Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

228 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 227 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr bleiben können, da ansonsten Kommunikationspartner einander durch Zusenden falsch gebildeter Rückadressen identifizieren könnten. 5.4.6.9 Schnellere Übermittlung durch MIX-Kanäle Das in den bisherigen Abschnitten erläuterte MIX-Netz ist im wesentlichen zur unbeobachtbaren Übermittlung einzelner Nachrichten gedacht. Das MIX-Netz ist prinzipiell aber auch für Kanäle geeignet. Im folgenden wird gezeigt, wie für Kanäle die Verzögerung durch die MIX-Operation verringert und die Verteilung aller Nachrichten (d.h. Kanäle) vermieden werden kann. Die sich so ergebenden MIX-Kanäle sind zwar unter den Randbedingungen des schmalbandigen ISDN nicht direkt einsetzbar, bilden jedoch das Grundverfahren der durchaus einsetzbaren Zeitscheibenkanäle (vgl. §5.5.1). Die bisher unterstellte Annahme, daß b sehr viel kleiner als B ist, ist nicht nötig. Ein entsprechender Angriff ist bereits immer dann möglich, wenn B so groß ist, daß eine Wahl von f ≤ 2B-1 für den zu überbrückenden MIX „praktische“ Unverkettbarkeit von (z,N) und (z,N)•f ergibt. Die resultierende Ungleichung - 2b < z•f-z' < 2b+B-1 genügt bereits, damit der Angreifer in jeder Iteration seines Angriffs einen von der Iterationszahl unabhängigen Anteil der noch möglichen Nachrichten des ursprünglichen Schubes ausscheiden kann. Der Aufwand des Angriffs steigt damit lediglich um einen logarithmischen Faktor. Ist eine adaptive Wiederholung des Angriffs nicht möglich, etwa weil der MIX nach jedem Schub sein Schlüsselpaar wechselt, kann der Angreifer dieselbe Information wie durch seinen iterativen Angriff dadurch erhalten, daß er gleich mehrere Faktoren wählt, entsprechend mehrere Nachrichten bildet und alle diese zusammen mit der Nachricht, bezüglich der er den MIX überbrücken will, zum Mixen im selben Schub einreicht. Es wurde bisher nicht geprüft, ob mit den in jüngerer Vergangenheit veröffentlichten Angriffen auf RSA eine Senkung des Angriffsaufwands möglich ist. In gewisser Weise realisiert bereits die hybride Verschlüsselung Simplexkanäle: Der Hauptteil jeder Nachricht Ni ist lediglich mit einer symmetrischen Stromchiffre verschlüsselt. Da geeignete Stromchiffren Ver- und Entschlüsselungsgeschwindigkeiten im Mbit/s-Bereich haben und jedes Bit sofort zu ver- bzw. entschlüsseln erlauben, wird die Übermittlung dieses Hauptteiles praktisch nicht verzögert. Der Anfang jeder Nachricht Ni , i > 1, wird jedoch merklich verzögert: Der erste Block der Nachricht ist asymmetrisch verschlüsselt. Zur Entschlüsselung muß meist der Empfang des gesamten ersten Blocks abgewartet werden, und die eigentliche Entschlüsselung ist bei Verwendung heutiger asymmetrischer Konzelationssysteme vergleichsweise langsam. Hinzu kommt der Aufwand zur Umsortierung und für den Test auf Wiederholung von Nachrichtenanfängen. Alles bisher am Beispiel eines direkten Umcodierungsschemas für Senderanonymität Gezeigte gilt natürlich auch für jedes indirekte Umcodierungsschema, indem für den Angriff statt ganzer Nachrichten nur (Rück-)Adreßteile verwendet werden. Dies ist bei allen in [Chau_81] angegebenen Umcodierungsschemata möglich [PfPf_90 §3.2]. Dies kann jedoch durch Verwendung geeigneter Umcodierungsschemata, d.h. solcher, die keine direkt sondern nur indirekt umcodierte Teile in beobachtbarer Weise verwenden, vermieden werden. Hierbei sollte das zur indirekten Umcodierung verwendete (symmetrische) Konzelationssystem völlig anders als RSA arbeiten. Daher wird der langsame Kanalaufbau von der eigentlichen Nachrichtenübermittlung getrennt [Pfi1_85 §2.1.2] und durch eigenständige Signalisierungsnachrichten realisiert. Hierdurch wird eine Aufteilung der verfügbaren Bandbreite des Teilnehmeranschlusses in beiden Richtungen in jeweils einen Signalisierungsanteil für den Kanalaufbau und einen Datenanteil für die eigentliche Nachrichtenübermittlung vorgenommen. Die Art der Aufteilung ist für das folgende Verfahren irrelevant, doch wird in diesem Abschnitt der Einfachheit halber die im ISDN verwendete statische Aufteilung in einen Signalisierungskanal und mehrere Datenkanäle übernommen. Zum Kanalaufbau wird über den Signalisierungskanal eine MIX-Eingabenachricht N1, genannt Kanalaufbaunachricht, gesendet, die den MIXen lediglich die für den symmetrischen Teil der hybriden Verschlüsselung benötigten Schlüssel ki , i > 1, mitteilt. Folglich wird sie von Mm nicht verteilt. Der Einheitlichkeit halber sei mit k1 im folgenden der Schlüssel k1A abgekürzt, den der Sender A mit M1 fest vereinbart hat. Jeder MIX merkt sich die Zuordnung der Kanalaufbaunachricht vom Eingabe- zum Ausgabeschub. Jeder Kanalaufbaunachricht ist nun entsprechend ihrer Position im Eingabeschub von Mi ein Eingabekanal von Mi zugeordnet. Die Zuordnung der Kanalaufbaunachrichten vom Eingabe- zum Ausgabeschub von Mi definiert zugleich auch eine Vermittlung der Eingabekanäle von Mi auf die Ausgabekanäle von Mi , z.B. bei Frequenzmultiplex eine Zuordnung von Eingabe- zu Ausgabefrequenzen. Damit ist durch das Mixen der Kanalaufbaunachricht ein Kanal durch alle MIXe definiert, auf dem nun die eigentliche Nachricht übermittelt werden könnte. Die Verteilung aller Kanäle an alle Netzabschlüsse erscheint wenig sinnvoll, da davon ausgegangen wird, daß jeder Netzabschluß nur einige wenige, im ISDN meist zwei Kanäle empfangen kann. Das Problem der Unbeobachtbarkeit des Empfängers vor dem Sender wird daher auf eine etwas andere Art gelöst, ähnlich den anonymen Rückadressen in [Chau_81]. Werden die zufälligen Bitketten an den Bitstellen niedrigerer Wertigkeit untergebracht, so existiert ein analoger und ebenfalls erfolgreicher Angriff [PfPf_90 §3.2]. Ein analoger Angriff versagt, wenn statt einer zusammenhängenden zufälligen Bitkette in nicht zu großen Abständen (möglichst also äquidistantem Abstand) genügend viele einzelne zufällige Bits in die Nachricht „eingestreut“ und vom MIX entsprechend „herausgesiebt“ werden. Allerdings sind schwächere Angriffe möglich, wenn entweder die zufälligen Bitketten kürzer als die mitverschlüsselten Nachrichten sind oder auch nur ein größerer Block von Nachrichtenbits nicht von zufälligen Bits unterbrochen ist [PfPf_90 §3.2]. Hierbei können 10 Bits bereits als größerer Block gelten. Allerdings kann selbst der schwächere Angriff leicht dadurch verhindert werden, daß die eingestreute zufällige Bitkette und die mitverschlüsselte Nachricht durch Verschlüsselung in einem völlig anderen (symmetrischen) Konzelationssystem (z.B. DES mit einem öffentlich bekannten Schlüssel) vollständig „gemischt“ werden, bevor mit RSA verschlüsselt wird. Ein alternativer Ansatz ist, daß die Klartexte ein geeignetes Redundanzprädikat erfüllen müssen, vgl. §3.6.4.1. Erfüllt der vom MIX entschlüsselte Klartext z,N das Redundanzprädikat nicht, gibt der MIX keinen Teil dieser Nachricht aus. Um ausgiebiges Probieren zu verhindern, falls man sich der kryptographischen Stärke des Redundanzprädikates nicht sicher ist, können die Sender falsch gebildeter Nachrichten durch Zusammenarbeit aller MIXe identifiziert werden: Jeder MIXi gibt zu der rückzuverfolgenden Nachricht die im Falle der Verwendung eines deterministischen asymmetrischen Konzelationssystems explizit mitverschlüsselte zufällige Bitkette zi an (bzw. bei Verwendung eines indeterministisch verschlüsselnden asymmetrischen Konzelationssystems die hierbei verwendete. Kann MIXi dies nicht, ist das indeterministisch verschlüsselnde asymmetrische Konzelationssystem für diesen Zweck ungeeignet). Die Sender können zur Rechenschaft gezogen werden, sofern alle Nachrichtenübertragungen öffentlich sind oder alle Nachrichten vom jeweiligen Sender (Teilnehmerstation oder MIX) authentifiziert werden. Bei der Rückverfolgung von Nachrichten ist zu beachten, daß bei Verwendung von anonymen Rückadressen nicht der Verwender, sondern nur der Generierer zur Rechenschaft gezogen wird. Der Verwender muß dabei anonym Das Problem wird zunächst umgangen, indem der Empfänger dem Sender gleichgestellt wird: ein Kanal kann als Sendekanal oder als Empfangskanal genutzt werden.
230 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 229 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr M m M 1 G Kanalwunschnachricht von R • Kanalkennzeichen sRG • Schlüssel kRG • Richtung des Kanals: R → G R Der Netzabschluß R des rufenden Teilnehmers sendet über den Signalisierungskanal an den Netzabschluß G des gerufenen Teilnehmers eine Kanalwunschnachricht. Die Nachricht wird wie in Bild 5-24 dargestellt gemixt, der Ausgabeschub von Mm wird an alle Netzabschlüsse verteilt. R beabsichtigt zu senden. Ein Sendekanal ist das genaue (d.h. oben suggerierte) Analogon zur hybriden Verschlüsselung: der Sender baut den Kanal auf, verschlüsselt den Informationsstrom N fortlaufend als k1(k2(…km(N)…)) und überträgt ihn an M1. M1 entschlüsselt fortlaufend mit k1 und gibt den Nachrichtenstrom auf demselben Wege wie die zugehörige Kanalaufbaunachricht an M2 weiter. Alle MIXe verfahren ebenso, d.h. Mm bildet am Ende den Klartextstrom N. Ein Empfangskanal ist ein „rückwärts“ betriebener Sendekanal: Der Empfänger baut den Kanal auf (mit derselben Art von Kanalaufbaunachricht). Mm erhält vom Sender den nicht speziell für die MIXe codierten (aber natürlich Ende-zu-Ende-verschlüsselten) Informationsstrom N, verschlüsselt ihn mit km und leitet km(N) „zurück“ an Mm-1. Alle MIXe verfahren ebenso, d.h. M1 gibt am Ende den verschlüsselten Strom k1(…km(N)…) aus. Da der Empfänger alle Schlüssel ki kennt, kann er hieraus N bestimmen. Sende- und Empfangskanäle sind hinsichtlich ihrer Unbeobachtbarkeit völlig symmetrisch: Ebenso wie der Sender gefahrlos direkt seinen Sendekanal nutzen kann, ohne dadurch vom Empfänger identifiziert werden zu können, ist der Empfänger eines Empfangskanals vor Identifizierung durch den Sender geschützt. Hingegen ist der Empfänger eines Sendekanals durch den Sender und der Sender eines Empfangskanals durch den Empfänger beobachtbar. Bild 5-33: Verarbeitung der von R gesendeten Kanalwunschnachricht Empfangskanalaufbaunachricht von G M m M 1 G • Jeder Mi kennt/erhält Schlüssel k'i • Mm erhält Kanalkennzeichen sRG R Sendekanalaufbaunachricht von R • Jeder Mi kennt/erhält Schlüssel ki • Mm erhält Kanalkennzeichen sRG Um nun beide Vorteile zu vereinen und beide Nachteile auszuschließen, werden die eigentlichen MIX-Kanäle als Verknüpfungen von Sende- und Empfangskanälen gebildet (Bilder 5-33, 5-34, 5- 35): Der Sender baut einen Sendekanal auf, der bei Mm endet, und der Empfänger einen Empfangskanal, der bei Mm anfängt. Mm leitet den Informationsstrom, der auf dem Sendekanal eintrifft, auf den Empfangskanal um. Die zu verknüpfenden Kanäle werden durch ein gemeinsames Kanalkennzeichen bezeichnet, das Mm übereinstimmend in beiden Kanalaufbaunachrichten erhält. Es muß natürlich beiden Partnern bekannt sein, und da man kaum von statischen und außerhalb des Netzes geknüpften Beziehungen ausgehen kann, muß es vom rufenden Partner R gewählt und mit dem üblichen Schema dem gerufenen Partner G in einer Kanalwunschnachricht mitgeteilt werden (sinnvollerweise zusammen mit einem Schlüssel zur Ende-zu-Ende-Verschlüsselung und der Angabe, ob R zu senden oder zu empfangen gedenkt). In Bild 5-33 wurde willkürlich R als Sender und G als Empfänger des MIX- Kanals angenommen. Es ist natürlich möglich, die Kanalwunschnachricht und die Kanalaufbaunachricht des Rufenden zu einer einzigen Signalisierungsnachricht zusammenzufassen. Beide Netzabschlüsse bauen nun einen Kanal auf. Die Kanalaufbaunachrichten werden über den Signalisierungskanal übertragen und wie in Bild 5-24 dargestellt gemixt, aber nicht verteilt. Die MIXe merken sich die Zuordnung der Kanalaufbaunachrichten von Eingabe- zu Ausgabeschüben, Mm verknüpft anhand des gemeinsamen Kanalkennzeichens sRG den Sendekanal von R mit dem Empfangskanal von G. Bild 5-34: Verarbeiten der Kanalaufbaunachrichten
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70: 126 A. Pfitzmann: Datensicherheit u
Seite 119: 226 A. Pfitzmann: Datensicherheit u
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?