Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
224<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
223<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
Implementierung werden beispielsweise die zufälligen Bitketten (vgl. §5.4.6.2) als dieser Teil<br />
gewählt.<br />
Die 4. Möglichkeit spart gegenüber der 3. den Aufwand der Anwendung der Hashfunktion, setzt<br />
aber für die Speichereffizienz voraus, daß e<strong>in</strong> Nachrichtenteil hoher Zufälligkeit (<strong>in</strong> der Fachsprache:<br />
Entropie) gewählt wird. Zufällige Bitketten haben natürlich diese Eigenschaft. Die MIXmaster-<br />
Implementierung ist also geschickt gemacht.<br />
Mittels des im folgenden beschriebenen Verfahrens des anonymen Abrufs kann die 1. <strong>und</strong> 2.<br />
Möglichkeit zur Verkle<strong>in</strong>erung des Speicher- <strong>und</strong> Nachrichtenvergleichsaufwands der MIXe auch bei<br />
Schutz des Empfängers angewandt werden: Statt e<strong>in</strong>er anonymen Rückadresse (mit langer Gültigkeit)<br />
wird e<strong>in</strong>em Partner nur e<strong>in</strong>e Kennzahl mitgeteilt. Der Partner sendet se<strong>in</strong>e mit der Kennzahl adressierte<br />
<strong>und</strong> Ende-zu-Ende-verschlüsselte Antwort unter Verwendung e<strong>in</strong>es Senderanonymitätsschemas an<br />
die <strong>in</strong> diesem Abschnitt schon mehrmals erwähnte, beim anonymen Abruf e<strong>in</strong>e Zwischenspeicherung<br />
durchführende, nichtanonyme Instanz X. H<strong>in</strong> <strong>und</strong> wieder sendet die Teilnehmerstation des Empfängers<br />
unter Verwendung e<strong>in</strong>es Senderanonymitätsschemas e<strong>in</strong>e anonyme Rückadresse an X, mit der<br />
sie <strong>in</strong> e<strong>in</strong>er festgelegten Schubfolge die Antwort erhält, sofern diese schon e<strong>in</strong>getroffen ist. Obwohl<br />
beim anonymen Abruf offensichtlich mehr Nachrichten zu senden s<strong>in</strong>d, dürfte der Vorteil, daß jeweils<br />
vorher genau bekannt ist, wer welche Umcodierung <strong>in</strong> welchem Schub durchführen wird, <strong>und</strong><br />
deshalb sowohl die 1., als auch die 2. Möglichkeit anwendbar s<strong>in</strong>d, den Speicher- <strong>und</strong> Nachrichtenvergleichsaufwand<br />
der MIXe so sehr verkle<strong>in</strong>ern, daß trotzdem <strong>in</strong>sgesamt der Aufwand wesentlich<br />
gesenkt wird.<br />
Das Verfahren des anonymen Abrufs ist <strong>in</strong>sbesondere dort relevant, wo wegen schmalbandiger<br />
Teilnehmeranschlußleitungen Verteilung zum Schutz des Empfängers nicht anwendbar ist, vgl. §5.5.<br />
keit wiederholt <strong>und</strong> damit diesen MIX auch bezüglich der den Nachrichtenteil ursprünglich enthaltenden<br />
Nachricht überbrücken.<br />
E<strong>in</strong>e, leider falsche, Idee, die man bezüglich der Lösung dieses ggf. <strong>in</strong> jedem MIX viel Speicher<strong>und</strong><br />
auch Nachrichtenvergleichsaufwand verursachenden Problems haben kann, besteht dar<strong>in</strong>, dem<br />
Angreifer den Zugriff auf Nachrichten (<strong>und</strong> damit auch auf Nachrichtenteile) zwischen MIXen bzw.<br />
zwischen Sender <strong>und</strong> erstem sowie letztem MIX <strong>und</strong> Empfänger jeweils durch virtuelle Verb<strong>in</strong>dungs-<br />
Verschlüsselung zu verwehren. Der Fehler dieser Idee besteht dar<strong>in</strong>, daß so natürlich nur den am<br />
Umcodieren dieser Nachricht Unbeteiligten der beschriebene Angriff unmöglich wird, nicht jedoch<br />
den Beteiligten, <strong>in</strong>sbesondere den beteiligten MIXen. Der erste <strong>und</strong> letzte MIX zusammen könnten<br />
dann nämlich immer noch die Kommunikationsbeziehung aufdecken, <strong>in</strong>dem sie e<strong>in</strong>en Nachrichtenteil<br />
der vom ersten MIX auszusendenden Nachricht mehrmals auf die Reise durch alle „mittleren“ (<strong>und</strong> <strong>in</strong><br />
diesem Fall völlig unnützen) MIXe schicken.<br />
Somit bleiben nur vier Möglichkeiten, den Speicher- <strong>und</strong> Nachrichtenvergleichsaufwand zu<br />
verkle<strong>in</strong>ern: Wie <strong>in</strong> [Chau_81 Seite 85] beschrieben, können<br />
1. die öffentlich bekannten Dechiffrierschlüssel der MIXe öfter gegen neue ausgetauscht werden<br />
oder<br />
2. die Teile, deren Umcodierung durch den öffentlichen Dechiffrierschlüssel des betreffenden<br />
MIXes spezifiziert ist, e<strong>in</strong>en „Zeitstempel“ enthalten, der den e<strong>in</strong>deutigen112 Zeitpunkt ihrer<br />
e<strong>in</strong>zigzulässigen Umcodierung bestimmt.<br />
Letzteres senkt den Aufwand fast auf Null, jedoch ist beides für die Anwendung bezüglich bzw.<br />
<strong>in</strong> anonymen Rückadressen denkbar schlecht geeignet, soll der Sender frei wählen können, wann er<br />
antwortet.<br />
Deshalb ist die <strong>in</strong> [Pfi1_85 Seite 74f] genannte<br />
3. Möglichkeit wichtig, statt der mit den geheimgehaltenen Dechiffrierschlüsseln der MIXe<br />
umzucodierenden Nachrichtenteile, die nach der Def<strong>in</strong>ition e<strong>in</strong>es asymmetrischen Konzelationssystems<br />
m<strong>in</strong>destens h<strong>und</strong>ert, aus Gründen der <strong>Sicherheit</strong> der heute bekannten asymmetrischen<br />
Konzelationssysteme viele h<strong>und</strong>ert Bit lang se<strong>in</strong> müssen, das Bild dieser Nachrichtenteile<br />
unter e<strong>in</strong>er ihre variable Länge auf e<strong>in</strong>e konstante Länge, z.B. 50 Bit, verkürzende Hashfunktion<br />
zu speichern.<br />
Diese Hashfunktion muß lediglich ihren Urbildraum <strong>in</strong> etwa gleichmäßig auf ihren Bildraum<br />
abbilden – es darf durchaus mit vertretbarem Aufwand möglich se<strong>in</strong>, zwei Urbilder zu f<strong>in</strong>den, die auf<br />
dasselbe Bild abgebildet werden. Bevor e<strong>in</strong> MIX se<strong>in</strong>en geheimgehaltenen Dechiffrierschlüssel auf<br />
e<strong>in</strong>en Nachrichtenteil anwendet, bildet er se<strong>in</strong> Bild unter der Hashfunktion <strong>und</strong> prüft, ob es schon <strong>in</strong><br />
se<strong>in</strong>er Bereits-gemixt-Liste verzeichnet ist. Wenn ja, ignoriert er die Nachricht, wenn ne<strong>in</strong>, wird das<br />
Bild <strong>in</strong> se<strong>in</strong>e Bereits-gemixt-Liste e<strong>in</strong>getragen <strong>und</strong> die Entschlüsselung durchgeführt. Der Nachteil<br />
dieses Verfahrens ist, daß mit sehr kle<strong>in</strong>er Wahrsche<strong>in</strong>lichkeit die Situation auftritt, daß zufällig zwei<br />
verschiedene Nachrichtenteile auf dasselbe Bild abgebildet werden <strong>und</strong> deshalb der später<br />
ankommende fälschlicherweise nicht bearbeitet wird. In diesem Fall muß der Sender es mit e<strong>in</strong>er<br />
anderen Nachricht, etwa <strong>in</strong>dem er Schlüssel oder zufällige Bitketten ändert, noch mal probieren. Daß<br />
er dies kann, erfordert Fehlertoleranz-Maßnahmen, die aber aus anderen Gründen viel dr<strong>in</strong>gender <strong>und</strong><br />
häufiger (kurz: sowieso) gebraucht <strong>und</strong> <strong>in</strong> [Pfit_89 §5.3] ausführlich behandelt s<strong>in</strong>d.<br />
E<strong>in</strong>e 3. sehr ähnliche Möglichkeit wird <strong>in</strong> e<strong>in</strong>er im Internet verbreiteten MIX-Implementierung<br />
(MIXmaster) gewählt:<br />
4. es wird e<strong>in</strong> bestimmter Teil der Nachricht gespeichert (<strong>und</strong> jeweils verglichen). Dies kann e<strong>in</strong><br />
Teil der umzucodierenden Nachricht se<strong>in</strong> oder auch der umcodierten. Bei der MIXmaster-<br />
5.4.6.7 Kurze Vorausschau<br />
Wird all das bisher Gesagte beachtet, so ist die schlimmste Folge e<strong>in</strong>es verändernden Angriffs<br />
(oder Fehlers) durch e<strong>in</strong>en MIX der Verlust e<strong>in</strong>er Nachricht, nicht jedoch der Verlust der Anonymität<br />
der Kommunikationsbeziehung. Durch öffentlichen Zugriff auf die von MIXen gesendeten Nachrichten<br />
oder – auch im Falle von virtueller Verb<strong>in</strong>dungs-Verschlüsselung wirksam – ihr Signieren mit<br />
e<strong>in</strong>em MIX-spezifischen Signierschlüssel ist e<strong>in</strong> Verlust jedoch feststellbar <strong>und</strong> beweisbar, vgl.<br />
§5.4.7. Durch geeignete Fehlertoleranz-Maßnahmen ist zudem die Wahrsche<strong>in</strong>lichkeit des Verlustes<br />
von Nachrichten durch Ausfall e<strong>in</strong>es MIXes (e<strong>in</strong> ausgefallener MIX <strong>in</strong>nerhalb der MIX-Folge e<strong>in</strong>er<br />
Nachricht reicht, um sie zu verlieren!) zu verm<strong>in</strong>dern, wie <strong>in</strong> dem bereits angekündigten §5.4.6.10<br />
gezeigt wird.<br />
Wegen der Zeitverzögerung durch Warten auf Nachrichten, durch Prüfen auf Wiederholungen <strong>und</strong><br />
Umsortieren der Nachrichten sowie wegen des Zeitaufwandes für die Entschlüsselungen <strong>in</strong> e<strong>in</strong>em<br />
asymmetrischen Konzelationssystem ist das soweit beschriebene Verfahren der umcodierenden MIXe<br />
nicht für Anwendungen geeignet, die kurze Übertragungszeiten fordern.<br />
Wandelt man dieses Verfahren aber wie erstmals <strong>in</strong> [Pfi1_85 Seite 25-29] beschrieben ab, so kann<br />
man anonyme Kanäle schalten, die z.B. den Realzeitanforderungen des Telefonverkehrs genügen<br />
<strong>und</strong> <strong>in</strong> §5.4.6.9 genauer erklärt werden. Hierzu wird zum Kanalaufbau e<strong>in</strong>e spezielle Nachricht nach<br />
dem oben beschriebenen Verfahren übertragen, die jedem gewählten MIX e<strong>in</strong>en Schlüssel e<strong>in</strong>es<br />
schnelleren symmetrischen Konzelationssystems übergibt, den dieser MIX von da an für die Entschlüsselung<br />
des Verkehrs auf diesem Kanal verwendet. Das Umcodieren bei Kanälen nützt natürlich<br />
nur dann etwas, wenn m<strong>in</strong>destens zwei Kanäle von gleicher Kapazität durch denselben MIX gleichzeitig<br />
auf- <strong>und</strong> abgebaut werden.<br />
112 Es kann auch s<strong>in</strong>nvoll se<strong>in</strong>, mit dem Zeitstempel festzulegen, wann die Nachricht spätestens umcodiert wird. Dies<br />
ermöglicht e<strong>in</strong> Abwägen zwischen dem Kle<strong>in</strong>halten der Bereits-gemixt-Liste <strong>und</strong> der flexiblen Verwendung von<br />
beispielsweise Rückadressen.