Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

348 A. Pfitzmann: Datensicherheit und Kryptographie; Aufgaben, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 347 A. Pfitzmann: Datensicherheit und Kryptographie; Aufgaben, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 3-5 Hybride Verschlüsselung Sie wollen große Dateien austauschen und diesen Austausch – aus Effizienzgründen – mit einem hybriden kryptographischen System sichern. Wie verfahren Sie, wenn es Ihnen a) nur auf Konzelation, b) auch auf Authentikation, c) nur auf Authentikation ankommt? Betrachten Sie zunächst nur den Fall 1, daß ein Sender S einem Empfänger E eine Datei zukommen läßt, danach den Fall 2, daß S zeitlich nacheinander mehrere Dateien an E schickt und schließlich den Fall 3, daß E antwortet, d.h. eine Datei an S schickt. 3-6 Situationen aus der Praxis (zur Systematik der kryptographischen Systeme) Geben Sie zu Situationen an, was für kryptographische Systeme Sie einsetzen würden (Authentikation/Konzelation; symmetrisch/asymmetrisch) und wie Sie die Schlüsselverteilung vornehmen würden. Auch könnten Sie eine grobe Einschätzung angeben, wie sicherheits- und zeitkritisch das System ist. (Z.B. Vernam-Chiffre in Hardware: 10 Gbit/s, in Software 500 Mbit/s; informationstheoretisch sichere Authentikationscodes in Hardware 5 Gbit/s, in Software 100 Mbit/s; DES in Hardware: 200 Mbit/s, in Software bis 10 Mbit/s, je nach PC; RSA in Hardware: 200 kbit/s, in Software 6000 bit/s (GMR, s2-mod-n-Generator vermutlich ähnlich).) a) Andreas schaut sich in Hildesheim Wohnungen an. Er will Birgit e-mail mit den Vor- und Nachteilen der Wohnungen schicken und eine Entscheidung, ob er einen Mietvertrag unterschreiben soll, zurückerhalten. (Beide sind so heiser, daß sie nicht telefonieren können.) b) David hat wieder eine geniale Idee für ein neues kryptographisches System und will sie ein paar vertrauenswürdigen Kryptographen zuschicken (File-Transfer). Leider lauern in den meisten Rechenzentren weniger geniale Kryptographen, die Davids Ideen klauen wollen. c) Ein sicheres Betriebssystem schreibt Daten auf eine Wechselplatte heraus. Es soll beim Wiedereinlesen sicher sein, daß die Daten nicht verändert wurden. d) Ein Rechnerfan möchte einen neuen Rechner anhand eines digitalen Katalogs mit einer digitalen Nachricht bestellen. e) Eine Maschinenbaufirma faxt einer anderen eine unverbindliche Anfrage, ob sie ein ganz bestimmtes Teil fertigen könnte und zu welchem Preis. Was sollte getan werden, um Teilnehmer hiergegen zu schützen? Behandeln sie zunächst den Fall einer Schlüsselverteilzentrale, danach den mehrerer Schlüsselverteilzentralen in Serie (beispielsweise bei mehrfach hierarchischer Schlüsselverteilung, vgl. Aufgabenteil a)) und danach den Fall mehrerer Schlüsselverteilzentralen parallel (vgl. §3.1.1.1). f) Aktualität von Schlüsseln: Inwieweit und wie kann sichergestellt werden, daß ein Angreifer Teilnehmer nicht dazu bringen kann, alte (und beispielsweise kompromittierte), inzwischen durch neue ersetzte Schlüssel zu verwenden? (Unterstellt ist, daß es sich jeweils durchaus um Schlüssel des „richtigen“ Teilnehmers handelt.) g) Austausch öffentlicher Schlüssel ohne öffentliche Schlüsselregister: anarchischer Schlüsselaustausch à la PGP Nehmen wir an, wir können keine öffentlichen Schlüsselregister benutzen (sei es, daß Staat oder Telekommunikationsanbieter keine betreiben, sei es, daß manche Bürger zentral-hierarchischen öffentlichen Schlüsselregistern nicht vertrauen wollen, sei es, daß es zwar öffentliche Schlüsselregister gibt, diese aber auch gleich die Schlüsselpaare erzeugen – ein Schuft, wer hinter dieser Fürsorge etwas Böses vermutet). Trotzdem (oder gerade deswegen) sollen in einer offenen Teilnehmergruppe öffentliche Schlüssel ausgetauscht werden. Zur Wiederholung: Worauf muß beim Austausch der öffentlichen Schlüssel geachtet werden? Auf wen könnte die Funktion des vertrauenswürdigen öffentlichen Schlüsselregisters verteilt werden? Wie erfolgt dann der Schlüsselaustausch? Was ist zu tun, wenn nicht jeder jedem gleich viel vertraut? Was ist zu tun, wenn ein Teilnehmer entdeckt, daß sein geheimer Schlüssel anderen bekannt wurde? Was sollte ein Teilnehmer tun, wenn sein geheimer Schlüssel zerstört wurde? optional: Was ist zu tun, wenn ein Teilnehmer entdeckt, daß er eine falsche Zuordnung Teilnehmer öffentlicher Schlüssel zertifiziert hat? Kann man das in dieser Teilaufgabe entwickelte Verfahren mit dem aus Teilaufgabe b) kombinieren? 3-7 Vernam-Chiffre a) Rechnen Sie ein kleines Beispiel, wobei wir hierfür und für das Folgende vereinbaren, daß die bearbeiteten Bits bzw. Zeichen von links nach rechts geschrieben werden. b) In der Vorlesung wurde die Sicherheit der Vernam-Chiffre bewiesen, wenn modulo 2 addiert wird. Führen Sie den entsprechenden Beweis für Addition in beliebigen Gruppen. c) Entschlüsseln Sie den Schlüsseltext 01011101, der mit dem Schlüssel 10011011 verschlüsselt wurde. Ist das Ergebnis eindeutig? d) Ein Angreifer fängt den Schlüsseltext 01011101 01011101 01011101 ab und möchte das dritte Bit von rechts des zugehörigen Klartextes invertieren. Was muß er tun, wenn modulo 2 gerechnet wird? Was muß er tun, wenn modulo 4, modulo 8 bzw. modulo 16 gerechnet wird, also jeweils 2, 3 bzw. 4 Bits „gemeinsam“ addiert werden? In welchem Sinne ist die Aufgabe für modulo 4 und 16 lösbar, in welchem nicht? e) Warum gibt es bei der Vernam-Chiffre keinen adaptiven aktiven Angriff auf den Schlüssel? f) Es gibt 16 Funktionen von {0, 1} x {0, 1} ––> {0, 1}. Welche davon eignen sich als Verschlüsselungs- bzw. Entschlüsselungsfunktion für die binäre Vernam-Chiffre? Geben Sie zunächst allgemeine notwendige und hinreichende Bedingungen für die Funktionen beliebiger Vernam-Chiffren an, und wenden Sie diese danach auf den binären Fall an. 3-4a Welche Sorte von Trust ist für welche Funktion eines TrustCenters nötig? Manche (wie wir gleich sehen werden: naive) Autoren weisen sogenannten TrustCentern folgende Funktionen zu: Schlüsselgenerierung: Das Erzeugen von Schlüssel(paare)n für Teilnehmer. Schlüsselzertifizierung: Das Zertifizieren des Zusammenhangs von öffentlichem Schlüssel und Teilnehmer, vgl. §3.1.1.2. Verzeichnisdienst: Bereithalten der zertifizierten öffentlichen Schlüssel zur Abfrage für beliebige andere Teilnehmer. Sperrdienst: Sperren von öffentlichen Schlüsseln, u.a. auf Wunsch des Schlüsselinhabers, d.h. Ausstellen einer signierten Erklärung, daß (und ab wann, s.u.) der öffentliche Schlüssel gesperrt ist. Zeitstempeldienst: Digitales Signieren von vorgelegten Nachrichten inkl. aktuellem Datum und aktueller Zeit. Diskutieren Sie, welche Sorten von Vertrauen der Teilnehmer dies jeweils erfordert. Sinnvoll könnte etwa die Unterscheidung nach blindem Vertrauen (Teilnehmer hat keinerlei Möglichkeit zu prüfen, ob sein Vertrauen gerechtfertigt ist) und überprüfendem Vertrauen (Teilnehmer kann überprüfen, ob sein Vertrauen gerechtfertigt ist) sein. Wie hängen diese Eigenschaften mit den in §1.2.5 beschriebenen Angreifermodellen, insbesondere der Unterscheidung in beobachtende und verändernde Angriffe zusammen?
350 A. Pfitzmann: Datensicherheit und Kryptographie; Aufgaben, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 349 A. Pfitzmann: Datensicherheit und Kryptographie; Aufgaben, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr alle kollisionsresistenten Hashfunktionen eine sichere Konstruktion ist: Welche zusätzliche Eigenschaft muß die kollisionsresistente Hashfunktion haben? (Als Startpunkt zum Nachdenken: Könnte der Hashwert dem Angreifer etwas über den symmetrischen Schlüssel verraten?) c) Falls die in b) gegebene Konstruktion für symmetrische Authentikation für eine konkrete Hashfunktion sicher ist: Können Sie dann aus dieser Hashfunktion ein symmetrisches Konzelationssystem bauen? (Das wäre spannend, denn weitverbreitet ist im Geheimdienstbereich die Ansicht: Gute Hashfunktionen dürfen auch Gegnern bekannt werden, während gute Konzelationssysteme vor ihm tunlichst geheimgehalten werden müssen. In Deutschland beispielsweise beziehen sich die wissenschaftlichen Publikationen des BSI im Bereich Kryptographie ausschließlich auf Hashfunktionen, vgl. z.B. [Dobb_98]). 3-8 Authentikationscodes a) Rechnen Sie ein kleines Beispiel zur Authentikation von 4 Bits mit dem in der folgenden Tabelle gegebenen Authentikationscode (= Bild 3-15). H (Head) und T (Tail) sind jeweils der Klartext. Text mit MAC H,0 H,1 T,0 T,1 g) Ein jüngerer Kryptograph hat folgende Idee zur Senkung des Schlüsselaustauschaufwands: Statt einem zufälligen Schlüssel verwende ich einen Teil eines Buches, den auch mein Partner hat. Dann brauchen wir uns nur noch auf Buch, Seite und Zeile des Beginns zu einigen und können dann modulo Alphabetgröße addieren bzw. subtrahieren, so lange das Buch reicht. Welchen Rat und warum geben Sie als älterer Kryptograph Ihrem jüngeren Freund? h) In manchen Ländern darf man zwar verschlüsselte Nachrichten schicken, muß aber den Schlüssel aufbewahren und auf Wunsch einer Strafverfolgungsbehörde o.ä. aushändigen. Hat das bei einer Vernam-Chiffre Sinn? (Unterstellt wird natürlich, daß die Strafverfolgungsbehörde alle Schlüsseltexte abhört, in richtiger Reihenfolge speichert und Sendern und Empfängern zuordnen kann.) i) Wie lange kann man mit der informationstheoretisch sicheren Vernam-Chiffre Textkommunikation (Tippgeschwindigkeit 40 bit/s), Sprachkommunikation (mit der normalen ISDN-Codierung: 64 kbit/s) bzw. Hochauflösende Bewegtbildkommunikation (140 Mbit/s) verschlüsseln, wenn man eine 3,5"-Diskette (1,4 MByte), optische 5,25"-Platte (600 MByte), Video-8-Streamertape (5 GByte), 3,5"-Diskette (120 MByte), DVD-RAM einseitig (2,6 GByte), Dual-Layer-DVD beidseitig (17 GByte) voller Zufallsbits ausgetauscht hat? Zur Einordnung: Die ersten 2 Medien sind Standardtechnologie mindestens seit 1990 und massenhaft verbreitet. Das Video-8-Streamertape (5 GByte) ist seit etwa 1993 verbreitet, allerdings ist das Schreib-/Lesegerät nie ein Massenartikel geworden – es wurde aber laufend verbessert: 1998 passen auf das gleiche Medium mittels kompatibler Schreib-/Lesegeräte 20 GByte. 3,5"-Diskette (120 MByte) und DVD-RAM einseitig (2,6 GByte) sind 1998 dabei, den Massenmarkt zu erobern und Nachfolger der ersten 2 Medien zu werden. Dual-Layer- DVD beidseitig (17 GByte) ist bisher kein Produkt für die Speicherung von Daten durch den Endnutzer, sondern das, was mit der Technologie von 1998 auf eine DVD gepreßt werden kann. Es dient als Schätzung, was im Jahre 2000 dem Endnutzer zur Speicherung zur Verfügung steht. – T – H 00 T – – H 01 – T H – 10 Schlüssel T – H – 11 b) Warum ist der Authentikationscode informationstheoretisch sicher? (Sie können den Beweis aus der Vorlesung fortsetzen oder zusammenfassen, oder zunächst den Code wesentlich einfacher darstellen.) c) Wenn man diesen Code verwendet, um eine Nachricht aus mehreren Bits zu authentisieren (wie in Teil a) oder Beispiel 2 der Vorlesung), kann ein Angreifer dann die Nachricht unbemerkt ändern, indem er nur die Reihenfolge der Bits mitsamt ihren MACs vertauscht? d) Rechnen Sie ein kleines Beispiel zur Konzelation und Authentikation von 4 Bits mit dem in der folgenden Tabelle gegebenen Konzelations- und Authentikationscode. (Er bewirkt gleichzeitig sowohl Konzelation als auch Authentikation.) Warum ist der folgende Konzelations- und Authentikationscode bei beliebigen Angriffen auf die Authentikation, aber nur bei beobachtenden auf die Konzelation informationstheoretisch sicher? (Es sei unterstellt, daß der Angreifer bei einem verändernden Angriff erfährt, ob sein Angriff auf die Authentikation erfolgreich war oder nicht.) Schlüsseltext 00 01 10 11 – T – H 00 H – – T 01 – H T – 10 Schlüssel T – H – 11 3-7a Symmetrisch konzelierter Message Digest = MAC ? a) Hin und wieder hört man folgendes Rezept zur Generierung von Message Authentication Codes (MACs): Bilden Sie nach einem öffentlich bekannten Verfahren eine Prüfziffer zur Nachricht und verschlüsseln Sie die Prüfziffer mit einem symmetrischen Konzelationssystem. Übertragen Sie die Nachricht mit der verschlüsselten Prüfziffer. Der Empfänger entschlüsselt die Prüfziffer und prüft, ob sie paßt, indem er mit dem öffentlich bekannten Verfahren zur erhaltenen Nachricht die Prüfziffer berechnet. Sind beide Prüfziffern gleich, wird die Nachricht als authentisch betrachtet. Was halten Sie von diesem Rezept? (Als Tip: Nehmen sie das sicherstmögliche öffentliche Verfahren zur Bildung von Prüfziffern, nämlich eine kollisionsresistente Hashfunktion, und das sicherste symmetrische Konzelationssystem, die Vernam-Chiffre, und überlegen Sie dann, ob die Kombination sicher ist.) b) Was halten Sie von folgender Verbesserung: Statt den Hashwert mittels des symmetrischen Schlüssels zu verschlüsseln, wird der symmetrische Schlüssel mit gehasht (so beispielsweise im Transport Layer Security (TLS) Protokoll). Falls Sie der Meinung sind, daß dies nicht für
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130: 246 A. Pfitzmann: Datensicherheit u
Seite 179: 346 A. Pfitzmann: Datensicherheit u
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?