Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
358<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Aufgaben, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
357<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Aufgaben, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
Aufgaben zu Steganographische Gr<strong>und</strong>lagen<br />
4-1 Begriffe<br />
Im nachfolgenden Bild s<strong>in</strong>d Begriffsbäume dargestellt, die analog zu denen der Kryptographie,<br />
vgl. Aufgabe 3-0, gebildet s<strong>in</strong>d. Neu gebildet – <strong>und</strong> gewöhnungsbedürftig – ist der Begriff<br />
Steganologie. Ich war versucht, den kürzeren Begriff Stegologie zu nehmen, habe mich aber doch<br />
für die längere, sprachlich korrekte Form entschieden. Manche Autoren nennen das Gebiet Steganologie<br />
<strong>und</strong> damit <strong>in</strong>sbesondere auch den Bereich Steganographie <strong>in</strong>formation hid<strong>in</strong>g. Information<br />
hid<strong>in</strong>g zerfällt bei Ihnen <strong>in</strong> die Bereiche steganography (das, was ich steganographische Konzelation<br />
nenne) <strong>und</strong> copyright mark<strong>in</strong>g (das, was ich steganographische Authentikation nenne).<br />
Ähnlich wie statt Kryptoanalyse h<strong>in</strong> <strong>und</strong> wieder auch im Deutschen Kryptanalyse gesagt wird,<br />
führt die englische Begriffsbildung steganalysis dazu, im Deutschen auch den kürzeren Begriff<br />
Steganalyse zu verwenden.<br />
Erläutern Sie den <strong>in</strong>haltlichen Aufbau der Begriffsbäume <strong>und</strong> die Vor- <strong>und</strong> Nachteile, den<br />
kurzen Begriff Stegosystem allgeme<strong>in</strong> für steganographische Systeme zu verwenden oder<br />
spezieller nur für steganographische Konzelationssysteme.<br />
kontrollierbar, ob er p <strong>und</strong> g zufällig wählt oder irgendwie speziell so, daß das Ziehen<br />
diskreter Logarithmen für ihn besonders leicht ist. Läßt man e<strong>in</strong>e fremde Instanz p <strong>und</strong> g<br />
wählen, so benötigt man also e<strong>in</strong>e stärkere <strong>Sicherheit</strong>sannahme als die Diskrete-Logarithmus-<br />
Annahme. Alternativ können viele Instanzen p <strong>und</strong> g geme<strong>in</strong>sam wählen, aber das erfordert<br />
auch wieder e<strong>in</strong> kryptographisches Protokoll.<br />
Überlegen Sie sich im Rahmen dieser Aufgabe, ob Sie den Diffie-Hellman<br />
Schlüsselaustausch so modifizieren können, daß jeder Teilnehmer alle sicherheitskritischen<br />
Parameter selbst wählt.<br />
steganographisches System<br />
Steganologie<br />
d) DSA (DSS) als Basis: Am 19. Mai 1994 wurde vom US-amerikanischen „National Institute of<br />
Standards and Technology (NIST)“, der Nachfolgeorganisation des National Bureau of<br />
Standards, das 1977 DES standardisierte, e<strong>in</strong> Standard für digitale Signaturen <strong>in</strong>nerhalb aller<br />
<strong>und</strong> mit allen öffentlichen Stellen der USA endgültig gesetzt: der Digital Signature<br />
Standard (DSS), gegeben durch den Digital Signature Algorithm (DSA) [Schn_96<br />
Seite 483-495]. Die uns <strong>in</strong>teressierenden Schritte bei der Schlüsselgenerierung, -zertifizierung<br />
<strong>und</strong> -veröffentlichung gemäß DSS s<strong>in</strong>d:<br />
1. Öffentlich (<strong>und</strong> möglicherweise für alle Teilnehmer gleich) ist e<strong>in</strong>e große Primzahl p<br />
<strong>und</strong> e<strong>in</strong>e im wesentlichen zufällig bestimmte Zahl g ∈ ZZ *<br />
p .<br />
2. Jeder Teilnehmer wählt e<strong>in</strong>e Zahl x von etwa 159 Bit Länge zufällig <strong>und</strong> hält sie als Teil<br />
se<strong>in</strong>es Signierschlüssels geheim.<br />
3. Jeder Teilnehmer berechnet gx mod p, welches als Teil se<strong>in</strong>es Testschlüssels zertifiziert<br />
<strong>und</strong> veröffentlicht wird.<br />
Reicht dies, um Diffie-Hellman Schlüsselaustausch durchzuführen?<br />
steganographisches<br />
Authentikationssystem<br />
steganographisches<br />
Konzelationssystem<br />
Stegoanalyse<br />
Steganographie<br />
3-24 Bl<strong>in</strong>d geleistete Signaturen mit RSA<br />
Rechnen Sie e<strong>in</strong> kle<strong>in</strong>es Beispiel für bl<strong>in</strong>d geleistete Signaturen mit RSA. Sie können Rechenaufwand<br />
sparen, <strong>in</strong>dem Sie auf Aufgabe 3-16 b) aufbauen.<br />
Watermark<strong>in</strong>g F<strong>in</strong>gerpr<strong>in</strong>t<strong>in</strong>g<br />
4-2 Eigenschaften der E<strong>in</strong>- <strong>und</strong> Ausgaben kryptographischer <strong>und</strong> steganographischer<br />
systeme<br />
a) Zeichnen Sie e<strong>in</strong> Schema (Blockschaltbild), das die allgeme<strong>in</strong>en Parameter (alle E<strong>in</strong>- <strong>und</strong><br />
Ausgabewerte) e<strong>in</strong>es kryptographischen Konzelationssystems enthält. Wor<strong>in</strong> unterscheiden<br />
sich symmetrische <strong>und</strong> asymmetrische Kryptographie? Welche Annahmen über die E<strong>in</strong>gaben<br />
darf e<strong>in</strong> gutes Kryptosystem machen, welche Vorgaben über se<strong>in</strong>e Ausgaben muß es erfüllen?<br />
b) Zeichnen Sie e<strong>in</strong> Schema (Blockschaltbild), das die allgeme<strong>in</strong>en Parameter (alle E<strong>in</strong>- <strong>und</strong> Ausgabewerte)<br />
e<strong>in</strong>es steganographischen Konzelationssystems enthält. Welche Annahmen über<br />
die E<strong>in</strong>gaben darf e<strong>in</strong> gutes Stegosystem machen, welche Annahmen über se<strong>in</strong>e Ausgaben<br />
muß es erfüllen?<br />
c) Wor<strong>in</strong> bestehen also die Hauptunterschiede zwischen kryptographischen <strong>und</strong> steganographischen<br />
Konzelationssystemen?<br />
3-25 Schwellwertschema<br />
Zerlegen Sie das Geheimnis G = 13 so <strong>in</strong> n = 5 Teile, daß k = 3 nötig s<strong>in</strong>d, um es zu rekonstruieren.<br />
Verwenden Sie die kle<strong>in</strong>stmögliche Primzahl p <strong>und</strong> als zufällige Koeffizienten a1 = 10<br />
<strong>und</strong> a2 = 2. (In der Praxis darf p ke<strong>in</strong>esfalls <strong>in</strong> so starker Abhängigkeit von G gewählt werden.<br />
Diese Wahl von G soll Ihnen nur das Rechnen erleichtern <strong>und</strong> zeigen, daß Sie die Bed<strong>in</strong>gungen an<br />
p <strong>in</strong> Bezug auf G verstanden haben.)<br />
Rekonstruieren Sie das Geheimnis unter Verwendung der Teile (1, q(1)), (3, q(3)) <strong>und</strong> (5, q(5)).<br />
4-3 Macht gute Steganographie Verschlüsselung überflüssig?<br />
Warum ist es bei Benutzung e<strong>in</strong>es sicheren steganographischen Konzelationssystems eigentlich<br />
unnötig, die geheime Nachricht vor der E<strong>in</strong>bettung zu verschlüsseln? Und warum würden Sie es<br />
<strong>in</strong> der Praxis doch tun?<br />
3-26 Beweisbar sicherer Gebrauch mehrerer Konzelationssysteme?<br />
Nachdem Sie wissen, daß es <strong>in</strong>formationstheoretisch sichere, effiziente Schwellwertschemata<br />
gibt, lohnt es sich, sich nochmals Aufgabe 3-3 zuzuwenden. Wie komb<strong>in</strong>ieren Sie mehrere<br />
Konzelationssysteme so, daß das resultierende Gesamtsystem beweisbar m<strong>in</strong>destens so sicher ist<br />
wie das sicherste verwendete Konzelationssystem? (Dabei dürfen Sie voraussetzen, daß die<br />
Konzelationssysteme für gleichverteilt zufällige Klartexte – wie sie beispielsweise bei m<strong>in</strong>imaler<br />
Längencodierung entstehen – entworfen s<strong>in</strong>d <strong>und</strong> daß „<strong>Sicherheit</strong> des Konzelationssystems“<br />
<strong>Sicherheit</strong> bei gleichverteilt zufälligen Klartexten bedeutet. Ebenfalls dürfen Sie voraussetzen, daß<br />
die Teile, die das <strong>in</strong>formationstheoretisch sichere, effiziente Schwellwertschemata generiert, aus<br />
Sicht der Konzelationssysteme gleichverteilt zufällige Klartexte s<strong>in</strong>d.)<br />
Vergleichen Sie den Aufwand der beweisbar sicheren Komb<strong>in</strong>ation mit der <strong>in</strong> Aufgabe 3-3<br />
beschriebenen.<br />
Vergleichen Sie die durch die Komb<strong>in</strong>ation jeweils erreichte <strong>Sicherheit</strong>.<br />
Fällt Ihnen e<strong>in</strong>e besonders e<strong>in</strong>fache Implementierung e<strong>in</strong>es Schwellwertschemas für genau<br />
diese Anwendung e<strong>in</strong>?