Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
296<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
295<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
(Anmerkung: Ist (p,h(p)) ∈ ZZ *, n so erfährt der Inhaber von t dadurch nichts über (p,h(p)),<br />
da rt gleichverteilt <strong>in</strong> ZZ *<br />
n ist. Andernfalls benötigt der Pseudonymgenerierer die Hilfe des<br />
Inhabers von t überhaupt nicht: ggT((p,h(p)),n) ergibt e<strong>in</strong>en nichttrivialen Faktor von n.<br />
Damit hat der Pseudonymgenerierer RSA vollständig gebrochen, vgl. §3.1.3.1 <strong>und</strong><br />
§3.6.1, so daß er sich se<strong>in</strong> Pseudonym selbst signieren kann.)<br />
Erhalte ((p,h(p)) • rt ) s ≡n (p,h(p)) s • r<br />
Multipliziere mit dem multiplikativen Inversen126 von r, erhalte (p,h(p)) s<br />
[2] Transferauftrag des Zahlenden. X erteilt dem Zeugen B den Auftrag, das Recht an<br />
p B<br />
E (Y,t) zu übertragen. Dieser Auftrag ist mit pZ<br />
B (X,t) signiert. Als Fremdauthentikation legt<br />
X diesem Auftrag e<strong>in</strong>e Autorisierung bei, die besagt, daß p B<br />
Z (X,t) über das zu transferierende<br />
Recht verfügt <strong>und</strong> von B selbst mit pB signiert ist. Da jeder Transfer von B beglaubigt se<strong>in</strong><br />
muß, kann B nachprüfen, ob p B<br />
Z (X,t) über das beglaubigte Recht tatsächlich noch verfügt oder<br />
es bereits transferiert wurde.<br />
Das Protokoll ist <strong>in</strong> Bild 6-6 dargestellt, wobei die Authentikationen wieder als Siegel abgebildet s<strong>in</strong>d.<br />
[3] Bestätigung des Zeugen. Der Zeuge B bestätigt X <strong>und</strong> Y den Transfer des Rechtes von<br />
p B<br />
Z (X,t) auf pEB (Y,t), wobei er sie unter diesen Pseudonymen adressiert.<br />
[ 3 ]<br />
Bestätigung<br />
des Zeugen<br />
B<br />
p (Y,t)<br />
E<br />
be-<br />
Bestätigung<br />
über Besitz<br />
[ 2 ]<br />
Transfer-<br />
B<br />
p (X,t) be-<br />
Z<br />
sitzt Recht<br />
sitzt Recht, er-<br />
halten von<br />
B<br />
p<br />
Z<br />
(X,t)<br />
auftrag des<br />
Zahlenden<br />
Transferiere<br />
Recht an<br />
B<br />
p (Y,t)<br />
E<br />
Zeuge B<br />
p B<br />
p B<br />
B<br />
p<br />
Z<br />
( X,t)<br />
[4] Quittung für den Zahlenden. Der Empfänger Y sendet an X e<strong>in</strong>e Quittung, die nur<br />
pZ(X,t) <strong>und</strong> pE(Y,t) bezeichnet <strong>und</strong> mit pE(Y,t) authentisiert ist, <strong>und</strong> die den Erhalt des Rechtes<br />
bestätigt.<br />
Verweigert Y die Quittung (was i.allg. nicht zu verh<strong>in</strong>dern ist, da Y anonym ist), so kann X<br />
die Bestätigung des Transfers durch B (aus [3]) zusammen mit der Bestätigung von Y, das<br />
Recht unter diesem neuen Pseudonym p B<br />
E (Y,t) empfangen zu wollen (aus [1]), als Ersatzquittung<br />
verwenden.<br />
Genau diese Möglichkeit unterscheidet das Quittungsproblem vom allgeme<strong>in</strong>en Werteaustauschproblem,<br />
bei dem es nicht möglich ist, daß e<strong>in</strong> Dritter, etwa der Treuhänder, e<strong>in</strong>es der<br />
beiden Tauschobjekte ersatzweise erzeugt.<br />
[ 6 ]<br />
von Y<br />
umgeformte<br />
Bestätigung<br />
des Zeugen<br />
B<br />
p<br />
Z<br />
( Y,t') besitzt<br />
Recht<br />
p B<br />
[5] Bestätigung für den Empfänger. Der Zahlende X sendet an Y e<strong>in</strong>e Bestätigung des<br />
Transfers, die nur pZ (X,t) <strong>und</strong> pE (Y,t) bezeichnet <strong>und</strong> mit pZ (X,t) authentisiert ist.<br />
Auch Y kann notfalls die Bestätigung von B (aus [3]) zusammen mit der Bestätigung von X<br />
(aus [1]), das Recht an Y transferieren zu wollen, als Beweis dafür verwenden, das Recht von<br />
pZ (X,t) empfangen zu haben.<br />
[ 1 ]<br />
Pseudonymwahl<br />
pE (Y,t) ≈<br />
B<br />
p (Y,t)<br />
E<br />
B<br />
pZ (X,t) ≈ p<br />
Z<br />
(X,t)<br />
[ 4 ]<br />
Empfänger<br />
Y<br />
Quittung<br />
für den<br />
Zahlenden<br />
p E (Y, t) p Z (X,t)<br />
Zahlender<br />
X<br />
[6] Umformen der Bestätigung. Y wird die auf p B<br />
E (Y,t) ausgestellte Bestätigung von B,<br />
das Recht erhalten zu haben, bei e<strong>in</strong>em zukünftigen Transfer t' <strong>in</strong> Schritt [2] verwenden wollen.<br />
Um Verkettbarkeiten <strong>und</strong> damit mögliche Deanonymisierung zu vermeiden, sollte dort nicht<br />
p B<br />
E (Y,t) als pZ<br />
B (Y,t') verwendet werden.<br />
Durch Verwendung der <strong>in</strong> §6.2.1.2.2 erwähnten umrechenbaren Autorisierungen (die<br />
Beschreibung e<strong>in</strong>er Implementierung folgt sofort) wird erreicht, daß Y die Bestätigung auf e<strong>in</strong><br />
neues Pseudonym umrechnen kann. Dazu muß Y allerd<strong>in</strong>gs bereits <strong>in</strong> Schritt [1] des Transfers t<br />
zuerst das künftige Pseudonym p B<br />
Z (Y,t') gewählt <strong>und</strong> daraus e<strong>in</strong> zur Umrechnung geeignetes<br />
p B<br />
E (Y,t) gebildet haben.<br />
Habe Recht<br />
von p (X,t)<br />
Z<br />
erhalten.<br />
p E (Y,t)<br />
[ 5 ]<br />
Bestätigung<br />
für den<br />
Empfänger<br />
Habe Recht<br />
an p (Y,t)<br />
E<br />
transferiert.<br />
p Z ( X,t)<br />
Implementierung (e<strong>in</strong>mal) umrechenbarer Autorisierungen mittels RSA (oder: Wie<br />
nutze ich den Angriff von Davida, vgl. §3.6.3.1, zum bl<strong>in</strong>den Leisten von Signaturen, vgl.<br />
§3.9.5):<br />
Wähle Pseudonym p (= Testschlüssel e<strong>in</strong>es beliebigen digitalen Signatursystems). 125<br />
Bilde mittels kollisionsresistenter Hashfunktion h: p,h(p).<br />
Sei t, n der öffentliche RSA-Testschlüssel desjenigen, der die Autorisierung authentiziert,<br />
z.B. der Bank.<br />
Wähle Zufallszahl r gleichverteilt <strong>in</strong> ZZ *. n (Zur Er<strong>in</strong>nerung: Dies bedeutet 1 ≤ r < n, <strong>und</strong> r<br />
besitzt multiplikatives Inverses mod n.)<br />
Berechne (p,h(p)) • rt (mod n).<br />
Lasse dies vom Inhaber von t signieren.<br />
Bild 6-6: Gr<strong>und</strong>schema e<strong>in</strong>es sicheren <strong>und</strong> anonymen digitalen Zahlungssystems<br />
126 Dies wird mit dem erweiterten Euklidschen Algorithmus bestimmt, der <strong>in</strong> §3.4.1.1 beschrieben ist.<br />
125<br />
Der Bezeichner p für Pseudonym hat nichts mit dem Bezeichner p für e<strong>in</strong>e der beiden Primzahlen bei der RSA-<br />
Schlüsselgenerierung zu tun.