Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
350<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Aufgaben, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
349<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Aufgaben, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
alle kollisionsresistenten Hashfunktionen e<strong>in</strong>e sichere Konstruktion ist: Welche zusätzliche<br />
Eigenschaft muß die kollisionsresistente Hashfunktion haben? (Als Startpunkt zum Nachdenken:<br />
Könnte der Hashwert dem Angreifer etwas über den symmetrischen Schlüssel verraten?)<br />
c) Falls die <strong>in</strong> b) gegebene Konstruktion für symmetrische Authentikation für e<strong>in</strong>e konkrete<br />
Hashfunktion sicher ist: Können Sie dann aus dieser Hashfunktion e<strong>in</strong> symmetrisches Konzelationssystem<br />
bauen? (Das wäre spannend, denn weitverbreitet ist im Geheimdienstbereich die<br />
Ansicht: Gute Hashfunktionen dürfen auch Gegnern bekannt werden, während gute Konzelationssysteme<br />
vor ihm tunlichst geheimgehalten werden müssen. In Deutschland beispielsweise<br />
beziehen sich die wissenschaftlichen Publikationen des BSI im Bereich Kryptographie<br />
ausschließlich auf Hashfunktionen, vgl. z.B. [Dobb_98]).<br />
3-8 Authentikationscodes<br />
a) Rechnen Sie e<strong>in</strong> kle<strong>in</strong>es Beispiel zur Authentikation von 4 Bits mit dem <strong>in</strong> der folgenden<br />
Tabelle gegebenen Authentikationscode (= Bild 3-15). H (Head) <strong>und</strong> T (Tail) s<strong>in</strong>d jeweils der<br />
Klartext.<br />
Text mit MAC<br />
H,0 H,1 T,0 T,1<br />
g) E<strong>in</strong> jüngerer Kryptograph hat folgende Idee zur Senkung des Schlüsselaustauschaufwands:<br />
Statt e<strong>in</strong>em zufälligen Schlüssel verwende ich e<strong>in</strong>en Teil e<strong>in</strong>es Buches, den auch me<strong>in</strong> Partner<br />
hat. Dann brauchen wir uns nur noch auf Buch, Seite <strong>und</strong> Zeile des Beg<strong>in</strong>ns zu e<strong>in</strong>igen <strong>und</strong><br />
können dann modulo Alphabetgröße addieren bzw. subtrahieren, so lange das Buch reicht.<br />
Welchen Rat <strong>und</strong> warum geben Sie als älterer Kryptograph Ihrem jüngeren Fre<strong>und</strong>?<br />
h) In manchen Ländern darf man zwar verschlüsselte Nachrichten schicken, muß aber den<br />
Schlüssel aufbewahren <strong>und</strong> auf Wunsch e<strong>in</strong>er Strafverfolgungsbehörde o.ä. aushändigen. Hat<br />
das bei e<strong>in</strong>er Vernam-Chiffre S<strong>in</strong>n? (Unterstellt wird natürlich, daß die Strafverfolgungsbehörde<br />
alle Schlüsseltexte abhört, <strong>in</strong> richtiger Reihenfolge speichert <strong>und</strong> Sendern <strong>und</strong> Empfängern<br />
zuordnen kann.)<br />
i) Wie lange kann man mit der <strong>in</strong>formationstheoretisch sicheren Vernam-Chiffre<br />
Textkommunikation (Tippgeschw<strong>in</strong>digkeit 40 bit/s),<br />
Sprachkommunikation (mit der normalen ISDN-Codierung: 64 kbit/s) bzw.<br />
Hochauflösende Bewegtbildkommunikation (140 Mbit/s)<br />
verschlüsseln, wenn man e<strong>in</strong>e<br />
3,5"-Diskette (1,4 MByte),<br />
optische 5,25"-Platte (600 MByte),<br />
Video-8-Streamertape (5 GByte),<br />
3,5"-Diskette (120 MByte),<br />
DVD-RAM e<strong>in</strong>seitig (2,6 GByte),<br />
Dual-Layer-DVD beidseitig (17 GByte)<br />
voller Zufallsbits ausgetauscht hat?<br />
Zur E<strong>in</strong>ordnung: Die ersten 2 Medien s<strong>in</strong>d Standardtechnologie m<strong>in</strong>destens seit 1990 <strong>und</strong> massenhaft<br />
verbreitet. Das Video-8-Streamertape (5 GByte) ist seit etwa 1993 verbreitet, allerd<strong>in</strong>gs<br />
ist das Schreib-/Lesegerät nie e<strong>in</strong> Massenartikel geworden – es wurde aber laufend verbessert:<br />
1998 passen auf das gleiche Medium mittels kompatibler Schreib-/Lesegeräte 20<br />
GByte. 3,5"-Diskette (120 MByte) <strong>und</strong> DVD-RAM e<strong>in</strong>seitig (2,6 GByte) s<strong>in</strong>d 1998 dabei,<br />
den Massenmarkt zu erobern <strong>und</strong> Nachfolger der ersten 2 Medien zu werden. Dual-Layer-<br />
DVD beidseitig (17 GByte) ist bisher ke<strong>in</strong> Produkt für die Speicherung von Daten durch den<br />
Endnutzer, sondern das, was mit der Technologie von 1998 auf e<strong>in</strong>e DVD gepreßt werden<br />
kann. Es dient als Schätzung, was im Jahre 2000 dem Endnutzer zur Speicherung zur Verfügung<br />
steht.<br />
–<br />
T<br />
–<br />
H<br />
00<br />
T<br />
–<br />
–<br />
H<br />
01<br />
–<br />
T<br />
H<br />
–<br />
10<br />
Schlüssel<br />
T<br />
–<br />
H<br />
–<br />
11<br />
b) Warum ist der Authentikationscode <strong>in</strong>formationstheoretisch sicher? (Sie können den Beweis<br />
aus der Vorlesung fortsetzen oder zusammenfassen, oder zunächst den Code wesentlich<br />
e<strong>in</strong>facher darstellen.)<br />
c) Wenn man diesen Code verwendet, um e<strong>in</strong>e Nachricht aus mehreren Bits zu authentisieren<br />
(wie <strong>in</strong> Teil a) oder Beispiel 2 der Vorlesung), kann e<strong>in</strong> Angreifer dann die Nachricht<br />
unbemerkt ändern, <strong>in</strong>dem er nur die Reihenfolge der Bits mitsamt ihren MACs vertauscht?<br />
d) Rechnen Sie e<strong>in</strong> kle<strong>in</strong>es Beispiel zur Konzelation <strong>und</strong> Authentikation von 4 Bits mit dem <strong>in</strong> der<br />
folgenden Tabelle gegebenen Konzelations- <strong>und</strong> Authentikationscode. (Er bewirkt gleichzeitig<br />
sowohl Konzelation als auch Authentikation.)<br />
Warum ist der folgende Konzelations- <strong>und</strong> Authentikationscode bei beliebigen Angriffen auf<br />
die Authentikation, aber nur bei beobachtenden auf die Konzelation <strong>in</strong>formationstheoretisch<br />
sicher? (Es sei unterstellt, daß der Angreifer bei e<strong>in</strong>em verändernden Angriff erfährt, ob se<strong>in</strong><br />
Angriff auf die Authentikation erfolgreich war oder nicht.)<br />
Schlüsseltext<br />
00 01 10 11<br />
–<br />
T<br />
–<br />
H<br />
00<br />
H<br />
–<br />
–<br />
T<br />
01<br />
–<br />
H<br />
T<br />
–<br />
10<br />
Schlüssel<br />
T<br />
–<br />
H<br />
–<br />
11<br />
3-7a Symmetrisch konzelierter Message Digest = MAC ?<br />
a) H<strong>in</strong> <strong>und</strong> wieder hört man folgendes Rezept zur Generierung von Message Authentication<br />
Codes (MACs):<br />
Bilden Sie nach e<strong>in</strong>em öffentlich bekannten Verfahren e<strong>in</strong>e Prüfziffer zur Nachricht <strong>und</strong><br />
verschlüsseln Sie die Prüfziffer mit e<strong>in</strong>em symmetrischen Konzelationssystem.<br />
Übertragen Sie die Nachricht mit der verschlüsselten Prüfziffer.<br />
Der Empfänger entschlüsselt die Prüfziffer <strong>und</strong> prüft, ob sie paßt, <strong>in</strong>dem er mit dem<br />
öffentlich bekannten Verfahren zur erhaltenen Nachricht die Prüfziffer berechnet. S<strong>in</strong>d<br />
beide Prüfziffern gleich, wird die Nachricht als authentisch betrachtet.<br />
Was halten Sie von diesem Rezept?<br />
(Als Tip: Nehmen sie das sicherstmögliche öffentliche Verfahren zur Bildung von Prüfziffern,<br />
nämlich e<strong>in</strong>e kollisionsresistente Hashfunktion, <strong>und</strong> das sicherste symmetrische Konzelationssystem,<br />
die Vernam-Chiffre, <strong>und</strong> überlegen Sie dann, ob die Komb<strong>in</strong>ation sicher ist.)<br />
b) Was halten Sie von folgender Verbesserung: Statt den Hashwert mittels des symmetrischen<br />
Schlüssels zu verschlüsseln, wird der symmetrische Schlüssel mit gehasht (so beispielsweise<br />
im Transport Layer Security (TLS) Protokoll). Falls Sie der Me<strong>in</strong>ung s<strong>in</strong>d, daß dies nicht für