Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

232 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 231 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr getrennten MIX-Kanälen ausgegangen werden soll. Allerdings genügt eine gemeinsame Kanalwunschnachricht. Im §5.4.1.3 wurde allgemein beschrieben, wie ein verändernder Angriff eines Senders auf den zugehörigen Empfänger verhindert werden kann, in [PfPW1_89 §2.2.3] geschieht dies speziell für die hier behandelte Situation. Da aber der in [PfPW1_89 §2.2.4.2] beschriebene verändernde Angriff eines Empfängers auf den zugehörigen Sender nicht verhindert werden kann und auch für MIX- Kanäle möglich ist, könnte man argumentieren, daß diese Maßnahme für Duplexkanäle völlig sinnlos ist, da der Angreifer seinen Partner ja wahlweise als Sender oder als Empfänger angreifen kann. Aus praktischen Gründen ist die Verhinderung des Angriffs auf den Empfänger aber dennoch sinnvoll, da er sehr viel einfacher durchzuführen wäre als der Angriff auf den Sender: Statt, wie in [PfPW1_89 §2.2.4.2] beschrieben, Senden aktiv zu stören, muß der Angreifer lediglich alle Empfangskanäle beobachten können. Zudem gelingt der Angriff auf den Empfänger sofort, während der Angriff auf den Sender lediglich einen Test darstellt, der dann logarithmisch in der Senderanzahl oft wiederholt werden muß, um den Sender wirklich zu finden. M m M 1 G Kanal von R an G, verknüpft von Mm anhand des gemeinsamen sRG R R sendet auf seinem Datenkanal Daten N verschlüsselt als k1 (…km (N)…) an M1 . Der Kanal wird von M1 über die weiteren MIXe bis zu Mm wie die Sendekanalaufbaunachricht in Bild 5-34 weitergeleitet und dabei werden die Daten entschlüsselt. Mm verschlüsselt N mit k'm . Der Kanal wird zurückgeleitet und dabei werden die Daten verschlüsselt, G erhält über seinen Datenkanal Da für die eigentlichen MIX-Kanäle die üblicherweise aufwendigsten MIX-Aufgaben, nämlich die Sortierung von Nachrichten und die Kontrolle auf Wiederholungen, entfallen, d.h. lediglich eine einfache Umcodierung und Vermittlung von Eingangs- auf Ausgangskanäle erfolgt, kann der Aufwand der MIXe zur Verwaltung der MIX-Kanäle vernachlässigt werden. Die Umcodierung der Daten mit der symmetrischen Stromchiffre fällt, da sie mit einer sehr viel höheren Rate erfolgen kann als die Übertragung (vgl. §5.5.2), kaum ins Gewicht. k' 1 (…k' m (N)…). Bild 5-35: Verknüpfen der Kanäle In dieser Form könnte das Verfahren jedoch unter den Randbedingungen des schmalbandigen ISDN noch nicht direkt eingesetzt werden. Neben der üblichen Überlegung, daß das Verfahren nicht homogen für alle Netzabschlüsse auf einmal, sondern nur innerhalb gewisser Anonymitätsgruppen114 durchgeführt werden könnte, gibt es nämlich noch ein schwerwiegendes Problem. Wie für die Nachrichten in §5.4.6.1 gilt auch für MIX-Kanäle: • Jeder Netzabschluß muß für jeden Kanalwunscheingabeschub von M1 gleich viele Kanalwunschnachrichten und Sende- und Empfangskanalaufbaunachrichten beisteuern, und entsprechend gleich viele Sende- und Empfangskanäle unterhalten. • Nachrichten eines Schubes müssen gleich lang sein, was hier insbesondere heißt, daß gleichzeitig aufgebaute Kanäle auch gleichzeitig wieder abgebaut werden müssen. Dies würde vor allem bedeuten, daß jeder Netzabschluß mit dem Abbau eines Kanals, sogar eines Scheinkanals, warten müßte, bis der längste gleichzeitig aufgebaute Kanal beendet wäre. Da dem Teilnehmer mit Basisanschluß im schmalbandigen ISDN nur zwei 64-kbit/s-Kanäle zur Verfügung stehen, wäre dies unzumutbar. Diese Einschränkung wird durch das Verfahren in §5.5.1 beseitigt. Kanalwunschnachrichten, Sende- und Empfangskanalaufbaunachrichten stellen die drei Typen von Signalisierungsnachrichten des Verfahrens dar. Die Übermittlung aller Signalisierungsnachrichten erfolgt nach dem Grundschema aus §5.4.6.2, außer daß die Kanalwunschnachrichten verteilt werden. Da die Größe der Eingabeschübe den Aufwand der einzelnen MIXe entscheidend beeinflußt, ist es sinnvoll, die Nachrichten der drei verschiedenen Typen getrennt zu mixen. Die Unbeobachtbarkeit wird dadurch nicht eingeschränkt. Zur Verkleinerung des Suchraums bzgl. Wiederholungen müssen entweder die Zeitstempel der MIX-Eingabenachrichten sowohl den Schub als auch den Nachrichtentyp eindeutig charakterisieren, oder aber die MIXe müssen für die verschiedenen Nachrichtentypen verschiedene Schlüssel zur Umcodierung verwenden. Die Angabe des Nachrichtentyps verursacht für die Netzabschlüsse zwar weniger Synchronisationsaufwand, andererseits wird aber ohnehin von einem streng synchronen Betrieb ausgegangen, und der Signalisierungskanal stellt den Hauptengpaß des Verfahrens dar. Daher wird im folgenden stets von der zweiten Möglichkeit ausgegangen. Wie im Grundschema wird das Problem der Beobachtbarkeit des Sendens auf einem Sendekanal gelöst, indem jeder Netzabschluß jederzeit gleichviele Sendekanäle (notfalls Scheinsendekanäle) unterhält. Ohne Verteilung ist nun natürlich das tatsächliche Empfangen von einem Empfangskanal beobachtbar. Daher muß jeder Netzabschluß jederzeit auch gleichviele Empfangskanäle (notfalls Scheinempfangskanäle) unterhalten. 5.4.6.10 Fehlertoleranz beim MIX-Netz Im MIX-Netz ohne Verteilung „letzter“ (vgl. §5.4.6.3) Informationseinheiten sind andere Fehlerbehebungs-Verfahren als Ende-zu-Ende-Zeitschranken und nochmalige Übermittlung bei Überschreitung der Zeitschranken ganz besonders nötig, da dieses Fehlerbehebungs-Verfahren bei manchen Diensten nicht zufriedenstellend funktioniert: Bei elektronischer Post (electronic mail) etwa gibt es keine sinnvollen Zeitschranken. Außerdem muß bei anonymen Rückadressen der ursprüngliche Generierer Die gleiche Länge aller Kanäle wird durch die MIXe garantiert: wird auf einem Sende- oder Empfangskanal nichts übertragen, so überbrückt jeder MIX Mi dieses Fehlen durch bedeutungslose Daten. Hierdurch wird insbesondere verhindert, daß der Sender den Empfänger identifiziert, indem er auf dem Sendekanal keine Information überträgt und der Empfänger nichts erhält. Dies ist der Grund, weshalb hier, anders als in [Pfi1_85], der Empfänger selbst seinen Empfangskanal aufbaut. Zugleich wird verhindert, daß Scheinempfangskanäle durch Fehlen von Daten auffallen. 114 „Gruppe“ ist hierbei umgangssprachlich gemeint, d.h. im Sinne von eine „Menge von Instanzen, die eine gemeinsame Eigenschaft verbindet“. Insbesondere hat hier „Gruppe“ nichts mit der mathematischen Struktur „Gruppe“ (abgeschlossene transitive Verknüpfung, Existenz eines neutralen und jeweils eines inversen Elementes) zu tun. Im mathematischen Sinne müßte man also von „Anonymitätsmengen“ statt „Anonymitätsgruppen“ sprechen. Ein Duplexkanal wird durch zwei gegenlaufende Simplexkanäle eingerichtet. Beide Kanäle könnten vom Rufenden mit derselben Kanalaufbaunachricht aufgebaut werden. Dies spart zwar Übertragungskapazität, wird sich aber im folgenden als hinderlich herausstellen, so daß schon jetzt von zwei völlig
234 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 233 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Im Gegensatz hierzu ist Koordination zwischen MIXen bei den beiden anderen nötig und eine nicht Ende-zu-Ende arbeitende Fehlerbehebung deshalb möglich, da bei ihnen MIXe in die Lage versetzt werden, andere zu ersetzen. Wie dies geschehen kann und was dabei zu beachten ist, wird in [Pfi1_85 §4.4.6.10.2] behandelt. Besonderheiten beim Schalten von Kanälen sind für alle drei Möglichkeiten gemeinsam in [Pfit_89 §5.3.3] behandelt. In [Pfit_89 §5.3.4] wird eine quantitative Bewertung aller drei Möglichkeiten durchgeführt. 5.4.6.10.1 Verschiedene MIX-Folgen Bei der ersten Möglichkeit versucht der Sender eine Wiederholung der Übermittlung auf einem anderen Weg (Bild 5-36), d.h. über eine disjunkte MIX-Folge (in der Begriffswelt der Fehlertoleranz [EcGM_83, gekürzt auch in BeEG_86]: dynamisch aktivierte Redundanz). Diese Lösung ist einfach, aber (wie dynamisch aktivierte Redundanz generell) langsam, da das Ende-zu-Ende-Protokoll zuerst den Fehler erkennen (i. allg. durch Ende-zu-Ende-Zeitschranken) und dann eine zweite Übermittlung einleiten muß, möglicherweise ohne zu wissen, welcher MIX defekt ist. Im MIX-Netz ohne Verteilung „letzter“ Informationseinheiten und ohne anonymen Abruf sind gemäß §5.4.6.2 anonyme Rückadressen mit langer Gültigkeit zum Schutz des Empfängers nötig. Bei anonymen Rückadressen mit langer Gültigkeit ist obiges Fehlertoleranzverfahren dann sehr aufwendig, wenn keine zeitliche Beziehung zwischen Nachrichten und Antworten besteht, wie dies z.B. bei elektronischer Post (electronic mail) der Fall ist. Der Empfänger E kann, falls die erhaltene Rückadresse ausfällt (wenigstens ein MIX in dieser Folge ist defekt), keine Übermittlung auf einem anderen Weg versuchen. Dies gilt auch, wenn immer zwei oder mehr anonyme Rückadressen mit langer Gültigkeit (statisch erzeugte Redundanz) ausgetauscht werden und in jeder Folge ein MIX defekt ist. Der ursprüngliche Sender S (genauer: seine Teilnehmerstation) müßte also, solange er von E keine Antwort erhielt, E (genauer: seiner Teilnehmerstation) immer wieder neue anonyme Rückadressen mitteilen, was in den meisten Fällen völlig überflüssig ist, da E lediglich bisher noch keine Zeit fand, eine Antwort zu formulieren. Alternativ kann sich S auch immer wieder informieren, welche MIXe inzwischen ausgefallen sind115, und E nur dann neue anonyme Rückadressen mit langer Gültigkeit mitteilen, wenn alle E bisher mitgeteilten anonymen Rückadressen mit langer Gültigkeit ausgefallen sind oder waren, denn auch im letzteren Fall können sie – nach einem Fehlversuch von E – für diesen inzwischen permanent unbrauchbar sein. Diese erste Möglichkeit der Fehlertoleranz läuft auf ein alle Stationen involvierendes Zwei- Phasen-Konzept hinaus. In der einen Phase werden Informationseinheiten anonym übertragen, in der anderen werden Fehler toleriert, z.B. dadurch daß nach jedem Ausfall eines MIXes alle Sender allen Empfängern neue anonyme Rückadressen zukommen lassen, in denen der ausgefallene MIX nicht benötigt wird (in der Begriffswelt der Fehlertoleranz: dynamisch erzeugte, dynamisch aktivierte Redundanz). Da im MIX-Netz ohne Verteilung „letzter“ Informationseinheiten an alle Stationen und ohne anonymen Abruf aus Gründen der gegenseitigen Anonymität von Sender und Empfänger alle Adressen anonyme Rückadressen sein müssen (§5.4.6.4), erfordert diese Neuverteilung in ihm zwingend eine Indirektionsstufe in Form von nichtanonymen Stellen zur Neuverteilung der Adressen (etwa die bereits in §5.4.6.4 erwähnten Adreßverzeichnisse mit anonymen Rückadressen): Nach Ausfall eines MIXes wird dies allen Stationen mitgeteilt und jede sendet den nichtanonymen Stellen zur Adreßverteilung mit einem Senderanonymitätsschema über die noch intakten MIXe eine Liste der eine neue anonyme Rückadresse als Ersatz einer durch Ausfall eines MIXes unbrauchbar gewordenen bilden – der Verwender der Rückadresse kann dies nicht (vgl. §5.4.6.3). Dieses Problem kann allerdings durch das Verfahren des anonymen Abrufs statt „normaler“ anonymer Rückadressen vermieden werden, vgl. §5.4.6.6. Für die hiermit motivierten und in den folgenden Unterabschnitten hergeleiteten Fehlertoleranzverfahren wird als einheitliche und angemessene graphische Notation die von Bild 5-25 verwendet. Dargestellt wird jeweils die Übermittlung einer Nachricht (als Beispiel einer von anderen unabhängigen Informationseinheit) vom Sender S über 5 MIXe zum Empfänger E, die dabei verwendeten Schlüssel und ihre Kenntnis, sowie die Reihenfolge von Verschlüsselungs-, Transfer- und Entschlüsselungsoperationen. Wie in den Bildern 5-24 und 5-25 wird das einfachste Verschlüsselungsschema (direktes Umcodierungsschema für Senderanonymität) abgebildet. Da keine Informationseinheiten eingezeichnet sind, kann man Bild 5-25 auch als Darstellung des (abstrakten) Verschlüsselungs-, Transfer- und Entschlüsselungsschemas verstehen. Ebenso kann, da keine genauen Verschlüsselungsstrukturen gezeigt sind, Bild 5-25 auch als Abbildung eines indirekten Umcodierungsschemas – sei es für Sender-, sei es für Empfängeranonymität oder beides – verstanden werden, das nur die wesentlichen, nämlich nachrichtenunabhängigen Schlüssel sowie Ver- und Entschlüsselungen zeigt. Man erkennt an Bild 5-25 noch deutlicher die Serieneigenschaft als an Bild 5-24. Fällt nur ein MIX auf dem Weg zwischen S und E aus, so kann die Nachricht nicht weiter entschlüsselt und übertragen werden. 115 Auch hier ist wieder gleichartiges Verhalten aller Teilnehmerstationen und konsistente Verteilung der Information, welche MIXe zur Zeit ausgefallen sind, wichtig. Andernfalls sind Angriffe auf die Anonymität des Rückadreßinhabers möglich. Sie können analog zu dem in §5.4.1.1 2) beschriebenen Angriff auf die Empfängeranonymität erfolgen. Wie in §5.4.9 begründet wird und aus Bild 5-40 ersichtlich ist, basiert das MIX-Netz auf einem in den Schichten 0 (medium), 1 (physical) und 2 (data link) sowie der unteren Teilschicht der Schicht 3 (network) ohne Rücksicht auf Anonymitäts- und Unverkettbarkeitsforderungen realisierbaren Kommunikationsnetz. Wie schon begründet, impliziert dies, daß diese Schichten des Kommunikationsnetzes konventionelle Fehlertoleranz-Maßnahmen verwenden können, ohne dadurch die Anonymität bzw. Unbeobachtbarkeit der Netzteilnehmer zu gefährden. Transiente sowie permanente Fehler in diesen Schichten können also von diesen selbst toleriert werden. Die MIXe selbst müssen und können so gebaut oder mittels organisatorischer Maßnahmen betrieben werden, daß sich Fehler (oder verändernde physische Angriffe) mit an Sicherheit grenzender Wahrscheinlichkeit nicht so auswirken, daß der MIX seinen geheimen Dechiffrierschlüssel ausgibt, Informationseinheiten mehrfach mixt oder in falscher Reihenfolge ausgibt. Hingegen ist es akzeptabel, daß er bei schwerwiegenden Fehlern (oder verändernden physischen Angriffen) seine Schlüssel „vergißt“ und seinen Dienst vollständig einstellt (fail-stop Betrieb [ScSc_83]). Um möglichst selten Fehler extern tolerieren zu müssen, ist es natürlich möglich, den MIX intern fehlertolerant aufzubauen, solange bei diesem Aufbau obige Bedingungen auch bei Fehlern oder verändernden Angriffen eingehalten werden. Extern wahrnehmbare transiente Fehler in den MIXen werden von den Ende-zu-Ende-Protokollen zwischen Sender S und Empfänger E erkannt und durch wiederholtes Senden toleriert. (Zur Leistungssteigerung ist auch eine weitere Zwischenstufe mit MIX-zu-MIX-Protokollen möglich.) Es bleiben somit nur noch die extern wahrnehmbaren permanenten Fehler in MIXen. Diese Fehler sind mit den üblichen Techniken zu erkennen bzw. zu lokalisieren, z.B. der Ausfall eines MIXes durch Zeitschranken bzw. die Diagnose, welcher MIX ausfiel, durch das Ausbleiben eines zyklisch zu gebenden Lebenssignals (Nachricht mit Datum und Zeit sowie Signatur, I’m alive message). Die permanenten Ausfälle von MIXen erfordern darüber hinaus geeignete Methoden zur Fehlerbehebung. Prinzipiell gibt es drei Möglichkeiten: Die erste, in [Pfi1_85 §4.4.6.10.1] beschriebene, erfordert keine Koordination von MIXen. Sie stellt aber ein Ende-zu-Ende-Protokoll dar, was – wie erwähnt – für die Unverkettbarkeit und damit auch die Anonymität bzw. Unbeobachtbarkeit ungünstig ist.
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72: 130 A. Pfitzmann: Datensicherheit u
Seite 121: 230 A. Pfitzmann: Datensicherheit u
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?