Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
192<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
191<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
T1 0 1 0 0 0<br />
T2 0 1 0 0 0<br />
T3 0 0 0 0 0<br />
T4 0 1 0 1 0<br />
T5 0 0 1 0 0<br />
T T<br />
5 4<br />
0 3 1 1 0<br />
Reservierungsrahmen Nachrichtenrahmen<br />
Jedes für überlagerndes Senden mit großem Alphabet geeignete Kommunikationsnetz arbeitet mit<br />
diesem (<strong>und</strong> ggf. weiteren) Mehrfachzugriffsverfahren für so viele Dienste so effizient, daß se<strong>in</strong><br />
E<strong>in</strong>satz zum<strong>in</strong>dest im lokalen Bereich auch für Zwecke, bei denen es nicht auf Senderanonymität ankommt,<br />
zweckmäßig ersche<strong>in</strong>t – Schlüsselgenerierung <strong>und</strong> synchronisierte Überlagerung können<br />
dann natürlich weggelassen werden.<br />
5.4.5.4.3 Reservierungsschema (Roberts’ scheme)<br />
Bild 5-15: Reservierungsschema mit verallgeme<strong>in</strong>ertem überlagerndem Senden <strong>und</strong> den Teilnehmerstationen<br />
Ti E<strong>in</strong>e Komb<strong>in</strong>ation dieser Reservierungsverfahren mit überlagerndem Empfangen ersche<strong>in</strong>t weitgehend<br />
unnötig. Lediglich im Falle, daß bei verallgeme<strong>in</strong>ertem überlagernden Senden e<strong>in</strong>e Reservierung<br />
den Wert 2 ergibt, kann ohne E<strong>in</strong>buße an Durchsatz, aber mit Verr<strong>in</strong>gerung der durchschnittlichen<br />
Wartezeit bis zur erfolgreichen Übertragung vere<strong>in</strong>bart werden, daß an der entsprechenden Stelle des<br />
nächsten Rahmens beide ihre Informationse<strong>in</strong>heit senden, im übernächsten dann nur noch derjenige,<br />
der die größere Informationse<strong>in</strong>heit gesendet hat. Dies ist genau das bereits früher beschriebene<br />
Verfahren der determ<strong>in</strong>istischen Kollisionsauflösung bei Kollision von zwei Informationse<strong>in</strong>heiten.<br />
5.4.5.5 Optimalität, Aufwand <strong>und</strong> Implementierungen<br />
Da aus Gründen der Empfängeranonymität potentiell alle Teilnehmerstationen die (Ende-zu-Ende-verschlüsselten)<br />
Nachrichten erfahren sollen (<strong>und</strong> dies damit – außer beim paarweisen überlagernden<br />
Empfangen – auch jeder realistische Angreifer kann), ist das überlagernde Senden mit Austausch<br />
e<strong>in</strong>es Schlüssels zwischen jedem Teilnehmerstationenpaar <strong>und</strong> neuer Verschlüsselung kollidierter<br />
Nachrichten bzw. globalem überlagerndem Empfangen mit geeignet häufigem gleichzeitigem<br />
Überlagern von mehreren Nachrichten das bezüglich Senderanonymität optimale Verfahren.<br />
Der E<strong>in</strong>satz des Verfahrens des überlagernden Sendens ist jedoch sehr, sehr aufwendig, weil große<br />
Mengen an Schlüsseln <strong>in</strong> Konzelation garantierender Weise ausgetauscht werden müssen: Jedes Paar<br />
von Teilnehmerstationen, das Schlüssel mite<strong>in</strong>ander austauscht, benötigt dazu e<strong>in</strong>en Konzelation<br />
garantierenden Kanal mit derselben Bandbreite, wie sie das Kommunikationsnetz allen Benutzern<br />
zusammen zum Austausch ihrer Nachrichten bereitstellt.<br />
Diesen Aufwand beim Schlüsselaustausch kann man reduzieren, <strong>in</strong>dem Pseudozufallszahlen-,<br />
bzw. im Falle des b<strong>in</strong>ären überlagernden Sendens Pseudozufallsbitfolgengeneratoren verwendet<br />
werden. Dann müssen nur relativ kurze Schlüssel geheim ausgetauscht werden, aus denen dann sehr<br />
lange Schlüssel, die äußeren Betrachtern zufällig ersche<strong>in</strong>en, erzeugt werden können.<br />
Das Verfahren ist dann nicht mehr <strong>in</strong>formationstheoretisch sicher, sondern nur noch komplexitätstheoretisch<br />
mehr oder weniger sicher; bei Verwendung kryptographisch starker Pseudozufallszahlen-,<br />
bzw. -bitfolgengeneratoren schafft das Verfahren des überlagernden Sendens perfekte komplexitätstheoretische<br />
Anonymität des Senders <strong>und</strong> perfekte komplexitätstheoretische Unverkettbarkeit von<br />
Sendeereignissen.<br />
Leider s<strong>in</strong>d die bekannten schnellen Pseudozufallszahlen-, bzw. -bitfolgengeneratoren alle leicht<br />
brechbar oder zum<strong>in</strong>dest von zweifelhafter <strong>Sicherheit</strong> (z.B. rückgekoppelte Schieberegister), während<br />
bisher die als kryptographisch stark bewiesenen Pseudozufallszahlen-, bzw. -bitfolgengeneratoren<br />
(§3.4.3, [VaVa_85, BlMi_84, BlBS_86]) sehr aufwendig <strong>und</strong> sehr langsam s<strong>in</strong>d.<br />
Wie bereits <strong>in</strong> §5.4.5.1 erwähnt, wurde die Verwendung dieses Anonymität perfekt erhaltenden<br />
Mehrfachzugriffsverfahrens, mit dem e<strong>in</strong> Durchsatz von nahe 100% erzielt werden kann [Tane_81<br />
Seite 272], bereits <strong>in</strong> [Cha3_85] mit der folgenden Implementierung <strong>in</strong> der digitalen Welt des b<strong>in</strong>ären<br />
überlagernden Sendens vorgeschlagen:<br />
Die Bandbreite wird <strong>in</strong> Rahmen (frames) e<strong>in</strong>geteilt, deren Länge zwischen e<strong>in</strong>em m<strong>in</strong>imalen<br />
<strong>und</strong> maximalen Wert liegt. Um die Sprechweise der folgenden Funktionsbeschreibungen zu<br />
vere<strong>in</strong>fachen, bezeichne „der nächste“ Rahmen nicht den physisch folgenden, sondern den nten<br />
der physisch folgenden, wobei n fest <strong>und</strong> m<strong>in</strong>imal so gewählt wird, daß vor dessen<br />
Senden alle Stationen das Überlagerungsergebnis des „vorherigen“ Rahmens (auch bei Rahmen<br />
m<strong>in</strong>imaler Länge dazwischen) so rechtzeitig erhalten haben, daß sie zum Ausführen des<br />
Mehrfachzugriffsverfahrens <strong>in</strong> der Lage s<strong>in</strong>d. Jeder Rahmen beg<strong>in</strong>nt mit e<strong>in</strong>em Datenübertragungsteil<br />
variabler Länge <strong>und</strong> endet mit e<strong>in</strong>em Reservierungsteil fester Länge. Das Überlagerungsergebnis<br />
des Reservierungsteils e<strong>in</strong>es Rahmens bestimmt die Länge des Datenübertragungsteils<br />
des nächsten Rahmens, <strong>in</strong>dem <strong>in</strong> ihm für jede signalisierte Reservierung Platz<br />
(genauer: Zeit) für e<strong>in</strong>e Informationse<strong>in</strong>heit vorgesehen wird, <strong>in</strong> der exklusiv diejenige Station<br />
senden darf, die diese Reservierung tätigte. Wird <strong>in</strong> e<strong>in</strong>em Rahmen ke<strong>in</strong>e Reservierung getätigt,<br />
ist der Datenübertragungsteil des nächsten Rahmens leer. In [Cha3_85, Chau_88] schlägt<br />
David Chaum vor, den Reservierungsteil als e<strong>in</strong>e Bitleiste aufzufassen, wobei jede 1 e<strong>in</strong>er<br />
Reservierung entspricht. Der Datenübertragungsteil kann also maximal so viele Informationse<strong>in</strong>heiten<br />
enthalten, wie der Reservierungsteil Bits enthält. Um e<strong>in</strong>e (oder mehrere) Reservierungen<br />
zu tätigen, sendet e<strong>in</strong>e Station e<strong>in</strong>e (oder mehrere) 1 an zufälligen Stellen des Reservierungsteils.<br />
Ist das Überlagerungsergebnis an e<strong>in</strong>er (oder mehreren) dieser Stellen 1, so sendet<br />
sie <strong>in</strong> den entsprechenden Stellen (genauer: Zeiten) des Datenübertragungsteils des nächsten<br />
Rahmens.<br />
Leider ist nun nicht garantiert, daß es ke<strong>in</strong>e Kollision gibt: Haben 3, 5, 7, ... Stationen an dieser<br />
Stelle reserviert, so gehen alle davon aus, daß nur sie an der entsprechenden Stelle des nächsten<br />
Rahmens senden. Die Wahrsche<strong>in</strong>lichkeit dieses Trugschlusses ist bei b<strong>in</strong>ärem überlagernden Senden<br />
nicht auf 0 zu senken, kann jedoch erheblich verkle<strong>in</strong>ert werden, <strong>in</strong>dem jeweils x Bits für jede<br />
Reservierung verwendet werden, von den jeweils y (y s•m dazu verwendet werden kann, die Wahrsche<strong>in</strong>lichkeit von Kollisionen bei der Übertragung<br />
von Informationse<strong>in</strong>heiten auf 0 zu senken, wie vor der Beschreibung der e<strong>in</strong>zelnen Mehrfachzugriffsverfahrensklassen<br />
erklärt wurde. Dieses <strong>in</strong> Bild 5-15 dargestellte Mehrfachzugriffsverfahren<br />
ist die älteste Anwendung von verallgeme<strong>in</strong>ertem überlagerndem Senden [Pfi1_85 Seite 40].