|
Keine Chance für Hacker (hehe)VAX-EncryptionAls in den ersten Januartagen der neue Software-Katalog von Digital Equipment Corporation (DEC) in die Briefkästen der Kunden flatterte, bot sich auch das Software-Produkt VAXEncryption zum Erwerb an. VAXEneryption ist ein Software-Tool für die Verschlüsselung von Dateien zum Schutz gegen unerwünschtes Lesen. VAX/VMS Encryption wurde nach den Empfehlungen der US-Normenbehörde National Bureau of Standards (NBS) entwickelt und erfüllt die Anforderungen des Data Encryption Standard (DES). Die Verschlüsselung erfolgt nach dem ANSI DEA-1 Algorithmus auf der Grundlage der FIPS-46 Spezifikation des NBS. Neben dem Cipher Block Chain Mode, DESCBC ist sowohl der Electronic Code Book Mode DESECB als auch der 8- Bit Cipher Feedback Mode DESCFB anwendbar. Wünscht ein VAX/VMS Benutzer die Verschlüsselung einer Datei, so geschieht dies direkt aus der Digital Command Language (DCL). Zuerst wird einmal der Encryption Key value definiert: $ ENCRYPT/CREATE-KEY KEYNAME »Key value« Der Key value ist das Codewort, nach dem der Algorithmus die Datei verschlüsselt. Das Codewort sollte aus beliebig vielen Zahlen und Buchstaben bestehen, so z.B.: $ ENCRYPT/CREATE-KEY GAGA "13 Affen haben 71 Bananen gern" Encryption legt das Codewort wie folgt in der eigenen Process-Table ab: ENCRYPT$KEY$GAGA = "Verschlüsselter Key value" Systemweite Codewörter werden durch den Zusatzparameter /SYSTEM in die SYSTEM-TABLE definiert und sind so für jeden Benutzer erreichbar. Dieses erfordert jedoch das SYSNAM-Privileg. Durch den Parameter /ALGORITHMUS= können die verschiedenen oben erklärten Verschlüsselungsmodes gewählt werden. Die Standarteinstellung ist DESCBC. Dateien werden nun wir folgt verschlüsselt: $ ENCRYPT FILENAME KEYNAME !AlSo SO: $ ENCRYPT FILENAME GAGA Hierdurch werden die gesamten Inhalte der Datei sowie separat gespeicherte Zusatzinformationen wie Satzstruktur, ursprüngliches Erstellungsdatum und ursprünglicher Dateiname kodiert. Dies ist allerdings nur der Fall, wenn mit dem Parameter /OUTPUT=FILENAME die gleiche Datei mit der gleichen Versionsnummer angesprochen wird, ansonsten wird eine völlig neue Datei erzeugt. Die Dateiattribute werden ebenso wie die ursprünglichen Dateiinhalte bei der Entschlüsselung wiederhergestellt. Abbildung rechts: Schema der Verschlüsselung beim DES-System. Dabei bedeutet L die linke Blockhälfte, R die rechte Blockhälfte, als K1 bis K16 sind die sechzehn Unierschlüssel bezeichnet, die aus dem Gesamtschlüssel abgeleitet werden, der aus 56 Dualzeichen besteht. Die Abkürzung f deutet den Verrechnungsprozeß an. (Nach G. Herrmann - Datensicherheit durch Verschlüssselung, IBM $ DECRYPT FILENAME KEYNAME Der Eintrag des verschlüsselten Keyvalues in die Process-Table wird durch dieses DCL Kommando gelöscht: $ ENCRYPT/REMOVE-KEY KEYNAME Zur Installierung dieses Software-Produkts werden folgende Dateien benötigt: SYS$SHARE: ENCRYPSHR.EXE 85 BLOCKS; SYS$SYSTEM: ENCRYPFAC.EXE 16 BLOCKS; SYS$MANAGER:ENCRYPT-START.COM 3 BLOCKS; sowie die VMS-HELP-Library ENCRYPT.HLP, welche in das VMS-HELP integriert wird. Bedauerlich an diesem faszinierenden Software-Tool ist jedoch die Tatsache, daß es für normal Sterbliche nicht zu haben ist. Schon die Preisliste des DEC-Katalogs verrät, daß dieses "Produkt nur im Rahmen von Projekten angeboten" wird. Ein DEC-Vertreter bezog zu dieser Produktpolitik auf dem letzten DECUS-LUG Treffen in Hamburg Stellung. VAX-Encryption ist eine für das Militär gedachte Entwicklung, welche nicht in die Hände des Ostblocks fallen darf. Daher wacht der CIA über den Anwenderkreis dieses Tools. DEC ist verpflichtet nur Kunden mit ENCRYPT zu beliefern, die keine potentiellen Verbindungen in den Ostblock besitzen. Ein weiterer Grund ist laut DEC-Vertreter die Gefahr, daß Hacker mit VAX-Encryption Unsinn treiben könnten und die Sicherheit von Systemen und Datenbeständen in Frage stellen würden. Sicherlich ist die Verschlüsselung von Daten nur so sicher, wie die Aufbewahrung des geheimen Schlüssels sicher ist. Aufgefallen ist bei VAX-Encryption, daß das geheime Codewort zwar verschlüsselt in der Process-Table steht, jedoch auch in Klartext im Recall-Buffer zu finden ist. Für Hacker also kein Problem über den VMSSYSTEM-ANALYSER die Codewörter anderer Benutzer in Erfahrung zu bringen. Sicherlich sollte DEC.seinen Werbeslogan »Keine Chance für Hacker« noch mal überdenken. S.Stahl |
[HaBi 2]
Keine Chance für Hacker (hehe)