No Security by Obscurity - Prof. Dr. Norbert Pohlmann

Was ist „No Security by Obscurity“?

„No Security by Obscurity“ hat unter Mathematikern, die sich wissenschaftlich mit Verschlüsselung befassen, eine lange Tradition und geht zurück auf den niederländischen Linguisten und Kryptologen Auguste Kerckhoffs von Nieuwenhof, der 1883 in seiner Abhandlung „La Cryptographie militaire“ einige Grundsätze für schlüsselbasierte Verfahren entwickelte, von denen einer noch heute als Kerckhoffs Prinzip bekannt ist:

Die Sicherheit von kryptografischen Verfahren darf nur von der Geheimhaltung der Schlüssel, aber nicht von der Geheimhaltung der Verfahren abhängig sein.

Dennoch sind noch immer wesentliche Einsatzfelder von Kryptografie durch den gegenteiligen Ansatz geprägt, der oft mit „Security by Obscurity“ (Sicherheit durch Geheimhaltung) bezeichnet wird, von dem sich die Entwickler entsprechender Verfahren eine stärkere Sicherheit erhoffen.

Ein Beispiel für geheime Verfahren stellen die Kryptoalgorithmen des Bundesamts für Sicherheit in der Informationstechnik (BSI) dar, die zum Schutz der geheimen Informationen der Bundesrepublik Deutschland genutzt werden.

Ein recht kritisches Beispiel waren die bei der Mobilfunktechnik GSM eingesetzten Algorithmen A3, A8 und A5 oder Verschlüsselungsverfahren beim Pay-TV. Diese galten schon lange nicht mehr als sicher und waren mit moderner Technik leicht zu brechen.

Ob geheime Verschlüsselungsalgorithmen einer Überprüfung standhalten, darf mit einigem Recht bezweifelt werden: Denn die Entwicklung neuer kryptografischer Verfahren ist äußerst schwierig, weswegen die wenigen auf diesem Gebiet tätigen Fachleute ihre Arbeit in der Regel einem fachkundigen Publikum vorstellen.

Dieses bewertet zunächst die theoretische Stärke des vorgestellten Verfahrens, also die Wahrscheinlichkeit, dass es durch eine der im nächsten Abschnitt beschriebenen Methoden, der sogenannten Kryptoanalyse, gebrochen (kompromittiert) wird. Erst wenn ein kryptografisches Verfahren einige Jahre nicht durch Krypto-Experten gebrochen wurde, gilt es als sicher und darf sich dann praktisch bewähren. Siehe auch: Bewertung der kryptografischen Stärke

Weitere Informationen zum Begriff “No Security by Obscurity”:

„Vertrauen – ein elementarer Aspekt der digitalen Zukunft“

„Tracking im Internet und Selbstdatenschutz“

„In der Cloud, aber nicht anonym! Googles Cloud-Angebot“

„Wenn der Softbot menschliche Identität bestätigt – VideoIdent-Verfahren: Die Technik“

„Identitäts-Check anhand sozialer Netzwerke – Das Social-Ident-Projekt“

„Doubtless Identification and Privacy Pre-serving of User in Cloud Systems“

„Lehrbuch Cyber-Sicherheit“

„Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“

„Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“

„Vorlesungen zum Lehrbuch Cyber-Sicherheit“

„Sei gewarnt! Vorhersage von Angriffen im Online-Banking“

„Managing Digital Security“

„CISO 2025 – Berufsbild im Wandel“

„Internet-Sicherheit – Was ist und was kommt?“

„Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Marktplatz IT-Sicherheit“

„It’s all about Trust!“

Summary

Article Name

No Security by Obscurity

Description

No Security by Obscurity, das Kerckhoffs Prinzip bedeutet, die Sicherheit von kryptografischen Verfahren darf nur von der Geheimhaltung der Schlüssel, aber nicht von der Geheimhaltung der Verfahren abhängig sein.

Author

Prof. Norbert Pohlmann

Publisher Name

Institut für Internet-Sicherheit – if(is)

Publisher Logo