Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
356<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Aufgaben, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
355<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Aufgaben, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
b) Das Fluggepäck wurde wiedergef<strong>und</strong>en <strong>und</strong> zurückgegeben. Aber irgendwer wollte die<br />
Schlüssel <strong>in</strong> den Kryptogeräten ausforschen, die diese also gelöscht haben. Wie können Alice<br />
<strong>und</strong> Bob ihre <strong>Sicherheit</strong> nun verbessern?<br />
könnte der Empfänger den Klartext berechnen <strong>und</strong> hätte also auch sämtliche Information für<br />
die Authentikation zur Verfügung. Wieso kann das pr<strong>in</strong>zipiell nicht genügen?<br />
3-21 Identifikation <strong>und</strong> Authentikation mittels asymmetrischem Konzelationssystem<br />
Wie kann e<strong>in</strong> Teilnehmer T, dessen öffentlicher Schlüssel cT e<strong>in</strong>es asymmetrischen Konzelationssystems<br />
e<strong>in</strong>em Teilnehmer U bekannt ist, von U identifiziert werden, vgl. §2.2.1?<br />
b) Zeigen Sie mit e<strong>in</strong>em e<strong>in</strong>fachen Angriff, daß das Schema immer noch unsicher ist, wenn man<br />
an jeden Klartext vor dem Verschlüsseln h<strong>in</strong>ten e<strong>in</strong>en Block aus lauter Nullen anhängt, um<br />
wenigstens etwas Red<strong>und</strong>anz zu haben.<br />
a) Entwerfen Sie e<strong>in</strong> kle<strong>in</strong>es kryptographisches Protokoll. (Die Existenz solch e<strong>in</strong>es Protokolls<br />
ist erstaunlich, da asymmetrische Konzelationssysteme nur mit dem Ziel Vertraulichkeit im<br />
S<strong>in</strong>n def<strong>in</strong>iert wurden. Aber es gibt tatsächlich das gesuchte Protokoll.)<br />
c) Betrachten Sie die Betriebsart PCBC <strong>in</strong> §3.8.2.5. Zeigen Sie, daß Ihr Angriff dort nicht mehr<br />
funktioniert (wenn man dort genauso vorgeht, also e<strong>in</strong>en Block aus lauter Nullen anhängt <strong>und</strong><br />
dann den Schlüsseltext überträgt <strong>und</strong> sowohl Konzelation als auch Authentikation will).<br />
b) Gegen welche Angriffe muß das asymmetrische Konzelationssystem <strong>in</strong> Ihrem kle<strong>in</strong>en kryptographischen<br />
Protokoll sicher se<strong>in</strong>?<br />
d) Untersuchen Sie für die <strong>in</strong> §3.8.2 angegebenen Betriebsarten, was e<strong>in</strong> Angreifer, der<br />
Gelegenheiten zu adaptiven aktiven Angriffen hat, erreichen kann. Nehmen Sie hierzu an, daß<br />
er die verwendete Blockchiffre nicht brechen kann. {Wie üblich wird unterstellt, daß der<br />
Angreifer die verwendeten kryptographischen Systeme kennt. Insbesondere kennt er also die<br />
Länge der verwendeten Blockchiffre <strong>und</strong> die jeweils verwendete Betriebsart.}<br />
c) Können Sie Ihr kle<strong>in</strong>es kryptographisches Protokoll so verbessern, daß es nicht nur T identifiziert,<br />
sondern auch Nachrichten Ni authentisiert? (Als Ansporn: Es gibt solch e<strong>in</strong> Protokoll.)<br />
Ist Ihr Authentikations„system“ symmetrisch oder asymmetrisch, d.h. entspricht es gar digitalen<br />
Signaturen? Was ist der Nachteil gegenüber „normalen“ Authentikationssystemen?<br />
d) Muß <strong>in</strong> Ihrem verbesserten kryptographischen Protokoll das asymmetrische Konzelationssystem<br />
noch genauso starken aktiven Angriffen standhalten wie <strong>in</strong> b)?<br />
3-22 Konzelation mittels symmetrischem Authentikationssystem<br />
Wie kann e<strong>in</strong> Teilnehmer A, der mit e<strong>in</strong>em Teilnehmer B nur e<strong>in</strong> symmetrisches Authentikationssystem<br />
<strong>in</strong>kl. ausgetauschtem Schlüssel kAB geme<strong>in</strong> hat, mit diesem konzeliert kommunizieren?<br />
Bitte nehmen Sie nicht e<strong>in</strong>fach den vertraulich ausgetauschten Schlüssel kAB für e<strong>in</strong> symmetrisches<br />
Konzelationssystem, es geht tatsächlich nur mit e<strong>in</strong>em Authentikationssystem. (Die Existenz<br />
solch e<strong>in</strong>es Protokolls ist erstaunlich, da symmetrische Authentikationssysteme nur mit dem Ziel<br />
Integrität im S<strong>in</strong>n def<strong>in</strong>iert wurden. Aber es gibt tatsächlich das gesuchte Protokoll.)<br />
e) Sie möchten mit ECB, CBC (sei es zur Konzelation, sei es zur Authentikation) oder PCBC<br />
arbeiten, wissen aber nicht, ob Sie Klartexte passender Länge bekommen (d.h. Klartextlänge<br />
ist durch die Blocklänge ohne Rest teilbar). Der oftmals gegebene Rat, "dann füllen wir eben<br />
mit Nullen auf die Blocklänge auf." befriedigt Sie nicht, denn es soll e<strong>in</strong>en Unterschied<br />
machen, ob die Nachricht "Ich schulde Dir DM 10" oder "Ich schulde Dir DM 1000000"<br />
ankommt. Entwerfen Sie e<strong>in</strong>e Codierung, die<br />
1. Klartexte beliebiger Länge auf solche passender Länge abbildet,<br />
2. e<strong>in</strong>deutig zu <strong>in</strong>vertieren ist <strong>und</strong><br />
3. deren Längenexpansion m<strong>in</strong>imal ist.<br />
f) OFB gestattet leider weder wahlfreien Zugriff noch Parallelisierbarkeit, denn der Zustand des<br />
Schieberegisters muß jeweils von vorne berechnet werden. Entwerfen Sie e<strong>in</strong>e naheliegende<br />
Modifikation von OFB, die wahlfreien Zugriff <strong>und</strong> Parallelisierbarkeit erlaubt.<br />
3-23 Diffie-Hellman Schlüsselaustausch<br />
a) Kernidee: Was ist die Kernidee des Diffie-Hellman Schlüsselaustauschs?<br />
b) Anonymität: Diffie-Hellman Schlüsselaustausch, wie er <strong>in</strong> §3.9.1 beschrieben wurde, unterscheidet<br />
sich von asymmetrischen Konzelationssystemen gemäß §3.1.1.1 dar<strong>in</strong>, ob der Sender<br />
gegenüber dem Empfänger der verschlüsselten Nachricht anonym bleiben kann oder nicht.<br />
Bei asymmetrischen Konzelationssystemen ist dies trivialerweise der Fall: Der Sender<br />
besorgt sich den öffentlichen Konzelationsschlüssel, verschlüsselt die Nachricht damit, schickt<br />
sie an den Empfänger. Der Empfänger entschlüsselt die Nachricht völlig unabhängig davon,<br />
wer sie verschlüsselt hat.<br />
Bei Diffie-Hellman Schlüsselaustausch ist das anders: Für die symmetrische Ver- <strong>und</strong> Entschlüsselung<br />
der Nachricht wird jeweils der geheime, der Paarbeziehung der Beteiligten zugeordnete<br />
Schlüssel verwendet. Also sche<strong>in</strong>t erstmal ke<strong>in</strong>e Anonymität des Senders gegenüber<br />
dem Empfänger möglich zu se<strong>in</strong>.<br />
Überlegen Sie sich e<strong>in</strong>e Modifikation des Diffie-Hellman Schlüsselaustauschs, bei der<br />
Anonymität des Senders gegenüber dem Empfänger möglich ist. Und was ist zu tun, wenn der<br />
Sender anonym e<strong>in</strong>e Antwort erhalten will?<br />
3-18a Spiegelangriff<br />
Nehmen wir an, wir wollen Paßworte beim LOGIN durch etwas besseres ersetzen, haben aber<br />
dumme Term<strong>in</strong>als <strong>und</strong> e<strong>in</strong> unsicheres Netz zwischen Term<strong>in</strong>als <strong>und</strong> Großrechner. Dafür hat jeder<br />
Teilnehmer e<strong>in</strong>en „Taschenrechner“, der e<strong>in</strong>e sichere symmetrische Blockchiffre (vgl. Fußnote <strong>in</strong><br />
§2.2.1) implementiert, allerd<strong>in</strong>gs ke<strong>in</strong>en elektrischen Anschluß an das Term<strong>in</strong>al besitzt. Deshalb<br />
muß aller Informationstransfer via Display <strong>und</strong> Tastatur über den Teilnehmer laufen. Was tun Sie,<br />
wenn Sie annehmen dürfen, daß der Großrechner selbst sicher ist? Welche Angriffe werden durch<br />
das von Ihnen entworfene System nicht toleriert?<br />
3-19 Ende-zu-Ende-Verschlüsselung<br />
Welche Probleme ergeben sich, wenn jemand Ende-zu-Ende-Verschlüsselung von e<strong>in</strong>em Bürorechner<br />
aus betreiben will, also e<strong>in</strong>em Rechner, zu dem nicht nur er selbst Zugang hat? Was sehen<br />
Sie für Lösungsansätze?<br />
c) Individuelle Parameterwahl: Diffie-Hellman Schlüsselaustausch, wie er <strong>in</strong> §3.9.1 beschrieben<br />
wurde, unterscheidet sich von asymmetrischen Konzelationssystemen gemäß §3.1.1.1 dar<strong>in</strong>,<br />
daß sicherheitskritische Parameter (konkret: p <strong>und</strong> g) allgeme<strong>in</strong> bekannt <strong>und</strong> deshalb im<br />
e<strong>in</strong>fachsten Fall für alle Teilnehmer gleich s<strong>in</strong>d. Es stellt sich sofort die Frage, wer sie wählt<br />
<strong>und</strong> ob derjenige hierdurch e<strong>in</strong>e besondere Machtposition err<strong>in</strong>gen kann. Denn es ist nicht<br />
3-20 Ende-zu-Ende-Verschlüsselung ohne vorher ausgetauschten Schlüssel<br />
Unser Kryptographenpaar Alice <strong>und</strong> Bob ist – wie immer – getrennt <strong>und</strong> diesmal ist Alice auf<br />
e<strong>in</strong>er Flugreise.<br />
a) Und wieder e<strong>in</strong>mal ist das Fluggepäck verloren gegangen, Schlüssel <strong>und</strong> Kryptogeräte also<br />
nicht verfügbar. Wie können die beiden halbwegs vertraulich <strong>und</strong> authentisch kommunizieren?<br />
(E<strong>in</strong> Tip: Sie müssen annehmen, daß der Angreifer nicht immerzu überall se<strong>in</strong> kann.)