1 HOME

2 VERBUND

3 PROJEKT

4 EVENTS

5 PUBLIKATIONEN

6 SITEMAP & IMPRESSUM

3.1 ORGANISATION

3.2 RECHT

3.3 IT-LÖSUNG

3.4 SZENARIEN

3.5 DEMO

 

ARCHITEKTUR

DOKSCHUTZ

MS AD RMS

 

3.3 Design eines feingranular geschützten Dokuments

Nachfolgend ist eine Beschreibung des Schutzsystems zu finden. Hierfür wird angenommen, dass ein Dokument mit mehreren Abschnitten geschützt worden ist. Es werden exemplarisch nur der Schutz des Dokuments und eines Abschnitts beschrieben. Dies liegt darin begründet, dass die anderen Abschnitte identisch aufgebaut sind.

Abbildung 1: Design feingranular geschütztes Dokument

Vertraulichkeit

Vertraulichkeit gewährleistet die Geheimhaltung von Daten und Informationen vor unbefugten Dritten. Dies ist wichtig für Metainformationen, da aus ihnen bereits Erkenntnisse abgeleitet werden können, welche in Deutschland durch das Bundesdatenschutzrecht geschützt werden.

 

Dokument

Microsoft versieht seine RMS Dokumente mit einer AES-Verschlüsselung im Electronic-Code-Block (ECB) Modus. Es wird ein Schlüssel mit 128 Bit Länge eingesetzt. Dieser unsichere Verschlüsselungsmodus ist durch den derzeit sicheren, authentischen Galois Counter Modus getauscht worden. Der Modus wird bei der Abschnittsverschlüsselung und beim Verschlüsseln der Meta Informationen eingesetzt.

 

Abschnitt

Jeder Abschnitt wird mittels eines eigenen Verschlüsselungsschlüssels und im Galois Counter Modus verschlüsselt (Gleichung 3.4). Dieser gewährleistet neben der Vertraulichkeit, die Authentizität der verschlüsselten Daten. Der dafür verwendete Schlüssel KC1 kann aus dem ersten verschlüsselten Block mit Metainformationen extrahiert werden (Gleichung 3.5). Um diese Daten zu erhalten, muss ein Benutzer mindestens das Lese-Recht für den entsprechenden Abschnitt besitzen. Um seine Rechte zur erfragen und den Schlüssel zu erhalten, stellt der Nutzer einer Anfrage an den Schlüssel Service. Besitzt der Benutzer mindestens das Lese-Recht, erhält er den Rechte-Schlüssel KR1 vom Server. Anschließend kann er neben dem Schlüssel KC1 für die Abschnittsverschlüsselung, den Schlüssel für den Block mit Metainformationen KM1 extrahieren (Gleichung 3.5).

Die Metainformationen (Gleichung 3.7) werden verschlüsselt gespeichert, da aus ihnen andernfalls datenschutzrechtlich relevante Daten gewonnen werden könnten. Dies sind zum Beispiel, welche Nutzer Schreibrechte auf die Abschnitte besitzen (Gleichung 3.7) und welche Nutzer über andere Berechtigungen verfügen (Gleichung 3.5). Mit der Vorgehensweise, dass Abschnitts- und Metainformationen mit unterschiedlichen Schlüsseln verschlüsselt sind, können die Schlüssel separat ersetzt werden und somit der Verschlüsselungsaufwand reduziert werden.

 

Authentizität

Die Authentizität eines Dokuments stellt gegenüber einer definierten Gruppe von Personen sicher, dass das Dokument von einer bestimmten (fest definierten) Person oder Gruppe stammt.

Dokument

Die Authentizität eines ERM geschützten Word Dokuments wird durch eine Signatur über den Hashwert der Part-IDs (Gleichung 3.3) und der DokumentenID sichergestellt. Es gibt für diese Art der Signatur zwei Fälle:

1.       Alle Abschnitte werden ebenfalls mittels des feingranularen Schutzsystems geschützt. Daraus resultiert, dass die Reihenfolge der Abschnitte und die Existenz der Abschnitte im Dokument über die Signatur geschützt sind. Sollte die Signaturverifikation fehlschlagen, ist ein Abschnitt entfernt, hinzugefügt oder die Reihenfolge verändert worden.

2.       Mindestens ein Abschnitt von mehreren Abschnitten wird nicht mittels des feingranularen Schutzsystems geschützt. Dieser Abschnitt kann anschließend beliebig verändert oder entfernt/ersetzt werden. Diese Abschnitte verfügen nicht über eine Abschnittskennung (Part-ID) und werden deshalb nicht als Eingabe in die Dokumentensignatur verwendet.

Abschnitt

Die Authentizität eines Abschnitts wird über zwei kryptographischen Funktionen sichergestellt. Einerseits durch die authentische Verschlüsselung mittels Galois Counter Modus. Andererseits durch die Benutzersignatur über den jeweiligen Abschnitt (Gleichung 3.8).

 

Integrität

Integrität gewährleistet, dass jegliche Veränderung, beispielsweise an einem Dokument, detektiert wird. Dazu werden in der Regel kryptographische Hashfunktionen verwendet. Integrität ist eng verknüpft mit dem Schutzziel Authentizität, da beide einander bedingen können.

 

Dokument

Die Integrität des Dokuments wird über eine kryptographische Hashfunktion der Part-IDs und der Dokumenten-ID gewährleistet, die Ausgabe der Hashfunktion wird im Anschluss durch den privaten Schlüssel des Signatur Services signiert. Der Hashwert (Gleichung 3.2) entspricht der Dokumenten-Version. Durch die Signatur über den Hashwert können die Benutzer überprüfen, ob die Authentizität und Integrität gewährleistet ist (Gleichung 3.3).

Die Part-IDs welche Eingang in die Hashfunktion finden, werden im Dokument als Liste im Klartext gespeichert. Dies gewährleistet, dass eine Dokumenten-Integritätsprüfung ohne Rechte auf die Inhalte möglich ist. Dazu muss jedoch der öffentliche Schlüssel des Signatur Service auf dem Gerät vorhanden sein.


Die Hashfunktion soll sicherstellen, dass ein Autor eines Dokuments nicht beliebige Abschnitte so zusammenstellen kann, sodass die Part-IDs der Abschnitte als Eingabe in ein Signatur-Orakel dienen. Dafür kann es zwei Szenarien geben:

1.       Das Dokument existiert noch nicht in geschützter Form und soll geschützt werden. Ist dies zutreffend, wählt der Server einen mindestens 128 Bit langen kryptographischen Zufallswert, die Dokumenten-ID. Anschließend werden die Part-IDs in der Reihenfolge der Abschnitte aneinander gehängt und an die Hashfunktion übergeben.

2.       Existiert das Dokument bereits in geschützter Form und es soll die Reihenfolge oder Anzahl der Parts verändert werden, so wird die Dokumenten-ID und alle Part-IDs für das Dokument übergeben. Anschließend werden Dokumenten-ID und Part-IDs gehasht und das Ergebnis signiert.

Der Hashwert ist die Dokumenten-Version.

 

Abschnitt

Jeder Abschnitt wird nach einer Bearbeitung durch den bearbeitenden Nutzer mit einer Signatur (Gleichung 3.8) versehen. Zu dieser Signatur gibt es einen Block mit Metainformationen (Gleichung 3.7). Die Nutzer mit einer Lese-Berechtigung können diesen Block entschlüsseln und die Nutzeridentität (beispielsweise: IDA) extrahieren. Falls er den entsprechenden öffentlichen Schlüssel für den Benutzer besitzt, kann er die Signatur verifizieren. Andernfalls muss er diesen Schlüssel beim Schlüsselserver erfragen.

Verankerung

Ein Risiko bei der Erstellung von Signaturen (Gleichung 3.8) und verschlüsselten Inhalten (Gleichung 3.7) von Abschnitten oder Teilen von Abschnitten, ist das Missbrauchen dieser Informationen in anderen Dokumenten oder Abschnitten. Deshalb sind Dokumenten-ID und Part-ID bei der Erstellung einer Signatur über den Inhalt (Gleichung 3.8) oder die Berechtigungen (Gleichung 3.6) eines Abschnitts enthalten.

Randomness und Freshness

Um Replay Angriffe gegen die Signatur (Gleichung 3.8) und den Block mit Meta Informationen (Gleichung 3.7) zu verhindern, werden entweder Nonces oder Counter eingesetzt. Nonces sollen die Vorhersagbarkeit der Daten erschweren und Zufälligkeit in die Signaturerzeugung einbringen. Die Counter ermöglichen das Unterscheiden zweier Versionen eines Abschnitts nach ihre Aktualität.

In Gleichung 3.5 und Gleichung 3.6 sind, neben den Berechtigungen, die Dokumenten-IDs und eine Abschnitts-Zufallszahl (PartNonce1) enthalten. Die Dokumenten-IDs sind eineindeutig und zufällig, dies wird vom Signatur Service sichergestellt. Die Abschnitts-Zufallszahl bringt Zufälligkeit in die Signaturerstellung mit ein. Dies dient dem Schutz vor Replay Angriffen.

 

BMBFLogo