Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
234<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
233<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
Im Gegensatz hierzu ist Koord<strong>in</strong>ation zwischen MIXen bei den beiden anderen nötig <strong>und</strong> e<strong>in</strong>e<br />
nicht Ende-zu-Ende arbeitende Fehlerbehebung deshalb möglich, da bei ihnen MIXe <strong>in</strong> die Lage<br />
versetzt werden, andere zu ersetzen. Wie dies geschehen kann <strong>und</strong> was dabei zu beachten ist, wird <strong>in</strong><br />
[Pfi1_85 §4.4.6.10.2] behandelt.<br />
Besonderheiten beim Schalten von Kanälen s<strong>in</strong>d für alle drei Möglichkeiten geme<strong>in</strong>sam <strong>in</strong><br />
[Pfit_89 §5.3.3] behandelt. In [Pfit_89 §5.3.4] wird e<strong>in</strong>e quantitative Bewertung aller drei Möglichkeiten<br />
durchgeführt.<br />
5.4.6.10.1 Verschiedene MIX-Folgen<br />
Bei der ersten Möglichkeit versucht der Sender e<strong>in</strong>e Wiederholung der Übermittlung auf e<strong>in</strong>em<br />
anderen Weg (Bild 5-36), d.h. über e<strong>in</strong>e disjunkte MIX-Folge (<strong>in</strong> der Begriffswelt der Fehlertoleranz<br />
[EcGM_83, gekürzt auch <strong>in</strong> BeEG_86]: dynamisch aktivierte Red<strong>und</strong>anz). Diese Lösung ist e<strong>in</strong>fach,<br />
aber (wie dynamisch aktivierte Red<strong>und</strong>anz generell) langsam, da das Ende-zu-Ende-Protokoll zuerst<br />
den Fehler erkennen (i. allg. durch Ende-zu-Ende-Zeitschranken) <strong>und</strong> dann e<strong>in</strong>e zweite Übermittlung<br />
e<strong>in</strong>leiten muß, möglicherweise ohne zu wissen, welcher MIX defekt ist.<br />
Im MIX-Netz ohne Verteilung „letzter“ Informationse<strong>in</strong>heiten <strong>und</strong> ohne anonymen Abruf s<strong>in</strong>d<br />
gemäß §5.4.6.2 anonyme Rückadressen mit langer Gültigkeit zum Schutz des Empfängers nötig. Bei<br />
anonymen Rückadressen mit langer Gültigkeit ist obiges Fehlertoleranzverfahren dann sehr<br />
aufwendig, wenn ke<strong>in</strong>e zeitliche Beziehung zwischen Nachrichten <strong>und</strong> Antworten besteht, wie dies<br />
z.B. bei elektronischer Post (electronic mail) der Fall ist. Der Empfänger E kann, falls die erhaltene<br />
Rückadresse ausfällt (wenigstens e<strong>in</strong> MIX <strong>in</strong> dieser Folge ist defekt), ke<strong>in</strong>e Übermittlung auf e<strong>in</strong>em<br />
anderen Weg versuchen. Dies gilt auch, wenn immer zwei oder mehr anonyme Rückadressen mit<br />
langer Gültigkeit (statisch erzeugte Red<strong>und</strong>anz) ausgetauscht werden <strong>und</strong> <strong>in</strong> jeder Folge e<strong>in</strong> MIX<br />
defekt ist. Der ursprüngliche Sender S (genauer: se<strong>in</strong>e Teilnehmerstation) müßte also, solange er von<br />
E ke<strong>in</strong>e Antwort erhielt, E (genauer: se<strong>in</strong>er Teilnehmerstation) immer wieder neue anonyme Rückadressen<br />
mitteilen, was <strong>in</strong> den meisten Fällen völlig überflüssig ist, da E lediglich bisher noch ke<strong>in</strong>e<br />
Zeit fand, e<strong>in</strong>e Antwort zu formulieren. Alternativ kann sich S auch immer wieder <strong>in</strong>formieren,<br />
welche MIXe <strong>in</strong>zwischen ausgefallen s<strong>in</strong>d115, <strong>und</strong> E nur dann neue anonyme Rückadressen mit<br />
langer Gültigkeit mitteilen, wenn alle E bisher mitgeteilten anonymen Rückadressen mit langer<br />
Gültigkeit ausgefallen s<strong>in</strong>d oder waren, denn auch im letzteren Fall können sie – nach e<strong>in</strong>em<br />
Fehlversuch von E – für diesen <strong>in</strong>zwischen permanent unbrauchbar se<strong>in</strong>.<br />
Diese erste Möglichkeit der Fehlertoleranz läuft auf e<strong>in</strong> alle Stationen <strong>in</strong>volvierendes Zwei-<br />
Phasen-Konzept h<strong>in</strong>aus. In der e<strong>in</strong>en Phase werden Informationse<strong>in</strong>heiten anonym übertragen, <strong>in</strong><br />
der anderen werden Fehler toleriert, z.B. dadurch daß nach jedem Ausfall e<strong>in</strong>es MIXes alle Sender allen<br />
Empfängern neue anonyme Rückadressen zukommen lassen, <strong>in</strong> denen der ausgefallene MIX nicht<br />
benötigt wird (<strong>in</strong> der Begriffswelt der Fehlertoleranz: dynamisch erzeugte, dynamisch aktivierte<br />
Red<strong>und</strong>anz). Da im MIX-Netz ohne Verteilung „letzter“ Informationse<strong>in</strong>heiten an alle Stationen <strong>und</strong><br />
ohne anonymen Abruf aus Gründen der gegenseitigen Anonymität von Sender <strong>und</strong> Empfänger alle<br />
Adressen anonyme Rückadressen se<strong>in</strong> müssen (§5.4.6.4), erfordert diese Neuverteilung <strong>in</strong> ihm<br />
zw<strong>in</strong>gend e<strong>in</strong>e Indirektionsstufe <strong>in</strong> Form von nichtanonymen Stellen zur Neuverteilung der Adressen<br />
(etwa die bereits <strong>in</strong> §5.4.6.4 erwähnten Adreßverzeichnisse mit anonymen Rückadressen): Nach<br />
Ausfall e<strong>in</strong>es MIXes wird dies allen Stationen mitgeteilt <strong>und</strong> jede sendet den nichtanonymen Stellen<br />
zur Adreßverteilung mit e<strong>in</strong>em Senderanonymitätsschema über die noch <strong>in</strong>takten MIXe e<strong>in</strong>e Liste der<br />
e<strong>in</strong>e neue anonyme Rückadresse als Ersatz e<strong>in</strong>er durch Ausfall e<strong>in</strong>es MIXes unbrauchbar gewordenen<br />
bilden – der Verwender der Rückadresse kann dies nicht (vgl. §5.4.6.3). Dieses Problem kann<br />
allerd<strong>in</strong>gs durch das Verfahren des anonymen Abrufs statt „normaler“ anonymer Rückadressen<br />
vermieden werden, vgl. §5.4.6.6.<br />
Für die hiermit motivierten <strong>und</strong> <strong>in</strong> den folgenden Unterabschnitten hergeleiteten Fehlertoleranzverfahren<br />
wird als e<strong>in</strong>heitliche <strong>und</strong> angemessene graphische Notation die von Bild 5-25 verwendet.<br />
Dargestellt wird jeweils die Übermittlung e<strong>in</strong>er Nachricht (als Beispiel e<strong>in</strong>er von anderen unabhängigen<br />
Informationse<strong>in</strong>heit) vom Sender S über 5 MIXe zum Empfänger E, die dabei verwendeten<br />
Schlüssel <strong>und</strong> ihre Kenntnis, sowie die Reihenfolge von Verschlüsselungs-, Transfer- <strong>und</strong> Entschlüsselungsoperationen.<br />
Wie <strong>in</strong> den Bildern 5-24 <strong>und</strong> 5-25 wird das e<strong>in</strong>fachste Verschlüsselungsschema<br />
(direktes Umcodierungsschema für Senderanonymität) abgebildet.<br />
Da ke<strong>in</strong>e Informationse<strong>in</strong>heiten e<strong>in</strong>gezeichnet s<strong>in</strong>d, kann man Bild 5-25 auch als Darstellung des<br />
(abstrakten) Verschlüsselungs-, Transfer- <strong>und</strong> Entschlüsselungsschemas verstehen. Ebenso kann, da<br />
ke<strong>in</strong>e genauen Verschlüsselungsstrukturen gezeigt s<strong>in</strong>d, Bild 5-25 auch als Abbildung e<strong>in</strong>es <strong>in</strong>direkten<br />
Umcodierungsschemas – sei es für Sender-, sei es für Empfängeranonymität oder beides –<br />
verstanden werden, das nur die wesentlichen, nämlich nachrichtenunabhängigen Schlüssel sowie<br />
Ver- <strong>und</strong> Entschlüsselungen zeigt.<br />
Man erkennt an Bild 5-25 noch deutlicher die Serieneigenschaft als an Bild 5-24. Fällt nur e<strong>in</strong><br />
MIX auf dem Weg zwischen S <strong>und</strong> E aus, so kann die Nachricht nicht weiter entschlüsselt <strong>und</strong> übertragen<br />
werden.<br />
115 Auch hier ist wieder gleichartiges Verhalten aller Teilnehmerstationen <strong>und</strong> konsistente Verteilung der Information,<br />
welche MIXe zur Zeit ausgefallen s<strong>in</strong>d, wichtig. Andernfalls s<strong>in</strong>d Angriffe auf die Anonymität des Rückadreß<strong>in</strong>habers<br />
möglich. Sie können analog zu dem <strong>in</strong> §5.4.1.1 2) beschriebenen Angriff auf die Empfängeranonymität<br />
erfolgen.<br />
Wie <strong>in</strong> §5.4.9 begründet wird <strong>und</strong> aus Bild 5-40 ersichtlich ist, basiert das MIX-Netz auf e<strong>in</strong>em <strong>in</strong><br />
den Schichten 0 (medium), 1 (physical) <strong>und</strong> 2 (data l<strong>in</strong>k) sowie der unteren Teilschicht der Schicht 3<br />
(network) ohne Rücksicht auf Anonymitäts- <strong>und</strong> Unverkettbarkeitsforderungen realisierbaren Kommunikationsnetz.<br />
Wie schon begründet, impliziert dies, daß diese Schichten des Kommunikationsnetzes<br />
konventionelle Fehlertoleranz-Maßnahmen verwenden können, ohne dadurch die Anonymität<br />
bzw. Unbeobachtbarkeit der Netzteilnehmer zu gefährden. Transiente sowie permanente Fehler <strong>in</strong><br />
diesen Schichten können also von diesen selbst toleriert werden.<br />
Die MIXe selbst müssen <strong>und</strong> können so gebaut oder mittels organisatorischer Maßnahmen betrieben<br />
werden, daß sich Fehler (oder verändernde physische Angriffe) mit an <strong>Sicherheit</strong> grenzender<br />
Wahrsche<strong>in</strong>lichkeit nicht so auswirken, daß der MIX se<strong>in</strong>en geheimen Dechiffrierschlüssel ausgibt,<br />
Informationse<strong>in</strong>heiten mehrfach mixt oder <strong>in</strong> falscher Reihenfolge ausgibt. H<strong>in</strong>gegen ist es akzeptabel,<br />
daß er bei schwerwiegenden Fehlern (oder verändernden physischen Angriffen) se<strong>in</strong>e Schlüssel<br />
„vergißt“ <strong>und</strong> se<strong>in</strong>en Dienst vollständig e<strong>in</strong>stellt (fail-stop Betrieb [ScSc_83]). Um möglichst selten<br />
Fehler extern tolerieren zu müssen, ist es natürlich möglich, den MIX <strong>in</strong>tern fehlertolerant aufzubauen,<br />
solange bei diesem Aufbau obige Bed<strong>in</strong>gungen auch bei Fehlern oder verändernden Angriffen<br />
e<strong>in</strong>gehalten werden.<br />
Extern wahrnehmbare transiente Fehler <strong>in</strong> den MIXen werden von den Ende-zu-Ende-Protokollen<br />
zwischen Sender S <strong>und</strong> Empfänger E erkannt <strong>und</strong> durch wiederholtes Senden toleriert. (Zur Leistungssteigerung<br />
ist auch e<strong>in</strong>e weitere Zwischenstufe mit MIX-zu-MIX-Protokollen möglich.) Es<br />
bleiben somit nur noch die extern wahrnehmbaren permanenten Fehler <strong>in</strong> MIXen. Diese Fehler s<strong>in</strong>d<br />
mit den üblichen Techniken zu erkennen bzw. zu lokalisieren, z.B. der Ausfall e<strong>in</strong>es MIXes durch<br />
Zeitschranken bzw. die Diagnose, welcher MIX ausfiel, durch das Ausbleiben e<strong>in</strong>es zyklisch zu<br />
gebenden Lebenssignals (Nachricht mit Datum <strong>und</strong> Zeit sowie Signatur, I’m alive message). Die permanenten<br />
Ausfälle von MIXen erfordern darüber h<strong>in</strong>aus geeignete Methoden zur Fehlerbehebung.<br />
Pr<strong>in</strong>zipiell gibt es drei Möglichkeiten:<br />
Die erste, <strong>in</strong> [Pfi1_85 §4.4.6.10.1] beschriebene, erfordert ke<strong>in</strong>e Koord<strong>in</strong>ation von MIXen. Sie<br />
stellt aber e<strong>in</strong> Ende-zu-Ende-Protokoll dar, was – wie erwähnt – für die Unverkettbarkeit <strong>und</strong> damit<br />
auch die Anonymität bzw. Unbeobachtbarkeit ungünstig ist.