Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
386<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
385<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
+ sich Zentralen weniger merken müssen (<strong>in</strong> der vorherigen Alternative muß sich z.B. ZB das Zertifikat cA , SZA (cA ) merken, dann nur dann kann ZB die Ausstellung des<br />
Zertifikats cA , SZB (cA ) rechtfertigen),<br />
+ klar ist, wer was geprüft hat (<strong>und</strong>, je nach rechtlichem Kontext, wer wofür haftet),<br />
+ für die Teilnehmer erkennbar ist, über wie viele (<strong>und</strong> ggf. wie vertrauenswürdige <strong>und</strong><br />
<strong>in</strong> welcher Weise haftende) Stufen die Authentisierung des öffentlichen Schlüssels<br />
erfolgte <strong>und</strong><br />
+ deshalb diese Alternative allgeme<strong>in</strong>er anwendbar ist, vgl. Aufgabenteil g).<br />
k ZAZB (k)<br />
Z B<br />
Z A<br />
k AZ A (k) k BZB (k)<br />
A B<br />
Der Nachteil dieser Alternative ist, daß<br />
- Teilnehmer mehr Signaturen überprüfen müssen, um sich von der Authentizität e<strong>in</strong>es<br />
Schlüssels zu überzeugen.<br />
Aus me<strong>in</strong>er Sicht überwiegen die Vorteile bereits heute deutlich – <strong>und</strong> sie werden immer mehr<br />
überwiegen, je leistungsfähiger die Rechentechnik der Teilnehmer wird.<br />
Authentikation von öffentlichen Schlüsseln: Der öffentliche Schlüssel jedes Teilnehmers<br />
wird von „se<strong>in</strong>er“ Zentrale authentisiert an die Zentrale des anderen geschickt (z.B. schickt ZA den Schlüssel cA an ZB , signiert mit sZA ). Die Zentrale des anderen prüft die Authentisierung<br />
<strong>und</strong> authentisiert den öffentlichen Schlüssel ggf. ihrerseits, damit der Empfänger diese zweite<br />
Authentisierung prüfen kann (z.B. prüft ZB mit tZA , den sie ja nun kennt, <strong>und</strong> signiert dann cA mit sZB , was B dann mit tZB prüfen kann).<br />
b) Optional: Vermutlich sieht Ihre Lösung so aus, daß mehrere Teilschlüssel jeweils über zwei<br />
Schlüsselverteilzentralen (e<strong>in</strong>e <strong>in</strong> jedem Land) ausgetauscht <strong>und</strong> von den Teilnehmern modulo<br />
2 addiert werden. Das ist besser als den Schlüssel gleich als Ganzes auszutauschen, hat aber<br />
den Nachteil, daß nicht alle Schlüsselverteilzentralen e<strong>in</strong>es Landes zusammenarbeiten müssen,<br />
um den Schlüssel zu erhalten. Es genügt, wenn jeweils e<strong>in</strong>e der zwei Zentralen kooperiert.<br />
Dies bedeutet nun, daß die lokale Entscheidung der Teilnehmer, welches die Schlüsselverteilzentralen<br />
<strong>in</strong> ihrem Land s<strong>in</strong>d, die ke<strong>in</strong>esfalls alle kooperieren, ausgehebelt wird. Wenn wir<br />
unterstellen, daß alle Schlüsselverteilzentralen untere<strong>in</strong>ander Schlüssel ausgetauscht haben,<br />
dann gibt es e<strong>in</strong>e bessere Lösung, die die lokalen Entscheidungen der beiden Teilnehmer<br />
respektiert:<br />
In e<strong>in</strong>er ersten Phase tauscht e<strong>in</strong>er der Teilnehmer über alle se<strong>in</strong>e Schlüsselverteilzentralen<br />
Teilschlüssel mit jeder Schlüsselverteilzentrale des anderen Teilnehmers aus, die der<br />
Teilnehmer <strong>und</strong> die Schlüsselverteilzentrale des anderen Teilnehmers jeweils modulo 2<br />
addieren <strong>und</strong> so jeweils e<strong>in</strong>en geheimen Schlüssel erhalten. Hat der Teilnehmer a Schlüsselverteilzentralen<br />
<strong>und</strong> der andere Teilnehmer b, dann werden also b mal jeweils a Teilschlüssel,<br />
<strong>in</strong>sgesamt also a•b Teilschlüssel ausgetauscht <strong>und</strong> daraus b Schlüssel gewonnen.<br />
In e<strong>in</strong>er zweiten Phase werden diese b geheimen Schlüssel mit den Schlüsselverteilzentralen<br />
des anderen Teilnehmers sowie die zwischen dem anderen Teilnehmer <strong>und</strong> se<strong>in</strong>en<br />
Schlüsselverteilzentralen ausgetauschten Schlüssel verwendet, um wie <strong>in</strong> Bild 3-3 gezeigt<br />
zwischen den Teilnehmern b Teilschlüssel auszutauschen (die natürlich nichts mit den<br />
Teilschlüsseln <strong>in</strong> der ersten Phase zu tun haben dürfen).<br />
c A, s ZA (c A)<br />
Z B<br />
Z A<br />
c B , s ZB (c B )<br />
s Z B (c A )<br />
c A ,<br />
c B , s ZA (c B )<br />
A B<br />
Der jeweils resultierende Schlüsselaustausch ist <strong>in</strong> allen Fällen natürlich höchstens so vertrauenswürdig<br />
wie der schwächste verwendete Schritt, d.h. das schwächste Schlüsselaustausch-<br />
Subprotokoll.<br />
Anmerkung: Im Fall, daß die Authentisierung von öffentlichen Schlüsseln durch digitale<br />
Signatursysteme erfolgt, wäre es e<strong>in</strong>e Alternative, daß die Zentrale des anderen Teilnehmers<br />
nicht den öffentlichen Schlüssel des ersten Teilnehmers, sondern den öffentlichen Schlüssel<br />
von dessen Zentrale authentisiert. Dann kann der Teilnehmer die Authentisierung des<br />
öffentlichen Schlüssels des anderen Teilnehmers selbst prüfen.<br />
c) Ja, e<strong>in</strong>e Parallelschaltung ist auch bei asymmetrischen kryptographischen Systemen s<strong>in</strong>nvoll.<br />
Es bestehen nämlich Möglichkeiten für verändernde Angriffe e<strong>in</strong>es e<strong>in</strong>zelnen (oder<br />
weniger) Schlüsselregisters R: Dieses könnte falsche Schlüssel weitergeben, zu denen es<br />
selbst die geheimen Schlüssel kennt. Wie <strong>in</strong> den folgenden Bildern gezeigt, könnte es dann<br />
e<strong>in</strong>erseits unbemerkt die Vertraulichkeit von Nachrichten brechen, <strong>in</strong>dem es Nachrichten<br />
umschlüsselt, <strong>und</strong> andererseits Nachrichten unbemerkt fälschen, <strong>in</strong>dem es sie „umsigniert“<br />
oder ganz neue signiert.<br />
c A , s ZA (c A )<br />
Z B<br />
Z A<br />
c B , s ZB (c B )<br />
sZA (cA ),<br />
cB , sZB (cB ),<br />
cA ,<br />
sZA (t ) s t ZB<br />
, ZB<br />
t Z , ZB<br />
(t )<br />
A Z A<br />
A B<br />
Die Vorteile dieser Alternative s<strong>in</strong>d, daß