Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 384<br />
383<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
kationssystem wird dieser 1. Prüfteil authentiziert, <strong>und</strong> so der 2. Prüfteil gebildet. Mit dem dritten<br />
Authentikationssystem wird der 2. Prüfteil authentiziert, usw. Nachteil: Kann e<strong>in</strong> Angreifer das<br />
erste Authentikationssystem brechen, <strong>in</strong>dem er zum 1. Prüfteil e<strong>in</strong>e andere passende Nachricht<br />
f<strong>in</strong>det, s<strong>in</strong>d alle anderen Authentikationssysteme hiergegen wirkungslos (denn der 1. Prüfteil wird<br />
für die andere passende Nachricht ja nicht geändert, der ganze Rest kann also unverändert<br />
bleiben). Außerdem läßt sich die Berechnung der Prüfteile hier nicht so schön parallelisieren.<br />
Um Schlüsselaustauschaufwand zu sparen, wird, sofern möglich, der gleiche Schlüssel für<br />
mehrere kryptographische Systeme genommen. Nachteil: In vielen Fällen ist das resultierende<br />
System nicht stärker, manchmal sogar schwächer als das schächste der verwendeten Systeme.<br />
Dies ist besonders leicht bzgl. Authentikation zu zeigen: Nehmen wir an, alle Systeme verwenden<br />
den gleichen Schlüssel. Dann ist klar, daß e<strong>in</strong> vollständiges Brechen auch nur e<strong>in</strong>es Systems das<br />
vollständige Brechen des Gesamtsystems ermöglicht. Erlauben manche Systeme das effektive<br />
Gew<strong>in</strong>nen von Information über den Schlüssel, so kann, obwohl ke<strong>in</strong>es für sich alle<strong>in</strong> genug<br />
Information für e<strong>in</strong>en erfolgreichen Angriff zu gew<strong>in</strong>nen erlaubt, die Summe der e<strong>in</strong>zelnen<br />
Informationen hierfür ausreichen.<br />
k 1<br />
k 1<br />
x, k 1 (x)<br />
Testen<br />
1<br />
Codieren<br />
1<br />
x,<br />
„ok“ oder<br />
„falsch“<br />
...<br />
x, k 1 (x),… , k n (x)<br />
...<br />
x<br />
k n<br />
k n<br />
Testen<br />
n<br />
n(x)<br />
x, k<br />
Codieren<br />
n<br />
Diskussion e<strong>in</strong>es ungeschickten Lösungsvorschlags:<br />
Es wird mit Authentikationssystem i e<strong>in</strong> Authentikator nicht nur unter die Nachricht x gebildet,<br />
sondern auch unter die Prüfteile 1 bis i-1. Diese Lösung ist zwar sicher, aber unnötig aufwendig:<br />
1. Die Berechnung der Prüfteile erfordert <strong>in</strong> der Regel umso mehr Rechenaufwand, je länger<br />
die zu authentizierende Zeichenkette ist.<br />
2. Die Berechnung der Prüfteile ist nicht mehr e<strong>in</strong>fach parallelisierbar, da Prüfteil i von<br />
Prüfteil i-1 abhängt.<br />
Sowohl beim Schutzziel Konzelation als auch beim Schutzziel Authentikation ist bei Softwareimplementierung<br />
der kryptographischen Systeme natürlich noch zusätzlich Speicheraufwand für<br />
die jeweiligen Programme nötig.<br />
3-4 Schlüsselaustauschprotokolle<br />
a) Die Funktion e<strong>in</strong>er Schlüsselverteilzentrale muß von mehreren geme<strong>in</strong>sam erbracht werden.<br />
Dazu müssen entweder<br />
• alle Schlüsselverteilzentralen direkt Schlüssel vone<strong>in</strong>ander kennen, oder<br />
• die Schlüsselverteilzentralen benötigen wiederum e<strong>in</strong>e Ober-Schlüsselverteilzentrale, usw.<br />
Im zweiten Fall müssen zunächst die zwei Schlüsselverteilzentralen e<strong>in</strong>en Schlüssel austauschen,<br />
was genau wie bisher zwischen zwei Teilnehmern geht.<br />
Im folgenden nehmen wir also an, die zwei Schlüsselverteilzentralen ZA <strong>und</strong> ZB, mit denen<br />
die beiden Teilnehmer A bzw. B e<strong>in</strong>en Schlüssel ausgetauscht haben, hätten nun geme<strong>in</strong>same<br />
Schlüssel.<br />
Symmetrisches System: Jetzt kann e<strong>in</strong>e der beiden Schlüsselverteilzentralen e<strong>in</strong>en Schlüssel<br />
generieren <strong>und</strong> der anderen vertraulich mitteilen (z.B. generiert die Schlüsselverteilzentrale ZA den Schlüssel k <strong>und</strong> schickt ihn an ZB, verschlüsselt mit kZAZB (den sie ja nun geme<strong>in</strong>sam<br />
haben). Nun teilt jede „ihrem“ Teilnehmer den Schlüssel vertraulich mit, wie bisher (d.h. ZA schickt kAZA (k) an A, <strong>und</strong> ZB schickt kBZB (k) an B).<br />
Zur Beweisbarkeit der beiden Konstruktionen:<br />
Systeme parallel zur Authentikation ist trivial zu beweisen, da sich an der Benutzung jedes<br />
e<strong>in</strong>zelnen Systems, <strong>in</strong>sbesondere der Verteilung von Nachrichten <strong>und</strong> Schlüsseltexten/MACs<br />
überhaupt nichts ändert.<br />
Systeme <strong>in</strong> Serie zur Konzelation ist leider überhaupt nicht zu beweisen. Die Verteilung der<br />
E<strong>in</strong>gaben von „Verschlüsselung 2“ bis „Verschlüsselung n“ wird durch die Konstruktion geändert<br />
– statt dem Klartext wird Schlüsseltext verschlüsselt. Dies könnte nun so unglücklich geschehen,<br />
daß die Verschlüsselungen 2 bis n zur <strong>Sicherheit</strong> nichts beitragen, das System <strong>in</strong> Serie also nur so<br />
sicher wie „Verschlüsselung 1“ ist. In der Praxis dürfte dies nur der Fall se<strong>in</strong>, wenn „Verschlüsselung<br />
2“ bis „Verschlüsselung n“ zielgerichtet so „unglücklich“ entworfen werden. (In Aufgabe<br />
3-26 f<strong>in</strong>den Sie e<strong>in</strong>e <strong>in</strong> e<strong>in</strong>em gewissen S<strong>in</strong>ne beweisbar sichere, allerd<strong>in</strong>gs aufwendigere<br />
Konstruktion zum Gebrauch mehrerer Konzelationssysteme.)<br />
Umgekehrt liefert der Beweis für Systeme parallel zur Authentikation auch, daß die Konstruktion<br />
nur so sicher ist, wie es schwer ist, alle verwendeten Systeme zu brechen. Und ebenfalls<br />
umgekehrt scheitert der Beweis für Systeme <strong>in</strong> Serie zur Konzelation hauptsächlich daran, daß die<br />
Zwischenergebnisse, d.h. die Schlüsseltexte zwischen den verwendeten Konzelationssystemen,<br />
dem Angreifer nicht vorliegen – gerade das macht se<strong>in</strong>e Aufgabe aber normalerweise ungleich<br />
schwieriger als die, nur alle verwendeten Konzelationssysteme zu brechen.<br />
Diskussion falscher Lösungsvorschläge:<br />
Um die Nachricht mit mehreren Konzelationssystemen zu verschlüsseln <strong>und</strong> so den Klartext<br />
vertraulich zu halten, obwohl e<strong>in</strong>zelne Konzelationssysteme unsicher s<strong>in</strong>d, wird die Nachricht <strong>in</strong><br />
so viele Abschnitte aufgeteilt, wie Konzelationssysteme zur Verfügung stehen, <strong>und</strong> jeder<br />
Abschnitt mit e<strong>in</strong>em anderen Konzelationssystem verschlüsselt. Nachteil: Die Wahrsche<strong>in</strong>lichkeit,<br />
daß e<strong>in</strong> Angreifer zum<strong>in</strong>dest Abschnitte der Nachricht entschlüsseln kann, wird durch dies<br />
Vorgehen eher erhöht als erniedrigt.<br />
Um die Nachricht mit mehreren Authentikationssystemen zu authentizieren, wird mit dem<br />
ersten Authentikationssystem zur Nachricht e<strong>in</strong> 1. Prüfteil gebildet. Mit dem zweiten Authenti-