Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
314<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
313<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
MACs passen <strong>und</strong> welche nicht (könnte das jemand mit e<strong>in</strong>er besseren Wahrsche<strong>in</strong>lichkeit als 0,5,<br />
dann wäre dies e<strong>in</strong> Ansatz zum Brechen des Authentikationssystems), ist die Nachricht so perfekt<br />
konzeliert.<br />
k esc (A,k AB )<br />
B<br />
A<br />
k esc (k AB (geheime Nachricht))<br />
Sender A Empfänger B<br />
Kennt kAB Kennt kAB Zu übertragen sei Nachricht<br />
b1 , ... bn mit bi ∈ {0, 1}<br />
Berechnet<br />
MAC1 := code(kAB ,b1 ) ... MACn := code(kAB ,bn )<br />
Bild 9-3: Key-Escrow-Konzelation ohne rückwirkende Entschlüsselung ermöglicht direkt symmetrische<br />
Konzelation ohne Key-Escrow<br />
Sei a 1 , ... a n die bitweise <strong>in</strong>vertierte Nachricht.<br />
Wählt zufällig MAC'1 ... MAC'n mit<br />
MAC'1 ≠ code(kAB,a1) ... MAC'n ≠ code(kAB,an) Überträgt (die Mengenklammern bedeuten „zufällige Reihenfolge“)<br />
{(b1, MAC1), (a1, MAC'1)} ...<br />
{(bn , MACn ), (an , MAC'n )} ––––––––––––––––––> Probiert, ob<br />
{MAC1 = code(kAB ,b1 ) oder<br />
MAC'1 = code(kAB,a1)} <strong>und</strong> empfängt den passenden Wert b1 ...<br />
probiert, ob<br />
{MACn = code(kAB ,bn ) oder<br />
MAC'n = code(kAB ,an )}<br />
<strong>und</strong> empfängt den passenden Wert bn Die Verwendung zusätzlicher Verschlüsselungsmaßnahmen kann erst dann entdeckt werden, wenn<br />
die Schlüssel e<strong>in</strong>es Key-Escrow-Systems herausgegeben <strong>und</strong> zum Entschlüsseln des Fernmeldeverkehrs<br />
benutzt wurden, was nach geltendem Recht e<strong>in</strong>e Erlaubnis zur Überwachung des Fernmeldeverkehrs<br />
voraussetzt. Key-Escrow ist – wenn die Schlüsselherausgabe tatsächlich so zurückhaltend<br />
gehandhabt wird, wie <strong>in</strong> der öffentlichen Diskussion immer wieder betont wird – für die Ermittlungen<br />
der <strong>Sicherheit</strong>sbehörden, des Verfassungsschutzes, des B<strong>und</strong>esnachrichtendienstes <strong>und</strong> MADs vermutlich<br />
kaum hilfreich, da gerade <strong>in</strong> den Fällen, wo Key-Escrow die Entschlüsselung von Nachrichten<br />
ermöglichen soll, höchstens die Verwendung zusätzlicher Verschlüsselungssysteme festgestellt<br />
werden kann. Daher wird neben der E<strong>in</strong>führung von Key-Escrow auch das Verbot anderer Verschlüsselungsverfahren<br />
diskutiert, was die Problematik allerd<strong>in</strong>gs <strong>in</strong> ke<strong>in</strong>er Weise löst: Wird die<br />
Überwachung des Fernmeldeverkehrs zurückhaltend gehandhabt, so wird e<strong>in</strong> Übertreten des Kryptoverbots<br />
häufig „zu spät“ bemerkt werden. E<strong>in</strong> ernsthafter Durchsetzungsversuch des Kryptoverbots<br />
setzt also e<strong>in</strong>e weitgehende Aushöhlung des Fernmeldegeheimnisses voraus. Doch selbst dann können<br />
sich Teilnehmer steganographischer Techniken bedienen (siehe §9.5), bei denen die Verwendung<br />
e<strong>in</strong>es Verschlüsselungssystems praktisch nicht nachweisbar ist.<br />
Bild 9-4: Konzelation mittels symmetrischer Authentikation nach Rivest<br />
Daneben ist zu berücksichtigen, daß alle Stellen <strong>und</strong> Personen, die Kenntnis von dem geheimen<br />
Konzelationsschlüssel e<strong>in</strong>es Benutzers erhalten haben, alle zu diesem Schlüssel gehörigen Nachrichten<br />
entschlüsseln können. Im Unterschied zu traditionellen Überwachungstechniken gerät damit<br />
das Ende e<strong>in</strong>er Abhöraktion diffus, da die Kenntnis e<strong>in</strong>es Schlüssels nicht rückholbar ist. Die zentrale<br />
Speicherung dieser sensiblen Informationen bei Key-Escrow-Agencies <strong>und</strong> Bedarfsträgern macht<br />
diese ggf. zu e<strong>in</strong>em vielversprechenden Angriffspunkt für Wirtschaftsspionage <strong>und</strong> andere krim<strong>in</strong>elle<br />
Aktivitäten.<br />
Rivests Vorschlag ist etwas mehr als doppelt so aufwendig wie die Lösung von Aufgabe 3-22. Er hat<br />
aber den Vorteil, daß beide Bits mit MACs jeweils <strong>in</strong> separate Nachrichten mit gleicher Sequenznummer<br />
gesteckt werden können. Dann wirft e<strong>in</strong>erseits das ganz normale Authentikationsprotokoll<br />
des Empfängers die falschen Bits weg, der Empfänger muß also gar nichts implementieren. Zusätzlich<br />
muß auch der Sender die falschen Bits <strong>und</strong> MACs nicht selbst generieren <strong>und</strong> <strong>in</strong> Nachrichten<br />
packen – das kann jemand anderes tun, sofern es nur vor der Stelle, an der der Angreifer abhört,<br />
getan wird. Und um es zu tun, braucht er nicht den symmetrischen Authentikationsschlüssel – er<br />
nimmt e<strong>in</strong>fach irgendwelche zufälligen MACs, die dann mit sehr großer Wahrsche<strong>in</strong>lichkeit nicht<br />
passen, vgl. Bild 9-5. Dann können sich Sender <strong>und</strong> Empfänger auch <strong>in</strong> e<strong>in</strong>em Land mit totalem<br />
Konzelationsverbot trefflich herausreden: „Konzelation? Haben wir nicht gemacht, haben wir nicht<br />
gewollt, haben wir nicht mal gemerkt!“<br />
Kurzum: Key-Escrow zur Verbrechensbekämpfung wird weitestgehend wirkungslos bleiben –<br />
erfordert aber kaum realisierbaren technischen134 <strong>und</strong> erheblichen organisatorischen135 Aufwand, um<br />
die Aushöhlung der Rechte der Bürger <strong>und</strong> e<strong>in</strong>e Steigerung der <strong>in</strong>formationellen Verletzbarkeit von<br />
Wirtschaft <strong>und</strong> Gesellschaft <strong>in</strong> vertretbaren Grenzen zu halten.<br />
9.4 Symmetrische Authentikation ermöglicht<br />
Konzelation<br />
Jedes Bit der zu konzelierenden Nachricht wird übertragen, <strong>in</strong>dem beide möglichen Werte, 0 <strong>und</strong> 1,<br />
jeweils gefolgt von e<strong>in</strong>em MAC, übertragen werden [Rive_98]. Der MAC des richtigen Bits paßt, der<br />
des falschen nicht, vgl. Bild 9-4. Da außer Sender <strong>und</strong> Empfänger niemand prüfen kann, welche<br />
134<br />
Wie soll e<strong>in</strong>e Zugriffskontrolle <strong>in</strong> den Datenbanken der Key-Escrow-Agencies fehlerfrei realisiert werden, <strong>und</strong><br />
gleichzeitig e<strong>in</strong> kurzfristiger Zugriff auf die Schlüssel möglich bleiben? Die Erfahrung, daß bisher jedes größere<br />
technische System Fehler enthielt, lehrt, daß derartige Risikozusammenballungen vermieden werden sollten.<br />
135<br />
Es ist erstaunlich, daß gerade die Bedarfsträger Key-Escrow fordern, deren Erfolge <strong>und</strong> Skandale doch häufig auf der<br />
Erfahrung „Jeder Mensch hat se<strong>in</strong>en Preis“ beruhen.