slider

No Security by Obscurity - Prof. Dr. Norbert Pohlmann

No Security by Obscurity

No Security by Obscurity - Kerckhoffs Prinzip

Was ist „No Security by Obscurity“?


„No Security by Obscurity“ hat unter Mathematikern, die sich wissenschaftlich mit Verschlüsselung befassen, eine lange Tradition und geht zurück auf den niederländischen Linguisten und Kryptologen Auguste Kerckhoffs von Nieuwenhof, der 1883 in seiner Abhandlung „La Cryptographie militaire“ einige Grundsätze für schlüsselbasierte Verfahren entwickelte, von denen einer noch heute als Kerckhoffs Prinzip bekannt ist:

Die Sicherheit von kryptografischen Verfahren darf nur von der Geheimhaltung der Schlüssel, aber nicht von der Geheimhaltung der Verfahren abhängig sein.

No Security by Obscurity - Kerckhoffs Prinzip
Abbildung: No Security by Obscurity – © Copyright-Vermerk


Dennoch sind noch immer wesentliche Einsatzfelder von Kryptografie durch den gegenteiligen Ansatz geprägt, der oft mit „Security by Obscurity“ (Sicherheit durch Geheimhaltung) bezeichnet wird, von dem sich die Entwickler entsprechender Verfahren eine stärkere Sicherheit erhoffen.

Ein Beispiel für geheime Verfahren stellen die Kryptoalgorithmen des Bundesamts für Sicherheit in der Informationstechnik (BSI) dar, die zum Schutz der geheimen Informationen der Bundesrepublik Deutschland genutzt werden.

Ein recht kritisches Beispiel waren die bei der Mobilfunktechnik GSM eingesetzten Algorithmen A3, A8 und A5 oder Verschlüsselungsverfahren beim Pay-TV. Diese galten schon lange nicht mehr als sicher und waren mit moderner Technik leicht zu brechen.

Ob geheime Verschlüsselungsalgorithmen einer Überprüfung standhalten, darf mit einigem Recht bezweifelt werden: Denn die Entwicklung neuer kryptografischer Verfahren ist äußerst schwierig, weswegen die wenigen auf diesem Gebiet tätigen Fachleute ihre Arbeit in der Regel einem fachkundigen Publikum vorstellen.

Dieses bewertet zunächst die theoretische Stärke des vorgestellten Verfahrens, also die Wahrscheinlichkeit, dass es durch eine der im nächsten Abschnitt beschriebenen Methoden, der sogenannten Kryptoanalyse, gebrochen (kompromittiert) wird. Erst wenn ein kryptografisches Verfahren einige Jahre nicht durch Krypto-Experten gebrochen wurde, gilt es als sicher und darf sich dann praktisch bewähren. Siehe auch: Bewertung der kryptografischen Stärke

Weitere Informationen zum Begriff “Objekt-Sicherheit”

Artikel:
Risiko von unsicheren Internet-Technologien

Wertschöpfung der Digitalisierung sichern – Vier Cybersicherheitsstrategien für den erfolgreichen Wandel in der IT“

IT-Sicherheit im Lauf der Zeit

Das Manifest zur IT-Sicherheit – Erklärung von Zielen und Absichten zur Erreichung einer angemessenen Risikolage in der IT“

Strafverfolgung darf die IT-Sicherheit im Internet nicht schwächen

Wie wirtschaftlich sind IT-Sicherheitsmaßnahmen

Risikobasierte und adaptive Authentifizierung

Eine vertrauenswürdige Zusammenarbeit mit Hilfe der Blockchain-Technologie

Künstliche Intelligenz und Cybersicherheit – Unausgegoren aber notwendig“

Vertrauen – ein elementarer Aspekt der digitalen Zukunft

Eine Diskussion über Trusted Computing – Sicherheitsgewinn durch vertrauenswürdige IT-Systeme“

Ideales Internet-Frühwarnsystem

Bedrohungen und Herausforderungen des E-Mail-Dienstes – Die Sicherheitsrisiken des E-Mail-Dienstes im Internet“

Vorlesungen: „Vorlesungen zum Lehrbuch Cyber-Sicherheit

Bücher:

Lehrbuch Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download

  • Sicher im Internet: Tipps und Tricks für das digitale Leben
  • Der IT-Sicherheitsleitfaden
  • Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrusion-Detection-System, Personal Firewalls

Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)
Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Marktplatz IT-Sicherheit

Zurück zur Übersicht




Summary
No Security by Obscurity
Article Name
No Security by Obscurity
Description
No Security by Obscurity, das Kerckhoffs Prinzip bedeutet, die Sicherheit von kryptografischen Verfahren darf nur von der Geheimhaltung der Schlüssel, aber nicht von der Geheimhaltung der Verfahren abhängig sein.
Author
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
No Security by Obscurity - Kerckhoffs Prinzip
No Security by Obscurity Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten