Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
228<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
227<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
bleiben können, da ansonsten Kommunikationspartner e<strong>in</strong>ander durch Zusenden falsch gebildeter<br />
Rückadressen identifizieren könnten.<br />
5.4.6.9 Schnellere Übermittlung durch MIX-Kanäle<br />
Das <strong>in</strong> den bisherigen Abschnitten erläuterte MIX-Netz ist im wesentlichen zur unbeobachtbaren<br />
Übermittlung e<strong>in</strong>zelner Nachrichten gedacht. Das MIX-Netz ist pr<strong>in</strong>zipiell aber auch für Kanäle<br />
geeignet.<br />
Im folgenden wird gezeigt, wie für Kanäle die Verzögerung durch die MIX-Operation verr<strong>in</strong>gert<br />
<strong>und</strong> die Verteilung aller Nachrichten (d.h. Kanäle) vermieden werden kann. Die sich so ergebenden<br />
MIX-Kanäle s<strong>in</strong>d zwar unter den Randbed<strong>in</strong>gungen des schmalbandigen ISDN nicht direkt e<strong>in</strong>setzbar,<br />
bilden jedoch das Gr<strong>und</strong>verfahren der durchaus e<strong>in</strong>setzbaren Zeitscheibenkanäle (vgl. §5.5.1).<br />
Die bisher unterstellte Annahme, daß b sehr viel kle<strong>in</strong>er als B ist, ist nicht nötig. E<strong>in</strong> entsprechender<br />
Angriff ist bereits immer dann möglich, wenn B so groß ist, daß e<strong>in</strong>e Wahl von f ≤ 2B-1 für den<br />
zu überbrückenden MIX „praktische“ Unverkettbarkeit von (z,N) <strong>und</strong> (z,N)•f ergibt. Die resultierende<br />
Ungleichung - 2b < z•f-z' < 2b+B-1 genügt bereits, damit der Angreifer <strong>in</strong> jeder Iteration se<strong>in</strong>es<br />
Angriffs e<strong>in</strong>en von der Iterationszahl unabhängigen Anteil der noch möglichen Nachrichten des<br />
ursprünglichen Schubes ausscheiden kann. Der Aufwand des Angriffs steigt damit lediglich um e<strong>in</strong>en<br />
logarithmischen Faktor.<br />
Ist e<strong>in</strong>e adaptive Wiederholung des Angriffs nicht möglich, etwa weil der MIX nach jedem Schub<br />
se<strong>in</strong> Schlüsselpaar wechselt, kann der Angreifer dieselbe Information wie durch se<strong>in</strong>en iterativen<br />
Angriff dadurch erhalten, daß er gleich mehrere Faktoren wählt, entsprechend mehrere Nachrichten<br />
bildet <strong>und</strong> alle diese zusammen mit der Nachricht, bezüglich der er den MIX überbrücken will, zum<br />
Mixen im selben Schub e<strong>in</strong>reicht.<br />
Es wurde bisher nicht geprüft, ob mit den <strong>in</strong> jüngerer Vergangenheit veröffentlichten Angriffen<br />
auf RSA e<strong>in</strong>e Senkung des Angriffsaufwands möglich ist.<br />
In gewisser Weise realisiert bereits die hybride Verschlüsselung Simplexkanäle:<br />
Der Hauptteil jeder Nachricht Ni ist lediglich mit e<strong>in</strong>er symmetrischen Stromchiffre verschlüsselt.<br />
Da geeignete Stromchiffren Ver- <strong>und</strong> Entschlüsselungsgeschw<strong>in</strong>digkeiten im Mbit/s-Bereich haben<br />
<strong>und</strong> jedes Bit sofort zu ver- bzw. entschlüsseln erlauben, wird die Übermittlung dieses Hauptteiles<br />
praktisch nicht verzögert.<br />
Der Anfang jeder Nachricht Ni , i > 1, wird jedoch merklich verzögert: Der erste Block der<br />
Nachricht ist asymmetrisch verschlüsselt. Zur Entschlüsselung muß meist der Empfang des gesamten<br />
ersten Blocks abgewartet werden, <strong>und</strong> die eigentliche Entschlüsselung ist bei Verwendung heutiger<br />
asymmetrischer Konzelationssysteme vergleichsweise langsam. H<strong>in</strong>zu kommt der Aufwand zur<br />
Umsortierung <strong>und</strong> für den Test auf Wiederholung von Nachrichtenanfängen.<br />
Alles bisher am Beispiel e<strong>in</strong>es direkten Umcodierungsschemas für Senderanonymität Gezeigte gilt<br />
natürlich auch für jedes <strong>in</strong>direkte Umcodierungsschema, <strong>in</strong>dem für den Angriff statt ganzer Nachrichten<br />
nur (Rück-)Adreßteile verwendet werden. Dies ist bei allen <strong>in</strong> [Chau_81] angegebenen Umcodierungsschemata<br />
möglich [PfPf_90 §3.2]. Dies kann jedoch durch Verwendung geeigneter Umcodierungsschemata,<br />
d.h. solcher, die ke<strong>in</strong>e direkt sondern nur <strong>in</strong>direkt umcodierte Teile <strong>in</strong> beobachtbarer<br />
Weise verwenden, vermieden werden. Hierbei sollte das zur <strong>in</strong>direkten Umcodierung verwendete<br />
(symmetrische) Konzelationssystem völlig anders als RSA arbeiten.<br />
Daher wird der langsame Kanalaufbau von der eigentlichen Nachrichtenübermittlung getrennt<br />
[Pfi1_85 §2.1.2] <strong>und</strong> durch eigenständige Signalisierungsnachrichten realisiert.<br />
Hierdurch wird e<strong>in</strong>e Aufteilung der verfügbaren Bandbreite des Teilnehmeranschlusses <strong>in</strong> beiden<br />
Richtungen <strong>in</strong> jeweils e<strong>in</strong>en Signalisierungsanteil für den Kanalaufbau <strong>und</strong> e<strong>in</strong>en Datenanteil für die<br />
eigentliche Nachrichtenübermittlung vorgenommen. Die Art der Aufteilung ist für das folgende<br />
Verfahren irrelevant, doch wird <strong>in</strong> diesem Abschnitt der E<strong>in</strong>fachheit halber die im ISDN verwendete<br />
statische Aufteilung <strong>in</strong> e<strong>in</strong>en Signalisierungskanal <strong>und</strong> mehrere Datenkanäle übernommen.<br />
Zum Kanalaufbau wird über den Signalisierungskanal e<strong>in</strong>e MIX-E<strong>in</strong>gabenachricht N1, genannt<br />
Kanalaufbaunachricht, gesendet, die den MIXen lediglich die für den symmetrischen Teil der<br />
hybriden Verschlüsselung benötigten Schlüssel ki , i > 1, mitteilt. Folglich wird sie von Mm nicht<br />
verteilt. Der E<strong>in</strong>heitlichkeit halber sei mit k1 im folgenden der Schlüssel k1A abgekürzt, den der<br />
Sender A mit M1 fest vere<strong>in</strong>bart hat.<br />
Jeder MIX merkt sich die Zuordnung der Kanalaufbaunachricht vom E<strong>in</strong>gabe- zum Ausgabeschub.<br />
Jeder Kanalaufbaunachricht ist nun entsprechend ihrer Position im E<strong>in</strong>gabeschub von Mi e<strong>in</strong><br />
E<strong>in</strong>gabekanal von Mi zugeordnet. Die Zuordnung der Kanalaufbaunachrichten vom E<strong>in</strong>gabe- zum<br />
Ausgabeschub von Mi def<strong>in</strong>iert zugleich auch e<strong>in</strong>e Vermittlung der E<strong>in</strong>gabekanäle von Mi auf die<br />
Ausgabekanäle von Mi , z.B. bei Frequenzmultiplex e<strong>in</strong>e Zuordnung von E<strong>in</strong>gabe- zu Ausgabefrequenzen.<br />
Damit ist durch das Mixen der Kanalaufbaunachricht e<strong>in</strong> Kanal durch alle MIXe def<strong>in</strong>iert,<br />
auf dem nun die eigentliche Nachricht übermittelt werden könnte.<br />
Die Verteilung aller Kanäle an alle Netzabschlüsse ersche<strong>in</strong>t wenig s<strong>in</strong>nvoll, da davon ausgegangen<br />
wird, daß jeder Netzabschluß nur e<strong>in</strong>ige wenige, im ISDN meist zwei Kanäle empfangen kann. Das<br />
Problem der Unbeobachtbarkeit des Empfängers vor dem Sender wird daher auf e<strong>in</strong>e etwas andere<br />
Art gelöst, ähnlich den anonymen Rückadressen <strong>in</strong> [Chau_81].<br />
Werden die zufälligen Bitketten an den Bitstellen niedrigerer Wertigkeit untergebracht, so existiert e<strong>in</strong><br />
analoger <strong>und</strong> ebenfalls erfolgreicher Angriff [PfPf_90 §3.2].<br />
E<strong>in</strong> analoger Angriff versagt, wenn statt e<strong>in</strong>er zusammenhängenden zufälligen Bitkette <strong>in</strong> nicht zu<br />
großen Abständen (möglichst also äquidistantem Abstand) genügend viele e<strong>in</strong>zelne zufällige Bits <strong>in</strong><br />
die Nachricht „e<strong>in</strong>gestreut“ <strong>und</strong> vom MIX entsprechend „herausgesiebt“ werden. Allerd<strong>in</strong>gs s<strong>in</strong>d<br />
schwächere Angriffe möglich, wenn entweder die zufälligen Bitketten kürzer als die mitverschlüsselten<br />
Nachrichten s<strong>in</strong>d oder auch nur e<strong>in</strong> größerer Block von Nachrichtenbits nicht von zufälligen Bits<br />
unterbrochen ist [PfPf_90 §3.2]. Hierbei können 10 Bits bereits als größerer Block gelten.<br />
Allerd<strong>in</strong>gs kann selbst der schwächere Angriff leicht dadurch verh<strong>in</strong>dert werden, daß die e<strong>in</strong>gestreute<br />
zufällige Bitkette <strong>und</strong> die mitverschlüsselte Nachricht durch Verschlüsselung <strong>in</strong> e<strong>in</strong>em<br />
völlig anderen (symmetrischen) Konzelationssystem (z.B. DES mit e<strong>in</strong>em öffentlich<br />
bekannten Schlüssel) vollständig „gemischt“ werden, bevor mit RSA verschlüsselt wird.<br />
E<strong>in</strong> alternativer Ansatz ist, daß die Klartexte e<strong>in</strong> geeignetes Red<strong>und</strong>anzprädikat erfüllen<br />
müssen, vgl. §3.6.4.1. Erfüllt der vom MIX entschlüsselte Klartext z,N das Red<strong>und</strong>anzprädikat<br />
nicht, gibt der MIX ke<strong>in</strong>en Teil dieser Nachricht aus. Um ausgiebiges Probieren zu verh<strong>in</strong>dern, falls<br />
man sich der kryptographischen Stärke des Red<strong>und</strong>anzprädikates nicht sicher ist, können die Sender<br />
falsch gebildeter Nachrichten durch Zusammenarbeit aller MIXe identifiziert werden: Jeder MIXi gibt<br />
zu der rückzuverfolgenden Nachricht die im Falle der Verwendung e<strong>in</strong>es determ<strong>in</strong>istischen<br />
asymmetrischen Konzelationssystems explizit mitverschlüsselte zufällige Bitkette zi an (bzw. bei<br />
Verwendung e<strong>in</strong>es <strong>in</strong>determ<strong>in</strong>istisch verschlüsselnden asymmetrischen Konzelationssystems die<br />
hierbei verwendete. Kann MIXi dies nicht, ist das <strong>in</strong>determ<strong>in</strong>istisch verschlüsselnde asymmetrische<br />
Konzelationssystem für diesen Zweck ungeeignet). Die Sender können zur Rechenschaft gezogen<br />
werden, sofern alle Nachrichtenübertragungen öffentlich s<strong>in</strong>d oder alle Nachrichten vom jeweiligen<br />
Sender (Teilnehmerstation oder MIX) authentifiziert werden. Bei der Rückverfolgung von<br />
Nachrichten ist zu beachten, daß bei Verwendung von anonymen Rückadressen nicht der Verwender,<br />
sondern nur der Generierer zur Rechenschaft gezogen wird. Der Verwender muß dabei anonym<br />
Das Problem wird zunächst umgangen, <strong>in</strong>dem der Empfänger dem Sender gleichgestellt wird: e<strong>in</strong><br />
Kanal kann als Sendekanal oder als Empfangskanal genutzt werden.