Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

244 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 243 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr (und zumindest hin und wieder von anderen benutzte) Zeichen erreichen. Werden die Reservierungsbits mit aufgedeckt, so entlarvt dies den verändernden Angreifer allerdings. • Kann ein Angreifer die für diese Aufdeckverfahren verwendete Blockchiffre brechen, so kann er je nach Verhalten der reservierenden Teilnehmerstationen und der verwendeten Blockchiffre möglicherweise a) ohne Aufdeckrisiko stören und b) sogar nach dem Senden gewählte Zeichen aufdecken lassen. sammenhänge aller Informationseinheiten zu offenbaren, so daß diese Maßnahme zwar hohen Aufwand verursacht, nicht aber die Anonymität integer übertragener Informationseinheiten gefährdet [Chau_81 Seite 85]. • Beim DC-Netz muß jede Station alle Schlüsselzeichen (nicht aber den Startwert des PZG, sofern einer verwendet wurde) und ihr gesendetes Zeichen für die Zeichen aufdecken, bei denen ein verändernder Angriff vermutet wird [Cha3_85, Chau_88]. a) gilt, falls die Teilnehmerstationen nicht immer eine mögliche Aufdeckforderung senden oder bei sinnvollen Nachrichten falsche Bitpositionen verwenden und die verwendete Blockchiffre, wie z.B. DES, manche Abbildungen von Klar- auf Schlüsseltext ausschließt. Letzteres ist für (2Blocklänge )! > 2Schlüssellänge immer der Fall, vgl. §3. b) gilt selbst nach dem Senden der Aufdeckforderung des Angreifers, falls die Blockchiffre alle möglichen Abbildungen von Klar- auf Schlüsseltext zuläßt. Anderenfalls kann der Angreifer nur vorher das bzw. die Zeichen beliebig wählen, das bzw. die er aufgedeckt haben will. Bei ungünstiger Wahl von Teilnehmerverhalten und Blockchiffre gilt also sogar a) sowie b) mit nachträglicher Wahl des Angreifers. Nach dem Gesagten ist klar, daß a) durch Ausführung des kombinierten Reservierungs- und Aufdeckverfahrens, wie es oben von mir beschrieben wurde, vermieden wird, sofern der Angreifer sinnvolle und bedeutungslose Nachrichten nicht unterscheiden kann. In [WaPf_89, WaPf1_89] werden Aufdeckverfahren beschrieben, die auch die Schwäche b) nicht haben. Die Forderungen A) und B) sind sogar in der informationstheoretischen Modellwelt in beweisbarer Form erfüllbar, wobei versucht werden sollte, diese Resultate auf weitere Klassen von Mehrfachzugriffsverfahren auszudehnen oder einen Beweis zu erbringen, daß dies nicht möglich ist. • Beim RING- und BAUM-Netz muß jede Station ihre gesendeten Zeichen für die Zeichen aufdecken, bei denen ein verändernder Angriff vermutet wird. Sowohl beim DC- als auch beim RING- und BAUM-Netz ist es Aufgabe eines global vereinbarten Aufdeckverfahrens, dafür zu sorgen, daß A) einerseits alle Zeichen potentiell aufgedeckt werden können, denn anderenfalls könnte zumindest bei manchen Zeichen ohne Aufdeckrisiko gestört werden, und daß B) andererseits keine Zeichen aufgedeckt werden, die die Senderanonymität von entweder selbst sensitiven oder mit solchen auch nur indirekt verkettbaren Nachrichten untergraben. Letzteres erfordert anscheinend die Verwendung eines Reservierungsverfahrens als Mehrfachzugriffsverfahren. Aufdeckverfahren für das DC-Netz können in kanonischer Weise auf RING- und BAUM-Netz übertragen werden. Es sei darauf hingewiesen, daß, um ein Aufdecken zu ermöglichen, beim DC- und insbesondere beim RING- und BAUM-Netz – auch falls keine „Fehler“ auftreten – erheblicher zusätzlicher Aufwand zur Speicherung von Informationseinheiten nötig ist. Im Rest dieses Abschnitts bleibt nun noch zu beschreiben, wie auf Dispute beim Aufdecken so reagiert werden kann, daß zumindest langfristig der „Schuldige“ bestraft wird. In [Cha3_85, Chau_88] ist (nur) das folgende kombinierte Reservierungs- und Aufdeckverfahren für das DC-Netz enthalten: • Alle Teilnehmerstationen reservieren in jeder Runde genau einen Übertragungsrahmen. Werden bei der Reservierung nicht genausoviel Übertragungsrahmen reserviert wie Teilnehmerstationen am DC-Netz teilnehmen, werden alle Reservierungsbits aufgedeckt und geprüft, ob jede Station genau ein Reservierungsbit gesendet hat. Da alle Teilnehmerstationen in jeder Runde genau einen Übertragungsrahmen reservieren, ergibt dies Aufdecken keinerlei Information über die Stationen, die sich an das Reservierungsschema gehalten haben. • Bereits vor der Reservierung sendet jede Teilnehmerstation eine ihr zuordenbare, mögliche Aufdeckforderung, nämlich die Bitposition ihrer Reservierung und die zu sendende Nachricht – beides zusammen mit einer Blockchiffre verschlüsselt. Wird die Teilnehmerstation beim Senden gestört und möchte, daß die Störung aufgedeckt wird, so veröffentlicht sie (in ihr zuordenbarer Weise) den Schlüssel, mit dem ihre mögliche Aufdeckforderung verschlüsselt ist, wodurch aus der möglichen eine tatsächliche Aufdeckforderung wird. Da dies die Senderanonymität ihrer Nachricht untergräbt, wird eine Teilnehmerstation dies nur dann tun, wenn sie nichts zu senden hatte und ihre Nachricht also eine bedeutungslose Nachricht, in diesem Zusammenhang eine bedeutungsvolle Falle (trap) für Störer ist. Sind aus verläßlicher Quelle die Übertragungen auf allen Leitungen bekannt (z.B. bei ausschließlicher Verwendung eines physischen Broadcast-Mediums – im Gegensatz zu mit Hilfe von Protokollen realisierten Verteilnetzen, beispielsweise Ringen mit Punkt-zu-Punkt-Leitungen), so kann der verändernde Angreifer beim MIX-Netz sicher entdeckt werden. (Beim RING- und BAUM-Netz natürlich auch, aber hier besteht der Witz der Verfahren gerade darin, daß niemand die Übertragungen auf allen Leitungen kennt.) Anders ist dies beim DC-Netz, da hier auch die von einer Station verwendeten Schlüssel bekannt sein müssen, um zu entscheiden, ob sie gesendet hat. Sind nicht alle Übertragungen auf Leitungen öffentlich bekannt, so kann derselbe Effekt dadurch erreicht werden, daß jede Station jede von ihr auf der Leitung gesendete Informationseinheit signiert. Das Signieren und Speichern von Signaturen verursacht zwar einen erheblichen zusätzlichen Aufwand, erlaubt es aber, hinterher sicher festzustellen, was genau auf der Leitung übertragen wurde. (Ein Sonderfall liegt vor, wenn beide Stationen an einer Leitung Angreifer sind und gemeinsam lügen. Dann kann natürlich nicht festgestellt werden, was auf der Leitung übertragen wurde.) Sind nicht alle Übertragungen auf Leitungen bekannt und wird nicht jede Informationseinheit signiert, so können im MIX-, RING- und BAUM-Netz sowie im DC-Netz (dort über strittige gesendete Nachrichten oder strittige Schlüssel) drei Gruppen von Stationen identifiziert werden, wovon die erste Gruppe weder beschuldigt wird noch beschuldigt, während zumindest eins von beiden bei der David Chaums Aufdeckverfahren leistet B) überhaupt nicht und – je nach vom Leser unterstelltem Teilnehmerstationenverhalten118 – A) höchstens im komplexitätstheoretischen Sinne: • Der Angreifer kann durch das Veröffentlichen möglicher Aufdeckforderungen, die sich gar nicht auf seine Nachricht beziehen, ein Aufdecken für beliebige, von ihm vorher gewählte tionseinheit schon in einem früheren Schub bearbeitet, er also lediglich eine Wiederholung ignoriert hat. Bei einem indeterministischen asymmetrischen Konzelationssystem muß der Verschlüsseler, sofern neben der bisher diskutierten Zufallszahl bei der Verschlüsselung weitere Zufallsinformation verwendet wurde, auch diese bekannt geben. Auch hier ist die Entschlüsselung deterministisch, so daß ohne Bekanntgabe der Entschlüsselungsfunktion – was alle Zusammenhänge und nicht nur die strittigen aufdecken würde – auf die richtige Ausgabe-Informationseinheit geschlossen werden kann. 118 [Cha3_85, Chau_88 Seite 72] ist nicht zu entnehmen, ob Teilnehmerstationen auch für sinnvolle Nachrichten mögliche Aufdeckforderungen senden und ob diese möglichen, aber nie tatsächlichen Aufdeckforderungen auch die richtige Bitpositionen und Nachrichten enthalten. Wie gleich ersichtlich wird, ist zumindest ersteres sinnvoll. Außerdem vereinfacht beides die Beschreibung.
246 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 245 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 5.4.8 Aktiver Verkettungsangriff über Betriebsmittelknappheit In diesem Abschnitt wird ein universeller aktiver Verkettungsangriff über Betriebsmittelknappheit und Möglichkeiten zu seiner Erkennung und Abwehr beschrieben. Ziel des Angriffs ist herauszufinden, ob zwei unterschiedliche Pseudonyme (z.B. implizite Adressen) zur selben Station gehören oder nicht. Der Angriff besteht darin, von diesen beiden Pseudonymen Dienste in solchem Umfang anzufordern, daß aus der Geschwindigkeit der Diensterbringung darauf geschlossen werden kann, ob beide Pseudonyme zur selben Station gehören – dann sind die Betriebsmittel knapper und die Geschwindigkeit der Diensterbringung ist folglich geringer, als wenn die Dienste von unterschiedlichen Stationen erbracht werden. Als knappe Betriebsmittel werden Rechenleistung, Sende- und Empfangsbandbreite betrachtet. zweiten und dritten Gruppe der Fall ist. Eine von ihnen ist der verändernde Angreifer. Die andere ist unschuldig, wird aber vom Angreifer beschuldigt. Dabei wird davon ausgegangen, daß sich nur ein Angreifer im Kommunikationsnetz befindet, der aber mehrere Stationen besitzen oder unterwandert haben kann, und Widersprüche nur in der Umgebung des Angreifers vorkommen. Der Angreifer hat nur dann eine Chance, nicht sofort ermittelt zu werden, wenn er wenige andere Stationen beschuldigt. Ansonsten spräche eine Mehrheit von zu Unrecht beschuldigten „ehrlichen“ Stationen gegen ihn. Im nicht entscheidbaren Fall jeweils weniger sich gegenseitig beschuldigender Stationen wird man normal weiterarbeiten, aber vorher so rekonfigurieren, daß sich im Wiederholungsfall diese wenigen Stationen nicht mehr gegenseitig beschuldigen können. Dies wird beispielsweise dadurch erreicht, daß Ist die • lokale Rechenleistung von Stationen begrenzt oder die • anonym und unverkettbar durch Senden oder Empfangen nutzbare Bandbreite des Kommunikationsnetzes pro Station auf einen echten Bruchteil der Gesamtbandbreite beschränkt, so kann eine Station Dienstanforderungen, die diese Grenzen überschreiten, natürlich nicht in Realzeit erfüllen oder gar gar nicht gleichzeitig empfangen. Hieraus resultieren drei Angriffsarten entsprechend den drei knappen Betriebsmitteln. Sie haben gemeinsam, daß von zwei unterschiedlichen Pseudonymen (z.B. impliziten Adressen) jeweils Dienste angefordert werden, die nur erbracht werden können, wenn die beiden Pseudonyme unterschiedlichen Stationen gehören. Hierzu muß der Angreifer entweder • die Rechenleistung der angegriffenen Station schätzen können, oder • ihre maximale Sendebandbreite kennen, was leicht ist, wenn sie durch das Kommunikationsnetz, etwa beim MIX-Netz, fest vorgegeben ist. Anderenfalls muß er auch dies schätzen. Um seine Schätzung zu erleichtern, kann er selbst natürlich auch gegen ein faires Zugriffsprotokoll verstoßen (vgl. z.B. §5.4.5.4.2 Kollisionsauflösungsalgorithmus mit Mittelwertbildung und überlagerndem Empfangen) und dadurch der bzw. den angegriffenen Stationen die maximale Sendebandbreite verknappen. • Kennt der Angreifer die maximale Empfangsbandbreite, was leicht ist, wenn sie durch das Kommunikationsnetz, etwa beim MIX-Netz ohne Verteilung „letzter“ 120 Nachrichten, fest vorgegeben ist, oder kann er sie schätzen, so müssen sich also so viele Angreiferstationen zusammentun, daß sie überschritten wird. Ggf. können natürlich auch wenige Angreiferstationen gegen ein faires Zugriffsprotokoll verstoßen. Wird der Dienst rechtzeitig erbracht, so ist das Ergebnis des Angriffs, daß (ggf. unter der Annahme richtiger Schätzung) zwei Pseudonyme nicht zur selben Station gehören können. Wird der Dienst nicht rechtzeitig erbracht, so kann dies natürlich auch an sonstigen Dienstanforderungen an eine der beiden Stationen liegen. Kennt der Angreifer von jeder Station ein Pseudonym, z.B. eine ihr öffentlich zugeordnete Adresse, und erbringen Stationen unter diesen Adressen auch Dienste, so wählt der Angreifer als eines der beiden Pseudonyme jeweils ein nichtanonymes. Damit kann er jedes Pseudonym mit in der Stationenanzahl linearem Aufwand einer Station zuordnen. • beim MIX-Netz andere Wege (Adressen) verwendet werden, d.h. jeder Sender bildet Adressen nur noch so, daß keine Nachricht diese beiden MIXe direkt hintereinander passiert. • beim DC-Netz keine Schlüssel zwischen den beiden betroffenen Stationen mehr ausgetauscht werden (die vorhandenen Schlüssel werden entfernt). Eine Alternative wäre, daß jeweils beide Partner ihren gemeinsamen Schlüssel vor seiner Verwendung digital signieren, so daß jeder Partner die Signatur des anderen hat. Dann kann bei gegenseitiger Beschuldigung von einem Dritten nach Vorlage der Signaturen entschieden werden, welche Station im Unrecht ist [Cha3_85]. An dem direkten Signieren des gemeinsamen Schlüssels ist nachteilhaft, daß jeder der beiden einzeln – und damit möglicherweise ohne Wissen seines Partners – dann einem Dritten den Wert des gemeinsamen Schlüssels nicht nur mitteilen, sondern auch nachweisen kann, indem er die Signatur des anderen vorweist (seine eigene nützt nichts, da er selbst natürlich auch einen anderen, falschen Schlüssel signieren könnte). Deshalb wird in [Chau_88 Seite 73f] vorgeschlagen, daß nicht der gemeinsame Schlüssel, sondern zwei Teile, deren Summe den Schlüssel ergibt und deren einer Teil zufällig gewählt ist, jeweils von einem der Partner signiert werden. Um den Wert des gemeinsamen Schlüssels einem Dritten nachzuweisen, bedarf es nun – wie im Fall ohne Signaturen – der Mitwirkung beider, da die Signatur jeweils von dem Partner angefordert werden muß, der sie nicht geleistet hat. 119 • beim RING- bzw. BAUM-Netz wird der Ring bzw. Baum rekonfiguriert. Dies ist bei einer Realisierung als virtueller Ring bzw. Baum, d.h. auf einem beliebigen Kommunikationsnetz wird ein logischer Ring bzw. Baum durch Verbindungs-Verschlüsselung zur Simulation der Unbeobachtbarkeit der Ring- bzw. Baum-Leitungen realisiert (was auf eine eigene Schutz- Schicht führt), sehr leicht möglich. Bei einer physischen Realisierung ist die Rekonfigurierung sehr aufwendig und daher kostenintensiv. Ist ein Netzteilnehmer mehrfach in einer Gruppe, die eine andere beschuldigt oder von ihr beschuldigt wird, so wird er als der verändernde Angreifer angesehen und aus dem Kommunikationsnetz ausgeschlossen. Dieses Verfahren ist nur dann praktikabel, wenn relativ wenige Netzteilnehmer verändernde Angreifer sind. Ansonsten könnten die verändernden Angreifer zusammenarbeiten und die korrekt kommunizierenden Stationen aus dem Kommunikationsnetz ausschließen, wobei sie dann natürlich immer weniger Stationen zum Beobachten hätten. Dieser aktive Verkettungsangriff über Betriebsmittelknappheit kann einerseits von der angegriffenen Station erkannt werden: Solange eine Station nicht aufgrund externer Dienstanforderungen an ihre Kapazitätsgrenzen stößt, wurde sie nicht angegriffen. Dies ist eine für die Überprüfbarkeit von Schutz weit bessere Situation als die passiver Angriffe. Andererseits kann der aktive Angriff leicht erschwert werden: 120 d.h. direkt an den Empfänger gerichteter Nachrichten, vgl. §5.4.6.3 119 Seit Erfindung der nicht herumzeigbaren Signaturen ist die gerade beschriebene Aufspaltung des gemeinsamen Schlüssels in zwei Teile nicht mehr nötig. Beide Partner signieren den gemeinsamen Schlüssel jeweils mit einer nicht herumzeigbaren Signatur, wodurch das Gleiche erreicht wird, da der Signierer jeweils an der Prüfung der Signatur aktiv mitwirken muß, vgl. §3.1.1.2.
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78: 142 A. Pfitzmann: Datensicherheit u
Seite 127: 242 A. Pfitzmann: Datensicherheit u
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?