Security through obscurity oder security by obscurity (engl. "Sicherheit durch Unklarheit") bezeichnet ein kontroverses Prinzip in der Computer- und Netzwerksicherheit, nach dem versucht wird, Sicherheit durch Geheimhaltung zu erreichen. Ein System sollte sich niemals allein auf security through obscurity verlassen, aber es ist manchmal sinnvoll dadurch die Schwelle für potentielle Angreifer anzuheben.

Claude Shannons Ausspruch The enemy knows the system ("Der Feind kennt das System") ist der Ansatzpunkt, von dem man bei der Erstellung von Sicherheitskonzepten ausgehen sollte. Sicherheit, die nur auf der Geheimhaltung von Informationen beruht, stellt sich sehr oft als ungenügend heraus.

Ein schlechtes Beispiel ist jemand, der den Schlüssel seiner Haustüre in einem Blumentopf versteckt, für den Fall, dass er sich aus dem Haus ausschließt. Der Schwachpunkt dieser Vorgehensweise ist offensichtlich: Jeder, der weiß, wo der Schlüssel versteckt ist, kann die Haustüre öffnen. Der Hauseigentümer nimmt jedoch an, dass niemand von dem Versteck weiß und auch ein Einbrecher den Schlüssel kaum finden würde. Trotzdem ist das System unsicherer als ohne den Schlüssel im Blumentopf.

Ein sinnvolles Beispiel wäre das Anbringen eines weiteren, unbenutzten Schlosses an der Tür. Das eigentliche Schloss wird dadurch nicht unsicherer, aber ein Einbrecher verschwendet eventuell Zeit auf das falsche Schloss oder versucht es lieber an einer anderen Tür, an der er nur ein Schloss sieht.

Es bleibt jedoch festzuhalten, dass die Entschlüsselung immer durch Geheimhaltung von Daten verhindert wird. Die Frage ist lediglich, ob nur ein relativ kleiner Schlüssel geheimgehalten wird oder auch der verwendete Algorithmus, denn sobald der Algorithmus für viele Dinge verwendet wird, ist er nicht mehr geheim, sondern weit verbreitet. Security by obscurity ist also der Versuch, Dinge geheim zu halten, die weite Verbreitung finden.

Ein starker Algorithmus wie z.B. der Advanced Encryption Standard erfordert aus der Sicht der reinen Kryptographie-Sicherheit keine Geheimhaltung des Verfahrens, sondern nur des Schlüssels. Die Kryptographie-Sicherheit beschäftigt sich mit der Sicherheit eines Verfahrens. Immer wieder werden Verschlüsselungsalgorithmen jedoch auch geheim gehalten. Dies kann zwei Ursachen haben:

a) Für sensible Bereiche wird ein Mechanismus immer geheim gehalten. Dies hat den entscheidenden Vorteil, dass ein Angreifer erst einmal den Mechanismus kennen und beherrschen muss, bevor er viel versprechende Angriffe vornehmen kann.

b) Durch die Kenntnis vom verwendeten Verschlüsselungsalgorithmus könnten eventuelle Schwachstellen entdeckt werden, sodass sich erst bedeutend später herausstellt, dass die Verschlüsselung nicht effektiv ist. RC4 ist ein Beispiel dafür. Der Algorithmus ist die Basis der WEP-Verschlüsselung heute weit verbreiteter WLANs. Auf diese Weise führt security by obscurity zu einem Verlust von Sicherheit, da wegen security by obscurity die vermeintlichen Sicherheits-Methoden nicht auf ihre Wirksamkeit überprüft, die unwirksamen Methoden nicht frühzeitig als solche verworfen werden.

Beispiele für security through obscurity

IP-Adressen "verbergen": Mit NAT oder Masquerading lässt sich die interne Netzwerkstruktur nach außen hin verbergen.

Portscans "ignorieren": Konfiguration einer Personal Firewall so, dass Anfragen auf Ports ignoriert (DENY) anstatt negativ beantwortet werden (REJECT) und hoffen so, unsichtbar und sicherer zu sein.

Dienste (Ports) verstecken: Einen Dienst, z.B. Ssh-Server nicht auf dem Standardport 22, sondern auf einem anderen Port laufen lassen. Gegen einen guten Portscanner ist dies aber KEIN Schutz; dieser findet den anderen Port leicht.

Ping "ignorieren": Einige Hosts sind aus den gleichen Gründen wie bei Portscans so konfiguriert, dass sie ICMP Echo Request-Pakete ignorieren. Das erhoffte Unsichtbarsein ist allerdings ebenfalls ein Trugschluss. Ist ein Computer nämlich tatsächlich nicht online, bekommt man, wenn man ihn "anpingt", von einem Router meist ein ICMP Destination unreachable als Antwort. Ausserdem kann der Angreifer immer noch nach häufig benutzten TCP- oder UDP-Ports scannen.

Closed Source-Software: Wie sich Open Source und Closed Source unter dem Aspekt der Sicherheit verhalten, ist sehr umstritten. Linux zum Beispiel profitiert davon, dass der Quelltext von vielen Programmierern durchgesehen wird und so auch Programmfehler gefunden werden.

In diesem Zusammenhang wird oft Linus' Law zitiert (ursprünglich von Eric Raymond):

Given enough eyeballs, all bugs are shallow.

Passwörter: Das sehr weit verbreitete Konzept von Passwörtern ist auf den ersten Blick auch security through obscurity: Man hält ein Passwort geheim, um sicher zu gehen, dass nur Befugte Zugang zu oder Zugriff auf Etwas haben.

Dieses Konzept besteht aus den zwei Teilen: Passwort und (Passwort-)Eingabemaske, die einander bedingen. Wenn man nicht annähme, dass man beide Komponenten tatsächlich geheimhalten könnte, wäre das Passwort-Konzept ad absurdum geführt. Man spricht deshalb nur dann von security through obscurity, wenn versucht wird, beide Komponenten geheimzuhalten.

Weblinks

• "Security Through Obscurity" Ain't What They Think It Is (englisch)

Kategorien

Security through obscurity | Seguridad por oscuridad | Sécurité par l'obscurité | Sicurezza tramite segretezza