Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
390<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
389<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
d) Ja. Wie im folgenden Bild gezeigt, führt man das für symmetrische <strong>und</strong> das für asymmetrische<br />
Konzelationssysteme bekannte Schlüsselverteilungsprotokoll parallel durch: 142<br />
genannt hat. Diese zweite Unterschrift kann, da der Testschlüssel des Schlüsselregisters als<br />
bekannt vorausgesetzt werden kann, auch e<strong>in</strong>e digitale Signatur se<strong>in</strong>. Nach Austausch dieser<br />
beiden unterschriebenen Erklärungen s<strong>in</strong>d Dispute zwischen Teilnehmer <strong>und</strong> Schlüsselregister<br />
immerh<strong>in</strong> so gut auflösbar, wie das schwächere der beiden Signatursysteme sicher ist.<br />
E<strong>in</strong> Teilnehmer B sendet dann dem anderen noch e<strong>in</strong>en Schlüssel k4 des symmetrischen Konzelationssystems,<br />
den er mit dem ihm bekannten öffentlichen Schlüssel cA des Partners A konzeliert.<br />
Beide Partner verwenden als Schlüssel die Summe k aller ihnen im symmetrischen<br />
Schlüsselverteilprotokoll mitgeteilten Schlüssel (k1 ,k2 ,k3 ) <strong>und</strong> des zusätzlichen Schlüssels k4 .<br />
Um diese Summe k zu erhalten, muß e<strong>in</strong> Angreifer alle Summanden erfahren, d.h. die passive<br />
Mithilfe aller Schlüsselverteilzentralen haben <strong>und</strong> das asymmetrische Konzelationssystem<br />
brechen.<br />
öffentliches<br />
Schlüsselregister R<br />
Schlüsselverteilzentralen<br />
Es gibt (m<strong>in</strong>destens) zwei s<strong>in</strong>nvolle Variationen der Parallelschaltung asymmetrischer kryptographischer<br />
Systeme:<br />
1. Bleiben öffentliche Schlüssel unbegrenzt gültig, muß also auf ihre Aktualität nicht<br />
geachtet werden, so kann jedes Schlüsselregister auch die Signaturen der anderen<br />
Schlüsselregister unter jeden der Schlüssel speichern. Dann kann e<strong>in</strong> Teilnehmer den<br />
Schlüssel e<strong>in</strong>es anderen <strong>und</strong> alle Signaturen unter diesen Schlüssel von e<strong>in</strong>em<br />
Schlüsselregister anfordern. Dies spart Kommunikationsaufwand. An der Prüfung der<br />
Signaturen ändert sich nichts.<br />
X Y Z<br />
kennt<br />
c<br />
A<br />
öffentliches<br />
Schlüsselregister R<br />
1<br />
c von A ?<br />
c A<br />
k ( k )<br />
BZ 3<br />
k ( k )<br />
BY 2<br />
k ( k )<br />
BX 1<br />
k ( k )<br />
AZ 3<br />
k ( k )<br />
AY 2<br />
k ( k )<br />
AX 1<br />
2.<br />
Schlüsselregister<br />
tauschen<br />
Beglaubigungen<br />
von Schlüsseln aus.<br />
c ( )<br />
A k 4<br />
k(Nachrichten)<br />
Teilnehmer Schlüssel k = k + k + k + k<br />
1 2 3 4 Teilnehmer<br />
A B<br />
Man muß nach dem Schlüsselaustausch e<strong>in</strong>e Vernam-Chiffre (one-time pad) für Konzelation<br />
<strong>und</strong> <strong>in</strong>formationstheoretisch sichere Authentikationscodes für Authentikation verwenden.<br />
Rechnet man auch mit aktiven Angriffen von Schlüsselregistern, sollte das e<strong>in</strong>e Schlüsselregister<br />
um weitere ergänzt werden, vgl. Aufgabenteil c).<br />
Anmerkung: Folgende Variation der Fragestellung kann praktisch bedeutsam se<strong>in</strong>: Wir nehmen<br />
nicht an, daß der Angreifer, sofern er ke<strong>in</strong>e passive Mithilfe der Schlüsselverteilzentralen<br />
erhält, komplexitätstheoretisch unbeschränkt ist, sondern „nur“ die asymmetrischen kryptographischen<br />
Systeme brechen kann. Dann braucht man als symmetrisches Konzelationssystem<br />
nicht unbed<strong>in</strong>gt e<strong>in</strong>e Vernam-Chiffre <strong>und</strong> für Authentikation nicht unbed<strong>in</strong>gt <strong>in</strong>formationstheoretisch<br />
sichere Authentikationscodes zu verwenden.<br />
e) Wird der Schlüssel <strong>in</strong> e<strong>in</strong>em symmetrischen Konzelationssystem verwendet, kann der Partner<br />
jeweils nicht mehr richtig entschlüsseln. Wird der Schlüssel <strong>in</strong> e<strong>in</strong>em symmetrischen Authentikationssystem<br />
verwendet, werden auch die vom Partner „richtig“ authentisierten Nachrichten<br />
vom andern Partner als „gefälscht“ e<strong>in</strong>gestuft.<br />
Um unbemerktes Verändern der Schlüssel auf den Leitungen zu verh<strong>in</strong>dern, sollten die<br />
Schlüssel nicht nur konzeliert, sondern auch authentisiert werden (<strong>in</strong> welcher Reihenfolge dies<br />
geschickterweise erfolgen sollte, wird <strong>in</strong> Aufgabe 3-13 behandelt). Stimmt die Authentisierung<br />
öffentliches<br />
Schlüsselregister R<br />
n<br />
1.<br />
4.<br />
A läßt se<strong>in</strong>en öffentlichen<br />
B erhält von dem Schlüsselregister<br />
Chiffrierschlüssel c<br />
A<br />
c , den öffentlichen Chiffrierschlüssel<br />
(ggf. anonym) e<strong>in</strong>-<br />
A<br />
von A, beglaubigt durch die Signa-<br />
tragen.<br />
3.<br />
turen aller Schlüsselregister.<br />
B bittet e<strong>in</strong> Schlüsselregister<br />
um den<br />
öffentlichen Chiffrier-<br />
5.<br />
schlüssel von A mit<br />
B prüft die<br />
allen Beglaubigungen.<br />
erhaltenen<br />
c (Nachricht an A)<br />
Signaturen.<br />
A<br />
Teilnehmer Teilnehmer<br />
A B<br />
2. Hat man Zweifel an der <strong>Sicherheit</strong> des asymmetrischen kryptographischen Systems,<br />
kann man statt des e<strong>in</strong>en Systems mehrere verwenden (vgl. Aufgabe 3-3) <strong>und</strong> statt des<br />
e<strong>in</strong>en, mehrfach authentizierten Schlüssels entsprechend der Systemanzahl mehrfache<br />
Schlüssel verwenden. Bei Konzelationssystemen KSi wird dann der Schlüsseltext von<br />
KSj mit KSj+1 verschlüsselt. Bei digitalen Signatursystemen wird jeweils der Klartext<br />
signiert <strong>und</strong> die Signaturen werden e<strong>in</strong>fach h<strong>in</strong>tere<strong>in</strong>andergehängt.<br />
142 Hierbei kann <strong>und</strong>, wenn auch verändernde Angriffe des öffentlichen Schlüsselregisters toleriert werden sollten,<br />
sollte die aus Übersichtlichkeitsgründen im Bild nicht gezeigte Parallelschaltung auch bezüglich der öffentlichen<br />
Schlüsselregister angewandt werden, vgl. Aufgabenteil c).