ENISA veröffentlicht Leitlinien zu sicherer Kryptographie

Manfred Kohlen,
ForschungInnovationIT-ManagementIT-ProjektePolitikSicherheitSicherheitsmanagement
Enisa (Grafik: Europäische Union)

Die European Network and Information Security Agency hat zwei Berichte veröffentlicht, die sich um das IT-Sicherheitsprinzip der Kryptographie drehen. Der erste behandelt Algorithmen, Schlüsselgrößen und Parameter der Verschlüsselung, spricht vor allem Experten etwa in IT-Security-Unternehmen oder IT-Sicherheitsbeauftragte in europäischen Firmen an. Die ENISA bezeichnet ihn als aktuelles Referenzdokument mit Leitlinien für Entscheidungsträger.

Enisa (Logo: Europäische Union)
Gibt neue Kryptographie-Richtlinien vor und Studien zum Thema Verschlüsselung heraus: die EU-Sicherheitsagentur ENISA. (Logo: Europische Union)

Der Bericht “Algorithms, key size and parameters” von 2014 enthält eine Reihe von Empfehlungen für Online-Dienste von Unternehmen, in deren Rahmen persönliche Daten von EU Bürgern gesammelt, gespeichert und verarbeitet werden. Es handelt sich um eine Aktualisierung des Berichts zu kryptografischen Leitlinien von 2013 über Sicherheitsmaßnahmen zum Schutz persönlicher Daten in Online-Systemen. Der neue Bericht ergänzt die Fassung von 2013 um einen Abschnitt über Hardware und Software-Seitenkanäle, Zufallszahlengenerierung und die Verwaltung des Lebenszyklusses von Schlüsseln. Zudem zeigt der Abschnitt über Protokolle im Bericht von 2014 mehr Mechanismen der Verschlüsselung als sie der Vorjahresbericht erklärte.

Der Bericht kann auch dabei helfen, ob die Verwendung eines bereits im Einsatz befindlichen Verfahrens heute in Betracht gezogen werden kann und ob die Verwendung eines anderen Verfahrens für den Einsatz in neuen oder künftigen Systemen geeignet ist. Der wissenschaftliche Blick auf Fragen zur langfristigen Datenspeicherung behandelt auch eine Reihe allgemeiner Fragen zur Entwicklung kryptografischer Primitive und Verfahren. Alle im Rahmen des Berichts genannten Mechanismen wurden in der Zwischenzeit in gewissem Umfang standardisiert und ihr Einsatz in bestehenden Systemen ist entweder schon erfolgt oder für die Zukunft geplant.

Die veröffentlichte Studie über kryptografische Protokolle ist mehr technisch orientiert und bietet eher eine Umsetzungsperspektive mit Leitlinien zu den Protokollen, die für den Schutz der Online-Kommunikation von Unternehmen und der darin enthaltenen persönlichen Daten benötigt werden. Er gibt den aktuellen Stand bei kryptografischen Verfahren wieder und enthält eine kurze Übersicht über Protokolle, die in relativ eingeschränkten Anwendungsbereichen verwendet werden, darunter Drahtlostechnologien, Mobilfunk und Bankgeschäfte (Bluetooth, WPA/WEP, UMTS/LTE, ZigBee, EMV) sowie Umgebungen, die speziell für Cloud-Abwendungen konzipiert wurden.

Empfohlen wird, dass kyptografische und Sicherheitsprotokolle von Experten für kryptografische Protokolle zu erstellen sind, statt wie bislang von Netzwerk und Protokollexperten. Zudem sollten die Wissenschaftler die Analyse vereinfachen und sicherstellen, dass die automatisierten Tools zuverlässige rechnerbasierte Garantien liefern.

Man solle außerdem eine automatische Überprüfung stärker berücksichtigen, damit die Implementierung eines Protokolls die Sicherheitsziele wirklich erfüllen kann. Geringfügige Änderungen der Protokolle können die Garantiebeweise ungültig machen. Daher fordern die Studie von den Entwicklern, dass eine formale Sicherheitsanalyse in Verbindung mit der Entwicklung von Sicherheitsbeweisen nach der Kryptoanalyse eingeführt wird.

Tipp: Kennen Sie die größten Technik-Flops der IT-Geschichte? Überprüfen Sie Ihr Wissen – mit 14 Fragen auf silicon.de

Lesen Sie auch :

Europäische Sicherheitsagentur schafft Rahmen für Cloud-Zertifizierungsprogramme

EU-Agentur rügt ISPs wegen schlampiger Sicherheitsmaßnahmen

Sicherheit: EU warnt vor 50 Schwachstellen in Webstandards
Manfred Kohlen
Autor: Manfred Kohlen
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen