Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

356 A. Pfitzmann: Datensicherheit und Kryptographie; Aufgaben, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 355 A. Pfitzmann: Datensicherheit und Kryptographie; Aufgaben, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr b) Das Fluggepäck wurde wiedergefunden und zurückgegeben. Aber irgendwer wollte die Schlüssel in den Kryptogeräten ausforschen, die diese also gelöscht haben. Wie können Alice und Bob ihre Sicherheit nun verbessern? könnte der Empfänger den Klartext berechnen und hätte also auch sämtliche Information für die Authentikation zur Verfügung. Wieso kann das prinzipiell nicht genügen? 3-21 Identifikation und Authentikation mittels asymmetrischem Konzelationssystem Wie kann ein Teilnehmer T, dessen öffentlicher Schlüssel cT eines asymmetrischen Konzelationssystems einem Teilnehmer U bekannt ist, von U identifiziert werden, vgl. §2.2.1? b) Zeigen Sie mit einem einfachen Angriff, daß das Schema immer noch unsicher ist, wenn man an jeden Klartext vor dem Verschlüsseln hinten einen Block aus lauter Nullen anhängt, um wenigstens etwas Redundanz zu haben. a) Entwerfen Sie ein kleines kryptographisches Protokoll. (Die Existenz solch eines Protokolls ist erstaunlich, da asymmetrische Konzelationssysteme nur mit dem Ziel Vertraulichkeit im Sinn definiert wurden. Aber es gibt tatsächlich das gesuchte Protokoll.) c) Betrachten Sie die Betriebsart PCBC in §3.8.2.5. Zeigen Sie, daß Ihr Angriff dort nicht mehr funktioniert (wenn man dort genauso vorgeht, also einen Block aus lauter Nullen anhängt und dann den Schlüsseltext überträgt und sowohl Konzelation als auch Authentikation will). b) Gegen welche Angriffe muß das asymmetrische Konzelationssystem in Ihrem kleinen kryptographischen Protokoll sicher sein? d) Untersuchen Sie für die in §3.8.2 angegebenen Betriebsarten, was ein Angreifer, der Gelegenheiten zu adaptiven aktiven Angriffen hat, erreichen kann. Nehmen Sie hierzu an, daß er die verwendete Blockchiffre nicht brechen kann. {Wie üblich wird unterstellt, daß der Angreifer die verwendeten kryptographischen Systeme kennt. Insbesondere kennt er also die Länge der verwendeten Blockchiffre und die jeweils verwendete Betriebsart.} c) Können Sie Ihr kleines kryptographisches Protokoll so verbessern, daß es nicht nur T identifiziert, sondern auch Nachrichten Ni authentisiert? (Als Ansporn: Es gibt solch ein Protokoll.) Ist Ihr Authentikations„system“ symmetrisch oder asymmetrisch, d.h. entspricht es gar digitalen Signaturen? Was ist der Nachteil gegenüber „normalen“ Authentikationssystemen? d) Muß in Ihrem verbesserten kryptographischen Protokoll das asymmetrische Konzelationssystem noch genauso starken aktiven Angriffen standhalten wie in b)? 3-22 Konzelation mittels symmetrischem Authentikationssystem Wie kann ein Teilnehmer A, der mit einem Teilnehmer B nur ein symmetrisches Authentikationssystem inkl. ausgetauschtem Schlüssel kAB gemein hat, mit diesem konzeliert kommunizieren? Bitte nehmen Sie nicht einfach den vertraulich ausgetauschten Schlüssel kAB für ein symmetrisches Konzelationssystem, es geht tatsächlich nur mit einem Authentikationssystem. (Die Existenz solch eines Protokolls ist erstaunlich, da symmetrische Authentikationssysteme nur mit dem Ziel Integrität im Sinn definiert wurden. Aber es gibt tatsächlich das gesuchte Protokoll.) e) Sie möchten mit ECB, CBC (sei es zur Konzelation, sei es zur Authentikation) oder PCBC arbeiten, wissen aber nicht, ob Sie Klartexte passender Länge bekommen (d.h. Klartextlänge ist durch die Blocklänge ohne Rest teilbar). Der oftmals gegebene Rat, "dann füllen wir eben mit Nullen auf die Blocklänge auf." befriedigt Sie nicht, denn es soll einen Unterschied machen, ob die Nachricht "Ich schulde Dir DM 10" oder "Ich schulde Dir DM 1000000" ankommt. Entwerfen Sie eine Codierung, die 1. Klartexte beliebiger Länge auf solche passender Länge abbildet, 2. eindeutig zu invertieren ist und 3. deren Längenexpansion minimal ist. f) OFB gestattet leider weder wahlfreien Zugriff noch Parallelisierbarkeit, denn der Zustand des Schieberegisters muß jeweils von vorne berechnet werden. Entwerfen Sie eine naheliegende Modifikation von OFB, die wahlfreien Zugriff und Parallelisierbarkeit erlaubt. 3-23 Diffie-Hellman Schlüsselaustausch a) Kernidee: Was ist die Kernidee des Diffie-Hellman Schlüsselaustauschs? b) Anonymität: Diffie-Hellman Schlüsselaustausch, wie er in §3.9.1 beschrieben wurde, unterscheidet sich von asymmetrischen Konzelationssystemen gemäß §3.1.1.1 darin, ob der Sender gegenüber dem Empfänger der verschlüsselten Nachricht anonym bleiben kann oder nicht. Bei asymmetrischen Konzelationssystemen ist dies trivialerweise der Fall: Der Sender besorgt sich den öffentlichen Konzelationsschlüssel, verschlüsselt die Nachricht damit, schickt sie an den Empfänger. Der Empfänger entschlüsselt die Nachricht völlig unabhängig davon, wer sie verschlüsselt hat. Bei Diffie-Hellman Schlüsselaustausch ist das anders: Für die symmetrische Ver- und Entschlüsselung der Nachricht wird jeweils der geheime, der Paarbeziehung der Beteiligten zugeordnete Schlüssel verwendet. Also scheint erstmal keine Anonymität des Senders gegenüber dem Empfänger möglich zu sein. Überlegen Sie sich eine Modifikation des Diffie-Hellman Schlüsselaustauschs, bei der Anonymität des Senders gegenüber dem Empfänger möglich ist. Und was ist zu tun, wenn der Sender anonym eine Antwort erhalten will? 3-18a Spiegelangriff Nehmen wir an, wir wollen Paßworte beim LOGIN durch etwas besseres ersetzen, haben aber dumme Terminals und ein unsicheres Netz zwischen Terminals und Großrechner. Dafür hat jeder Teilnehmer einen „Taschenrechner“, der eine sichere symmetrische Blockchiffre (vgl. Fußnote in §2.2.1) implementiert, allerdings keinen elektrischen Anschluß an das Terminal besitzt. Deshalb muß aller Informationstransfer via Display und Tastatur über den Teilnehmer laufen. Was tun Sie, wenn Sie annehmen dürfen, daß der Großrechner selbst sicher ist? Welche Angriffe werden durch das von Ihnen entworfene System nicht toleriert? 3-19 Ende-zu-Ende-Verschlüsselung Welche Probleme ergeben sich, wenn jemand Ende-zu-Ende-Verschlüsselung von einem Bürorechner aus betreiben will, also einem Rechner, zu dem nicht nur er selbst Zugang hat? Was sehen Sie für Lösungsansätze? c) Individuelle Parameterwahl: Diffie-Hellman Schlüsselaustausch, wie er in §3.9.1 beschrieben wurde, unterscheidet sich von asymmetrischen Konzelationssystemen gemäß §3.1.1.1 darin, daß sicherheitskritische Parameter (konkret: p und g) allgemein bekannt und deshalb im einfachsten Fall für alle Teilnehmer gleich sind. Es stellt sich sofort die Frage, wer sie wählt und ob derjenige hierdurch eine besondere Machtposition erringen kann. Denn es ist nicht 3-20 Ende-zu-Ende-Verschlüsselung ohne vorher ausgetauschten Schlüssel Unser Kryptographenpaar Alice und Bob ist – wie immer – getrennt und diesmal ist Alice auf einer Flugreise. a) Und wieder einmal ist das Fluggepäck verloren gegangen, Schlüssel und Kryptogeräte also nicht verfügbar. Wie können die beiden halbwegs vertraulich und authentisch kommunizieren? (Ein Tip: Sie müssen annehmen, daß der Angreifer nicht immerzu überall sein kann.)
358 A. Pfitzmann: Datensicherheit und Kryptographie; Aufgaben, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 357 A. Pfitzmann: Datensicherheit und Kryptographie; Aufgaben, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Aufgaben zu Steganographische Grundlagen 4-1 Begriffe Im nachfolgenden Bild sind Begriffsbäume dargestellt, die analog zu denen der Kryptographie, vgl. Aufgabe 3-0, gebildet sind. Neu gebildet – und gewöhnungsbedürftig – ist der Begriff Steganologie. Ich war versucht, den kürzeren Begriff Stegologie zu nehmen, habe mich aber doch für die längere, sprachlich korrekte Form entschieden. Manche Autoren nennen das Gebiet Steganologie und damit insbesondere auch den Bereich Steganographie information hiding. Information hiding zerfällt bei Ihnen in die Bereiche steganography (das, was ich steganographische Konzelation nenne) und copyright marking (das, was ich steganographische Authentikation nenne). Ähnlich wie statt Kryptoanalyse hin und wieder auch im Deutschen Kryptanalyse gesagt wird, führt die englische Begriffsbildung steganalysis dazu, im Deutschen auch den kürzeren Begriff Steganalyse zu verwenden. Erläutern Sie den inhaltlichen Aufbau der Begriffsbäume und die Vor- und Nachteile, den kurzen Begriff Stegosystem allgemein für steganographische Systeme zu verwenden oder spezieller nur für steganographische Konzelationssysteme. kontrollierbar, ob er p und g zufällig wählt oder irgendwie speziell so, daß das Ziehen diskreter Logarithmen für ihn besonders leicht ist. Läßt man eine fremde Instanz p und g wählen, so benötigt man also eine stärkere Sicherheitsannahme als die Diskrete-Logarithmus- Annahme. Alternativ können viele Instanzen p und g gemeinsam wählen, aber das erfordert auch wieder ein kryptographisches Protokoll. Überlegen Sie sich im Rahmen dieser Aufgabe, ob Sie den Diffie-Hellman Schlüsselaustausch so modifizieren können, daß jeder Teilnehmer alle sicherheitskritischen Parameter selbst wählt. steganographisches System Steganologie d) DSA (DSS) als Basis: Am 19. Mai 1994 wurde vom US-amerikanischen „National Institute of Standards and Technology (NIST)“, der Nachfolgeorganisation des National Bureau of Standards, das 1977 DES standardisierte, ein Standard für digitale Signaturen innerhalb aller und mit allen öffentlichen Stellen der USA endgültig gesetzt: der Digital Signature Standard (DSS), gegeben durch den Digital Signature Algorithm (DSA) [Schn_96 Seite 483-495]. Die uns interessierenden Schritte bei der Schlüsselgenerierung, -zertifizierung und -veröffentlichung gemäß DSS sind: 1. Öffentlich (und möglicherweise für alle Teilnehmer gleich) ist eine große Primzahl p und eine im wesentlichen zufällig bestimmte Zahl g ∈ ZZ * p . 2. Jeder Teilnehmer wählt eine Zahl x von etwa 159 Bit Länge zufällig und hält sie als Teil seines Signierschlüssels geheim. 3. Jeder Teilnehmer berechnet gx mod p, welches als Teil seines Testschlüssels zertifiziert und veröffentlicht wird. Reicht dies, um Diffie-Hellman Schlüsselaustausch durchzuführen? steganographisches Authentikationssystem steganographisches Konzelationssystem Stegoanalyse Steganographie 3-24 Blind geleistete Signaturen mit RSA Rechnen Sie ein kleines Beispiel für blind geleistete Signaturen mit RSA. Sie können Rechenaufwand sparen, indem Sie auf Aufgabe 3-16 b) aufbauen. Watermarking Fingerprinting 4-2 Eigenschaften der Ein- und Ausgaben kryptographischer und steganographischer systeme a) Zeichnen Sie ein Schema (Blockschaltbild), das die allgemeinen Parameter (alle Ein- und Ausgabewerte) eines kryptographischen Konzelationssystems enthält. Worin unterscheiden sich symmetrische und asymmetrische Kryptographie? Welche Annahmen über die Eingaben darf ein gutes Kryptosystem machen, welche Vorgaben über seine Ausgaben muß es erfüllen? b) Zeichnen Sie ein Schema (Blockschaltbild), das die allgemeinen Parameter (alle Ein- und Ausgabewerte) eines steganographischen Konzelationssystems enthält. Welche Annahmen über die Eingaben darf ein gutes Stegosystem machen, welche Annahmen über seine Ausgaben muß es erfüllen? c) Worin bestehen also die Hauptunterschiede zwischen kryptographischen und steganographischen Konzelationssystemen? 3-25 Schwellwertschema Zerlegen Sie das Geheimnis G = 13 so in n = 5 Teile, daß k = 3 nötig sind, um es zu rekonstruieren. Verwenden Sie die kleinstmögliche Primzahl p und als zufällige Koeffizienten a1 = 10 und a2 = 2. (In der Praxis darf p keinesfalls in so starker Abhängigkeit von G gewählt werden. Diese Wahl von G soll Ihnen nur das Rechnen erleichtern und zeigen, daß Sie die Bedingungen an p in Bezug auf G verstanden haben.) Rekonstruieren Sie das Geheimnis unter Verwendung der Teile (1, q(1)), (3, q(3)) und (5, q(5)). 4-3 Macht gute Steganographie Verschlüsselung überflüssig? Warum ist es bei Benutzung eines sicheren steganographischen Konzelationssystems eigentlich unnötig, die geheime Nachricht vor der Einbettung zu verschlüsseln? Und warum würden Sie es in der Praxis doch tun? 3-26 Beweisbar sicherer Gebrauch mehrerer Konzelationssysteme? Nachdem Sie wissen, daß es informationstheoretisch sichere, effiziente Schwellwertschemata gibt, lohnt es sich, sich nochmals Aufgabe 3-3 zuzuwenden. Wie kombinieren Sie mehrere Konzelationssysteme so, daß das resultierende Gesamtsystem beweisbar mindestens so sicher ist wie das sicherste verwendete Konzelationssystem? (Dabei dürfen Sie voraussetzen, daß die Konzelationssysteme für gleichverteilt zufällige Klartexte – wie sie beispielsweise bei minimaler Längencodierung entstehen – entworfen sind und daß „Sicherheit des Konzelationssystems“ Sicherheit bei gleichverteilt zufälligen Klartexten bedeutet. Ebenfalls dürfen Sie voraussetzen, daß die Teile, die das informationstheoretisch sichere, effiziente Schwellwertschemata generiert, aus Sicht der Konzelationssysteme gleichverteilt zufällige Klartexte sind.) Vergleichen Sie den Aufwand der beweisbar sicheren Kombination mit der in Aufgabe 3-3 beschriebenen. Vergleichen Sie die durch die Kombination jeweils erreichte Sicherheit. Fällt Ihnen eine besonders einfache Implementierung eines Schwellwertschemas für genau diese Anwendung ein?
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134: 254 A. Pfitzmann: Datensicherheit u
Seite 183: 354 A. Pfitzmann: Datensicherheit u
Seite 231 und 232: A. Pfitzmann: Datensicherheit und K
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?