Loesungen - Netzsicherheit I Uebung 8.pdf - its

Netzsicherheit I, WS 2008/2009 

Übung 8 

Prof. Dr. Jörg Schwenk 

02.12.2008

Aufgabe 1 

1 Kerberos vs. Public Key Crypto 

Asymmetrische Kryptographie statt Kerberos. 

a) Beschreiben Sie wie die Funktionalität von Kerberos mit 

asymmetrischer Kryptographie implementiert werden kann. Überlegen 

Sie welche Voraussetzungen dafür gegeben sein müssen. 

C( A ) = 

In der Fragenstellung geht es um ein Protokoll, welches die Funktionen von Kerberos 

enthält, wobei die Verschlüsselung in Public Key Verfahren durchgeführt wird. 

Kerberos ist ein Server, welcher zum Schlüsselaustausch unter den Clienten dient. 

Man kann auch Schlüsselaustausch mit Hilfe von Public Key Verfahren realisieren. Es gibt 

dafür das Diffie – Hellman Protokoll, welches zum Schlüsselaustausch dient und das 

Public Key Verfahren anwendet. 

Alle Clienten haben ihre geheimen Schlüssel und die öffentlichen Schlüssel. Sie können 

untereinander die öffentlichen Parameter austauschen, wobei die Integrität dadurch 

nicht erhalten bleibt. Das Public Key Verfahren hält der „Man – in – the – Middle“ 

Attacke nicht stand, deshalb kann der Angreifer die öffentlichen Parameter abfangen 

und seinen öffentlichen Schlüssel und die Parteien schicken. Dadurch ist das Schutzziel 

Integrität verwundet. 

Diese Sicherheitslücke kann man mit einer Zertifizierungsstelle „CA“ (Certificate 

Authority) ausweichen und den Schutz wiederherstellen, damit die Integrität 

gewährleistet ist. 

Die Kommunikation bzw. der Schlüsselaustausch läuft wie folgt: 

⎡ ⎤ 

⎢( K pub , ID ) , ( , ) 

A A sig CA K 

pub ID 

A A ⎥ 

⎢ K ⎣ prCA 

⎥ 

⎦ 

Alice 

a = KprA 

( ) 

ver ⎡ 

K CB ⎤ 

pubCA ⎣ ⎦ 

K pubB = B 

a 

B = K AB 

Z ertifika t 

stark vereinfacht 

RQST, ID , K 

A pubA 

C( A ) 

K pubCA 

CA 

K , K 

( prCA pubCA ) 

( ) 

C A 

( ) 

C B 

RQST, ID , K 

C( B ) 

K pubCA 

B pubB 

b= KprB 

Bob 

( ) 

ver ⎡ 

K CA ⎤ 

pubCA ⎣ ⎦ 

K pubA = A 

b 

A = K AB 

I 

N 

I 

T

1) Während der Zertifikatausstellung muss ein authentischer Kanal zwischen Nutzer 

und CA existieren. 

2) Der authentische Kanal ist nur während der Ausstellung erforderlich. 

b) Welche Vorteile hat der Einsatz von asymmetrischer Kryptographie in 

diesem Fall? 

Der Server KDC, welcher die Schlüssel von allen Teilnehmern verwaltet, fällt in dem Fall 

weg, da die miteinander Kommunizierende Teilnehmer nicht den gemeinsamen 

Schlüssel von dem Server bekommen, sondern selber untereinander vereinbaren. Man 

hat hier eine Zertifizierungsstelle, welche für alle Teilnehmer Vertrauenswürdig ist, die 

die Gültigkeit der öffentlichen Parameter bestätigt um die Integrität zu gewährleisten. 

KDC ist hier problematisch gewesen, da dieser Server eine schwäche hatte: 

‐ KDC bildet SINGLE – POINT – OF – FAILURE. 

Das bedeutet, wenn man den Server angreift, dann hat man einen Zugriff auf alle 

geheimen Schlüssel aller Teilnehmer. Durch das asymmetrische Verfahren, wird diese 

schwache Eigenschaft des Schlüsselaustauschs gehoben, da die geheimen Schlüssel nur 

bei den Besitzern vorhanden sind und sonst nirgendswo. 

c) Hat Ihr Vorschlag Nachteile gegenüber Kerberos? 

Alles was Vorteilhaft ist, hat auch leider nachteile. Bei dem asymmetrischen Verfahren 

ist der Performanceverlust der Nachteil. Da bei dem asymmetrischen Verfahren viele 

Angriffsmöglichkeiten gibt, sind die Parameter sehr groß, damit das Sicherheitsniveau 

dem symmetrischen Vefahren gegenüber gleich ist. 

Vergleich der Schlüssellänge: 

Symmetrische 

Verfahren 

80 Bit 

112 Bit 

128 Bit 

256 Bit 

Asymmetrische 

Verfahren 

1024 Bit 

2048 Bit 

3074 Bit 

15360 Bit 

Wie man den unterschied erkennen kann, sind die Sicherheitslevel der symmetrischen 

Verfahren mit sehr großen Parameter unter verwendung von asymmetrischen Verfahren 

erreichbar. Um das Sicherheitsniveau eines 80 – Bit starken symmetrischen Algorithmus 

mit einem asymmetrischen Verfahren zu erreichen braucht man schon 1024 Bit 

Parameter. Da die Berechnung eines asymmetrischen Verfahrens mit einer 

Exponentation erfolgt, ist der Performanceverlust höher, dagegen ist die Berechnung bei 

symmetrischen Verfahren schneller (Operationen wie z.B. XOR, Substitution, etc.)

2 EasyKerberos 

Aufgabe 2 

Betrachten Sie folgende Variante des KerberosProtokolls zwischen Parteien A 

und B und dem key distribution center S, bei dem Parteien A und B einen 

gemeinsamen Schlüssel K etablieren. Dabei bezeichnet {M}K die symmetrische 

Verschlüsselung von M mit Schlüssel K, und KPS bezeichnet den symmetrischen 

Schlüssel der von Partei P∈{A, B} mit S geteilt wird. 

1. A → S: ( A,B ) 

⎛ 

2. S → A: ⎜{ K } ⎝ KAS ⎞ 

, { K } ,A,B ⎟ 

KBS⎠ 

3. 

⎛ 

A → B: K 

⎞ 

,A 

{ } 

⎜ ⎟ 

⎝ ⎠ 

KBS 

a) Zeigen Sie wie sich eine Partei C gegenüber B leicht als Partei A ausgeben 

kann, und beschreiben Sie wie man diesen Angriff verhindern kann! 

Es gibt verschiedene Varianten, wie man einen Angriff starten kann. Dazu ist aber „ Man – 

in – the – Middle“ Attacke notwendig. 

Das Kerberos – Protokoll ist folgendermaßen aufgebaut: 

Partei A Key distribution Center S Partei B 

request (A, B) 

{ K } , { K } ,A,B 

KAS KBS 

Wenn eine Partei mit einer bösen Absicht in die Kommunikation eingreifen will und die 

Kommunikation mithören will muss er wie folgt vorgehen: 

‐ Die „request (A, B)“ abfangen und nicht weiterleiten 

‐ Dann „request (C, A)“ und „request (C, B)” an S schicken. 

‐ S schickt „ K 1 , K 1 ,A,C ” und „ K 2 , K 2 ,B,C” an C. 

{ } { } 

{ 1} { 2} 

{ } 2 

KAS KCS 

‐ C schickt „ K , K ,A,B” an A. 

KAS KBS 

{ } { } 

KBS KCS 

‐ A schickt „ K ,A” nach erhalten des Paketes von C. 

K BS 

{ K} , A 

K BS 

‐ Der Angreifer C kann die Kommunikation so gestallten, wie der möchte. Ab jetzt ist der 

Angreifer immer aktiv. Der Angreifer muss immer die erhaltene Pakete ent‐ und 

verschlüsseln, dann an die Ziel – Partei weiterleiten. Sonst wird die Kommunikation 

nicht korrekt ablaufen. Dabei hat der Angreifer Zugriff auf alle Pakete und kann die 

Pakete verwerfen oder weiterleiten.

Der Angriff sieht folgendermaßen aus: 

Partei A Partei C Key distribution Center Partei B 


{ K 

1} , { K 2} 

,A,B 

KAS KBS 

enc : { Nachrichten} 

K1 

enc : 

dec : 

{ Nachrichten} 

K 2 


K1 

Dafür muss C mit dem „Key – Distribution – Center“ S einen gemeinsamen Schlüssel 

besitzen. Sonst kann er dieses Protokoll nicht starten. Er muss in der Lage sein, beliebige 

kommunikation abhören bzw. angreifen kann. 

Es gibt auch eine leichtere Variante, womit der Angreifer mit der Partei B kommuniziert, 

wobei der Agreifer sich als A ausgibt. Hierfür muss er die ID von der Partei A kennen: 

Partei C 

request (C, B) 

enc : { Nachrichten } K 

{ K2 } , A 

{ K } , { K } ,B,C 

KBS KCS 

{ K} , A 

K BS 

request (C, A) 


{ K 

1} , { K 1} 

,A,C 

KAS KCS 

{ K 

2} , { K 2} 

,B,C 

dec : 

enc : 

KBS KCS 

K BS 


K1 


K 2 

enc : { Nachrichten } K 2 

Key distribution Center Partei B 

enc : { Nachrichten } K

In beiden Varianten gilt die gleiche Maßnahme: 

‐ A S: (A, B) 

‐ S A: K , K, A , A, B 

‐ A B: 

( { } { } ) 

K 

AS 

KBS { K, A} , A oder nur { K, A } 

( ) 

K BS 

( ) 

‐ Da der Angreifer nicht die geheimen Schlüssel K AS und KBS kennt, kann er hier 

nichts manipulieren! 

Partei A Partei C Key distribution Partei B 


{ K 

1, C} , { K2, C} , A, B 

KAS K 

BS 

ABBRUCH!!! 

Partei C 




K BS 

{ K 

1, C} , { K 1} 

,A,C 

K K 

AS CS 

{ K 

2, C} , { K 2} 

,B,C 

K K 

BS CS 

Key distribution Center Partei B 

{ K , C } , { K } ,B,C 

KBS KCS 

{ KC , } , A 

K BS 

ABBRUCH!!!

) Beschreiben Sie, wie ein Angreifer D erreichen kann dass Partei A und B in 

neuen Sitzungen einen Schlüssel aus einer vorigen Sitzung verwenden. Wie 

kann man diesen Angriff verhindern? 

Wenn ein Angreifer einen Sitzungsschlüssel mitgeschnitten hat und den Schlüssel auch 

kennt, so möchte er wieder in die Kommunikation eingreifen und abhören. Dazu muss er 

die beiden Parteien dazu bringen, dass Sie mit dem schon vorher benutzten 

Sitzungsschlüssel kommunizieren. Er muss die Pakete von S an A abfangen und mit den 

alten aber gültigen Paketen ersetzen. Dafür muss er die Pakete vorher mitgeschnitten 

haben. Diesen Angriff nennt man REPLAY – Attacke. 

Partei D 

C 

A B 



{ K } , { K } ,A,B 

KAS KBS 

{ K} , A 

K BS 



{ K 

alt} , { K alt} 

,A,B 

KAS KBS 

{ K 

neu} , { K neu} 

,A,B 

KAS KBS 

{ Kalt} , A 

K BS

Um diesen Angriff zu verhindern, kann man noch eine Zufallszahl generieren, und diese 

Zufallszahl mit verschlüsseln. Wenn die Partei A diese Zufallszahl vorher hatte, dann 

erkennt er eine Replay – Attacke und bricht die Kommunikation ab.Wenn aber die 

Zufallszahl neu ist und der USER A diese Zufallszahl noch nicht hatte, dann merkt er dass 

die Session – Key neu generiert wurde und noch „Frisch“ ist. Hier wird dann auf 

„Freshness“ überprüft. 


Partei D 


{ K } , { K } ,A,B 

,δ 

KAS KBS 

{ K} , A 

K BS 



{ K 

alt, δ alt} 

, { K alt} 

,A,B 

KAS KBS 

ABBRUCH!!! 

{ K 

neu , δ neu} 

, { K neu} 

,A,B 

KAS KBS

Loesungen - Netzsicherheit I Uebung 8.pdf - its

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?