Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

208 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 207 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Also können Nachrichten an und damit auch Nachrichten von „mittleren“ MIXen (praktisch) nur in perfekte komplexitätstheoretische Konzelation garantierender Weise verschlüsselt werden, die durch sie erreichbare Anonymität ist also nur komplexitätstheoretischer Natur. perfekte komplexitätstheoretische Unbeobachtbarkeit der Kommunikationsbeziehung vor Unbeteiligten und – sofern gewünscht – perfekte komplexitätstheoretische Anonymität der Kommunikationspartner voreinander als auch perfekte komplexitätstheoretische Unverkettbarkeit der Kommunikationsbeziehungen erreicht (vgl. §5.1.2). Nach diesen grundsätzlichen Überlegungen über Möglichkeiten und Grenzen des Umcodierens können nun konkrete Umcodierungsschemata systematisch hergeleitet werden. Zunächst soll dies mit Verallgemeinerungen der drei in [Chau_81] einfach angegebenen und dort bezüglich ihrer Grenzen und Notwendigkeit nicht genau diskutierten Umcodierungsschemata geschehen. 5.4.6.2 Senderanonymität MIX 1 Gesucht sei ein Umcodierungsschema, das es einem Sender erlaubt, einem Empfänger eine Nachricht zukommen zu lassen, dabei aber vor ihm und allen (außer dem ersten) verwendeten MIXen anonym zu bleiben, sowie die Kommunikationsbeziehung zu verbergen, sofern nicht alle MIXe, die von der Nachricht durchlaufen werden, oder alle anderen Sender und Empfänger von Nachrichten im gleichen Zeitintervall zusammenarbeiten. Nach dem vorher Gesagten kann der Sender keinen geheimen Schlüssel mit dem Empfänger und den MIXen, vor denen er anonym bleiben will, verwenden. Also muß bezüglich ihnen ein asymmetrisches Konzelationssystem verwendet werden und der Sender dazu ihre Chiffrierschlüssel kennen. N2 N1 m MIX N2 N1 n MIX Mit den zur Verschlüsselung geeigneten Schlüsseln kann der Sender entweder die Nachricht direkt (direktes Umcodierungsschema für Senderanonymität) oder einen eine weitere Nachrichtenumcodierung spezifizierenden geheimen Schlüssel (indirektes Umcodierungsschema für Senderanonymität, wird weiter unten und dort gleich in der allgemeineren Form eines indirekten Umcodierungsschemas behandelt) verschlüsseln. Bild 5-23: Maximaler Schutz: MIXe gleichzeitig und deshalb in gleicher Reihenfolge durchlaufen Direktes Umcodierungsschema für Senderanonymität: Der Absender einer Nachricht verschlüsselt sie so mit öffentlich bekannten Chiffrierschlüsseln eines asymmetrischen Konzelationssystems (bzw. für den ersten MIX der zu durchlaufenden MIX-Folge ggf. mit einem mit ihm vereinbarten geheimen Schlüssel eines symmetrischen Konzelationssystems), daß sie nacheinander von der von ihm gewählten Folge von MIXen mit deren zugehörigen geheimgehaltenen Dechiffrierschlüsseln (bzw. ggf. mit dem mit dem ersten MIX vereinbarten geheimen Schlüssel eines symmetrischen Konzelationssystems) entschlüsselt werden muß. Dadurch ändert sich das Erscheinungsbild der Nachricht auf jedem Stück ihres Weges, so daß ihr Weg (außer wenn alle MIXe, die sie durchläuft, zusammenarbeiten oder der Sender kooperiert oder alle anderen Sender und Empfänger von Nachrichten im gleichen Zeitintervall (genauer: Schub) zusammenarbeiten) nicht verfolgt werden kann. Sei A1 ,...,An die Folge der Adressen und c1 ,...,cn die Folge der öffentlich bekannten Chiffrierschlüssel der vom Sender gewählten MIX-Folge MIX1 ,...,MIXn , wobei c1 auch ein geheimer Schlüssel eines symmetrischen Konzelationssystems sein kann. Sei An+1 die Adresse des Empfängers, der zur Vereinfachung der Notation MIXn+1 genannt wird, und cn+1 sein Chiffrierschlüssel. Sei z1 ,...,zn eine Folge zufälliger Bitketten (bit strings; die Bildung des deutschen Begriffes erfolgte in Analogie zu „Zeichenkette“). Ist c1 ein geheimer Schlüssel eines symmetrischen Konzelationssystems, so kann z1 die leere Bitkette sein. Ist ci ein Chiffrierschlüssel eines bereits von sich aus indeterministisch verschlüsselnden asymmetrischen Konzelationssystems, so kann zi ebenfalls die leere Bitkette sein. Der Sender bildet die Nachrichten Ni , die MIXi erhalten wird, ausgehend von der Nachricht N, die der Empfänger (MIXn+1) erhalten soll: Das Umcodieren der MIXe muß natürlich so gestaltet werden, daß der Empfänger die Nachricht trotzdem verstehen kann: Sofern die Nachricht bei ihm verschlüsselt ankommt, muß er alle zur Entschlüsselung notwendigen Schlüssel sowie die richtige Reihenfolge ihrer Anwendung bereits kennen oder während des Entschlüsselungsprozesses selbst kennenlernen. Außerdem muß natürlich jeder MIX in der Lage sein, die von ihm erwartete Umcodierung durchzuführen, er muß also den Schlüssel zur Ver- oder Entschlüsselung entweder bereits kennen oder während des Prozesses der Umcodierung selbst kennenlernen. Eine verschlüsselnde Umcodierung einer Nachricht muß also letztlich vom Empfänger dem durchführenden MIX spezifiziert werden, eine entschlüsselnde Umcodierung einer Nachricht von ihrem Sender. Nn+1 = cn+1(N) Ni = ci (zi ,Ai+1 ,Ni+1 ) für i=n,...,1 Außerdem dürfen die vom MIX zu verwendenden Schlüssel diesem nichts Wesentliches über die Identität des Senders oder Empfängers der Nachricht verraten. Es ist wohl akzeptabel, daß der erste MIX einer Nachricht ihren Sender kennt und, sofern keine Verteilung zum Schutz des Empfängers verwendet wird, der letzte MIX den Empfänger. Einem „mittleren“ MIX sollte der zu verwendende Schlüssel nichts über den Sender oder Empfänger verraten, so daß in diesem Fall die Verwendung eines statisch fest ausgetauschten geheimen Schlüssels und damit informationstheoretische Konzelation praktisch nicht möglich ist. (In §5.4.5.4 wurde mit dem paarweisen überlagernden Empfangen zwar eine auf Senderanonymität basierende Methode zum Austausch eines Schlüssels beschrieben. Ist die Senderanonymität informationstheoretisch, so erfolgt der Schlüsselaustausch – ebenfalls in der informationstheoretischen Modellwelt – in Konzelation und Integrität garantierender sowie Anonymität erhaltender Weise. Da informationstheoretische Senderanonymität möglich, aber mit sehr, sehr großem Aufwand verbunden ist, ist das angedeutete Schlüsselaustausch-Verfahren zwar möglich, aber praktisch kaum anwendbar.) Bei „mittleren“ MIXen müssen daher öffentliche Schlüssel und damit asymmetrische Konzelationssysteme verwendet werden.
210 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 209 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr cj ist der Chiffrier-, dj der Dechiffrierschlüssel von MIX j. zi sind zufällige Bitketten, N i Nachrichten. Der Sender sendet N1 an MIX1 . Jeder MIX erhält nach der Entschlüsselung die Adresse des nächsten und die für diesen bestimmte Nachricht. Die Mitverschlüsselung zufälliger Bitketten ist bei Verwendung eines deterministischen asymmetrischen Konzelationssystems nötig, da ein Angreifer ansonsten nicht nur kurze Standardnachrichten erraten und mit dem öffentlich bekannten Chiffrierschlüssel testen kann, sondern in diesem Fall sogar (ganz ohne Raten) die gesamte Ausgabe des MIXes testen könnte. ,N3)) c 1(z4 ,c2(z1,N1)) c1(z5 ,c2(z2,N2)) c1(z6 ,c2(z3 MIX 1 ignoriert Wiederholungen, puffert Nachrichten, codiert Nachrichten um durch d 1(c 1(z i,N' i)) = (z i,N'), i ignoriert z i, sortiert N' i um, gibt N'i aus. Bei diesem direkten Umcodierungsschema für Senderanonymität ist das Umcodieren einer Nachricht (zumindest bei allen außer dem ersten MIX) vollständig durch den jeweils öffentlich bekannten Chiffrierschlüssel bestimmt. Um nicht über Nachrichtenhäufigkeiten Entsprechungen zwischen Einund Ausgabe dieser MIXe entstehen zu lassen, bearbeitet jeder MIX, solange er sein Schlüsselpaar beibehält, mit dem zugehörigen geheimgehaltenen Dechiffrierschlüssel nur unterschiedliche Eingabe- Nachrichten. Erhält ein MIX während dieser Zeitspanne eine Eingabe-Nachricht mehrmals mit dem Auftrag, sie mit seinem geheimgehaltenen Dechiffrierschlüssel zu entschlüsseln, ignoriert er ihr wiederholtes Eintreffen. ,N 2 ) c 2(z 1 ,N 1) c2(z2 c 2 (z 3 ,N 3 ) MIX 2 ignoriert Wiederholungen, puffert Nachrichten, codiert Nachrichten um durch d1 (c 1 (zi ,Ni )) = (zi ,N i), ignoriert z i, sortiert N i um, gibt Ni aus. N 1 N 3 N 2 Bild 5-24: MIXe verbergen den Zusammenhang zwischen einund auslaufenden Nachrichten Das bereits verbal beschriebene direkte Umcodierungsschema für Senderanonymität ist in Bild 5-24 anhand zweier MIXe noch einmal graphisch dargestellt. Allerdings wurden dort die Adressen weggelassen und die Indizes von Nachrichten und zufälligen Bitketten nur zu deren Unterscheidung benutzt, da bei Verwendung der Indizierungskonvention des rekursiven Bildungsschemas eine Doppelindizierung nötig geworden wäre. In Bild 5-25 wird ein etwas größeres Beispiel (n=5) in einer graphischen Darstellung gezeigt, die betont, wer welche Schlüssel kennt und in welcher Reihenfolge Nachrichten verschlüsselt, transferiert und entschlüsselt.
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60: 106 A. Pfitzmann: Datensicherheit u
Seite 109: 206 A. Pfitzmann: Datensicherheit u
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?