Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 384 383 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr kationssystem wird dieser 1. Prüfteil authentiziert, und so der 2. Prüfteil gebildet. Mit dem dritten Authentikationssystem wird der 2. Prüfteil authentiziert, usw. Nachteil: Kann ein Angreifer das erste Authentikationssystem brechen, indem er zum 1. Prüfteil eine andere passende Nachricht findet, sind alle anderen Authentikationssysteme hiergegen wirkungslos (denn der 1. Prüfteil wird für die andere passende Nachricht ja nicht geändert, der ganze Rest kann also unverändert bleiben). Außerdem läßt sich die Berechnung der Prüfteile hier nicht so schön parallelisieren. Um Schlüsselaustauschaufwand zu sparen, wird, sofern möglich, der gleiche Schlüssel für mehrere kryptographische Systeme genommen. Nachteil: In vielen Fällen ist das resultierende System nicht stärker, manchmal sogar schwächer als das schächste der verwendeten Systeme. Dies ist besonders leicht bzgl. Authentikation zu zeigen: Nehmen wir an, alle Systeme verwenden den gleichen Schlüssel. Dann ist klar, daß ein vollständiges Brechen auch nur eines Systems das vollständige Brechen des Gesamtsystems ermöglicht. Erlauben manche Systeme das effektive Gewinnen von Information über den Schlüssel, so kann, obwohl keines für sich allein genug Information für einen erfolgreichen Angriff zu gewinnen erlaubt, die Summe der einzelnen Informationen hierfür ausreichen. k 1 k 1 x, k 1 (x) Testen 1 Codieren 1 x, „ok“ oder „falsch“ ... x, k 1 (x),… , k n (x) ... x k n k n Testen n n(x) x, k Codieren n Diskussion eines ungeschickten Lösungsvorschlags: Es wird mit Authentikationssystem i ein Authentikator nicht nur unter die Nachricht x gebildet, sondern auch unter die Prüfteile 1 bis i-1. Diese Lösung ist zwar sicher, aber unnötig aufwendig: 1. Die Berechnung der Prüfteile erfordert in der Regel umso mehr Rechenaufwand, je länger die zu authentizierende Zeichenkette ist. 2. Die Berechnung der Prüfteile ist nicht mehr einfach parallelisierbar, da Prüfteil i von Prüfteil i-1 abhängt. Sowohl beim Schutzziel Konzelation als auch beim Schutzziel Authentikation ist bei Softwareimplementierung der kryptographischen Systeme natürlich noch zusätzlich Speicheraufwand für die jeweiligen Programme nötig. 3-4 Schlüsselaustauschprotokolle a) Die Funktion einer Schlüsselverteilzentrale muß von mehreren gemeinsam erbracht werden. Dazu müssen entweder • alle Schlüsselverteilzentralen direkt Schlüssel voneinander kennen, oder • die Schlüsselverteilzentralen benötigen wiederum eine Ober-Schlüsselverteilzentrale, usw. Im zweiten Fall müssen zunächst die zwei Schlüsselverteilzentralen einen Schlüssel austauschen, was genau wie bisher zwischen zwei Teilnehmern geht. Im folgenden nehmen wir also an, die zwei Schlüsselverteilzentralen ZA und ZB, mit denen die beiden Teilnehmer A bzw. B einen Schlüssel ausgetauscht haben, hätten nun gemeinsame Schlüssel. Symmetrisches System: Jetzt kann eine der beiden Schlüsselverteilzentralen einen Schlüssel generieren und der anderen vertraulich mitteilen (z.B. generiert die Schlüsselverteilzentrale ZA den Schlüssel k und schickt ihn an ZB, verschlüsselt mit kZAZB (den sie ja nun gemeinsam haben). Nun teilt jede „ihrem“ Teilnehmer den Schlüssel vertraulich mit, wie bisher (d.h. ZA schickt kAZA (k) an A, und ZB schickt kBZB (k) an B). Zur Beweisbarkeit der beiden Konstruktionen: Systeme parallel zur Authentikation ist trivial zu beweisen, da sich an der Benutzung jedes einzelnen Systems, insbesondere der Verteilung von Nachrichten und Schlüsseltexten/MACs überhaupt nichts ändert. Systeme in Serie zur Konzelation ist leider überhaupt nicht zu beweisen. Die Verteilung der Eingaben von „Verschlüsselung 2“ bis „Verschlüsselung n“ wird durch die Konstruktion geändert – statt dem Klartext wird Schlüsseltext verschlüsselt. Dies könnte nun so unglücklich geschehen, daß die Verschlüsselungen 2 bis n zur Sicherheit nichts beitragen, das System in Serie also nur so sicher wie „Verschlüsselung 1“ ist. In der Praxis dürfte dies nur der Fall sein, wenn „Verschlüsselung 2“ bis „Verschlüsselung n“ zielgerichtet so „unglücklich“ entworfen werden. (In Aufgabe 3-26 finden Sie eine in einem gewissen Sinne beweisbar sichere, allerdings aufwendigere Konstruktion zum Gebrauch mehrerer Konzelationssysteme.) Umgekehrt liefert der Beweis für Systeme parallel zur Authentikation auch, daß die Konstruktion nur so sicher ist, wie es schwer ist, alle verwendeten Systeme zu brechen. Und ebenfalls umgekehrt scheitert der Beweis für Systeme in Serie zur Konzelation hauptsächlich daran, daß die Zwischenergebnisse, d.h. die Schlüsseltexte zwischen den verwendeten Konzelationssystemen, dem Angreifer nicht vorliegen – gerade das macht seine Aufgabe aber normalerweise ungleich schwieriger als die, nur alle verwendeten Konzelationssysteme zu brechen. Diskussion falscher Lösungsvorschläge: Um die Nachricht mit mehreren Konzelationssystemen zu verschlüsseln und so den Klartext vertraulich zu halten, obwohl einzelne Konzelationssysteme unsicher sind, wird die Nachricht in so viele Abschnitte aufgeteilt, wie Konzelationssysteme zur Verfügung stehen, und jeder Abschnitt mit einem anderen Konzelationssystem verschlüsselt. Nachteil: Die Wahrscheinlichkeit, daß ein Angreifer zumindest Abschnitte der Nachricht entschlüsseln kann, wird durch dies Vorgehen eher erhöht als erniedrigt. Um die Nachricht mit mehreren Authentikationssystemen zu authentizieren, wird mit dem ersten Authentikationssystem zur Nachricht ein 1. Prüfteil gebildet. Mit dem zweiten Authenti-
386 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 385 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr + sich Zentralen weniger merken müssen (in der vorherigen Alternative muß sich z.B. ZB das Zertifikat cA , SZA (cA ) merken, dann nur dann kann ZB die Ausstellung des Zertifikats cA , SZB (cA ) rechtfertigen), + klar ist, wer was geprüft hat (und, je nach rechtlichem Kontext, wer wofür haftet), + für die Teilnehmer erkennbar ist, über wie viele (und ggf. wie vertrauenswürdige und in welcher Weise haftende) Stufen die Authentisierung des öffentlichen Schlüssels erfolgte und + deshalb diese Alternative allgemeiner anwendbar ist, vgl. Aufgabenteil g). k ZAZB (k) Z B Z A k AZ A (k) k BZB (k) A B Der Nachteil dieser Alternative ist, daß - Teilnehmer mehr Signaturen überprüfen müssen, um sich von der Authentizität eines Schlüssels zu überzeugen. Aus meiner Sicht überwiegen die Vorteile bereits heute deutlich – und sie werden immer mehr überwiegen, je leistungsfähiger die Rechentechnik der Teilnehmer wird. Authentikation von öffentlichen Schlüsseln: Der öffentliche Schlüssel jedes Teilnehmers wird von „seiner“ Zentrale authentisiert an die Zentrale des anderen geschickt (z.B. schickt ZA den Schlüssel cA an ZB , signiert mit sZA ). Die Zentrale des anderen prüft die Authentisierung und authentisiert den öffentlichen Schlüssel ggf. ihrerseits, damit der Empfänger diese zweite Authentisierung prüfen kann (z.B. prüft ZB mit tZA , den sie ja nun kennt, und signiert dann cA mit sZB , was B dann mit tZB prüfen kann). b) Optional: Vermutlich sieht Ihre Lösung so aus, daß mehrere Teilschlüssel jeweils über zwei Schlüsselverteilzentralen (eine in jedem Land) ausgetauscht und von den Teilnehmern modulo 2 addiert werden. Das ist besser als den Schlüssel gleich als Ganzes auszutauschen, hat aber den Nachteil, daß nicht alle Schlüsselverteilzentralen eines Landes zusammenarbeiten müssen, um den Schlüssel zu erhalten. Es genügt, wenn jeweils eine der zwei Zentralen kooperiert. Dies bedeutet nun, daß die lokale Entscheidung der Teilnehmer, welches die Schlüsselverteilzentralen in ihrem Land sind, die keinesfalls alle kooperieren, ausgehebelt wird. Wenn wir unterstellen, daß alle Schlüsselverteilzentralen untereinander Schlüssel ausgetauscht haben, dann gibt es eine bessere Lösung, die die lokalen Entscheidungen der beiden Teilnehmer respektiert: In einer ersten Phase tauscht einer der Teilnehmer über alle seine Schlüsselverteilzentralen Teilschlüssel mit jeder Schlüsselverteilzentrale des anderen Teilnehmers aus, die der Teilnehmer und die Schlüsselverteilzentrale des anderen Teilnehmers jeweils modulo 2 addieren und so jeweils einen geheimen Schlüssel erhalten. Hat der Teilnehmer a Schlüsselverteilzentralen und der andere Teilnehmer b, dann werden also b mal jeweils a Teilschlüssel, insgesamt also a•b Teilschlüssel ausgetauscht und daraus b Schlüssel gewonnen. In einer zweiten Phase werden diese b geheimen Schlüssel mit den Schlüsselverteilzentralen des anderen Teilnehmers sowie die zwischen dem anderen Teilnehmer und seinen Schlüsselverteilzentralen ausgetauschten Schlüssel verwendet, um wie in Bild 3-3 gezeigt zwischen den Teilnehmern b Teilschlüssel auszutauschen (die natürlich nichts mit den Teilschlüsseln in der ersten Phase zu tun haben dürfen). c A, s ZA (c A) Z B Z A c B , s ZB (c B ) s Z B (c A ) c A , c B , s ZA (c B ) A B Der jeweils resultierende Schlüsselaustausch ist in allen Fällen natürlich höchstens so vertrauenswürdig wie der schwächste verwendete Schritt, d.h. das schwächste Schlüsselaustausch- Subprotokoll. Anmerkung: Im Fall, daß die Authentisierung von öffentlichen Schlüsseln durch digitale Signatursysteme erfolgt, wäre es eine Alternative, daß die Zentrale des anderen Teilnehmers nicht den öffentlichen Schlüssel des ersten Teilnehmers, sondern den öffentlichen Schlüssel von dessen Zentrale authentisiert. Dann kann der Teilnehmer die Authentisierung des öffentlichen Schlüssels des anderen Teilnehmers selbst prüfen. c) Ja, eine Parallelschaltung ist auch bei asymmetrischen kryptographischen Systemen sinnvoll. Es bestehen nämlich Möglichkeiten für verändernde Angriffe eines einzelnen (oder weniger) Schlüsselregisters R: Dieses könnte falsche Schlüssel weitergeben, zu denen es selbst die geheimen Schlüssel kennt. Wie in den folgenden Bildern gezeigt, könnte es dann einerseits unbemerkt die Vertraulichkeit von Nachrichten brechen, indem es Nachrichten umschlüsselt, und andererseits Nachrichten unbemerkt fälschen, indem es sie „umsigniert“ oder ganz neue signiert. c A , s ZA (c A ) Z B Z A c B , s ZB (c B ) sZA (cA ), cB , sZB (cB ), cA , sZA (t ) s t ZB , ZB t Z , ZB (t ) A Z A A B Die Vorteile dieser Alternative sind, daß
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148: 282 A. Pfitzmann: Datensicherheit u
Seite 197: 382 A. Pfitzmann: Datensicherheit u
Seite 231 und 232: A. Pfitzmann: Datensicherheit und K
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?