Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

380 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 379 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Zufallszahl Vertrauensbereich Schlüsselgenerierung schlüsselten Daten über offene Netze, z.B. das Internet. Hineincodieren des Ersteller(geräte)s jedes Objektes in die digitale Repräsentation des Objektes, z.B. die DCE UUID bei OLE (Microsoft nennt sie GUID = Globally Unique Identifier). Geräteidentitäten, wie z.B. Ethernetadressen oder Prozessoridentitäten (Pentium III), untergraben die Anonymität der Benutzer, da sie unbemerkt weitergegeben werden (können). c Chiffrierschlüssel, öffentlich bekannt Lösungen zu Kryptologische Grundlagen d Dechiffrierschlüssel, Vertrauens- geheimgehalten bereich Klartext Schlüsseltext Klartext VerEnt- x schlüsse c(x) schlüsse x lunglung Zufallszahl' = d(c(x)) Geheimer Bereich Zufallszahl Vertrauensbereich Schlüsselgenerierung t Schlüssel zum Testen der Signatur, öffentlich bekannt 3-0 Begriffe Kryptologie umfaßt sowohl Kryptographie (die Wissenschaft von den Algorithmen der „gutartigen“ Benutzer) wie auch Kryptoanalyse (die Wissenschaft von den Algorithmen der Angreifer auf kryptographische Systeme). Kenntnisse im Bereich Kryptoanalyse sind notwendig, um die Sicherheit kryptographischer Systeme und ihrer Anwendung beurteilen zu können. Kryptographische Systeme sind entweder Konzelationssysteme (Schutzziel: Vertraulichkeit) oder Authentikationssysteme (Schutzziel: Integrität). Authentikationssysteme gibt es symmetrisch (und damit ungeeignet als Beweismittel) oder asymmetrisch und damit geeignet als Beweismittel gegenüber Dritten. Wegen dieser wichtigen Zusatzeigenschaft werden asymmetrische Authentikationssysteme mit dem klingenden Namen digitale Signatursysteme bezeichnet. Der Vorteil, die Begriffe Kryptosystem, verschlüsseln und entschlüsseln oben rechts im Begriffsbaum anzusiedeln, ist, kurze übliche Begriffe allgemein verwenden zu können. Der Nachteil hiervon ist, daß die Unterscheidung zwischen Konzelation und Authentikation begrifflich in den Hintergrund rückt, so daß ich diese Begriffe nur für kryptographische Konzelationssysteme benutze – allgemeiner verwende ich diese Begriffe nur mit Anführungszeichen. Mein Begriffsbaum sieht also folgendermaßen aus: Schlüssel zum Signieren, geheimgehalten s kryptographisches System „Kryptosystem“ „verschlüsseln“, „entschlüsseln“ Kryptologie Text x Signieren Text mit Signatur x, s(x) Testen Zufallszahl ' Vertrauensbereich Text mit Signatur und Testergebnis x, s(x), „ok“ oder „falsch“ kryptographisches Authentikationssystem kryptographisches Konzelationssystem Kryptosystem verschlüsseln, entschlüsseln Kryptoanalyse Kryptographie Eine Backup-Kopie des Signierschlüssels dürfte nie nötig sein, denn Signaturen bleiben auch bei Zerstörung des Signierschlüssels testbar und damit gültig. Der Signierschlüssel sollte das Signiergerät also unter keinen Umständen verlassen (können). Sollte er nicht mehr verfügbar sein, wird halt ein neues Schlüsselpaar generiert, der öffentliche Testschlüssel zertifiziert – und weiter kann's gehn. Gleich sollte verfahren werden, wenn asymmetrische Konzelation für Kommunikation eingesetzt wird: Nach erneuter Schlüsselgenerierung und erneutem Schlüsselaustausch wird die Nachricht einfach noch mal verschlüsselt und noch mal übertragen. Bei Verwendung asymmetrischer Konzelation für die Speicherung von Daten sind ggf. entweder Backup-Kopien der Daten im Klartext oder der verschlüsselten Daten und des Dechiffrierschlüssels nötig. digitales Signatursystem symmetrisches Authentikationssystem 3-1 Vertrauensbereiche für asymmetrisches Konzelationssystem und digitales Signatursystem Der geheimzuhaltende Schlüssel kann dann bzgl. Vertraulichkeit und Integrität optimal geschützt werden, wenn er in dem Gerät, sprich Vertrauensbereich, generiert wird, in dem er auch verwendet wird. Es ergeben sich folgende beiden Bilder: 3-2 Weshalb Schlüssel? a) Es geht auch ohne Schlüssel: Für symmetrische Kryptographie müssen zwei Teilnehmer dann jeweils einen geheimen, nur ihnen bekannten (und kryptographisch guten) Algorithmus austauschen. Für asymmetrische Kryptographie müßte jeweils ein öffentlicher Algorithmus publiziert werden, aus dem dann der zugehörige geheime nicht hergeleitet werden kann. b) Die Nachteile sind zahlreich und viele davon sind schwerwiegend: – Von wem erhalten die Teilnehmer gute kryptographische Algorithmen? Schließlich wollen auch Nicht-Kryptographen vertraulich und integer kommunizieren können, ohne daß
382 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 381 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 3-3 Steigerung der Sicherheit durch Gebrauch von mehreren kryptographischen Systemen Beim Schutzziel Konzelation kann man die kryptographischen Systeme in Serie verwenden, d.h. der Klartext wird mit dem Konzelationssystem 1 verschlüsselt, danach der resultierende Schlüsseltext mit Konzelationssystem 2, usw. Z.B. bei einem symmetrischen System in der Kurzschreibweise aus Bild 3-2, wenn ki der Schlüssel des i-ten Systems ist: S := kn(… k2 (k1 (x))…). Man muß natürlich für jedes System einen unabhängigen Schlüssel gewählt und die Reihenfolge festgelegt haben. Entschlüsselt wird in umgekehrter Reihenfolge, d.h. zuletzt mit Konzelationssystem 1, was wieder den Klartext liefert. Im Beispiel x = k –1 1 (k2 –1 (… kn –1 (S)…)). k 1 k n k 2 k 1 Verschlüsselung 2 jemand anderes, auch nicht der den Algorithmus oder das Algorithmenpaar erfindende Kryptograph, die Sicherheit brechen kann. Folglich müßte der erfindende Kryptograph beseitigt oder zumindest in Isolationshaft genommen werden, denn er kennt den geheimen Algorithmus. Während im Altertum so etwas vorgekommen sein soll, verbietet es sich, seit allen Menschen, selbst Kryptographen, Menschenrechte zuerkannt werden. – Wie soll die Sicherheit des kryptographischen Algorithmus analysiert werden? Jeder, der einen symmetrischen Algorithmus analysiert, ist genauso ein Sicherheitsrisiko wie der Erfinder. Bei asymmetrischen Algorithmen ist zumindest jeder, der zur Überprüfung der Sicherheit auch den geheimen Algorithmus erfährt, ein Sicherheitsrisiko. – Eine Implementierung der kryptographischen Systeme in Software, Firmware oder gar Hardware ist nur möglich, wenn der Benutzer in der Lage ist, sie selbst durchzuführen. Andernfalls gilt für den Implementierer Gleiches wie für den Algorithmenerfinder. – In öffentlichen Systemen, wo potentiell jeder mit jedem gesichert kommunizieren können möchte, wären nur Softwareimplementierungen mit Algorithmen- statt Schlüsselaustausch möglich – Firmware ist maschinenabhängig und Hardwareaustausch erfordert physischen Transport. Selbst bei Softwareimplementierungen besteht der Nachteil, daß die bei symmetrischen kryptographischen Systemen vertraulich und integer und bei asymmetrischen Systemen integer auszutauschende Bitmenge erheblich größer ist: Algorithmen (sprich: Programme) sind üblicherweise länger als Schlüssel. – Eine Normung von kryptographischen Algorithmen wäre aus technischen Gründen unmöglich. c) Die Hauptvorteile der Benutzung von Schlüsseln sind: Die kryptographischen Algorithmen können öffentlich bekannt sein. Dies ermöglicht + eine breite öffentliche Validierung ihrer Sicherheit, + ihre Normung, + beliebige Implementierungsformen, + Massenproduktion sowie + eine Validierung auch der Sicherheit der Implementierung. x Entschlüsselung 1 k ... 1(x) Entschlüsselung n ... k n(… k 2(k 1(x))…) k 1(x) Verschlüsselung 1 x Natürlich können auch asymmetrische Konzelationssysteme auf diese Weise verwendet werden. Auch ein gemischter Einsatz von symmetrischen und asymmetrischen Konzelationssystemen ist möglich. Im Beispiel können hierzu für jedes einzelne i, 1 ≤ i ≤ n, jeweils die ki links durch ci und das ki rechts durch di ersetzt werden, 1 ≤ i ≤ n. Die beschriebene Konstruktion geht natürlich nur, wenn der Schüsseltextraum von Konzelationssystem i ein Teilraum des Klartextraumes des Konzelationssystems i+1 ist. Dies läßt sich in der Praxis meist problemlos erreichen. (Genauer später in der Vorlesung: §3.8.1 Block- und Stromchiffren sowie §3.8.2 Betriebsarten für Blockchiffren). Haben Klartext und Schlüsseltexte bei allen n Systemen die gleiche Länge, verändert diese Maßnahme den Speicher- bzw. Übertragungsaufwand nicht. (Meistens wird er aber wegen Blockung ein bißchen wachsen.) Der Berechnungsaufwand ist die Summe aller Berechnungsaufwände der einzelnen Konzelationssysteme (allerdings auf den evtl. etwas verlängerten Nachrichten). Nebenbei: Das durch die Verwendung mehrerer Konzelationsysteme in Serie entstehende Konzelationssystem heißt Produktchiffre der verwendeten Konzelationsysteme. Beim Schutzziel Authentikation kann man die kryptographischen Systeme parallel verwenden, d.h. mit jedem System wird ein Authentikator der ursprünglichen Nachricht x gebildet, und alle werden hintereinander an x gehängt (mit Trennzeichen o.ä.). (Z.B. gemäß Bild 3-6: x, k1 (x),… , kn (x).) Der Empfänger prüft jeden Authentikator getrennt mit dem passenden System; alle müssen stimmen. Natürlich können auch digitale Signatursysteme auf diese Weise verwendet werden, ebenso ist ein gemischter Einsatz möglich. Im Beispiel können hierzu für jedes einzelne i, 1 ≤ i ≤ n, jeweils die ki links durch si und das ki rechts durch ti ersetzt werden. Auch hier müssen die verwendeten Schlüssel unabhängig voneinander gewählt werden. Berechnungsaufwand und Speicher- und Übertragungsaufwand für den Authentikator sind genau die Summe derer aus den einzelnen Systemen. Die Berechnung kann problemlos parallel erfolgen, so daß bei geeigneter Implementierung das Gesamtsystem fast so schnell wie das langsamste verwendete Authentikationssystem arbeitet. 3-2a Schlüsselabgleich bei teilnehmerautonomer Schlüsselgenerierung? Der Einwand gegen teilnehmerautonome dezentrale Schlüsselgenerierung ist falsch (s.u.). Folglich ist der Vorschlag unnötig und – bekanntermaßen – bzgl. der Vertraulichkeit der geheimen Schlüssel sehr gefährlich. Grundsätzlich gilt: Natürlich kann nicht völlig ausgeschlossen werden, daß bei der Erzeugung der Zufallszahl, die die Schlüsselgenerierung parametrisiert, dieselbe Zufallszahl mehrfach auftritt und dann auch der geheime Teil des Schlüsselpaares mehrfach generiert werden kann. Die Schlußfolgerung, deshalb müsse die Schlüsselgenerierung koordiniert ablaufen, ja gar von sogenannten TrustCentern durchgeführt werden, ist aber unsinnig. Tritt dieselbe Zufallszahl mehrfach auf, dann ist entweder der Zufallsgenerator schlecht oder die Zufallszahl zu kurz. In beiden Fällen hilft es nicht, die Zufallszahl nur beim ersten mal zu verwenden und bei wiederholtem Auftreten zu verwerfen. Denn wer sollte einen Angreifer daran hindern, mit dem gleichen Zufallsgenerator Zahlen gleicher Länge zu erzeugen und zu hoffen, daß er Glück hat? Da dies nicht verhindert werden kann, hilft nur: Zufallsgenerator gut wählen und validieren sowie Zufallszahl lang genug wählen. Alles andere ist Kosmetik, die vom eigentlichen Problem ablenkt. Und nebenbei: Falls überhaupt Schlüssel verglichen werden, dann genügt es, öffentliche Schlüssel zu vergleichen. Die Schlüsselgenerierung kann also selbst dann teilnehmerautonom bleiben – der Schlüsselvergleich erfolgt als Teil der Schlüsselzertifizierung.
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146: 278 A. Pfitzmann: Datensicherheit u
Seite 195: 378 A. Pfitzmann: Datensicherheit u
Seite 231 und 232: A. Pfitzmann: Datensicherheit und K
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?