Welche Verschlüsselungsstandards gibt es in AV-Systemen?
von Richard Meusers, Artikel aus dem Archiv vom
Im Zuge der wachsenden Digitalisierung werden auch in audiovisuellen Anwendungen häufig sensible Daten ausgetauscht. Zu ihrem Schutz setzen Hersteller von Netzwerk-Technik auf Kryptografie.
Der Schutz wichtiger Informationen vor dem Zugriff Unbefugter ist im digitalen Zeitalter genauso wichtig wie die Abwehr von Hacker-Attacken und Datenklau. Dabei geht es für Dienstleister im AV-Bereich gleich zweifach um möglichst hohe Sicherheit: Zum einen müssen die internen Programme, Abläufe und Anwendungen wirksam gegen Lecks aller Art abgesichert werden, zum anderen gilt, auch die Kundendaten zu schützen, sowohl während des direkten Einsatzes etwa bei einer Konferenz, aber auch grundsätzlich, wenn das beauftragende Unternehmen eigenständig mit erworbener AV-Technik weiterarbeitet. Dabei spielt die Verschlüsselung der Daten eine zentrale Rolle. Im besten Fall kann ein Hacker, der Daten abgreift, trotz dieses „Erfolges“ mit dem gewonnen Material nichts anfangen, weil es für ihn unlesbarer Datensalat bleibt.
Für den täglichen Einsatz sollen Verschlüsselungssysteme drei Aspekte gewährleisten: 1) die Vertraulichkeit der Daten mit Zugriff nur für Berechtigte, 2) keine undokumentierte Änderung der Daten bei der Übermittlung oder dem Abspeichern, 3) Sender und Empfänger bestätigen sich gegenseitig als Ausgangspunkt und Ziel der Daten.
Die Verschlüsselung von Nachrichten und Botschaften ist eine uralte Technik, die schon in der Antike benutzt wurde. Lange Zeit wurden sogenannte symmetrische Systeme verwendet, bei denen durch Transposition Zeichenreihenfolgen umgestellt oder Zeichen durch andere ersetzt wurden. Für den digitalen Bereich kommt bei Sender und Empfänger derselbe Schlüssel zum Einsatz, der daher streng geschützt werden muss. Dazu gehört beispielsweise der Advanced Encryption Standard (AES), mit dessen Hilfe heute Wlan-Router, VoiP-Telefonie und viele Dateiverschlüsselungen standardmäßig arbeiten. 256 Bit lange Schlüssel gelten bislang als sicher gegenüber Brute-force-Attacken durch leistungsstarke Computer.
Ein anderes Verfahren, die asymmetrische Verschlüsselung durch Public-Key-Infrastruktur (PKI), setzt zwei Schlüssel ein: einen öffentlichen, jedermann zugänglichen, und einen privaten, der tunlichst geheimzuhalten ist. Ein mit einem öffentlichen Schlüssel geschütztes Datenpaket kann nur mit einem privaten Schlüssen wieder lesbar gemacht werden und umgekehrt. Ein häufiges Einsatzfeld sind digitale Signaturen, mit denen Sender und Empfänger die Authentizität von Nachrichten sicherstellen können.
In der Kryptografie spielen Zufallsgeneratoren eine große Rolle. Denn jeder Schlüssel wird mit einer bestimmten Zahlenfolge generiert. Ist die Folge einem Angreifer bekannt, kann er noch den längsten Schlüssel problemlos knacken. Die Erzeugung wirklich zufälliger Zahlenfolgen ist daher für das Funktionieren des Systems unabdingbar. Das Problem besteht darin, dass es hier um Verfahren geht, für die Computer nicht konzipiert wurden. Jeder Rechner soll bei einer bestimmten Dateneingabe stets dasselbe Ergebnis produzieren: 1+1 ergibt immer 2. Aber wie soll ein Computer „Zufall“ hervorbringen? Dazu zieht ein Rechner üblicherweise mehrere Quellen heran. Das sind optimalerweise physikalische Vorgänge, die nicht reproduzierbar sind. Aus diesen Vorgängen gewonnene Messwerte stammen z. B. von Spannungsschwankungen in Halbleitern, bei der Vielzahl von im Computer verbauten Elementen kommt hier eine breite Streuung zustande. Genauso können auch Zeitdifferenzen zwischen Aktionen in einem Computer gemessen werden, also etwa Latenzen in der Festplattenrotation oder die Zeitabfolge von Maus- und Tastatureingaben. Grundsätzlich ist es also wichtig, eine möglichst große Zahl von Zufallsquellen heranzuziehen.
Bei der symmetrischen Verschlüsselung kommt bei Sender und Empfänger derselbe Schlüssel zum Einsatz. (Bild: Richard Meusers)
Sämtliche Daten aus einem solchen Zufallspool richtig zu erraten, ist auch für den versiertesten Angreifer praktisch unmöglich. Rein Software-basierte Zufallsgeneratoren gelten daher als nicht sicher genug und werden als Pseudozufallsgeneratoren bezeichnet. Durch die Enthüllungen von Edward Snowden wurde 2013 bekannt, wie die NSA dafür gesorgt hatte, dass die in den meisten Rechnern installierte Zufallsgeneratoren frisiert waren. So konnte ein Generator nur 256 zufällige Zahlen fabrizieren; damit war die NSA imstande, auf dieser Basis erzeugte Schlüssel schnell zu knacken. Sind derartige Hintertüren eingebaut, nützt auch der längste Schlüssel nichts.
Sicherheitskonzepte müssen immer für den konkreten Anwendungsfall entwickelt und angepasst werden, es gibt keine stets gültige Universalmethode. Je nach Einsatzzweck werden ein oder mehrere Schutzziele verfolgt. Anwender im AV-Bereich interessiert als Security- Maßnahme naturgemäß die Verschlüsselung auf Netzwerkebene, mit der die Netzwerktransferschicht mit Kryptografie-Elementen ausgestattet wird. Im OSI-Referenzmodell (Open Systems Interconnection) sind Layer 3 und 4 als Netzwerkübertragungsschichten definiert. Die Verschlüsselung läuft also oberhalb der Datenschicht ab, aber unterhalb der Anwendungsebene. Die Transfer-Layer übernehmen die Verbindung und das Routing zwischen den Endgeräten.
Die Netzwerkverschlüsselung setzt auf vorhandenen Netzwerk-Dienste und Anwendungssoftware auf und arbeitet von anderen eingesetzten Verschlüsselungsprozessen unabhängig. Im Optimalfall ist für den Endanwender ein reibungsloser Arbeitsablauf gewährleistet, die Verschlüsselung auf Netzwerkebene ist für ihn komplett transparent oder gar nicht wahrnehmbar. Die Daten werden nur während der Übertragung verschlüsselt. Beim Sender und Empfänger erscheinen die Daten unverschlüsselt im Klartext.
Die Netzwerkverschlüsselung wird durch IPSec (Internet Protocol Security) umgesetzt, ein Framework für Protokollsätze von IETF-Standards (Internet Engineering Task Force). Beim gemeinsamen Einsatz bilden sie ein Framework für private Kommunikation über IP-Netzwerke. IPSec bedient sich der vorhandenen Netzwerkarchitektur. Dieses Konzept ist sehr benutzerfreundlich, weil Anwendungen und Programme nicht verändert werden müssen und sich der Anwender nicht umstellen muss. Die verschlüsselten Datenpakete sehen wie unverschlüsselte aus und werden problemlos durch jedes IP-Netzwerk geroutet.
Im Bereich der Konferenztechnik gibt es eine Reihe von Anbietern, die bei ihren Produkten nicht nur auf Betriebssicherheit setzen, sondern auch den Schutz der im Netzwerk transportierten Daten. Das drahtlose ADN-Konferenzsystem des Audio-Spezialisten Sennheiser ist z. B. mit einer 128-Bit-AES-Verschlüsselung geschützt. Unerwünschtes Mithören von vertraulichen Besprechungen hinter verschlossenen Türen soll damit ausgeschlossen werden. Ähnliches leisten die drahtlosen Konferenzsysteme von Beyerdynamic in der aktuellen Gerätegeneration Quinta. Der Hersteller verspricht beim System MCW-D 50 Sicherheit bei der Signalübertragung gegenüber anderen Drahtlos-Applikationen. Die 128-Bit-Verschlüsselung soll auch im mobilen Einsatz für Abhörsicherheit sorgen. Die Steuereinheit kann im Security-Mode den Datenkanal zu den Sprechstellen verschlüsseln.
Die asymmetrische Verschlüsselung durch Public-Key-Infrastruktur (PKI), setzt zwei verschiedene Schlüssel ein. (Bild: Richard Meusers)
Auch die Microflex Complete Konferenzanlage von Shure beinhaltet eine 128-Bit-AESVerschlüsselung, um Sitzungsinhalte vertraulich zu halten. Der Hersteller bietet sein System für Konferenzen von Regierungen, Behörden, Aufsichtsräten an. Das Sennheiser SpeechLine Digital Wireless Drahtlos-Mikrofon (speziell für Sprachanwendungen) ist dank 256 Bit AES-Verschlüsselung ebenfalls abhörsicher.
Für sein drahtloses Konferenzsystem Dicentis stellt Bosch sichere WiFi-Übertragung via WPA2-Verschlüsselung bereit. Alle Signale innerhalb des Dicentis-Systems sind damit durch eine sichere Standardverschlüsselungsmethode geschützt, die von Mobilgeräten zum Schutz vor Abhören verwendet wird. Da das System standardmäßiges WiFi verwendet, kann es sich der Entwicklung der WPA2-Standards anpassen.
Da im Konferenzbereich nicht nur Sprachsignale verarbeitet und übermittelt werden, sondern auch Bilder, Grafiken und Videoclips, müssen zum Teil große Datenmengen verarbeitet und verschlüsselt werden. Hier setzt Barcos Clickshare-System an, bei dessen Präsentationslösung zudem an die Sicherheit gedacht wurde. Die übermittelten Daten sind Ende-zu-Ende-verschlüsselt, so dass kein Unbefugter Zugriff auf sensible Daten erlangen kann. Auch eine Anmeldungsverwaltung und ein konfigurierbares, dreistufiges Sicherheitssystem sind enthalten.
Auch das „AV over IP“-System NVX von Crestron wartet mit einer ganzen Reihe von Sicherheits-Features auf. Neben der standardmäßigen AES-Verschlüsselung zum Schutz von Audio- und Videodaten stellt die 802.1x- Authentifizierung jedes einzelnen Geräts im Netzwerk sicher. Eine asymmetrische PKI-Authentifizierung erlaubt die kryptografische Authentifizierung einzelner Geräte und damit einen sicheren Schlüsselaustausch, der die Voraussetzung für eine effektive AES-Verschlüsselung ist. Auch das „AV over IP“-System OmniStream von Atlona sieht sieht zahlreiche Sicherheitsmechanismen vor.
Der nächste große Entwicklungssprung in Sachen wirksamer Datenverschlüsselung wird von manchen ungeduldig erwartet, von anderen gefürchtet: Quantencomputer. So wenig sie für herkömmliche Computeraufgaben wie Textverarbeitung geeignet sein dürften, können sie dennoch wichtige Ergänzungsaufgaben übernehmen. Eine davon ist die Zerlegung von Zahlen in einzelne Faktoren, die Voraussetzung zum Knacken von Verschlüsselungen. Je nach Schlüsselstärke würden klassische Rechner dafür Jahre bis Jahrmillionen benötigen, wohingegen Quantencomputer solche Aufgaben – in der Theorie – in kurzer Zeit erledigen können.
Doch schon arbeiten Wissenschaftler an neuen Verschlüsselungsalgorithmen, die nicht mehr auf der Zerlegung von Zahlenfolgen beruhen. Einstweilen steht also das Ende der Datensicherheit nicht zu erwarten.
