Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
396<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
395<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
Was lernen wir daraus? E<strong>in</strong> Protokoll, <strong>in</strong> dem e<strong>in</strong> Schlüssel zufällig generiert wird, <strong>und</strong> das dann<br />
sicher ist, kann nicht ohne weitere Überlegung mit e<strong>in</strong>em vorhandenen Schlüssel verwendet<br />
werden. Alles getreu dem Merksatz: Alle Schlüssel, Startwerte etc. <strong>in</strong> der Kryptographie sollten<br />
zufällig <strong>und</strong> unabhängig vone<strong>in</strong>ander gewählt werden – es sei denn, sie müssen abhängig gewählt<br />
werden oder die abhängige Wahl ist genauestens analysiert <strong>und</strong> <strong>in</strong> den <strong>Sicherheit</strong>snachweis<br />
e<strong>in</strong>bezogen.<br />
a) Generierung e<strong>in</strong>es Schlüssels k e<strong>in</strong>es schnellen symmetrischen Konzelationssystems, z.B.<br />
DES. Verschlüsselung von k mit dem öffentlichen Chiffrierschlüssel cE des Empfängers E.<br />
Verschlüsseln der Datei mit k. Übertragen wird also: cE(k), k(Datei).<br />
Empfänger entschlüsselt ersten Teil mit se<strong>in</strong>em Dechiffrierschlüssel dE , erhält so k <strong>und</strong><br />
benutzt k, um die Datei zu entschlüsseln.<br />
3-6 Situationen aus der Praxis (zur Systematik der kryptographischen Systeme)<br />
a) E<strong>in</strong> symmetrisches Authentikationssystem reicht, um Fälschungen bei sich vertrauenden<br />
Partnern zu erkennen. Zwischen zwei alten Bekannten ist direkter Schlüsselaustausch<br />
problemlos. Das System ist weder sehr sicherheitskritisch noch zeitkritisch.<br />
Um die Mietoptionen <strong>und</strong> Präferenzen der Pfitzleute vor neugierigen Vermietern, die selbst<br />
oder deren Fre<strong>und</strong>e als Fernmeldetechniker beschäftigt s<strong>in</strong>d, geheim zu halten, kann zusätzlich<br />
auch symmetrische Konzelation verwendet werden. Bei der Auswahl der kryptographischen<br />
Systeme hat Familie Pfitzmann also die Qual der Wahl.<br />
b) Symmetrisches Konzelationssystem, direkter Schlüsselaustausch, <strong>Sicherheit</strong> kritisch (Kryptographen!),<br />
Zeit unkritisch. Verwenden wird David e<strong>in</strong> one-time-pad oder Pseudo-one-timepad<br />
– wenn's nur um Ideen klauen geht. Hat David auch e<strong>in</strong> Interesse daran, daß se<strong>in</strong>e Ideen<br />
unverändert bei den ihm vertrauenswürdigen Kryptographen ankommt, dann ist zusätzlich<br />
noch Authentikation nötig.<br />
Da David die ihm vertrauenswürdigen Kryptographen vermutlich alle schon e<strong>in</strong>mal getroffen<br />
hat, dürfte der direkte Schlüsselaustausch möglich se<strong>in</strong>. Es stellt sich allerd<strong>in</strong>gs die Frage, ob<br />
David se<strong>in</strong>e Idee für jeden vertrauenswürdigen Kryptographen extra verschlüsseln will – was<br />
bei kanonischer Schlüsselverteilung (mit jedem Kryptographen e<strong>in</strong>en anderen Schlüssel) nötig<br />
ist. Hat David vor, öfter Ideen vertraulich an e<strong>in</strong>e bestimmte Gruppe zu schicken, dann kann<br />
er allen <strong>in</strong> dieser Gruppe denselben Schlüssel geben – das spart ihm Arbeit beim Verschlüsseln.<br />
Bzgl. Vertraulichkeit hat dies ke<strong>in</strong>e Nachteile, denn den Klartext erfährt sowieso jeder <strong>in</strong><br />
dieser Gruppe. Problematisch wird es bei solch e<strong>in</strong>em Gruppenschlüssel, wenn David jemand<br />
aus der Gruppe ausschließen will – dann muß er allen, die <strong>in</strong> der Gruppe bleiben sollen, e<strong>in</strong>en<br />
neuen Schlüssel zukommen lassen. Ebenfalls problematisch ist solch e<strong>in</strong> Gruppenschlüssel<br />
bzgl. Authentikation. Hier könnte dann jede(r) <strong>in</strong> der Gruppe mit dem symmetrischen Authentikationssystem<br />
die neue Idee authentisieren <strong>und</strong> so an Davids gutem Ruf, daß se<strong>in</strong>e Ideen gut,<br />
schön <strong>und</strong> neu s<strong>in</strong>d, kratzen. Das ist bei paarweiser Schlüsselkenntnis nicht möglich.<br />
c) Es reicht e<strong>in</strong> symmetrisches Authentikationssystem, wobei hier gar ke<strong>in</strong> Schlüsselaustausch<br />
nötig ist; dafür ist Zeit sehr kritisch, <strong>und</strong> Platz auch; es bietet sich an, DES zu verwenden<br />
(wobei sich die Betriebsart CBCauth anbietet, siehe §3.8.2.2).<br />
d) Der Rechnerfan sollte e<strong>in</strong> digitales Signatursystem verwenden. Der Schlüsselaustausch muß<br />
mittels Zentrale oder Telefonbuch geschehen, damit der Verkäufer den richtigen Testschlüssel<br />
des Käufers kennt <strong>und</strong> auch sicher ist, daß die Zuordnung Käufer – Testschlüssel juristisch<br />
b<strong>in</strong>dend ist. Da das kryptographische System zeitunkritisch, aber sicherheitskritisch ist, sollte<br />
der Rechnerfan GMR verwenden.<br />
e) Konzelationssystem zur Wahrung von Geschäftsgeheimnissen (evtl. auch schon Authentikation,<br />
siehe unten, aber symmetrisch reicht noch, weil es sich nicht um e<strong>in</strong>en rechtsverb<strong>in</strong>dlichen<br />
Vertrag handelt). Die Schlüsselverteilung dürfte über e<strong>in</strong> öffentliches Schlüsselregister<br />
erfolgen. Also wird wegen des Schlüsselaustausches e<strong>in</strong> asymmetrisches Konzelationssystem<br />
benötigt, beispielsweise RSA (oder e<strong>in</strong> hybrides, vgl. §3.1.4, etwa RSA komb<strong>in</strong>iert mit<br />
DES). F<strong>in</strong>det die Anfrage über Telefax statt, was heutzutage maximal mit 9600 bit/s, im ISDN<br />
mit 64 kbit/s arbeitet, ist die Anwendung nicht zeitkritisch. Verwenden die Firmen Breitbandfax<br />
(habe den Begriff noch nie gehört, er wird den Market<strong>in</strong>gleuten der Telekom aber<br />
b) Generierung e<strong>in</strong>es Schlüssels k e<strong>in</strong>es schnellen symmetrischen kryptographischen Systems,<br />
das Konzelation <strong>und</strong> Authentikation bewirkt, z.B. DES <strong>in</strong> der Betriebsart PCBC, vgl.<br />
§3.8.2.5 (wenn Sie lieber zwei re<strong>in</strong>rassige kryptographische Systeme nehmen, müssen Sie im<br />
folgenden k durch k1,k2 ersetzen <strong>und</strong> wie <strong>in</strong> Aufgabe 3-13 verfahren). Signieren von k (evtl.<br />
zusätzlich: Uhrzeit, etc.) mit dem eigenen geheimen Signierschlüssel sS (S wie Sender) <strong>und</strong><br />
danach Verschlüsseln des signierten k mit dem öffentlichen Chiffrierschlüssel cE des Empfängers<br />
E. (Erst konzelieren <strong>und</strong> danach signieren g<strong>in</strong>ge auch.) Verschlüsselung <strong>und</strong> Authentikation<br />
der Datei mit k. Übertragen wird also: cE (k,sS (k)), k(Datei). (Falls das asymmetrische<br />
Konzelationssystem weniger Aufwand macht, wenn die Signatur sS (k) nicht mit ihm<br />
konzeliert wird, kann das Nachrichtenformat cE(k), k(sS(k),Datei) günstiger se<strong>in</strong>.)<br />
Empfänger E entschlüsselt ersten Teil mit se<strong>in</strong>em Dechiffrierschlüssel dE , erhält so das<br />
signierte k, prüft die Signatur mit dem ihm bekannten Testschlüssel tS . Ist die Signatur <strong>in</strong><br />
Ordnung, benutzt E den Schlüssel k, um die Datei zu entschlüsseln <strong>und</strong> ihre Authentizität zu<br />
prüfen.<br />
(Für die re<strong>in</strong>rassigen kryptographischen Systeme: Sei k1 Schlüssel e<strong>in</strong>es symmetrischen<br />
Konzelationssystems, k2 Schlüssel e<strong>in</strong>es symmetrischen Authentikationssystems. Dann wird<br />
bei der oben erwähnten Ersetzung von k durch k1 ,k2 übertragen: cE (k1 ,k2 ,sS (k1 ,k2 )),<br />
k1 (Datei,k2 (Datei)). Mensch sieht, daß die Authentikation von k1 nicht nötig ist.<br />
cE(k1,k2,sS(k2)), k1(Datei,k2(Datei)) tut es also auch.)<br />
c) Wie b), nur daß das symmetrische kryptographische System hier lediglich Authentikation<br />
bewirken muß.<br />
Fall 2:<br />
Hier kann S natürlich genauso verfahren wie bei Fall 1, d.h. für jede Datei e<strong>in</strong>en neuen Schlüssel<br />
k erzeugen, ihn asymmetrisch verschlüsseln, usw. E muß dann auch genauso wie bei Fall 1<br />
verfahren. Alternativ kann S den bei der ersten Dateiübertragung generierten Schlüssel k wiederverwenden<br />
– <strong>und</strong> dies E mitteilen. So kann erheblicher Aufwand gespart werden: Ke<strong>in</strong>e zusätzliche<br />
Schlüsselgenerierung, Schlüsselverschlüsselung, Schlüsselübertragung <strong>und</strong> Schlüsselentschlüsselung<br />
– <strong>und</strong> bei b) <strong>und</strong> c) auch ke<strong>in</strong> Schlüsselsignieren, ke<strong>in</strong>e Signaturübertragung <strong>und</strong><br />
auch ke<strong>in</strong> Signaturtest.<br />
Fall 3:<br />
Hier kann E genauso verfahren wie S <strong>in</strong> Fall 1, d.h. e<strong>in</strong>en neuen Schlüssel k erzeugen, ihn für S<br />
asymmetrisch verschlüsseln, usw. Möchte E wie S <strong>in</strong> Fall 2 den bei der allerersten Dateiübertragung<br />
verwendeten symmetrischen Schlüssel k wiederverwenden, ist Vorsicht geboten: E<br />
hat k nicht selbst erzeugt <strong>und</strong> muß sich also vergewissern, daß k nur dem <strong>in</strong>tendierten Empfänger<br />
se<strong>in</strong>er Datei bekannt ist. Bei b) <strong>und</strong> c) ist dies E durch die digitale Signatur von S klar. Bei a) kann<br />
E nicht sicher se<strong>in</strong>, wer k generiert hat, denn hier ist k <strong>in</strong> ke<strong>in</strong>er Form authentisiert, <strong>in</strong>sbesondere<br />
nicht durch S. Wenn bei a) E nun nicht e<strong>in</strong>en neuen symmetrischen Schlüssel k' erzeugt, sondern<br />
den alten Schlüssel k nimmt, dann könnte e<strong>in</strong> Angreifer A , der ursprünglich k generierte <strong>und</strong> die<br />
allererste Datei an E schickte, die an S adressierte Nachricht k(Datei von E) abfangen <strong>und</strong> mit dem<br />
Schlüssel k entschlüsseln.