Übertragung
Motivation
Wir unterschätzen bei einem Geheimnis leicht die Zahl seiner Träger*innen und der notwendigen Übertragungen zwischen ihnen. Wir denken schnell: "Das kenne ja nur ich." Dabei übersehen wir bereits, dass schon einfache Zugangskennwörter mindestens zwei Beteiligten bekannt sind: Ihnen und dem Gerät, auf das Sie zugreifen (jedenfalls zum Zeitpunkt der Anmeldung). Auch die als Telefonnummer getarnte PIN im Notizbuch macht dieses zu einem weiteren Geheimnisträger.
Wie wird das erstmalige Kennwort ausgetauscht? Hoffentlich nicht per unverschlüsselter E-Mail. Wie wird ein neues Kennwort zugesandt, wenn das alte verloren gegangen ist? Wie teilen Sie Ihren Kund*innen Zugangs- und Verschlüsselungskennwörter mit? Doch nicht etwa per Telefon oder Chat?
Sollte nicht auch die Partner*in den Code für den Safe wissen? Sollte nicht auch die Chef*in das Administrationspasswort kennen oder eine Kolleg*in? Was ist denn, wenn eine*n die Grippe ereilt, oder man, schlimmer noch, "vor den Bus läuft"?
Wie werden die Kennwörter für die Server in Ihrem Betrieb an die Admnistrator*innen verteilt? Oder ändern Sie sie etwa gar nicht regelmäßig? Verwenden Sie gar ein Kennwort, das alle kennen, auch die, die gar keine Administrator*innen sind? Was ist, wenn jemand aus dem Betrieb ausscheidet? Ändern Sie alle Kennwörter, die diese*r kennt?
In allen Fällen kommt es darauf an, die Zahl der Geheimnisträger*innen und die Zeitpunkte der Änderung des Geheimnisses optimal zu wählen und bei der Übertragung keine Sicherheitslücke entstehen zu lassen.
Wann und warum sollten Geheimnisse geändert werden?
Das Wann hängt von dem Warum ab:
Natürlich sollten Geheimnisse geändert werden, wenn sie kompromittiert sind. Und das sind sie, streng genommen, auch, wenn eine der Geheimnisträger*innen aus der Gruppe derer, die das Geheimnis kennen sollten, ausgeschieden ist. Also wenn eine Administrator*in eines Servers die Firma verlässt, sollte das Kennwort geändert werden. key.matiq weist Sie darauf hin, wenn aus dem Verteiler eines Geheimnisses explizit oder auch implizit eine Box herausgenommen wird, dass es nun auch Zeit ist, das Geheimnis inhaltlich zu ändern. Die implizite Herausnahme kann z. B. darin bestehen, dass im Verteiler eine Gruppe angegeben ist, die nun ein Mitglied verloren hat.
Ein zweiter Grund für die Änderung von Geheimnissen ist die unvermeidliche Erosion der Geheimniswahrung durch ihre Träger*innen. Je mehr Träger es gibt und je länger das Geheimnis besteht, desto höher ist das Risiko, dass irgendeine Unachtsamkeit zum Verrat des Geheimnisses führt. Das muss nicht gleich ein Verrat an einen Online-Kriminellen sein. Es kann einfach bedeuten, dass eine Kolleg*in, die mit dem Geheimnis überhaupt nichts am Hut hat, dieses erfährt. Aber vielleicht Monate oder Jahre später, wenn die Kolleg*in gar nicht mehr in der Firma ist, können Umstände eintreten, unter denen diese unbeabsichtigte Mitwisserschaft gar nicht mehr so harmlos ist.
Eine regelmäßige Änderung von Geheimnissen je nach Einschätzung des vorgenannten Risikos kann Abhilfe schaffen.
Ein dritter Grund für die Änderung ist dann gegeben, wenn das Geheimnis ein Schlüssel ist, um z. B. E-Mails zu verschlüsseln. Wird der Schlüssel nie geändert, könnte bei Kompromittierung des Schlüssels der gesamte (von der Angreifer*in mitgeschnittene) E-Mail-Verkehr der Vergangenheit nachträglich entschlüsselt werden. Wurde dagegen der Schlüssel regelmäßig geändert, so wäre der Schaden auf die Zeit seit der letzten Änderung begrenzt.
Weitergabe (unversiegelt)
Bei der unversiegelten Weitergabe geht es um Geheimnisse, die gemeinsam von mehreren Geheimnisträgern im alltäglichen Betrieb genutzt werden.
Die Weitergabe wird durch allgemeine Einstellungen und einen Verteiler gesteuert. Voraussetzung ist, dass überhaupt das Feature "Optionale Übergabe von Geheimnissen" angeschaltet ist. Dann erst kann man bei den allgemeinen Einstellungen die Weitergabe anschalten und erhält in diesem Fall in der Bearbeitungs-Ansicht einen zusätzlichen "Verteiler"-Tab, in dem man Adressaten angeben kann.
In "Kontakt" geht es darum, einen solchen Verteiler aufzubauen.
In "Übertragung" zeigen wir, wie die erstmalige Weitergabe angestoßen wird.
In "Protokoll" kontrollieren wir die Übertragung und diskutieren die Fälle, bei denen diese nicht oder nicht vollständig vonstatten geht.
In "Verteiler-Objekte" zeigen wir, wie man gleichartige Verteiler für mehrere Geheimnisse besser verwaltet.
In "Update". besprechen wir, wie die Weitergabe von Änderungen eines Kennwort automatisiert wird, aber auch wie diese Automatik wieder abgeschaltet werden kann.
Versiegelte Weitergabe
Geheimnisse können versiegelt übertragen werden, so dass sie die Empfänger*in (noch) nicht zu Gesicht bekommt. Da sind klare Regeln nötig, wie ein Siegelbruch vonstatten gehen kann.
Darum geht es in "Versiegelung".
Und mehr ...
In "Mehr". geben wir, wie in den anderen Tutorials, Hinweise auf weiterführende Informationen.