Ich wundere mich wirklich, wie oft es vorkomt, dass Leute nur halb verstanden haben, wie das mit der IT-Security funktioniert. Das inzwischen vorletzte Mal hatte ich mich über Github echauffiert. Diesmal möchte ich die Gelegenheit nutzen, hier einmal aufzuschreiben, was beim Erstellen eines kryptographisch abgesicherten Zeitstempels wirklich geschieht und was bei dessen Verifizierung zu beachten ist.
Bereits in einem früheren Artikel wies ich darauf hin, dass in der heutigen schnellebigen Zeit einfache Sachverhalte von einer überraschend großen Anzahl der Menschen missverstanden und nicht hinterfragt werden - besonders von solchen, die eigentlich dem Sachverhalt und Fachgebiet doch recht nahestehen. Mein Aufhänger war dabei die allfällige Kritik an biometrischen Merkmalen im Ausweis und Reisepass.
Es existiert aber in diesem Dunstkreis der IT-Sicherheit ein weiterer Bereich, der oft missverstanden wird: der des kryptographisch abgesicherten Zeitstempels. Prinzipiell dient er dazu, einen Anwendungsfall abzudecken, denm auch ein klassischer Notar anbietet: Die Verbriefung des Sachverhalts, dass eine bestimmte Information in genau dieser Form bereits ab einem bestimmten Zeitpunkt vorlag.
Bildet man diesen Sachverhalt mit einem kryptographisch abgesicherten Zeitstempel ab, geschieht auf technischer Ebene folgendes: Der Sachverhalt, dessen Vorhandensein zu einem bestimmten Zeitpunkt verbrieft werden soll, liegt in elektronischer Form als Sammlung von Bit vor - als ein Dokument. Von diesem Dokument berechnet derjenige, der die Bestätigung für dessen Vorhandensein erlangen möchte einen Hashwert und lässt diesen durch eine Timestamping Authority bestätigen. Ergebnis dieses Prozesses ist eben besagter kryptographisch abgesicherte Zeitstempel.
Die Integrität dieses Zeitstempels kann nun überprüft werden. Mit OpenSSL funktioniert das zum Beispiel mit diesem Kommando:
openssl ts -verify -config tsa.conf -queryfile <request>.tsq -in <reply>.tsr -CAfile chain.pem
Der interessante Teil ist hier
Ich illustriere das mal an einem Beispiel: Man stelle sich vor, es existiert eine bösartige Agentur, die auf Gewinnmaximierung aus ist. Man stelle sich weiter vor, dass alle aktuellen Hashalgorithmen mit einem Male unsicher werden und deshalb durch einen neuen ersetzt werden müssen. Dann könnte besagte Agentur einfach alle möglichen Hashwerte generieren und damit Timestamps erzeugen. Sobald jetzt jemand daherkommt und seine Ansprüche auf eine wichtige Erfindung oder ein erfolgreiches Werk mittels seines Timestamps anmelden, kann die Agentur einfach ihren eigenen mit einem früheren Zeitstempel versehenen Hashwert vorweisen und diese Ansprüche bestreiten.
Daher ist es immens wichtig, dass bei der Verifikation eines Zeitstempels unmittelbar nicht nur der Request zur Verifikation herangezogen wird, sondern nachgewiesen wird, dass das Dokument genau den im Request angegebenen Hashwert erzeugt!
Ticketsysteme sind lebende Wesen
29.03.2020
Hier zunächst wieder eine Triggerwarnung: Dieser Artikel wird meine Meinung abbilden. es kann sein, dass sie dem einen oder anderen nicht gefällt - das ist mir aber egal. Und wenn hier irgendwelche Schneeflocken mitlesen, dann sind die selber schuld.
Weiterlesen...Android Basteln C und C++ Chaos Datenbanken Docker dWb+ ESP Wifi Garten Geo Go GUI Gui Hardware Java Jupyter JupyterBinder Komponenten Links Linux Markdown Markup Music Numerik OpenSource PKI-X.509-CA Präsentationen Python QBrowser Rants Raspi Revisited Security Software-Test sQLshell TeleGrafana Verschiedenes Video Virtualisierung Windows Upcoming...
Ich berichtete hier bereits über Experimente mit dem Clifford-Attractor, allerdings war ich noch Experimente unter geringfügig geänderten Parametern schuldig...
WeiterlesenEs wurde wieder einmal Zeit für ein neues Feature in meinem Static Site Generator mittels dessen ich ja auch meine Heimatseite im Zwischennetz gestalte und verwalte...
WeiterlesenEs kamen mehrere Faktoren zusammen: die Tatsache, dass ich nicht mehr ganz so kürzlich die 50 überschritten habe hatte ebenso darauf Einfluss wie das heutige trübe Wetter und auch der Fakt, dass ich bereits beinahe alle Wochenendpflichten erledigt habe. Der letzte Stein des Anstoßes war dann aber, dass sich heute zum 125. Mal der Geburtstag von Erich Fromm jährt.
WeiterlesenManche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.
Wer daran teilhaben und eventuell sogar davon profitieren möchte, muss damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.
Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...
PS: Meine öffentlichen Codeberg-Repositories findet man hier.