Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
244<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
243<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
(<strong>und</strong> zum<strong>in</strong>dest h<strong>in</strong> <strong>und</strong> wieder von anderen benutzte) Zeichen erreichen. Werden die Reservierungsbits<br />
mit aufgedeckt, so entlarvt dies den verändernden Angreifer allerd<strong>in</strong>gs.<br />
• Kann e<strong>in</strong> Angreifer die für diese Aufdeckverfahren verwendete Blockchiffre brechen, so kann<br />
er je nach Verhalten der reservierenden Teilnehmerstationen <strong>und</strong> der verwendeten Blockchiffre<br />
möglicherweise<br />
a) ohne Aufdeckrisiko stören <strong>und</strong><br />
b) sogar nach dem Senden gewählte Zeichen aufdecken lassen.<br />
sammenhänge aller Informationse<strong>in</strong>heiten zu offenbaren, so daß diese Maßnahme zwar hohen<br />
Aufwand verursacht, nicht aber die Anonymität <strong>in</strong>teger übertragener Informationse<strong>in</strong>heiten gefährdet<br />
[Chau_81 Seite 85].<br />
• Beim DC-Netz muß jede Station alle Schlüsselzeichen (nicht aber den Startwert des PZG,<br />
sofern e<strong>in</strong>er verwendet wurde) <strong>und</strong> ihr gesendetes Zeichen für die Zeichen aufdecken, bei<br />
denen e<strong>in</strong> verändernder Angriff vermutet wird [Cha3_85, Chau_88].<br />
a) gilt, falls die Teilnehmerstationen nicht immer e<strong>in</strong>e mögliche Aufdeckforderung senden oder bei<br />
s<strong>in</strong>nvollen Nachrichten falsche Bitpositionen verwenden <strong>und</strong> die verwendete Blockchiffre, wie z.B.<br />
DES, manche Abbildungen von Klar- auf Schlüsseltext ausschließt. Letzteres ist für (2Blocklänge )! ><br />
2Schlüssellänge immer der Fall, vgl. §3.<br />
b) gilt selbst nach dem Senden der Aufdeckforderung des Angreifers, falls die Blockchiffre alle<br />
möglichen Abbildungen von Klar- auf Schlüsseltext zuläßt. Anderenfalls kann der Angreifer nur<br />
vorher das bzw. die Zeichen beliebig wählen, das bzw. die er aufgedeckt haben will.<br />
Bei ungünstiger Wahl von Teilnehmerverhalten <strong>und</strong> Blockchiffre gilt also sogar a) sowie b) mit<br />
nachträglicher Wahl des Angreifers.<br />
Nach dem Gesagten ist klar, daß a) durch Ausführung des komb<strong>in</strong>ierten Reservierungs- <strong>und</strong><br />
Aufdeckverfahrens, wie es oben von mir beschrieben wurde, vermieden wird, sofern der Angreifer<br />
s<strong>in</strong>nvolle <strong>und</strong> bedeutungslose Nachrichten nicht unterscheiden kann. In [WaPf_89, WaPf1_89] werden<br />
Aufdeckverfahren beschrieben, die auch die Schwäche b) nicht haben. Die Forderungen A) <strong>und</strong><br />
B) s<strong>in</strong>d sogar <strong>in</strong> der <strong>in</strong>formationstheoretischen Modellwelt <strong>in</strong> beweisbarer Form erfüllbar, wobei versucht<br />
werden sollte, diese Resultate auf weitere Klassen von Mehrfachzugriffsverfahren auszudehnen<br />
oder e<strong>in</strong>en Beweis zu erbr<strong>in</strong>gen, daß dies nicht möglich ist.<br />
• Beim RING- <strong>und</strong> BAUM-Netz muß jede Station ihre gesendeten Zeichen für die Zeichen<br />
aufdecken, bei denen e<strong>in</strong> verändernder Angriff vermutet wird.<br />
Sowohl beim DC- als auch beim RING- <strong>und</strong> BAUM-Netz ist es Aufgabe e<strong>in</strong>es global vere<strong>in</strong>barten<br />
Aufdeckverfahrens, dafür zu sorgen, daß<br />
A) e<strong>in</strong>erseits alle Zeichen potentiell aufgedeckt werden können, denn anderenfalls könnte zum<strong>in</strong>dest<br />
bei manchen Zeichen ohne Aufdeckrisiko gestört werden, <strong>und</strong> daß<br />
B) andererseits ke<strong>in</strong>e Zeichen aufgedeckt werden, die die Senderanonymität von entweder selbst<br />
sensitiven oder mit solchen auch nur <strong>in</strong>direkt verkettbaren Nachrichten untergraben.<br />
Letzteres erfordert ansche<strong>in</strong>end die Verwendung e<strong>in</strong>es Reservierungsverfahrens als Mehrfachzugriffsverfahren.<br />
Aufdeckverfahren für das DC-Netz können <strong>in</strong> kanonischer Weise auf RING- <strong>und</strong> BAUM-Netz<br />
übertragen werden.<br />
Es sei darauf h<strong>in</strong>gewiesen, daß, um e<strong>in</strong> Aufdecken zu ermöglichen, beim DC- <strong>und</strong> <strong>in</strong>sbesondere<br />
beim RING- <strong>und</strong> BAUM-Netz – auch falls ke<strong>in</strong>e „Fehler“ auftreten – erheblicher zusätzlicher<br />
Aufwand zur Speicherung von Informationse<strong>in</strong>heiten nötig ist.<br />
Im Rest dieses Abschnitts bleibt nun noch zu beschreiben, wie auf Dispute beim Aufdecken so<br />
reagiert werden kann, daß zum<strong>in</strong>dest langfristig der „Schuldige“ bestraft wird.<br />
In [Cha3_85, Chau_88] ist (nur) das folgende komb<strong>in</strong>ierte Reservierungs- <strong>und</strong> Aufdeckverfahren<br />
für das DC-Netz enthalten:<br />
• Alle Teilnehmerstationen reservieren <strong>in</strong> jeder R<strong>und</strong>e genau e<strong>in</strong>en Übertragungsrahmen. Werden<br />
bei der Reservierung nicht genausoviel Übertragungsrahmen reserviert wie Teilnehmerstationen<br />
am DC-Netz teilnehmen, werden alle Reservierungsbits aufgedeckt <strong>und</strong> geprüft, ob<br />
jede Station genau e<strong>in</strong> Reservierungsbit gesendet hat. Da alle Teilnehmerstationen <strong>in</strong> jeder<br />
R<strong>und</strong>e genau e<strong>in</strong>en Übertragungsrahmen reservieren, ergibt dies Aufdecken ke<strong>in</strong>erlei Information<br />
über die Stationen, die sich an das Reservierungsschema gehalten haben.<br />
• Bereits vor der Reservierung sendet jede Teilnehmerstation e<strong>in</strong>e ihr zuordenbare, mögliche<br />
Aufdeckforderung, nämlich die Bitposition ihrer Reservierung <strong>und</strong> die zu sendende Nachricht<br />
– beides zusammen mit e<strong>in</strong>er Blockchiffre verschlüsselt. Wird die Teilnehmerstation beim<br />
Senden gestört <strong>und</strong> möchte, daß die Störung aufgedeckt wird, so veröffentlicht sie (<strong>in</strong> ihr<br />
zuordenbarer Weise) den Schlüssel, mit dem ihre mögliche Aufdeckforderung verschlüsselt<br />
ist, wodurch aus der möglichen e<strong>in</strong>e tatsächliche Aufdeckforderung wird. Da dies die Senderanonymität<br />
ihrer Nachricht untergräbt, wird e<strong>in</strong>e Teilnehmerstation dies nur dann tun, wenn<br />
sie nichts zu senden hatte <strong>und</strong> ihre Nachricht also e<strong>in</strong>e bedeutungslose Nachricht, <strong>in</strong> diesem<br />
Zusammenhang e<strong>in</strong>e bedeutungsvolle Falle (trap) für Störer ist.<br />
S<strong>in</strong>d aus verläßlicher Quelle die Übertragungen auf allen Leitungen bekannt (z.B. bei ausschließlicher<br />
Verwendung e<strong>in</strong>es physischen Broadcast-Mediums – im Gegensatz zu mit Hilfe von Protokollen<br />
realisierten Verteilnetzen, beispielsweise R<strong>in</strong>gen mit Punkt-zu-Punkt-Leitungen), so kann der verändernde<br />
Angreifer beim MIX-Netz sicher entdeckt werden. (Beim RING- <strong>und</strong> BAUM-Netz natürlich<br />
auch, aber hier besteht der Witz der Verfahren gerade dar<strong>in</strong>, daß niemand die Übertragungen auf allen<br />
Leitungen kennt.) Anders ist dies beim DC-Netz, da hier auch die von e<strong>in</strong>er Station verwendeten<br />
Schlüssel bekannt se<strong>in</strong> müssen, um zu entscheiden, ob sie gesendet hat. S<strong>in</strong>d nicht alle Übertragungen<br />
auf Leitungen öffentlich bekannt, so kann derselbe Effekt dadurch erreicht werden, daß jede Station<br />
jede von ihr auf der Leitung gesendete Informationse<strong>in</strong>heit signiert. Das Signieren <strong>und</strong> Speichern<br />
von Signaturen verursacht zwar e<strong>in</strong>en erheblichen zusätzlichen Aufwand, erlaubt es aber, h<strong>in</strong>terher sicher<br />
festzustellen, was genau auf der Leitung übertragen wurde. (E<strong>in</strong> Sonderfall liegt vor, wenn beide<br />
Stationen an e<strong>in</strong>er Leitung Angreifer s<strong>in</strong>d <strong>und</strong> geme<strong>in</strong>sam lügen. Dann kann natürlich nicht festgestellt<br />
werden, was auf der Leitung übertragen wurde.)<br />
S<strong>in</strong>d nicht alle Übertragungen auf Leitungen bekannt <strong>und</strong> wird nicht jede Informationse<strong>in</strong>heit<br />
signiert, so können im MIX-, RING- <strong>und</strong> BAUM-Netz sowie im DC-Netz (dort über strittige gesendete<br />
Nachrichten oder strittige Schlüssel) drei Gruppen von Stationen identifiziert werden, wovon die<br />
erste Gruppe weder beschuldigt wird noch beschuldigt, während zum<strong>in</strong>dest e<strong>in</strong>s von beiden bei der<br />
David Chaums Aufdeckverfahren leistet B) überhaupt nicht <strong>und</strong> – je nach vom Leser unterstelltem<br />
Teilnehmerstationenverhalten118 – A) höchstens im komplexitätstheoretischen S<strong>in</strong>ne:<br />
• Der Angreifer kann durch das Veröffentlichen möglicher Aufdeckforderungen, die sich gar<br />
nicht auf se<strong>in</strong>e Nachricht beziehen, e<strong>in</strong> Aufdecken für beliebige, von ihm vorher gewählte<br />
tionse<strong>in</strong>heit schon <strong>in</strong> e<strong>in</strong>em früheren Schub bearbeitet, er also lediglich e<strong>in</strong>e Wiederholung ignoriert hat. Bei e<strong>in</strong>em<br />
<strong>in</strong>determ<strong>in</strong>istischen asymmetrischen Konzelationssystem muß der Verschlüsseler, sofern neben der bisher diskutierten<br />
Zufallszahl bei der Verschlüsselung weitere Zufalls<strong>in</strong>formation verwendet wurde, auch diese bekannt geben.<br />
Auch hier ist die Entschlüsselung determ<strong>in</strong>istisch, so daß ohne Bekanntgabe der Entschlüsselungsfunktion – was<br />
alle Zusammenhänge <strong>und</strong> nicht nur die strittigen aufdecken würde – auf die richtige Ausgabe-Informationse<strong>in</strong>heit<br />
geschlossen werden kann.<br />
118 [Cha3_85, Chau_88 Seite 72] ist nicht zu entnehmen, ob Teilnehmerstationen auch für s<strong>in</strong>nvolle Nachrichten<br />
mögliche Aufdeckforderungen senden <strong>und</strong> ob diese möglichen, aber nie tatsächlichen Aufdeckforderungen auch die<br />
richtige Bitpositionen <strong>und</strong> Nachrichten enthalten. Wie gleich ersichtlich wird, ist zum<strong>in</strong>dest ersteres s<strong>in</strong>nvoll.<br />
Außerdem vere<strong>in</strong>facht beides die Beschreibung.