Zur Haupt­na­vi­ga­ti­on sprin­gen [Alt]+[0] Zum Sei­ten­in­halt sprin­gen [Alt]+[1]

Si­cher­heit bei mo­bi­len Ge­rä­ten

Hin­ter­grund: 06_­run­_hin­ter­grun­d_­si­cher­heit.odt

Wenn ein Smart­pho­ne ver­lo­ren geht, ist der Ver­lust in­zwi­schen nicht mehr nur auf den Wert des Ge­räts be­schränkt. Ein Smart­pho­ne ent­hält in­zwi­schen eine Menge per­sön­li­cher In­for­ma­tio­nen, die von einem Dieb aus­ge­nutzt wer­den kön­nen. Das sind zum einen Zu­gangs­da­ten zu ver­schie­de­nen On­line-Diens­ten und zum an­de­ren ent­hal­ten App Stores z.B. Zah­lungs­in­for­ma­tio­nen, über die ein Dieb auf Kos­ten des Ei­gen­tü­mers di­gi­ta­le Waren ein­kau­fen kann.

Zur Vor­be­rei­tung auf die Stun­de soll­te die Haus­auf­ga­be aus 01_­run­_a­b_han­dy­ver­lust.odt ge­stellt wer­den. Die Auf­ga­be in der Stun­de selbst be­ar­bei­ten zu las­sen, ist we­ni­ger sinn­voll, da das Schrei­ben einer brauch­ba­ren Ge­schich­te län­ger dau­ert und somit wenig Un­ter­richts­zeit zur Be­spre­chung übrig bleibt.

Idea­ler­wei­se gehen die Schü­ler in ihren Ge­schich­ten auf As­pek­te wie dem Miss­brauch per­sön­li­cher Daten, Iden­ti­täts­dieb­stahl in so­zia­len Netz­wer­ken und Be­trug durch das Be­zah­len über den App Store ein.

Im Un­ter­richt soll­te dann be­spro­chen wer­den, wie die Pro­ble­me ver­mie­den wer­den kön­nen. Ge­mein­sam wer­den die ver­schie­de­nen Ver­hal­tens­maß­nah­men (Bild­schirm­sper­re, IMEI-Num­mer auf­schrei­ben usw.) be­spro­chen und es soll­te auf Vor- und Nach­tei­le hin­ge­wie­sen wer­den. Dazu soll­te zur Da­ten­spar­sam­keit an­ge­hal­ten wer­den: Was gar nicht erst auf dem Smart­pho­ne ist, kann nicht damit ge­stoh­len wer­den.

Als Er­geb­nis­si­che­rung könn­ten eine Reihe von Si­cher­heits­hin­wei­sen er­stellt wer­den, die ei­ner­seits im Vor­feld er­grif­fen wer­den und die an­de­rer­seits im Fall des Dieb­stahls not­wen­dig sind.

Da­ten­si­cher­heit und Ver­schlüs­se­lungs­ver­fah­ren

Hin­ter­grund­do­ku­ment: 07_­run­_hin­ter­grun­d_kryp­to­gra­fie.odt

Die­ses Do­ku­ment geht deut­lich über die in Klas­se 7 ver­lang­ten In­hal­te hin­aus. Es dient dem Leh­rer zur fach­li­chen Vor­be­rei­tung und zeigt, wel­che In­hal­te im Be­reich der Kryp­to­lo­gie in den dar­auf­fol­gen­den Jah­ren von den Schü­le­rIn­nen ge­lernt wer­den sol­len.

Das In­ter­net stellt ein Me­di­um für den Da­ten­trans­port zur Ver­fü­gung. Viele ver­schie­de­ne An­bie­ter stel­len Diens­te zur Da­ten­spei­che­rung, zur Kom­mu­ni­ka­ti­on, für Bank­ge­schäf­te usw. zur Ver­fü­gung. Diese Diens­te sind prak­tisch und wer­den zu­neh­mend mehr ge­nutzt. Auf der an­de­ren Seite wird von Kri­mi­nel­len (z.B. Phis­hing, Dieb­stahl von Zu­gangs­da­ten oder Kre­dit­kar­ten­da­ten) oder auch staat­li­chen Be­hör­den (z.B. NSA-Skan­dal) ver­sucht, die Daten aus­zu­spä­hen oder Ser­ver an­zu­grei­fen. Jedem, der das In­ter­net nutzt, soll­te be­wusst sein, wie si­cher oder un­si­cher die Nut­zung des In­ter­nets ist.

Grund­sätz­lich spiel­ten bei der Kon­zep­ti­on des In­ter­net Fra­gen der Da­ten­si­cher­heit keine große Rolle. Bei der Da­ten­über­tra­gung wird le­dig­lich si­cher ge­stellt, dass die Daten voll­stän­dig und ohne Über­tra­gungs­feh­ler an­kom­men. Gegen Mit­le­sen oder be­wuss­ter Ver­än­de­rung der Daten sind keine Maß­nah­men er­grif­fen wor­den. Erst durch den Ein­satz von Ver­schlüs­se­lungs­ver­fah­ren (z.B. https statt http als Über­tra­gungs­pro­to­koll beim WWW) wer­den die Ver­trau­lich­kei­ten und Da­ten­in­te­gri­tät ge­währ­leis­tet. Ohne diese Maß­nah­men ist das In­ter­net ver­gleich­bar mit dem Ver­sen­den von Post­kar­ten. Jeder Post­bo­te (ent­spricht den Rou­tern im In­ter­net) kann die Post­kar­te lesen, weg­wer­fen, ver­än­dern, aus­tau­schen usw.

Whats­App hat erst im Jahr 2016 eine Ver­schlüs­se­lung der Nach­rich­ten ein­ge­führt. Davor wur­den die Nach­rich­ten un­ver­schlüs­selt über­tra­gen. Nun sind die Daten Ende-zu-Ende ver­schlüs­selt. Dies wird den Nut­zern bei jedem neuen Kon­takt ein­mal mit­ge­teilt. Die Schü­le­rIn­nen ken­nen diese Mel­dung, wis­sen aber in der Regel nicht, was sie be­deu­tet. Daher bie­tet sich dies als Ein­stieg in diese The­ma­tik an. Aber auch bei der Nut­zung von Cloud-Da­ten­spei­chern kann man sich über­le­gen, dass der Ad­mi­nis­tra­tor ohne Ver­schlüs­se­lung Zu­griff auf die ge­spei­cher­ten Daten hat. Dies ist bei sen­si­blen Daten si­cher nicht er­wünscht.

Whats­App tauscht am Be­ginn des Chats mit einem asym­me­tri­schen Ver­schlüs­se­lungs­ver­fah­ren die Schlüs­sel für ein sym­me­tri­sches Ver­fah­ren aus. Da­nach wird die­ses sym­me­tri­sche Ver­fah­ren für die Ver­schlüs­se­lung der Nach­rich­ten ver­wen­det. Das asym­me­tri­sche Ver­fah­ren ist not­wen­dig, da die Apps der Kom­mu­ni­ka­ti­ons­part­ner ohne ein Zutun der Nut­zer einen Schlüs­sel­aus­tausch durch­füh­ren sol­len. Auch die Fir­men­zen­tra­le/Ser­ver von Whats­App be­sit­zen die Schlüs­sel zum Ent­schlüs­seln der Nach­rich­ten (auch der Bil­der) nicht. Diese asym­me­tri­schen Ver­fah­ren sind lei­der recht schwer zu ver­ste­hen und daher für Klas­se 7 noch nicht ge­eig­net. In Klas­se 7 sol­len an­hand von ein­fa­chen sym­me­tri­schen Ver­fah­ren ei­ni­ge grund­le­gen­de Be­grif­fe (Klar­text, Kryp­to­text, Schlüs­sel, Ver­schlüs­se­lungs­ver­fah­ren, Ver­schlüs­seln, Ent­schlüs­seln) ein­ge­führt und ein­ge­übt wer­den. Mög­li­che An­grif­fe (Brute Force und Häu­fig­keits­ana­ly­se) auf diese Ver­fah­ren zei­gen, dass sie noch nicht si­cher genug sind. Si­che­re, in der Pra­xis ver­wen­de­te Ver­fah­ren (z.B. AES – Ad­van­ced En­cryp­ti­on Stan­dard) sind aber deut­lich kom­pli­zier­ter und kön­nen in der Schu­le im De­tail nicht be­spro­chen wer­den. Bei der Ver­wen­dung eines sym­me­tri­schen Ver­fah­rens zum Aus­tausch ge­hei­mer Nach­rich­ten in­ner­halb der Klas­se wird auch die Pro­ble­ma­tik des Schlüs­sel­tauschs deut­lich. Die­ser kann nicht eben­falls auf einem Zet­tel durch die Klas­se ge­schickt wer­den, son­dern muss im Vor­feld in ge­hei­mer Ab­spra­che fest­ge­legt wer­den (ein si­che­rer Kanal ist not­wen­dig).

Der Ein­stieg in die The­ma­tik er­folgt wie­der über eine Prä­sen­ta­ti­on: 03_­run­_­si­cher­heit_im_in­ter­net.odp. Dabei wird wie­der aus­ge­hend von Ende-zu-Ende-Ver­schlüs­se­lung von Whats­App und Spei­che­rung von Daten in der Cloud deut­lich ge­macht, wer Zu­griff auf un­ver­schlüs­sel­te Daten hätte. Die grund­le­gen­den Fach­be­grif­fe der Kryp­to­lo­gie soll­ten an­hand die­ser Prä­sen­ta­ti­on ein­ge­führt wer­den. Es muss dar­auf ge­ach­tet wer­den, für die Ver-/Ent­schlüs­se­lung nicht das Wort Co­die­rung zu be­nut­zen, da ein Code im All­ge­mei­nen kei­nen ge­hei­men Schlüs­sel ver­wen­det (z.B. ASCII-Code). Ein Syn­onym zu Ver­schlüs­se­lung wäre Chif­frie­rung.

Da­nach sol­len die Schü­le­rIn­nen zwei ein­fa­che Ver­fah­ren (Cäsar-Ver­schlüs­se­lung und mo­no­al­pha­be­ti­sche Ver­schlüs­se­lung) ken­nen­ler­nen. Sie ler­nen zu­nächst je­weils das Ver­fah­ren ken­nen, ver­schi­cken Nach­rich­ten in der Klas­se und ver­su­chen dann, den Code zu bre­chen. Dazu be­nö­ti­gen sie beim Cäsar das Ar­beits­blatt 05_­run­_a­b_­cae­sar.odt und die Bas­tel­ma­te­ria­li­en 05_­run­_­cae­sar-rad.pdf und dazu je eine Mus­ter­beu­tel­klam­mer. Ei­ni­ge er­gän­zen­de Fra­gen run­den das Auf­ga­ben­blatt ab. Die Lö­sun­gen be­fin­den sich im Un­ter­ord­ner Lö­sun­gen. Den An­griff auf die Ver­schlüs­se­lung kann man auch zeit­gleich mit der gan­zen Klas­se durch­füh­ren und jedem Schü­ler eine Ver­schie­bung zu­ord­nen. Das be­schleu­nigt das Brute-Force-Ver­fah­ren.

 

Un­ter­richts­ver­lauf: Her­un­ter­la­den [odt][103 KB]

Un­ter­richts­ver­lauf: Her­un­ter­la­den [pdf][147 KB]

 

Wei­ter zu Ver­schlüs­se­lungs­ver­fah­ren Teil 2