Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

392 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 391 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr problems seit langem bewiesen, vgl. [LaSP_82]). Entweder geben die Teilnehmer auf oder sie wechseln, sofern möglich, die Schlüsselverteilzentrale. Mehrere Schlüsselverteilzentralen in Serie: Werden zwischen den Teilnehmern Inkonsistenzen ihrer Schlüssel festgestellt, so sollten auch die Schlüsselverteilzentralen untereinander die Konsistenz der Schlüssel auf genau die gleiche Weise testen und, wenn möglich, verändernd angreifende Schlüsselverteilzentralen umgehen. Dies entspricht dem Wechseln der Schlüsselverteilzentrale bei „einer Schlüsselverteilzentrale“. Mehrere Schlüsselverteilzentralen parallel: Stellen die Teilnehmer eine Inkonsistenz der Summe ihrer Schlüssel fest, so wiederholen sie das Testprotokoll für Schlüsselgleichheit für jeden einzelnen der addierten Schlüssel und lassen alle inkonsistenten in der Summe weg. Bleiben nicht mehr genug zu addierende Schlüssel übrig, sollten die Teilnehmer entweder zusätzliche Schlüsselverteilzentralen verwenden oder ggf. auf ihre Kommunikation unter diesen Umständen verzichten. Sonst kann ein verändernder Angreifer zwischen den Teilnehmern die Aufnahme aller ihm unbekannten Schlüssel in die Summe verhindern. der zur Schlüsselverteilung verwendeten Nachrichten, dann ist der Kreis der jeweils möglichen Täter auf Schlüsselverteilzentralen und die beiden Teilnehmer beschränkt. Die Teilnehmer sollten sich direkt nach dem Schlüsselaustausch durch ein Testprotokoll für Schlüsselgleichheit Gewißheit darüber verschaffen, ob sie den gleichen Schlüssel haben. Dies kann geschehen, indem sie sich gegenseitig konzelierte Zufallszahlen zuschicken und vom Partner die Zufallszahl jeweils im Klartext zurückerwarten. (Dieses kleine Kryptoprotokoll ist natürlich nur sicher, wenn das verwendete symmetrische Konzelationssystem erstens mindestens einem gewählten Schlüsseltext-Klartext-Angriff, vgl. §3.1.3.2, widersteht und zweitens ein verändernder Angreifer mit Kenntnis der inkonsistenten Schlüssel zwischen den beiden Teilnehmern ausgeschlossen wird. Zusätzlich muß noch der in 3-18a erwähnte Spiegelangriff verhindert werden, etwa indem jeweils nur einer der Teilnehmer Zufallszahlen schickt und erst alle Antworten abwartet, bevor er selbst Antworten generiert. Zu guter Letzt kann in diesem kleinen Kryptoprotokoll die Vernam-Chiffre nicht verwendet werden! Denn bei ihr erführe der Angreifer immer genau den Bereich des Schlüssels, der auf Schlüsselgleichheit getestet wird. Kurzum: Wir brauchen ein besseres Testprotokoll oder eine sehr sehr gute Blockchiffre. Ersteres wird nachfolgend vorgestellt.) f) Lösungsideen (möglicherweise nicht vollständig, weitere sind erwünscht): 1. Schlüssel haben von Anfang an einen Teil, der ihren Verfallszeitpunkt angibt. Dann brauchen die Teilnehmer zu ihrer Sicherheit nur noch richtig gehende Uhren. Nachteil: Wird ein Schlüssel vor seinem Verfallszeitpunkt kompromittiert, dann ist seine Verwendung so nicht zu stoppen. (Eine verwandte Lösung wäre, die maximale Anzahl von Benutzungen des Schlüssels festzulegen. Dies macht allerdings nur bei symmetrischen kryptographischen Systemen Sinn, wo alle – beiden – Betroffenen jeweils mitzählen können. Sie müssen sich dann allerdings auch abgelaufene Schlüssel auf Dauer merken.) 2. Expliziter Rückruf von Schlüsseln – sei es durch den Schlüsselinhaber selbst oder die seinen öffentlichen Schlüssel zertifizierende Stelle(n). Realisiert werden kann dies mittels einer digital signierten Nachricht, die neben dem zurückgerufenen öffentlichen Schlüssel bzw. Zertifikat möglichst auch den genauen Zeitpunkt des Rückrufs und natürlich den Rückrufer enthalten sollte. (Bei Rückruf durch den Schlüsselinhaber selbst ist die Authentisierung dieses Rückrufs die letzte Aktion mit dem zugehörigen geheimen Signierschlüssel.) Expliziter Rückruf von Schlüsseln geht natürlich nur bezüglich der Teilnehmer, die ein verändernder Angreifer vom Rückrufer nicht abschneiden kann. Diese zusätzliche Einschränkung gegenüber 1. ist der Preis für die größere Flexibilität. (Allerdings gibt es Protokolle, mit deren Hilfe die Teilnehmer ihre Isolation schnell erkennen können: Sie senden sich spätestens nach einer jeweils zu vereinbarenden Anzahl Zeiteinheiten eine Nachricht, wobei alle Nachrichten durchnumeriert und authentisiert sind (inkl. ihrer Durchnumerierung!). Kommt dann zu lange keine Nachricht oder fehlen zwischendrin welche, dann wissen die Teilnehmer, daß sie jemand zumindest temporär zu isolieren trachtet(e).) 3. Wir kombinieren 1. und 2., so daß wir die Vorteile von beidem haben. 4. Vor Verwendung eines Schlüssels wird beim Schlüsselinhaber nachgefragt, ob er noch aktuell ist. Nachteil: Wenn Teilnehmer(geräte) nicht immer online sind, entstehen möglicherweise lange zusätzliche Verzögerungszeiten, falls auf die Antwort ohne Timeout gewartet wird. 5. Variante von 4., indem nur eine relativ kurze Zeit auf eine Antwort gewartet wird. Da ein verändernder Angreifer eine Antwort unbemerkt für eine kurze Zeit unterdrücken kann, sollte dies mit 3. kombiniert werden. Als Hinführung zunächst eine falsche Lösung, die aber in die richtige Richtung weist: Im Netz sei bekannt, wie eine Prüfsumme über Zeichenketten gebildet wird (Sie kennen sowas sicher unter den Namen Paritätsbit, Cyclic Redundancy Check (CRC), o.ä.). Die Teilnehmer bilden nach einem Verfahren solch eine Prüfsumme und einer schickt sein Ergebnis an den andern. Stimmen die Prüfsummen-Werte überein, so meinen unsere beiden Teilnehmer, dann haben sie mit großer Wahrscheinlichkeit den gleichen Schlüssel. Was ist ihr Denkfehler? Nun, Prüfsummen sind für dumme Fehler, nicht aber für intelligente Angreifer entworfen. Bei üblichen Prüfsummen ist es leicht, viele unterschiedliche Werte zu finden, die die gleiche Prüfsumme ergeben. Also könnte dies der Angreifer tun und solche inkonsistenten Schlüssel verteilen. Dann würden dies die beiden Teilnehmer erst dann bemerken, wenn sie den Schlüssel tatsächlich brauchen. Geschickt wäre also eine Prüfsumme, deren Bildung der Angreifer nicht vorhersehen kann! In [BeBE_92 Seite 30] findet sich unter Verweis auf [BeBR_88] folgende nette Idee für ein informationstheoretisch sicheres Testprotokoll für Schlüsselgleichheit: Die Teilnehmer wählen mehrmals hintereinander, jeweils unabhängig zufällig die Hälfte aller Schlüsselbits aus und teilen sich deren bitweise Summe mod 2 mit. (Stimmen die Schlüssel nicht überein, so wird dies in jedem Schritt mit der Wahrscheinlichkeit 1/2 entdeckt.) Damit ein Angreifer, der dies mithört, durch solch einen Schritt nichts über den zukünftig zu verwendenden Schlüssel erfährt, wird eins der Bits, über die die Summe mod 2 öffentlich kommuniziert wurde, aus dem Schlüssel entfernt, beispielsweise immer das letzte Bit. Der Schlüssel wird bei jedem Schritt also um ein Bit kürzer. Dies ist nicht schlimm, denn man braucht nur wenige Schritte: Nach n Schritten ist die Wahrscheinlichkeit, daß das Testergebnis stimmt, 1-2-n , also spätestens für n = 50 genügend groß genug. (Auch bei diesem Testprotokoll für Schlüsselgleichheit muß ein verändernder Angreifer mit Kenntnis der inkonsistenten Schlüssel zwischen den beiden Teilnehmern ausgeschlossen werden: Er könnte die von den Teilnehmern geschickten Summen so ändern, daß aus Sicht der Teilnehmer alles stimmt.) Eine Schlüsselverteilzentrale: Wird beim Schlüsselaustausch nur symmetrische Authentikation verwendet (also weder digitale Signaturen noch unbedingt sichere Pseudosignaturen, vgl. §3.9.3), könnten aus Sicht jedes der beiden Teilnehmer jeweils der Partner oder die Schlüsselverteilzentrale lügen (dies ist im Kontext des sogenannten Byzantinischen Übereinstimmungs-
394 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 393 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr sollte diese Nachricht signiert sein – am besten mit dem gerade als zerstört angenommenen Schlüssel. Also sollte nach Generierung eines Schlüsselpaares als allererstes diese Nachricht „Bitte meinen Schlüssel t nicht mehr benutzen.“ signiert werden. Sie ist nicht so geheimhaltungsbedürftig wie der geheime Schlüssel des Schlüsselpaares, für den man in vielen Anwendungen wohl eher keine Kopie halten wird. Diese Nachricht kann also in mehreren Kopien gespeichert werden. Oft dürfte es auch sinnvoll sein, sie mittels eines Schwellwertschemas (vgl. §3.9.6) so auf mehrere Bekannte zu verteilen, daß nur einige zusammen sie rekonstruieren können. Dies (und ihre anschließende Veröffentlichung) geschieht auf Bitten des Teilnehmers, wenn sein geheimer Schlüssel zerstört wurde. Was ist zu tun, wenn ein Teilnehmer entdeckt, daß er eine falsche Zuordnung Teilnehmer öffentlicher Schlüssel zertifiziert hat? Der Teilnehmer erklärt sein Zertifikat mittels einer signierten Nachricht für ungültig. Bezüglich der Verteilung dieser Zertifikat-Widerrufs-Nachricht gilt das oben bzgl. des Bekanntwerdens des geheimen Schlüssels Gesagte. Kann man das in dieser Teilaufgabe entwickelte Verfahren mit dem aus Teilaufgabe c) kombinieren? Das in dieser Teilaufgabe entwickelte Schlüsselaustauschverfahren kann problemlos mit dem in Teilaufgabe c) und d) entwickelten Verfahren kombiniert werden. Zentralhierarchische Schlüsselregister und anarchische Schlüsselverteilung à la PGP ergänzen sich also. Die erreichbare Sicherheit ist so höher als mit einem der Verfahren allein. 3-4a Welche Sorte von Trust ist für welche Funktion eines TrustCenters nötig? Blindes Vertrauen in eine Instanz ist immer dann nötig, wenn sie beobachtend angreifen kann. Kann eine Instanz nur verändernd angreifen, dann kann man die Abläufe oftmals so gestalten, daß der betroffene Teilnehmer dieses verändernde Angreifen bemerkt und im Umkehrschluß, wenn er keinen verändernden Angriff feststellt, sicher sein kann, daß sein Vertrauen bisher gerechtfertig war. Schlüsselgenerierung erfordert blindes Vertrauen, denn der Generier kann lokal immer noch eine Kopie des Schlüssel(paare)s speichern und ggf. heimlich weitergeben. Schlüsselzertifizierung erfordert nur überprüfendes Vertrauen, denn bei einer falschen Schlüsselzertifizierung bekäme der betroffene Teilnehmer das falsche Zertifikat beim ersten Streit vorgelegt. Bei geeignet gestalteten Abläufen, vgl. §3.1.1.2, kann er diesen verändernden Angriff sogar beweisen, erleidet also keinen nachhaltigen Schaden. Verzeichnisdienst erfordert nur überprüfendes Vertrauen, denn das Bereithalten falscher Schlüssel ist beweisbar, wenn die Antwort auf Abfragen vom Verzeichnisdienst digital signiert wird. Sperrdienst erfordert nur überprüfendes Vertrauen, vgl. Verzeichnisdienst. Zeitstempeldienst erfordert nur überprüfendes Vertrauen, wenn eine geeignet verteilte Logdatei geführt wird, da dann der Zeitstempeldienst nicht rückdatieren kann, vgl. [BaHS_92, HaSt_91]. Auch diese Überlegungen legen also nahe, wenn schon Sicherheitsfunktionen in einer Instanz gebündelt werden, möglicherweise Schlüsselzertifizierung, Verzeichnisdienst, Sperrdienst und Zeitstempeldienstauf zu bündeln, jedoch auf keinen Fall die Schlüsselgenerierung, vgl. auch die Aufgaben 3-1 und 3-2a. 3-5 Hybride Verschlüsselung Fall 1: g) Worauf muß beim Austausch der öffentlichen Schlüssel geachtet werden? Die öffentlichen Schlüssel müssen authentisch sein, d.h. der Empfänger muß ihre Authentizität prüfen (können). Auf wen könnte die Funktion des vertrauenswürdigen öffentlichen Schlüsselregisters verteilt werden? Die Funktion des vertrauenswürdigen öffentlichen Schlüsselregisters könnte auf manche der anderen Teilnehmer verteilt werden. Wie erfolgt dann der Schlüsselaustausch? Statt sich den Zusammenhang zwischen seiner Identität und seinem öffentlichen Schlüssel von einem (oder auch mehreren, vgl. Aufgabenteil c)) öffentlichen Schlüsselregister(n) durch dessen (deren) digitale Signatur(en) zertifizieren zu lassen, läßt sich der Teilnehmer diesen Zusammenhang von allen Teilnehmern zertifizieren, die ihn kennen und mit denen er gerade auf sichere Weise kommunizieren kann, z.B. außerhalb des zu sichernden Systems. Diese Zertifikate werden zusammen mit dem öffentlichen Schlüssel weitergegeben. Der Empfänger eines solchermaßen zertifizierten öffentlichen Schlüssels muß nun entscheiden, ob er dessen Authentizität trauen will. Hierzu können ihm in direkter Weise die Zertifikate dienen, deren Testschlüssel er bereits kennt und für authentisch hält. Damit ihm die anderen Zertifikate nützen, benötigt er wiederum für deren Testschlüssel Zertifikate, und so fort. Ein öffentlicher Schlüssel t wird einem Teilnehmer T in der Regel desto vertrauenswürdiger sein, von je mehr Teilnehmern (in [Zimm_93] Vorsteller (introducer) genannt) Schlüssel t in für Teilnehmer T überprüfbarer Weise zertifiziert wurde. Das einzelne Zertifikat wiederum wird T desto vertrauenswürdiger sein, je weniger andere Zertifikate T zu seiner Authentizitätsprüfung heranziehen muß. Was ist zu tun, wenn nicht jeder jedem gleich viel vertraut? Statt alle Teilnehmer als Vorsteller für gleich vertrauenswürdig zu halten (ihnen also gleiche Ehrlichkeit, Sorgfalt, sowie eine gleich vertrauenswürdige lokale Rechenumgebung zu unterstellen, zumindest im Ergebnis), können ihnen vom empfangenden Teilnehmer individuelle Wahrscheinlichkeiten für Vertrauenswürdigkeit zugeordnet werden. Für jede Zertifikatskette kann dann wiederum eine Wahrscheinlichkeit für Vertrauenswürdigkeit berechnet werden, ebenso wie für jeden mehrfach zertifizierten öffentlichen Schlüssel. Der benutzende Teilnehmer kann dann jeweils entscheiden, ob ihm für die gerade beabsichtigte Anwendung die errechnete Wahrscheinlichkeit für Vertrauenswürdigkeit ausreicht. Was ist zu tun, wenn ein Teilnehmer entdeckt, daß sein geheimer Schlüssel anderen bekannt wurde? Gibt es keine zentral-hierarchische Schlüsselverteilung, dann gibt es wohl auch keine zentral-hierarchische Liste aller ungültigen Schlüssel. Also muß unser armer Teilnehmer seine signierte Nachricht, „mein Schlüssel ist ab sofort ungültig“ an alle Netzteilnehmer schicken und sich, wenn es um Rechtsverbindliches gehen soll, den Empfang dieser Schlüssel-Widerrufs-Nachricht auch noch von allen mit Datum und Uhrzeit quittieren lassen. (Eine naheliegende, aber falsche Lösung wäre: Es müßte jeder vor Benutzung eines Schlüssels dessen Inhaber fragen, ob sein Schlüssel noch gültig ist. Leider kann jetzt aber jeder, der den geheimen Schlüssel kennt, die Antwort erteilen und signieren: „Aber natürlich ist mein öffentlicher Schlüssel noch gültig, ich passe doch auf meinen geheimen Schlüssel auf!“) Was sollte ein Teilnehmer tun, wenn sein geheimer Schlüssel zerstört wurde? Neben dem Generieren eines Schlüsselpaares und dem Bekanntmachen des öffentlichen sollte er allen mitteilen, daß sie seinen alten Schlüssel für neue Nachrichten nicht mehr benutzen. Damit nicht jeder auf diese Art fremde Schlüssel für ungültig erklären kann,
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152: 290 A. Pfitzmann: Datensicherheit u
Seite 201: 390 A. Pfitzmann: Datensicherheit u
Seite 231 und 232: A. Pfitzmann: Datensicherheit und K
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?