Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

304 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 303 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr dungen des Empfängers der Banknote festlegen soll. Dadurch soll sichergestellt werden, daß zwei verschiedene Empfänger der Banknote an mindestens einer Stelle unterschiedlich gewählt haben und dadurch die Identität des Zahlenden ermittelbar ist. Zur Erhöhung der Sicherheit kann man es mit sicheren Geräten kombinieren: Die Benutzer müssen statt beliebiger Rechner sichere Geräte verwenden, die die mehrfache Weitergabe eines Rechtes verhindern. Das kombinierte System erfüllt solange die stärkere Sicherheitsdefinition, wie die sicheren Geräte wirklich sicher sind; ansonsten ist es ebenso sicher wie das ursprüngliche System ohne sichere Geräte. Aufgrund der genannten Nachteile und des für offene digitale Systeme der betrachteten Art nur geringen Vorteiles elektronischer Brieftaschen erscheint uns ein Einsatz hier als nicht angebracht. 6.4.6 Zahlungssysteme mit Sicherheit durch Deanonymisierbarkeit Zahlungssysteme, die die offline Eigenschaft insofern einschränken, daß ein Zahlungsempfänger Y ein erhaltenes Recht nicht ohne vorherigen Kontakt mit der Bank weitergeben kann, sind in [ChFN_90, Cha1_89, CBHM_90] beschrieben. (Ein entsprechendes in [OkOh_89, OkOh1_89] vorgeschlagenes Zahlungssystem erwies sich laut DAVID CHAUM als fehlerhaft.) Leseempfehlungen Betrugssicherer Werteaustausch: AsSW_97, Baum_99 Digitale Zahlungssysteme: AJSW_97, Chau_92, PfWa2_97 In [ChFN_90] wurde ein anonymes Zahlungssystem vorgestellt, das nur eine schwächere als die bisher verwendete Sicherheitsdefinition erfüllt: • Ein Benutzer darf ein erhaltenes Recht nur einmal weitergeben. Gibt er es dennoch mehrfach weiter, so muß er dadurch deanonymisierbar werden. Die Grundidee ist dieselbe wie die in §6.3.1: Man hofft, daß das nach einer Deanonymisierung insgesamt zur Verfügung stehende Vermögen zur Schadensregulierung ausreicht. Das System soll hier trotz seiner schwächeren Sicherheit kurz skizziert werden: Zum einen ist es auch nicht unsicherer als z.B. das heutige Kreditkartensystem, zum anderen stellt es für offline Zahlungen die einzige Alternative zu den fragwürdigen elektronischen Brieftaschen aus §6.4.5 dar. Hauptunterschied zu den obigen Zahlungssystemen ist, daß statt des Zeugen B der Zahlende X selbst dem Zahlungsempfänger Y den Transfer bestätigt. Verhält sich X korrekt, so bleibt seine Anonymität gewahrt. Verhält er sich inkorrekt und transferiert das Recht nochmals an einen anderen Empfänger Y * , so können dank eines kryptographischen Tricks mit hoher Wahrscheinlichkeit die beiden Transferbestätigungen von X so kombiniert werden, daß ihnen die Identität von X zu entnehmen ist. Wird das Recht bei B mehrfach geltend gemacht, so kann X durch B deanonymisiert werden. Aktuelle Forschungsliteratur: Computers & Security, Elsevier Tagungsserien ACM Conference on Computer and Communications Security, IEEE Symposium on Security and Privacy, IFIP/Sec, VIS, ESORICS, Crypto, Eurocrypt, Asiacrypt; Tagungsbände erscheinen bei ACM, IEEE, bei Chapman & Hall London, in der Serie Datenschutz- Fachberichte des Vieweg-Verlags Wiesbaden, in der Serie LNCS des Springer-Verlags Heidelberg Hinweise auf aktuelle Forschungsliteratur und Kommentare zu aktuellen Entwicklungen: http://www.itd.nrl.navy.mil/ITD/5540/ieee/cipher/ oder abonnieren unter cipher-request@itd.nrl.navy.mil Datenschutz und Datensicherheit DuD, Vieweg-Verlag Kernidee: Sei k der Sicherheitsparameter, ri zufällig gewählt (1 ≤ i ≤ k), I Identität des die Banknote Ausgebenden, C ein Commitment-Schema, dessen Geheimhaltung informationstheoretisch ist. Die blind127 signierte Banknote hat die Form sBank( C(r1), C(r1⊕I), C(r2), C(r2⊕I), ..., C(rk), C(rk⊕I) ) Der Empfänger der Banknote entscheidet für i = 1,...,k jeweils stochastisch unabhängig, ob er ri oder ri⊕I aufgedeckt haben will, erhält also k Commitments aufgedeckt.. (Durch dieses One-time-pad ist die Identität des die Banknote Ausgebenden informationstheoretisch sicher geschützt. Die Bank hingegen ist wegen des Commitment-Schema nur komplexitätstheoretisch sicher. Dafür darf sie das Commitment-Schema und seinen Sicherheitsparameter wählen.) Wird die Banknote an zwei brave Empfänger ausgegeben, ist die Wahrscheinlichkeit, daß für mindestens ein i bei der Bank ri und ri⊕I eintreffen und der Ausgebende dadurch identifiziert werden kann, in k exponentiell nahe bei 1. Da im Transfer kein Zeuge benötigt wird, kann dieses Zahlungssystem unmittelbar für offline Zahlungen eingesetzt werden; zu diesem Zweck wurde es in [ChFN_90] auch vorgeschlagen. Damit der Zahlende, der erfährt, welche Wahl der Zahlungsempfänger trifft, nicht einem zweiten Zahlungsempfänger (der mit dem Zahlenden zusammenarbeitet) dieselbe Information geben kann, so daß die Banknote zweimal zur Einlösung ansteht, ohne den Zahlenden zu identifizieren, hat DAVID CHAUM vorgeschlagen, daß die Identität des Zahlungsempfängers zumindest einen Teil der Entschei- 127 Bevor die Bank blind signiert, muß sie natürlich prüfen, ob die ihr vorgelegte Banknote richtig gebildet ist, insbesondere die Identität des die Banknote Ausgebenden enthält. Würde dies von der Bank nicht geprüft, dann könnte der Ausgebende beim Bilden keine oder eine falsche Identität einsetzen und sich so der Deanonymisierung bei Mehrfachausgabe entziehen. Die Prüfung der richtigen Bildung erfolgt, indem nach Wahl der Bank viele der ihr zum blinden Signieren eingereichten Exemplare vom Einreicher aufgedeckt werden müssen. Nur wenn dabei kein Betrugsversuch entdeckt wird, signiert die Bank die restlichen Exemplare blind [ChFN_90].
306 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 305 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 8 Verteilte Berechnungsprotokolle 7 Umrechenbare Autorisierungen (Credentials) Gegeben sei die sehr allgemeine Aufgabe, daß n Teilnehmer Ti zusammen eine Berechnung durchführen wollen. Jeder Teilnehmer soll seinen Input Ii zur Berechnung beitragen und am Schluß seinen Output Oi erhalten, der als Funktion fi aller Inputs spezifiziert ist. Folgende Sicherheitseigenschaften sollen erreicht werden: Größtmögliche Vertraulichkeit: Kein Teilnehmer soll über Inputs von anderen Teilnehmern mehr erfahren, als er aus seinem Output schließen kann. Größtmögliche Integrität: Kein Teilnehmer soll, nachdem er seinen Input gegeben hat, die Werte der Outputs beeinflussen können. Größtmögliche Verfügbarkeit: Kein Teilnehmer soll, nachdem er seinen Input gegeben hat, einem anderen Teilnehmer seinen Output vorenthalten können. Eine Übersicht für eine umrechenbare Autorisierung wird in [Cha8_85, Chau_87] gegeben. Dort ist jeweils nicht erwähnt, daß wegen des gemeinsamen RSA-Modulus alle Organisationen die Credential- Signaturen nicht selbst leisten können, sondern von einer Signaturorganisation leisten lassen müssen. Denn wer ein Paar zueinander inverser RSA-Exponenten kennt, kann den Modulus faktorisieren [Hors_85 Seite 187, MeOV_97 Seite 287]. In meiner Übersicht ist der Fall einer festen und zu Beginn bekannten Menge von Credentials beschrieben. Eine detaillierte Protokollbeschreibung ist in [Chau2_90] zu finden. In [ChEv_87] ist beschrieben, wie die Prüfung, ob die Pseudonyme richtig gebildet sind, so durchgeführt werden kann, daß die Wahrscheinlichkeit, daß unentdeckt falsche darunter sind, exponentiell klein im Prüfungsaufwand wird. In [Cha1_88] ist beschrieben, wie Credentials, die zu Beginn nicht bekannt sind, ausgestellt werden können. In [Bura_88] und [ChAn_90] sind weitere Sorten umrechenbarer Autorisierungen beschrieben. Alle drei Sicherheitseigenschaften sollen auch gelten, wenn sich mehrere Teilnehmer zusammenschließen. Sie sollen dann nicht mehr erfahren, als was sie aus ihren gemeinsamen Outputs schließen können. Nachdem der letzte von ihnen seinen Input gegeben hat, sollen sie die Werte der Outputs nicht mehr beeinflussen und anderen nicht mehr vorenthalten können. Leider ist mir keine Anwendung dieser rein digitalen Identitäten bekannt. Denn es reicht nicht, daß z.B. die Autorisierung „Führerschein“ nur zwischen den Pseudonymen einer Person umgerechnet werden kann. Die Autorisierung „Führerschein“ sollte auch nur das biologische Wesen nutzen können, das die Prüfung bestanden hat. Man muß das beschriebene Verfahren also für (fast?) alle Anwendungen so erweitern, daß in der Protokollphase „Pseudonyme vereinbaren“, Pseudonyme an Körpermerkmale gebunden werden. Ob es untereinander hinreichend nicht verkettbare, aber andererseits hinreichend genau meßbare Körpermerkmale gibt, ist eine Frage außerhalb der Informatik. Gibt es sie, ist die Erweiterung der beschriebenen Protokolle kanonisch. Eine Erweiterung auf der Basis sicherer, d.h. unausforschbarer biometrischer Hardware, vgl. §6.2.1.2.2, die mit einem hinreichend genau meßbaren Körpermerkmal auskommt, ist in [Bleu_99] beschrieben. Es gibt nun zwei gänzlich unterschiedliche Möglichkeiten, diese Aufgabe zu lösen: 1. Alle Teilnehmer senden ihre Inputs an einen zentralen Rechner, dem alle vertrauen (müssen). Dieser zentrale Rechner führt die Berechnungen durch und sendet jedem Teilnehmer seinen Output. Zwischen jedem Teilnehmer und dem zentralen Rechner sollte so verschlüsselt werden, daß Konzelation und Authentikation gewährleistet sind, vgl. Bild 8-1. Vertraut man dieser Verschlüsselung und dem zentralen Rechner sowie der Verfügbarkeit des Kommunikationsnetzes, ist das gestellte Problem gelöst. Bzgl. der Verfügbarkeit und Integrität der Outputs kann man den zentralen Rechner zumindest prinzipiell im Nachhinein kontrollieren, wenn alle Nachrichten digital signiert werden und eine Zusammenarbeit von zentralem Rechner und Teilnehmern ausgeschlossen werden kann (sonst könnten sie sich im Nachhinein die für ihre Handlungen nötigen digitalen Signaturen zuschanzen). Leider ist der zentrale Rechner bezüglich Vertraulichkeit nahezu unkontrollierbar, vgl. §1.2.2 und §2.1. 2. Die Teilnehmer führen ein verteiltes Berechnungsprotokoll (Multi-Party Computation Protocol) durch, vgl. Bild 8-2. Bei solch einem Protokoll gibt es keine zentrale Instanz, der alle vertrauen müssen. Aber auch hier ist, wenn auch realistischeres Vertrauen nötig: • Entweder muß darauf vertraut werden, daß ein Angreifer weniger als ein Drittel aller Teilnehmer umfaßt. Dann sind informationstheoretisch sichere verteilte Berechnungsprotokolle bekannt [BeGW_88, ChCD1_88]. • Oder es muß mit einer kryptographischen Annahme gearbeitet werden. Dann kann der Anteil des Angreifers an den Teilnehmern aber beliebig sein [ChDG_88]. • Ein neueres Protokoll erfordert nur, daß eine der beiden gerade skizzierten Restriktionen für den Angreifer zutrifft [Chau_90].
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108: 202 A. Pfitzmann: Datensicherheit u
Seite 157: 302 A. Pfitzmann: Datensicherheit u
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?