Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

364 A. Pfitzmann: Datensicherheit und Kryptographie; Aufgaben, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 363 A. Pfitzmann: Datensicherheit und Kryptographie; Aufgaben, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr echte Nachricht muß Station C dann gesendet haben? Ist die Schlüsselkombination eindeutig? Wird sie es, wenn zusätzlich vorgegeben wird, daß der Schlüssel zwischen A und B unverändert bleiben soll, etwa weil ihn der Angreifer kennt? (A hat diesen Schlüssel B auf einer Diskette gegeben, die B, nachdem er ihren Inhalt auf seine Festplatte kopiert hat, nicht etwa physisch vernichtet oder zumindest vielmals physisch beschrieben und physisch gelöscht hat, sondern er hat sie nur gelöscht, d.h. das Betriebssystem seines Rechners hat den Schlüssel als gelöscht gekennzeichnet. Danach hat er die fast neue Diskette mit wenigen Daten bespielt und einem freundlichen Menschen, der unerwartet auch als Angreifer agiert, gegeben.) Wie lauten in diesem Fall die anderen Schlüssel? Hinweis: Wenn Sie diese Aufgabe nur bzgl. Addition modulo 2 rechnen, sollten Sie auch dort zwischen + und – unterscheiden. In den Ergebnissen zur Geltung kommt der Unterschied natürlich nur bei größerem Modulus, im Beispiel also nur bei Addition modulo 16. Station A Echte Nachricht von A 10110101 Schlüssel mit B 00101011 mit C 00110110 Summe A sendet Station B Leere Nachricht von B 00000000 Schlüssel mit A 00101011 mit C 01100111 Summe B sendet Station C 5-7 Mehrfachzugriffsverfahren für additive Kanäle, beispielsweise überlagerndes Senden binäres überlagerndes Senden (Alphabet: 0, 1) a) Reservierungsverfahren Leere Nachricht von C 00000000 Schlüssel mit A 00110110 mit B 01100111 Summe C sendet Im folgenden Bild ist gezeigt, wie Reservierung im Nachrichtenrahmen Kollisionen von Nachrichtenrahmen vermeidet, wenn nach der Reservierung nur von solchen Stationen Nachrichtenrahmen genutzt werden, deren Reservierung in einer 1 als Summe resultierte. Was würde im Beispiel passieren, wenn die Reservierungsrahmen nicht modulo einer größeren Zahl, sondern modulo 2 überlagert würden? Überlagert und verteilt wird Summe (im Bsp.: echte Nachricht von A) T1 0 1 0 0 0 T2 0 1 0 0 0 T3 0 0 0 0 0 T4 0 1 0 1 0 T5 0 0 1 0 0 T 5 T 4 0 3 1 1 0 Reservierungsrahmen Nachrichtenrahmen Station A Echte Nachricht von A Schlüssel mit B mit C Summe A sendet Station B Leere Nachricht von B Schlüssel von A mit C Summe B sendet b) Paarweises überlagerndes Empfangen Station C In einem DC-Netz, in dem paarweises überlagerndes Empfangen nicht vorgesehen ist, einigen sich zwei Freunde, Sparsi und Knausri, durch paarweises überlagerndes Empfangen doppelt so viel aus ihrem Anteil der Bandbreite für ihre Kommunikation herauszuholen. Was müssen sie als erstes in Erfahrung bringen? Vielleicht ist Ihnen das folgende Beispiel eine Hilfe: Sparsi hat 0110 1100 gesendet und als Summe 1010 0001 empfangen. Er fragt sich: Was hat Knausri an mich gesendet? Wie lautet die Antwort, wenn das überlagernde Senden modulo 2 stattfindet, wie bei modulo 256? {Wir unterstellen, daß das Mehrfachzugriffsverfahren Sparsi und Knausri keine Schwierigkeiten bereitet. Beispielsweise möge es erlauben, daß einer von beiden einen (Simplex-)Kanal reserviert, den beide dann für paarweises überlagerndes Empfangen nutzen.} Leere Nachricht von C Schlüssel von A von B Summe C sendet Überlagert und verteilt wird Summe (im Bsp.: echte Nachricht von A) verallgemeinertes überlagerndes Senden (Alphabet: 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, A, B, C, D, E, F) 5-6 Überlagerndes Senden: Bestimmen einer passenden Schlüsselkombination zu einer alternativen Nachrichtenkombination Wie müssen im Beispiel der vorherigen Aufgabe die Schlüssel lauten, damit bei gleichen lokalen Summen und Ausgaben (und natürlich damit auch bei gleicher globaler Summe) die Station A die leere Nachricht 00000000 und die Station B die echte Nachricht 01000101 gesendet hat? Welche
366 A. Pfitzmann: Datensicherheit und Kryptographie; Aufgaben, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 365 A. Pfitzmann: Datensicherheit und Kryptographie; Aufgaben, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Benutzer des MIX-Netzes das verwendete symmetrische Konzelationssystem frei wählen können oder sollte es der MIX jeweils vorgeben? c) Globales überlagerndes Empfangen: Kollisionsauflösungsalgorithmus mit Mittelwertbildung 5-15a Weniger Speicheraufwand beim Generierer von anonymen Rückadressen In §5.4.6.3 ist beschrieben, wie anonyme Rückadressen gebildet werden können. Aufwendig ist hierbei für den Generierer, daß er sich jeweils unter dem eindeutigen Namen e der Rückadresse alle symmetrischen Schlüssel solange merken muß, bis die Rückadresse verwendet wird. Dies kann sehr lange sein und ist deshalb umständlich. Überlegen Sie sich, wie es der Generierer von Rückadressen vermeiden kann, sich symmetrische Schlüssel, ja selbst eindeutige Namen merken zu müssen. Die Teilnehmerstationen 1 bis 5 senden die Nachrichten 5, 13, 9, 11, 3. Wie erfolgt die Kollisionsauflösung mit Mittelwertbildung und überlagerndem Empfangen? Das lokale Entscheidungskriterium der Teilnehmerstationen sei Informationseinheit ≤ Ø . Benutzen Sie die Notation von Bild 5-14 des Skripts. Wie erfolgt sie, wenn die Teilnehmerstationen 5, 13, 11, 11, 3 senden? 5-16 Warum längentreue Umcodierung? Erläutern Sie, wie ein Angreifer die MIXe in Bild 5-26 unten überbrücken kann. (Es ist trivial, aber drücken Sie es ruhig trotzdem mal präzise aus.) 5-8 Schlüssel-, Überlagerungs- und Übertragungstopologie beim Überlagernden Senden a) Warum kann die Schlüsseltopologie unabhängig von Überlagerungs- und Übertragungstopologie festlegt werden? b) Warum sollten Überlagerungs- und Übertragungstopologie aufeinander abgestimmt werden? 5-17 Minimal längenexpandierendes längentreues Umcodierungsschema für MIXe a) Beschreiben Sie kurz den Kommunikations- und Verschlüsselungsaufwand des MIX-Netzes. 5-9 Abstimmung der Überlagerungs- und Übertragungsalphabete beim Überlagernden Senden Mittels welchem „Trick“ konnte ein sehr großes Überlagerungsalphabet (nützlich etwa für Kollisionsauflösungsalgorithmus mit Mittelwertbildung) und eine minimale Verzögerungszeit, d.h. ein minimales Übertragungsalphabet, gleichzeitig erreicht werden? b) Sie haben ein gegen adaptive aktive Angriffe sicheres asymmetrisches Konzelationssystem und ein effizienteres symmetrisches Konzelationssystem zur Verfügung. Beide arbeiten (nach der Schlüsselwahl) auf Blöcken fester Länge. Entwerfen Sie ein beim Sender die Nutznachricht minimal längenexpandierendes und während den Umcodierungsschritten der MIXe längentreues Umcodierungsschema für MIXe. Leiten Sie der Einfachheit halber das minimal längenexpandierende Umcodierungsschema aus dem in §5.4.6.5 für symmetrische Konzelationssysteme mit den Eigenschaften k-1 (k(x)) = x und k(k-1 (x)) = x, d.h. nicht nur Ver- und Entschlüsselung, sondern auch Ent- und Verschlüsselung sind zueinander invers, angegebenen her, vgl. Bild 5-31. 5-10 Vergleich „Unbeobachtbarkeit angrenzender Leitungen und Stationen sowie digitale Signalregenerierung“ und „Überlagerndes Senden“ a) Vergleichen Sie die Senderanonymitäts-Konzepte „Unbeobachtbarkeit angrenzender Leitungen und Stationen sowie digitale Signalregenerierung“ und „Überlagerndes Senden“ bzgl. Stärke der berücksichtigten Angreifer, Aufwand, Flexibilität. Was ist Ihrer Meinung nach das elegantere, schönere Konzept? Warum? b) Decken die Konzepte auch Empfängeranonymität ab? Wie ist ggf. das Zusammenspiel zwischen Sender- und Empfängeranonymität? 5-18 Brechen der direkten RSA-Implementierung von MIXen Was ist die Kernidee des in §5.4.6.8 beschriebenen Angriffs auf die direkte RSA-Implementierung von MIXen? 5-19 Wozu MIX-Kanäle? a) Warum und wozu sind MIX-Kanäle nötig? b) Was begrenzt ihren Einsatz bzw. führt zur „Weiterentwicklung“ der Zeitscheibenkanäle? 5-11 Vergleich „Überlagerndes Senden“ und „umcodierende MIXe“ Vergleichen Sie die Konzepte „Überlagerndes Senden“ und „umcodierende MIXe“ bzgl. Schutzziel, Stärke der berücksichtigten Angreifer, Aufwand, Flexibilität. Was ist Ihrer Meinung nach das praktikablere Konzept? In welcher Hinsicht und warum? 5-12 Reihenfolge der Grundfunktionen von MIXen Inwieweit ist die Reihenfolge der Grundfunktionen eines MIXes in Bild 5-22 zwangsläufig? 5-19a Freie MIX-Reihenfolge bei fester Anzahl benutzter MIXe? Ronny Freeroute und Andi Kaskadius streiten mal wieder darüber, ob freie Wahl der MIXe und ihrer Benutzungsreihenfolge vorzuziehen ist – oder stattdessen sogenannte MIX-Kaskaden, d.h. MIXe und ihre Reihenfolge sind fest vorgegeben. Entgegen dem üblichen Diskussionsschema Ronny Freeroute: Frei wählbare MIX-Reihenfolgen sind besser, da so jede(r) in seiner Wahl frei ist (Vertrauen, Verwendbarkeit von MIXen am Wege) und, wenn nur wenige MIXe angreifen, größere Anonymitätsgruppen entstehen. Andi Kaskadius: MIX-Kaskaden sind vorzuziehen, da so bei maximal vielen angreifenden MIXen die größtmögliche Anonymitätsgruppe entsteht sowie Durchschnitte von Anonymitätsgruppen leer sind oder aber immer die ganze Anonymitätsgruppe enthalten sagt eines Tages ein blasser Ronny: „Was ist, wenn der Angreifer maximal viele MIXe kontrolliert und weiß, daß jede(r) bei freier Wahl der MIX-Reihenfolge eine feste Anzahl MIXe benutzt. Dann hat der Angreifer gute Chancen, auch den nichtangreifenden MIX zu überbrücken.“ Was meint Ronny, d.h. wie könnte ein einfacher Angriff auf ein MIX-Netz mit freier Routenwahl und von Teilnehmern fest gewählter Routenlänge aussehen? Und was würden Sie dagegen tun? 5-13 Reicht Ausgabenachrichten von MIXen gleichlang? Was halten Sie von folgendem Vorschlag (gemäß der Maxime des Altbundeskanzlers Dr. Helmut Kohl: Entscheidend ist, was hinten rauskommt): MIXe können auch Eingabenachrichten unterschiedlicher Länge zusammen mixen. Hauptsache, alle zugehörigen Ausgabenachrichten haben gleiche Länge. 5-14 Keine Zufallszahlen --> MIXe sind überbrückbar Erläutern Sie, wie ein Angreifer MIXe überbrücken kann, wenn das direkte Umcodierungsschema für Senderanonymität (§5.4.6.2) ohne Zufallszahlen verwendet wird. 5-15 Individuelle Wählbarkeit des symmetrischen Konzelationssystems bei MIXen? MIXe veröffentlichen ihren öffentlichen Chiffrierschlüssel und legen damit jeweils auch das zugehörige asymmetrische Konzelationssystem fest. In §5.4.6.1 (symmetrische Konzelation durch ersten und/oder letzten MIX) und §5.4.6.3 (indirektes Umcodierungsschema) werden zwei Anwendungen von symmetrischer Konzelation bei MIXen vorgestellt. Sollte dort jeweils jeder
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138: 262 A. Pfitzmann: Datensicherheit u
Seite 187: 362 A. Pfitzmann: Datensicherheit u
Seite 231 und 232: A. Pfitzmann: Datensicherheit und K
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?