Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
216<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
215<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
schlüssel dj <strong>und</strong> f<strong>in</strong>det als Ergebnis dieser Entschlüsselung e<strong>in</strong>en Schlüssel kj e<strong>in</strong>es auf die Blocklänge<br />
abgestimmten symmetrischen Konzelationssystems (e<strong>in</strong> asymmetrisches Konzelationssystem,<br />
praktischerweise dasselbe, das von den MIXen verwendet wird, ist auch möglich, aber aufwendiger)<br />
zum Umcodieren der übrigen Nachricht <strong>und</strong> die Adresse Aj+1 des nächsten MIXes (oder Empfängers).<br />
Der Empfänger f<strong>in</strong>det als Adresse des nächsten MIXes (oder Empfängers) se<strong>in</strong>e eigene <strong>und</strong><br />
erkennt daran, daß er der Empfänger dieser Nachricht ist. Dieser erste Block von Nj wird von den<br />
folgenden MIXen (bzw. dem Empfänger) nicht benötigt <strong>und</strong> deshalb von MIXj weggeworfen. Mit kj codiert MIXj die restlichen b-1 Blöcke um <strong>und</strong> hängt vor den ersten Block mit Nachrichten<strong>in</strong>halt, um<br />
die Länge der Nachricht nicht zu ändern, e<strong>in</strong>en Block zufälligen Inhalts Zj (<strong>in</strong> [Chau_81 Seite 87]<br />
wird auch dieser Block mit kj umcodiert, was, da er zufälligen Inhalt hat, überflüssig ist).<br />
gleiche MIX-Reihenfolge: Abnehmende Nachrichtenlängen s<strong>in</strong>d ke<strong>in</strong> Problem<br />
MIX 1 MIX 2 MIX 3<br />
Rj<br />
Blöcke mit<br />
Nachrichten<strong>in</strong>halt<br />
Blöcke<br />
zufälligen Inhalts<br />
verschiedene MIX-Reihenfolgen: Abnehmende Nachrichtenlängen s<strong>in</strong>d e<strong>in</strong> Problem<br />
1 2 3 ••• m+2- j m+3- j m+4- j ••• m +1 m+2 m +3 ••• b<br />
Z<br />
j -1<br />
j<br />
N<br />
k (R )<br />
j j +1<br />
MIX 3<br />
MIX 1<br />
+1<br />
R j<br />
k , A<br />
j j +1<br />
Z j<br />
b<br />
•••<br />
m +3<br />
m+2<br />
m +1<br />
1 2 ••• m+1- j m+2- j m+3- j ••• m<br />
Blöcke<br />
zufälligen Inhalts<br />
k j +1(R<br />
j +2)<br />
j +1<br />
N<br />
Blöcke mit<br />
Nachrichten<strong>in</strong>halt<br />
entschlüsseln mit d j umcodieren mit kj<br />
Bild 5-27: Indirektes längentreues Umcodierungsschema<br />
MIX 2<br />
Damit dies klappt, wird der vom Sender verwendete (Rück-)Adreßteil R1 (ausgehend von e<strong>in</strong>em<br />
zufällig gewählten e<strong>in</strong>deutigen Namen e) nach dem folgenden rekursiven Schema gebildet:<br />
Rm+1 = [e]<br />
Rj = [cj(kj,Aj+1)],kj(Rj+1) für j=m,...,1<br />
Das Bildungsschema der Nachrichten Nj <strong>und</strong> <strong>in</strong>sbesondere die Längentreue dieses rekursiven Umcodierungsschemas<br />
ist <strong>in</strong> Bild 5-27 veranschaulicht. Da MIXj se<strong>in</strong>en Index j nicht zu kennen braucht,<br />
braucht er zwischen Blöcken des (Rück-)Adreßteils <strong>und</strong> Blöcken zufälligen Inhalts nicht unterscheiden<br />
zu können. Bezogen auf Bild 5-27 bedeutet dies, daß MIXj lediglich von Block m+1 der<br />
Nachricht Nj+1 weiß, daß er e<strong>in</strong> Block zufälligen Inhalts (im Bild: grau h<strong>in</strong>terlegt) ist.<br />
Bild 5-26: Abnehmende Nachrichtenlänge beim Umcodieren<br />
Deshalb ist es wünschenswert, e<strong>in</strong> Umcodierungsschema zu haben, daß die Länge e<strong>in</strong>er Nachricht<br />
beim Umcodieren gleich läßt, so daß ihr (außer ihren ursprünglichen Generierern) niemand ansehen<br />
kann, wie oft so bereits bzw. noch umcodiert wurde bzw. werden muß. Außerdem sollten – wie zu<br />
Beg<strong>in</strong>n dieses Abschnittes gezeigt – alle Nachrichten gleiche Länge haben <strong>und</strong> auch durch das verwendete<br />
Umcodierungsschema nicht unterschieden werden. Gesucht wird also e<strong>in</strong> universelles<br />
längentreues Umcodierungsschema, das nach dem bei der Herleitung e<strong>in</strong>es Umcodierungsschemas<br />
für Empfängeranonymität Gesagten zwangsläufig e<strong>in</strong> <strong>in</strong>direktes Umcodierungsschema se<strong>in</strong> muß.<br />
Da alle MIXe m erfahren müssen, um zu wissen, wo sie ihren Block zufälligen Inhalts<br />
e<strong>in</strong>fügen sollen, kennen sie damit sowohl m als obere Schranke für die Anzahl der zu<br />
durchlaufenden MIXe als auch b-m-1 als obere Schranke für die Länge (<strong>in</strong> Blöcken)<br />
des Nachrichten<strong>in</strong>halts.<br />
Dem Bildungsschema des (Rück-)Adreßteils ist zu entnehmen, daß alle Blöcke des (Rück-)Adreßteils<br />
außer dem ersten von MIXj mit kj zu entschlüsseln s<strong>in</strong>d. Ob die letzten, den Nachrichten<strong>in</strong>halt enthaltenden<br />
b-m-1 Blöcke mit kj zu ent- oder zu verschlüsseln s<strong>in</strong>d, hängt davon ab, ob die Umcodierung<br />
durch MIXj der Sender- oder Empfängeranonymität dient. Soll die Umcodierung mit kj der Senderanonymität<br />
dienen, muß MIXj entschlüsseln, da der Empfänger ansonsten den Schlüssel kj auch<br />
erfahren müßte – dann wäre die Umcodierung als Schutz vor ihm aber nutzlos – oder den Nachrichten<strong>in</strong>halt<br />
nicht verstehen könnte. Entsprechend muß verschlüsselt werden, soll die Umcodierung der<br />
Indirektes längentreues Umcodierungsschema: Zusätzlich zu den beim <strong>in</strong>direkten Umcodierungsschema<br />
für Empfängeranonymität bereits e<strong>in</strong>geführten Bezeichnungen bedeuten eckige Klammern<br />
Blockgrenzen. Ausgehend vom Sender (auch MIX0 genannt) sollen der Reihe nach die MIXe<br />
MIX1 ,...,MIXm durchlaufen <strong>und</strong> schließlich der Empfänger (auch MIXm+1 genannt) erreicht werden.<br />
Der Empfänger braucht bei Erhalt der Nachricht noch nicht zu wissen, daß er ihr Empfänger ist.<br />
Er bearbeitet sie zunächst wie alle vorherigen MIXe.<br />
Jede Nachricht Nj besteht aus b Blöcken gleicher, auf das von den MIXen verwendete asymmetrische<br />
Konzelationssystem abgestimmter Länge <strong>und</strong> wird von MIXj-1 gebildet. Die ersten m+2-j<br />
Blöcke von Nj enthalten den (Rück-)Adreßteil Rj, die letzten b-m-1 Blöcke den Nachrichten<strong>in</strong>halt.<br />
Jeder MIXj entschlüsselt den ersten Block der Nachricht Nj mit se<strong>in</strong>em geheimgehaltenen Dechiffrier-