Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
222<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
221<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
Rj<br />
Blöcke<br />
zufälligen Inhalts<br />
Blöcke mit<br />
Nachrichten<strong>in</strong>halt<br />
1 2 3 ••• m+2- j m+3- j m+4- j ••• b+1<br />
j b+2-j b+3 j ••• b<br />
Z<br />
j -1<br />
j<br />
N<br />
kennt kennt kennt kennt kennt kennt kennt<br />
c1 ,c2 ,c3 , c1 ,c2 ,c3 , c1 ,c2 ,c3 , c1 ,c2 ,c3 , c1 ,c2 ,c3 , c1 ,c2 ,c3 , c1 ,c2 ,c3 ,<br />
c4 ,c5 ,cE , c4 ,c5 ,cE , c4 ,c5 ,cE , c4 ,c5 ,cE , c4 ,c5 ,cE , c4 ,c5 ,cE , c4 ,c5 ,cE ,<br />
dS d1 d2 d3 d4 d5 dE ,cS k j (R j +1)<br />
+1<br />
R j<br />
k , A<br />
j j +1<br />
Z j<br />
erfährt<br />
kS bildet bildet<br />
zufällig erfährt erfährt erfährt erfährt erfährt zufällig<br />
k3 ,k2 ,k1 k1 k2 k3 k4 k5 k5 ,k4 ,kS b<br />
b+2-j ••• b -1<br />
b+1 j<br />
b - j<br />
1 2 ••• m+1- j m+2- j m+3- j •••<br />
j +1<br />
N<br />
E<br />
MIX 5<br />
MIX 4<br />
MIX 3<br />
MIX 2<br />
MIX 1<br />
S<br />
Blöcke<br />
zufälligen Inhalts<br />
Blöcke mit<br />
Nachrichten<strong>in</strong>halt<br />
k j +1(R<br />
j +2 )<br />
k c k<br />
5 8<br />
5 5<br />
1 c k<br />
4 4<br />
c k<br />
S S<br />
d<br />
5<br />
7<br />
k<br />
4<br />
d<br />
4<br />
d j umcodieren mit k j<br />
entschlüsseln mit<br />
2<br />
6<br />
k3<br />
d3<br />
Nachrichtenkopf<br />
Bild 5-31: Indirektes längentreues Umcodierungsschema für spezielle symmetrische Konzelationssysteme<br />
5<br />
d 2 k 2<br />
4<br />
c3<br />
k3 dSk S<br />
c k<br />
2 2<br />
3<br />
c k d k<br />
1 1 1 1<br />
Wird willkürlich festgelegt, daß jeder MIX alle Blöcke der Nachricht verschlüsselt, so erhält man das<br />
e<strong>in</strong>zige längentreue Umcodierungsschema, das <strong>in</strong> [Chau_81] angegeben ist. Wie bereits erwähnt,<br />
wird e<strong>in</strong>e überflüssige Verschlüsselung des angefügten Blocks zufälligen Inhalts vermieden:<br />
Rm+1 = [e]<br />
Rj = [cj (kj ,Aj+1 )],k -1<br />
j (Rj+1 ) für j=m,...,1<br />
k S<br />
k S<br />
k 4<br />
9<br />
7<br />
k 4<br />
6<br />
k 3<br />
Nachrichten<strong>in</strong>halt<br />
k 3<br />
N1 = R1 ,I1 ; I1 = k0 (I) = k0 ([I1]),...,k0 ([Ii])<br />
Nj = Rj ,Ij ; Ij = kj-1 (Ij-1 ),[Zj-1 ] für j=2,...,m+1<br />
k<br />
k 5<br />
k 2<br />
3<br />
5<br />
8<br />
5<br />
k<br />
1<br />
k<br />
2<br />
k<br />
1<br />
4<br />
Handelt es sich beim Nachrichten<strong>in</strong>halt I um Klartext, kann der Empfänger ihn nur verstehen, wenn<br />
er die Schlüssel k0, k1, ..., km+1 kennt, es sich also mit anderen Worten bei (k0,A1,R 1) um e<strong>in</strong>e<br />
anonyme Rückadresse handelt <strong>und</strong> damit das Umcodierungsschema für Empfängeranonymität e<strong>in</strong>gesetzt<br />
wird.<br />
Soll das Umcodierungsschema für Senderanonymität e<strong>in</strong>gesetzt werden, so generiert der Sender<br />
die Schlüssel k1, k2, ..., km <strong>und</strong> muß den Chiffrierschlüssel cm+1 <strong>und</strong> die Adresse Am+1 des Empfängers<br />
kennen. Damit der Nachrichten<strong>in</strong>halt vom Empfänger verstanden werden kann, muß ihn der<br />
Sender vor dem Absenden der Nachricht mit den von ihm generierten Schlüsseln entschlüsseln. Von<br />
den obigen Formeln ist lediglich die für I1 zu modifizieren:<br />
für Senderanonymität für Empfängeranonymität<br />
Entschlüsselung<br />
Verschlüsselung<br />
beobachtbarer<br />
Transfer<br />
unbeobachtbarer<br />
Transfer<br />
Bild 5-30: Indirektes Umcodierungsschema für Sender- <strong>und</strong> Empfängeranonymität<br />
I1 = k -1<br />
1 (k2 -1 (...km -1<br />
(cm+1(I1))...)) = k -1<br />
1 (k2 -1 (...km -1 (cm+1([I1]))...)),...,k -1<br />
1 (k2 -1 (...km -1 (cm+1([Ii]))...))<br />
5.4.6.6 Effizientes Vermeiden wiederholten Umcodierens<br />
Wie nach den bisherigen drei Beispielen zu vermuten, müssen MIXe bezüglich aller Umcodierungsschemata<br />
darauf achten, daß ke<strong>in</strong>e spezielle Umcodierung (d.h. gleicher umzucodierender<br />
Nachrichtenteil, gleiches Konzelationssystem <strong>und</strong> gleicher, die Umcodierung dann genau spezifizierender<br />
Schlüssel) mehrmals ausgeführt wird. Anderenfalls könnte e<strong>in</strong> Angreifer ihnen mehrmals<br />
unterschiedliche Nachrichten mit demselben Nachrichtenteil schicken <strong>und</strong> beobachten, welcher<br />
Ausgabe-Nachrichtenteil sich <strong>in</strong> den entsprechenden MIX-Ausgaben <strong>in</strong> der entsprechenden Häufig-<br />
Hat das symmetrische Konzelationssystem zusätzlich zu der <strong>in</strong> §3 für alle Schlüssel k <strong>und</strong> Klartexte x<br />
geforderten Eigenschaft k-1 (k(x)) = x auch die Eigenschaft k(k-1 (x)) = x, d.h. s<strong>in</strong>d nicht nur<br />
Ver- <strong>und</strong> Entschlüsselung, sondern auch Ent- <strong>und</strong> Verschlüsselung zue<strong>in</strong>ander <strong>in</strong>vers, so braucht<br />
beim obigen <strong>in</strong>direkten längentreuen Umcodierungsschema nicht zwischen dem Gebrauch für Senderoder<br />
Empfängeranonymität unterschieden zu werden, wie im folgenden erläutert wird. Zusätzlich<br />
kann damit dem e<strong>in</strong>zelnen MIX auch die Kenntnis von m als obere Schranke für die Anzahl der zu<br />
durchlaufenden MIXe als auch b-m-1 als obere Schranke für die Länge (<strong>in</strong> Blöcken) des Nachrichten<strong>in</strong>halts<br />
vorenthalten werden: Statt als m+1-ten Block fügt jeder MIX se<strong>in</strong>en Block zufälligen<br />
Inhalts als letzten Block an. Der Empfänger erhält den Nachrichten<strong>in</strong>halt dann <strong>in</strong> den Blöcken ab<br />
Block zwei statt <strong>in</strong> den letzten Blöcken, vgl. Bild 5-31.