Adresse zurückgeliefert werden. Ein Bösewicht manipuliert hierfür die ARP-Antwort und steckt seine MAC-Adresse in die Nachricht ein. Nun kann der Bösewicht alle folgenden Daten zu sich geleitet bekommen.

IP-Spoofing

Ein Bösewicht kann in diesem Fall IP-Pakete senden, die eine falsche Absender IP-Adresse beinhaltet. IP-Spoofing wird auch für das DNS-Spoofing benötigt.

DNS-Spoofing

der Domain Name Service (DNS) ist ein wichtiger Dienst im Internet. So genannte DNS-Server liefern IP-Adressen zu von Anwendern im Browser eingegebenen textuellen Adressen (z.B. www.meinewebseite.de). Kennt ein DNS-Server eine Adresse nicht, sendet er eine Nachricht für die Adress-Auflösung zu einem anderen DNS-Server. DNS-Server sind weltweit in einem eigenem logischen DNS-Netz miteinander verbunden.

Ein Bösewicht könnte nun einen DNS-Server autrixen, indem er eine DNS-Anfrage an einen DNS-Server sendet, in der nach der IP-Adresse von www.meinewebseite.de gefragt wird. Der Bösewicht hofft nun, dass der DNS-Server die IP-Adresse nicht kennt und der Server dann einen nächsten DNS-Server anfragt. Der Bösewicht muss nun eine falsche Antwort mit einer anderen IP-Adresse (IP-Adresse einer gefälschten Webseite) an den ersten DNS-Server, der eine Anfrage an einen anderen DNS-Server gestellt hat, senden und zwar bevor der andere DNS-Server dem ersten antwortet. Hat der Bösewicht das geschafft, werden in Zukunft die Anfragen zu www.meinewebseite.de an seine gefälschte Webseite geleitet, da der DNS-Server ja nun die falsche IP-Adresse zu www.meinewebseite.de in der Tabelle eingetragen hat.

URL-Spoofing

Mit Webserver-Software kann ein Bösewicht auf eine andere (böse) Webseite verweisen. Der Bösewicht muss dem Aufrufer die böse Webseite sozusagen unterjubeln. 

Mail-Spoofing

Täuschungsversuche beim Versenden von Emails zum Vortäuschen anderer Identitäten. Ganz simpel kann ein Absender eine Absender Email-Adresse angeben, die nicht ihm gehört oder nicht existiert. Für den Empfänger sieht es auf den ersten Blick so aus, als sei dies die richtige Absenderadresse. Dies ist möglich, da im Simple Mail Tranfer Protocol (SMTP) die Absender-Adresse nicht überprüft wird.

Abhören von Routern

Datenpakete werden im weltweiten Internet über so genannte Router entsprechend den Empfänger IP-Adressen an die Ziele geleitet. Man kann auch sagen dass Router Pfad-Finder sind. Das Internet Protokoll (IP-Protokoll) ist ein routingfähiges Protokoll und sorgt dafür, dass Datenpakete über Netzgrenzen hinweg einen Weg zu anderen Rechnern finden. Es kann die Daten über jede Art von physikalischer Verbindung oder Übertragungssystem vermitteln.

Ein Bösewicht kann zum Einen einen Router so manipulieren, dass dieser die Daten-Pakete auf einen anderen Router umleitet (z.B. auf einen Router, den der Bösewicht selbst kontrolliert).
Zum Anderen könnte der Bösewicht im IP-Protokoll das so genannte Source Routing manipulieren. Im Source Routing wird vom Absender festgelegt, über welche Router IP-Pakete dann hingeleitet werden. Der Bösewicht kann das Source Routing so manipulieren, dass sämtliche IP-Pakete über einen bestimmten Router geleitet werden, der sich unter seiner Kontrolle befindet. 

Asymmetrische Verschlüsselung

Bei der asymmetrischen Verschlüsselung gibt es im Gegensatz zur symmetrischen Verschlüsselung immer zwei sich ergänzende Schlüssel. Ein öffentlicher Schlüssel (Public Key) wird zum Verschlüsseln von Daten verwendet. Der private Schlüssel (Private Key) wird für das Entschlüsseln verwendet. Beide Schlüssel zusammen bilden ein Schlüsselpaar.

Aus einem Schlüssel lässt sich der dazugehörige zweite Schlüssel nicht so leicht berechnen. deswegen kann ein Schlüssel des Schlüsselpaares für jedermann öffentlich zugänglich gemacht werden. Daher auch die Bezeichnung Public Key.

Das Verfahren der asymmetrischen Verschlüsselung ist sehr leicht zu verstehen: Man denkt sich einen Tresor mit Schnappschloss. Jeder kann etwas in den Tresor einschließen, da er sich automatisch schließt, wenn die Tür ins Schloss fällt. Zum Öffnen ist allerdings ein Schlüssel nötig. Mit dem Public Key kann also jeder wie mit einem Schnappschloss etwas einschließen. Nur der Empfänger mit dem geheimen Schlüssel (Private Key) kann die Nachricht entziffern oder etwas aus dem Tresor holen.

Die asymmetrische Verschlüsselung beruht auf mathematischen Einweg-Verfahren, die in einer Richtung einfach aber in der anderen Richtung nur extrem schwierig durchzuführen sind. Multiplizieren ist so ein Beispiel:

Jeder kann einfach zwei Zahlen multiplizieren, zum Beispiel:
3 695 879 * 5 663 214 = 20 930 553 695 106

Zahlen in Faktoren zu zerlegen, ist dagegen äußerst schwierig: Hat man erst einmal das Produkt, ist es sehr schwierig herauszufinden, aus welchen Faktoren dieses ursprünglich gebildet wurde. Einfach dargestellt, entspricht der Public Key dem Produkt der Multiplikation der beiden Zahlen. Dieses wird benötigt, um Informationen für den Empfänger zu verschlüsseln. Dessen Private Key enthält die beiden Zahlen, aus denen das Produkt berechnet wurde. Diese sind für das Entschlüsselungsprogramm nötig, um die verschlüsselte Botschaft zu entschlüsseln.

Das Problem des schwierigen Schlüsselaustausches ist bei der asymmetrischen Verschlüsselung optimal gelöst: Der öffentliche Teil kann jeder bekommen, ohne dass die Sicherheit beeinträchtigt wird. es wird ja noch der geheime bzw. private Schlüssel benötigt.

Bild: Private & Public Key

Was bedeutet PKI?

PKI (Public-Key-Infrastruktur) ist eine Sicherheits-Infrastruktur, die bestimmte Dienste für einen sicheren Austausch von Daten zwischen Kommunikationspartnern bereitstellt.

Mit einer PKI können digitale Zertifikate auf ihre Echtheit und die Zugehörigkeit von öffentlichen Schlüsseln überprüft werden. Die PKI bedient sich der so genannten asymmetrischen Verschlüsselung, bei der ein Schlüsselpaar, bestehend aus einem öffentlichen Schlüssel (public key) und einem privaten Schlüssel (private key), für die Verschlüsselung der Daten verwendet wird.
Mit dem asymmetrischen Verschlüsselungsverfahren können Nachrichten in einem Netzwerk digital signiert und verschlüsselt werden.

Mit dem öffentlichen Schlüssel des Kommunikationspartners werden die Daten verschlüsselt. Der öffentliche Schlüssel ist somit für jeden verfügbar. Das Problem dabei ist, dass die Zugehörigkeit des öffentlichen Schlüssels zweifelsfrei überprüfbar sein muss. Genau diese Überprüfung übernimmt die PKI, indem sie so genannte digitale Zertifikate (stellen eine digitale Beglaubigung dar) ausstellen kann, mit denen sich die Authentizität des öffentlichen Schlüssels überprüfen lässt.

Ein digitales Zertifikate selbst wird durch eine digitale Signatur der Zertifizierungsstelle (engl. Certification Authority - abgekürzt mit CA) signiert und kann mit dem öffentlichen Schlüssel des Ausstellers überprüft werden. Für die Überprüfung der Authentizität des Ausstellers benötigt man wiederum ein Zertifikat. Es entsteht eine so genannte Zertifikatskette, die bis zu einem Root-Zertifikat führt. Betriebssysteme und Internet-Browser besitzen in der Regel eine Liste mit vertrauenswürdigen CA's, anhand derer sich dann die Echtheit von Zertifikaten überprüfen lässt.
Mit dem privaten Schlüssel kann der Kommunikationspartner die mit seinem dazugehörigen öffentlichen Schlüssel verschlüsselten Daten wieder entschlüsseln.
Es bedeuten:

Bild: PKI-Schema

• CA: Certification Authority
  Organisation, die das CA-Zertifikat ausstellt und die Signatur von Zertifikats-Anträgen übernimmt.
• RA: Registration Authority
  Organisation, bei der Personen, Maschinen oder auch untergeordnete Zertifizierungsstellen Zertifikate beantragen können. Diese prüft die Richtigkeit der Daten im gewünschten Zertifikat und genehmigt den Zertifikatsantrag, der dann durch die Zertifizierungsstelle signiert wird.
• VA: Validation Authority
  Der Dienst, der die Überprüfung von Zertifikaten in Echtzeit durchführt.