Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
232<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
231<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
getrennten MIX-Kanälen ausgegangen werden soll. Allerd<strong>in</strong>gs genügt e<strong>in</strong>e geme<strong>in</strong>same Kanalwunschnachricht.<br />
Im §5.4.1.3 wurde allgeme<strong>in</strong> beschrieben, wie e<strong>in</strong> verändernder Angriff e<strong>in</strong>es Senders auf den<br />
zugehörigen Empfänger verh<strong>in</strong>dert werden kann, <strong>in</strong> [PfPW1_89 §2.2.3] geschieht dies speziell für<br />
die hier behandelte Situation. Da aber der <strong>in</strong> [PfPW1_89 §2.2.4.2] beschriebene verändernde Angriff<br />
e<strong>in</strong>es Empfängers auf den zugehörigen Sender nicht verh<strong>in</strong>dert werden kann <strong>und</strong> auch für MIX-<br />
Kanäle möglich ist, könnte man argumentieren, daß diese Maßnahme für Duplexkanäle völlig s<strong>in</strong>nlos<br />
ist, da der Angreifer se<strong>in</strong>en Partner ja wahlweise als Sender oder als Empfänger angreifen kann.<br />
Aus praktischen Gründen ist die Verh<strong>in</strong>derung des Angriffs auf den Empfänger aber dennoch<br />
s<strong>in</strong>nvoll, da er sehr viel e<strong>in</strong>facher durchzuführen wäre als der Angriff auf den Sender: Statt, wie <strong>in</strong><br />
[PfPW1_89 §2.2.4.2] beschrieben, Senden aktiv zu stören, muß der Angreifer lediglich alle<br />
Empfangskanäle beobachten können. Zudem gel<strong>in</strong>gt der Angriff auf den Empfänger sofort, während<br />
der Angriff auf den Sender lediglich e<strong>in</strong>en Test darstellt, der dann logarithmisch <strong>in</strong> der Senderanzahl<br />
oft wiederholt werden muß, um den Sender wirklich zu f<strong>in</strong>den.<br />
M m<br />
M 1<br />
G<br />
Kanal von R an G, verknüpft von<br />
Mm anhand des geme<strong>in</strong>samen sRG<br />
R<br />
R sendet auf se<strong>in</strong>em Datenkanal Daten N verschlüsselt als k1 (…km (N)…) an M1 . Der Kanal wird<br />
von M1 über die weiteren MIXe bis zu Mm wie die Sendekanalaufbaunachricht <strong>in</strong> Bild 5-34<br />
weitergeleitet <strong>und</strong> dabei werden die Daten entschlüsselt. Mm verschlüsselt N mit k'm . Der Kanal<br />
wird zurückgeleitet <strong>und</strong> dabei werden die Daten verschlüsselt, G erhält über se<strong>in</strong>en Datenkanal<br />
Da für die eigentlichen MIX-Kanäle die üblicherweise aufwendigsten MIX-Aufgaben, nämlich die<br />
Sortierung von Nachrichten <strong>und</strong> die Kontrolle auf Wiederholungen, entfallen, d.h. lediglich e<strong>in</strong>e<br />
e<strong>in</strong>fache Umcodierung <strong>und</strong> Vermittlung von E<strong>in</strong>gangs- auf Ausgangskanäle erfolgt, kann der<br />
Aufwand der MIXe zur Verwaltung der MIX-Kanäle vernachlässigt werden. Die Umcodierung der<br />
Daten mit der symmetrischen Stromchiffre fällt, da sie mit e<strong>in</strong>er sehr viel höheren Rate erfolgen kann<br />
als die Übertragung (vgl. §5.5.2), kaum <strong>in</strong>s Gewicht.<br />
k' 1 (…k' m (N)…).<br />
Bild 5-35: Verknüpfen der Kanäle<br />
In dieser Form könnte das Verfahren jedoch unter den Randbed<strong>in</strong>gungen des schmalbandigen ISDN<br />
noch nicht direkt e<strong>in</strong>gesetzt werden. Neben der üblichen Überlegung, daß das Verfahren nicht<br />
homogen für alle Netzabschlüsse auf e<strong>in</strong>mal, sondern nur <strong>in</strong>nerhalb gewisser Anonymitätsgruppen114 durchgeführt werden könnte, gibt es nämlich noch e<strong>in</strong> schwerwiegendes Problem. Wie für die<br />
Nachrichten <strong>in</strong> §5.4.6.1 gilt auch für MIX-Kanäle:<br />
• Jeder Netzabschluß muß für jeden Kanalwunsche<strong>in</strong>gabeschub von M1 gleich viele Kanalwunschnachrichten<br />
<strong>und</strong> Sende- <strong>und</strong> Empfangskanalaufbaunachrichten beisteuern, <strong>und</strong> entsprechend<br />
gleich viele Sende- <strong>und</strong> Empfangskanäle unterhalten.<br />
• Nachrichten e<strong>in</strong>es Schubes müssen gleich lang se<strong>in</strong>, was hier <strong>in</strong>sbesondere heißt, daß<br />
gleichzeitig aufgebaute Kanäle auch gleichzeitig wieder abgebaut werden müssen.<br />
Dies würde vor allem bedeuten, daß jeder Netzabschluß mit dem Abbau e<strong>in</strong>es Kanals, sogar e<strong>in</strong>es<br />
Sche<strong>in</strong>kanals, warten müßte, bis der längste gleichzeitig aufgebaute Kanal beendet wäre. Da dem<br />
Teilnehmer mit Basisanschluß im schmalbandigen ISDN nur zwei 64-kbit/s-Kanäle zur Verfügung<br />
stehen, wäre dies unzumutbar.<br />
Diese E<strong>in</strong>schränkung wird durch das Verfahren <strong>in</strong> §5.5.1 beseitigt.<br />
Kanalwunschnachrichten, Sende- <strong>und</strong> Empfangskanalaufbaunachrichten stellen die drei Typen von<br />
Signalisierungsnachrichten des Verfahrens dar. Die Übermittlung aller Signalisierungsnachrichten erfolgt<br />
nach dem Gr<strong>und</strong>schema aus §5.4.6.2, außer daß die Kanalwunschnachrichten verteilt werden.<br />
Da die Größe der E<strong>in</strong>gabeschübe den Aufwand der e<strong>in</strong>zelnen MIXe entscheidend bee<strong>in</strong>flußt, ist es<br />
s<strong>in</strong>nvoll, die Nachrichten der drei verschiedenen Typen getrennt zu mixen. Die Unbeobachtbarkeit<br />
wird dadurch nicht e<strong>in</strong>geschränkt.<br />
Zur Verkle<strong>in</strong>erung des Suchraums bzgl. Wiederholungen müssen entweder die Zeitstempel der<br />
MIX-E<strong>in</strong>gabenachrichten sowohl den Schub als auch den Nachrichtentyp e<strong>in</strong>deutig charakterisieren,<br />
oder aber die MIXe müssen für die verschiedenen Nachrichtentypen verschiedene Schlüssel zur<br />
Umcodierung verwenden. Die Angabe des Nachrichtentyps verursacht für die Netzabschlüsse zwar<br />
weniger Synchronisationsaufwand, andererseits wird aber ohneh<strong>in</strong> von e<strong>in</strong>em streng synchronen<br />
Betrieb ausgegangen, <strong>und</strong> der Signalisierungskanal stellt den Hauptengpaß des Verfahrens dar. Daher<br />
wird im folgenden stets von der zweiten Möglichkeit ausgegangen.<br />
Wie im Gr<strong>und</strong>schema wird das Problem der Beobachtbarkeit des Sendens auf e<strong>in</strong>em Sendekanal gelöst,<br />
<strong>in</strong>dem jeder Netzabschluß jederzeit gleichviele Sendekanäle (notfalls Sche<strong>in</strong>sendekanäle) unterhält.<br />
Ohne Verteilung ist nun natürlich das tatsächliche Empfangen von e<strong>in</strong>em Empfangskanal beobachtbar.<br />
Daher muß jeder Netzabschluß jederzeit auch gleichviele Empfangskanäle (notfalls Sche<strong>in</strong>empfangskanäle)<br />
unterhalten.<br />
5.4.6.10 Fehlertoleranz beim MIX-Netz<br />
Im MIX-Netz ohne Verteilung „letzter“ (vgl. §5.4.6.3) Informationse<strong>in</strong>heiten s<strong>in</strong>d andere Fehlerbehebungs-Verfahren<br />
als Ende-zu-Ende-Zeitschranken <strong>und</strong> nochmalige Übermittlung bei Überschreitung<br />
der Zeitschranken ganz besonders nötig, da dieses Fehlerbehebungs-Verfahren bei manchen Diensten<br />
nicht zufriedenstellend funktioniert: Bei elektronischer Post (electronic mail) etwa gibt es ke<strong>in</strong>e<br />
s<strong>in</strong>nvollen Zeitschranken. Außerdem muß bei anonymen Rückadressen der ursprüngliche Generierer<br />
Die gleiche Länge aller Kanäle wird durch die MIXe garantiert: wird auf e<strong>in</strong>em Sende- oder Empfangskanal<br />
nichts übertragen, so überbrückt jeder MIX Mi dieses Fehlen durch bedeutungslose<br />
Daten.<br />
Hierdurch wird <strong>in</strong>sbesondere verh<strong>in</strong>dert, daß der Sender den Empfänger identifiziert, <strong>in</strong>dem er auf<br />
dem Sendekanal ke<strong>in</strong>e Information überträgt <strong>und</strong> der Empfänger nichts erhält. Dies ist der Gr<strong>und</strong>,<br />
weshalb hier, anders als <strong>in</strong> [Pfi1_85], der Empfänger selbst se<strong>in</strong>en Empfangskanal aufbaut.<br />
Zugleich wird verh<strong>in</strong>dert, daß Sche<strong>in</strong>empfangskanäle durch Fehlen von Daten auffallen.<br />
114 „Gruppe“ ist hierbei umgangssprachlich geme<strong>in</strong>t, d.h. im S<strong>in</strong>ne von e<strong>in</strong>e „Menge von Instanzen, die e<strong>in</strong>e<br />
geme<strong>in</strong>same Eigenschaft verb<strong>in</strong>det“. Insbesondere hat hier „Gruppe“ nichts mit der mathematischen Struktur<br />
„Gruppe“ (abgeschlossene transitive Verknüpfung, Existenz e<strong>in</strong>es neutralen <strong>und</strong> jeweils e<strong>in</strong>es <strong>in</strong>versen Elementes)<br />
zu tun. Im mathematischen S<strong>in</strong>ne müßte man also von „Anonymitätsmengen“ statt „Anonymitätsgruppen“<br />
sprechen.<br />
E<strong>in</strong> Duplexkanal wird durch zwei gegenlaufende Simplexkanäle e<strong>in</strong>gerichtet. Beide Kanäle könnten<br />
vom Rufenden mit derselben Kanalaufbaunachricht aufgebaut werden. Dies spart zwar Übertragungskapazität,<br />
wird sich aber im folgenden als h<strong>in</strong>derlich herausstellen, so daß schon jetzt von zwei völlig