Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
196<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
195<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
zahlengeneratoren nach <strong>und</strong> nach im DC-Netz e<strong>in</strong>gesetzt werden <strong>und</strong> vermutlich e<strong>in</strong>e große Vielzahl<br />
angeboten wird, so daß es „nicht so schlimm ist“, wenn manche gebrochen werden sollten. Der<br />
Nachteil ist offensichtlich: E<strong>in</strong> Markt funktioniert nur dann gut, wenn der Konsument die Qualität der<br />
Waren (ggf. mit Hilfe von Experten) preiswert beurteilen kann. In [Pfit_89 §2.2.2.2] habe ich me<strong>in</strong>e<br />
Skepsis gegenüber den heutzutage auf dem Markt angebotenen, größtenteils nach „geheimgehaltenen“<br />
Algorithmen arbeitenden kryptographischen Systemen, die jeweils nur von (wenn die Geheimhaltung<br />
geklappt haben sollte) wenigen, größtenteils namentlich nicht bekannten „Experten“ analysiert wurden,<br />
bereits ausgedrückt. Ebenso habe ich <strong>in</strong> [Pfit_89 §2.2.2.3 (sowie dem Anhang) <strong>und</strong> §2.2.2.4]<br />
e<strong>in</strong>ige Vorschläge zur <strong>und</strong> Begründungen für e<strong>in</strong>e Normung unterbreitet, die im Falle des DC-Netzes<br />
den kurzfristigen Austausch von Schlüsseln zwischen beliebigen Teilnehmern <strong>und</strong> damit e<strong>in</strong>e<br />
flexiblere <strong>und</strong> gezieltere Gestaltung [Cha3_85, Chau_88] des Schlüsselaustauschs erlaubt. Außerdem<br />
werden durch die Verwendung standardisierter Implementierungen manche diskutierten Zuverlässigkeitsprobleme<br />
leichter lösbar.<br />
Der heutzutage noch hohe Aufwand kryptographisch starker Pseudozufallszahlengeneratoren kann<br />
es für DC-Netze hoher Bandbreite erforderlich machen, bezüglich der kryptographischen Stärke der<br />
Pseudozufallszahlenerzeugung Kompromisse e<strong>in</strong>zugehen. Diese können <strong>in</strong> separater oder komb<strong>in</strong>ierter<br />
Anwendung der Maßnahmen bestehen, daß<br />
• Teilnehmerstationen nur sehr wenige Schlüssel austauschen, daß<br />
• manche Schlüssel mit effizienteren (<strong>und</strong> ggf. kryptographisch schwächeren) Pseudozufallszahlengeneratoren<br />
erzeugt werden oder daß<br />
• e<strong>in</strong> Teil der Bandbreite mit schwächer erzeugten Schlüsseln überlagert wird.<br />
Durch letzteres entstünde <strong>in</strong> jedem Teil der Bandbreite e<strong>in</strong> separates DC-Netz, wobei die Anonymität<br />
der Sender <strong>in</strong> den verschiedenen DC-Netzen unterschiedlich wäre, <strong>und</strong> – wie <strong>in</strong> [Pfit_89<br />
§4.2] diskutiert – für verschieden sensitive Kommunikation verwendet werden könnte. Zu e<strong>in</strong>em<br />
späteren Zeitpunkt könnten starke Pseudozufallszahlengeneratoren zusätzlich zu den effizienteren<br />
(<strong>und</strong> ggf. kryptographisch schwächeren) nachgerüstet werden.<br />
l<br />
lokale Überlagerung<br />
110<br />
• • •<br />
111<br />
globale Überlagerung<br />
b<strong>in</strong>äre Übertragung<br />
l<br />
&<br />
Übertrag<br />
l<br />
0 0<br />
1 1<br />
• • •<br />
Informationse<strong>in</strong>heit<br />
0<br />
1<br />
0 0 0<br />
1 1 1<br />
110<br />
• • •<br />
111<br />
Volladdierer<br />
0 0<br />
1 1<br />
0<br />
1<br />
• • •<br />
Schlüssel<br />
0 0 0<br />
1 1 1<br />
l<br />
lokales<br />
Überlagerungsergebnis<br />
&<br />
Übertrag<br />
0 0 0<br />
1 1 1<br />
• • •<br />
0 0 0<br />
1 1 1<br />
l<br />
lokale Überlagerung<br />
Volladdierer<br />
globales<br />
Überlagerungsergebnis<br />
110<br />
0 0 0<br />
1 1 1<br />
• • •<br />
0 0 0<br />
1 1 1<br />
• • •<br />
111<br />
l<br />
&<br />
Übertrag<br />
0 0<br />
1 1<br />
• • •<br />
Informationse<strong>in</strong>heit<br />
0<br />
1<br />
0 0 0<br />
1 1 1<br />
Volladdierer<br />
lokales<br />
Überlagerungsergebnis<br />
0 0<br />
1 1<br />
0<br />
1<br />
0 0 0<br />
1 1 1<br />
• • •<br />
Schlüssel<br />
Bild 5-16: Geeignete Codierung von Informationse<strong>in</strong>heiten, Schlüsseln <strong>und</strong> lokalen sowie globalen<br />
Überlagerungsergebnissen bei der Übertragung: e<strong>in</strong>heitliche B<strong>in</strong>ärcodierung<br />
Wahl e<strong>in</strong>er geeigneten Topologie für die globale Überlagerung (betr. vor allem: Z1): Die<br />
Verzögerungszeit e<strong>in</strong>es DC-Netzes setzt sich aus den für die Übertragung <strong>und</strong> Überlagerung benötigten<br />
Zeiten zusammen. Deshalb s<strong>in</strong>d sowohl die Übertragungs- als auch die Überlagerungstopologie <strong>in</strong><br />
aufe<strong>in</strong>ander abgestimmter Weise so zu wählen, daß die Summe aller Verzögerungszeiten <strong>und</strong> damit<br />
die Verzögerungszeit des DC-Netzes möglichst ger<strong>in</strong>g ist. Unabhängig von beiden kann die Schlüsseltopologie<br />
gewählt werden, da die Reihenfolge <strong>und</strong> Zusammenfassung der Additionen <strong>in</strong> e<strong>in</strong>er abelschen<br />
Gruppe irrelevant ist. Die drei zu unterscheidenden Topologien des DC-Netzes zeigt Bild 5-17.<br />
Implementierung der modulo-Addierer (betr. vor allem: Z1, Z4): Da – wie bei der Festlegung<br />
der Alphabetgröße schon gezeigt – modulo-Addierer für alle <strong>in</strong> Betracht kommenden Alphabetgrößen<br />
mit ger<strong>in</strong>gem Aufwand so realisiert werden können, daß sie mit der technologieabhängigen m<strong>in</strong>imalen<br />
Gatterverzögerungszeit als Verzögerungszeit des modulo-Addierers auskommen, kann jeder modulo-<br />
Addierer den gesamten Bitstrom verarbeiten, so daß ke<strong>in</strong>e Überlegungen bezüglich Parallelarbeit von<br />
modulo-Addierern angestellt zu werden brauchen.<br />
Umgekehrt ersche<strong>in</strong>t es bei Anschluß jeder Teilnehmerstation an mehrere DC-Netze aufwandsmäßig<br />
nicht lohnend, vorhandene modulo-Addierer mittels Multiplexern für mehrere der DC-Netze zu<br />
verwenden, da Multiplexer nicht wesentlich ger<strong>in</strong>geren Aufwand als die beschriebenen modulo-<br />
Addierer verursachen. In §5.4.5.6 wird außerdem noch ausführlich dargestellt, daß e<strong>in</strong> (möglichst<br />
weitgehender) Verzicht auf geme<strong>in</strong>same Teile e<strong>in</strong>en gleichzeitigen Ausfall mehrerer DC-Netze<br />
unwahrsche<strong>in</strong>licher macht <strong>und</strong> deshalb wünschenswert ist.<br />
Implementierung der Pseudozufallszahlengeneratoren (betr. vor allem: Z3, Z4): Da die<br />
Generierung von kryptographisch starken Pseudozufallsbit- bzw. -zahlenfolgen heutzutage für jedes<br />
DC-Netz nennenswerter Übertragungsrate nötig (vgl. §3), aber wesentlich langsamer als ihre Überlagerung<br />
<strong>und</strong> Übertragung ist, müssen ggf. mehrere Pseudozufallszahlengeneratoren parallel betrieben<br />
<strong>und</strong> ihre Ausgaben über e<strong>in</strong>en Multiplexer zu e<strong>in</strong>em um ihre Anzahl schnelleren Bitstrom verschachtelt<br />
werden.<br />
Weder der Entwurf noch die Implementierung der Pseudozufallszahlengeneratoren muß <strong>in</strong>nerhalb<br />
des DC-Netzes e<strong>in</strong>heitlich se<strong>in</strong>. Theoretisch können sich je zwei Teilnehmer auf den Entwurf e<strong>in</strong>es<br />
Pseudozufallszahlengenerators e<strong>in</strong>igen, sich zwei gleichschnelle (anderenfalls muß die schnellere<br />
langsamer arbeiten) Implementierungen beschaffen <strong>und</strong> brauchen dann nur noch e<strong>in</strong>en geme<strong>in</strong>samen<br />
<strong>und</strong> geheimen Startwert sowie möglicherweise e<strong>in</strong>en öffentlich bekannten genauen Zeitpunkt zum<br />
synchronisierten Überlagerungsbeg<strong>in</strong>n ihres Schlüssels. Der Vorteil dieser völlig dezentralen Auswahl<br />
von Pseudozufallszahlengeneratoren ist, daß sicherere <strong>und</strong> leistungsfähigere Pseudozufalls-