Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

396 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 395 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Was lernen wir daraus? Ein Protokoll, in dem ein Schlüssel zufällig generiert wird, und das dann sicher ist, kann nicht ohne weitere Überlegung mit einem vorhandenen Schlüssel verwendet werden. Alles getreu dem Merksatz: Alle Schlüssel, Startwerte etc. in der Kryptographie sollten zufällig und unabhängig voneinander gewählt werden – es sei denn, sie müssen abhängig gewählt werden oder die abhängige Wahl ist genauestens analysiert und in den Sicherheitsnachweis einbezogen. a) Generierung eines Schlüssels k eines schnellen symmetrischen Konzelationssystems, z.B. DES. Verschlüsselung von k mit dem öffentlichen Chiffrierschlüssel cE des Empfängers E. Verschlüsseln der Datei mit k. Übertragen wird also: cE(k), k(Datei). Empfänger entschlüsselt ersten Teil mit seinem Dechiffrierschlüssel dE , erhält so k und benutzt k, um die Datei zu entschlüsseln. 3-6 Situationen aus der Praxis (zur Systematik der kryptographischen Systeme) a) Ein symmetrisches Authentikationssystem reicht, um Fälschungen bei sich vertrauenden Partnern zu erkennen. Zwischen zwei alten Bekannten ist direkter Schlüsselaustausch problemlos. Das System ist weder sehr sicherheitskritisch noch zeitkritisch. Um die Mietoptionen und Präferenzen der Pfitzleute vor neugierigen Vermietern, die selbst oder deren Freunde als Fernmeldetechniker beschäftigt sind, geheim zu halten, kann zusätzlich auch symmetrische Konzelation verwendet werden. Bei der Auswahl der kryptographischen Systeme hat Familie Pfitzmann also die Qual der Wahl. b) Symmetrisches Konzelationssystem, direkter Schlüsselaustausch, Sicherheit kritisch (Kryptographen!), Zeit unkritisch. Verwenden wird David ein one-time-pad oder Pseudo-one-timepad – wenn's nur um Ideen klauen geht. Hat David auch ein Interesse daran, daß seine Ideen unverändert bei den ihm vertrauenswürdigen Kryptographen ankommt, dann ist zusätzlich noch Authentikation nötig. Da David die ihm vertrauenswürdigen Kryptographen vermutlich alle schon einmal getroffen hat, dürfte der direkte Schlüsselaustausch möglich sein. Es stellt sich allerdings die Frage, ob David seine Idee für jeden vertrauenswürdigen Kryptographen extra verschlüsseln will – was bei kanonischer Schlüsselverteilung (mit jedem Kryptographen einen anderen Schlüssel) nötig ist. Hat David vor, öfter Ideen vertraulich an eine bestimmte Gruppe zu schicken, dann kann er allen in dieser Gruppe denselben Schlüssel geben – das spart ihm Arbeit beim Verschlüsseln. Bzgl. Vertraulichkeit hat dies keine Nachteile, denn den Klartext erfährt sowieso jeder in dieser Gruppe. Problematisch wird es bei solch einem Gruppenschlüssel, wenn David jemand aus der Gruppe ausschließen will – dann muß er allen, die in der Gruppe bleiben sollen, einen neuen Schlüssel zukommen lassen. Ebenfalls problematisch ist solch ein Gruppenschlüssel bzgl. Authentikation. Hier könnte dann jede(r) in der Gruppe mit dem symmetrischen Authentikationssystem die neue Idee authentisieren und so an Davids gutem Ruf, daß seine Ideen gut, schön und neu sind, kratzen. Das ist bei paarweiser Schlüsselkenntnis nicht möglich. c) Es reicht ein symmetrisches Authentikationssystem, wobei hier gar kein Schlüsselaustausch nötig ist; dafür ist Zeit sehr kritisch, und Platz auch; es bietet sich an, DES zu verwenden (wobei sich die Betriebsart CBCauth anbietet, siehe §3.8.2.2). d) Der Rechnerfan sollte ein digitales Signatursystem verwenden. Der Schlüsselaustausch muß mittels Zentrale oder Telefonbuch geschehen, damit der Verkäufer den richtigen Testschlüssel des Käufers kennt und auch sicher ist, daß die Zuordnung Käufer – Testschlüssel juristisch bindend ist. Da das kryptographische System zeitunkritisch, aber sicherheitskritisch ist, sollte der Rechnerfan GMR verwenden. e) Konzelationssystem zur Wahrung von Geschäftsgeheimnissen (evtl. auch schon Authentikation, siehe unten, aber symmetrisch reicht noch, weil es sich nicht um einen rechtsverbindlichen Vertrag handelt). Die Schlüsselverteilung dürfte über ein öffentliches Schlüsselregister erfolgen. Also wird wegen des Schlüsselaustausches ein asymmetrisches Konzelationssystem benötigt, beispielsweise RSA (oder ein hybrides, vgl. §3.1.4, etwa RSA kombiniert mit DES). Findet die Anfrage über Telefax statt, was heutzutage maximal mit 9600 bit/s, im ISDN mit 64 kbit/s arbeitet, ist die Anwendung nicht zeitkritisch. Verwenden die Firmen Breitbandfax (habe den Begriff noch nie gehört, er wird den Marketingleuten der Telekom aber b) Generierung eines Schlüssels k eines schnellen symmetrischen kryptographischen Systems, das Konzelation und Authentikation bewirkt, z.B. DES in der Betriebsart PCBC, vgl. §3.8.2.5 (wenn Sie lieber zwei reinrassige kryptographische Systeme nehmen, müssen Sie im folgenden k durch k1,k2 ersetzen und wie in Aufgabe 3-13 verfahren). Signieren von k (evtl. zusätzlich: Uhrzeit, etc.) mit dem eigenen geheimen Signierschlüssel sS (S wie Sender) und danach Verschlüsseln des signierten k mit dem öffentlichen Chiffrierschlüssel cE des Empfängers E. (Erst konzelieren und danach signieren ginge auch.) Verschlüsselung und Authentikation der Datei mit k. Übertragen wird also: cE (k,sS (k)), k(Datei). (Falls das asymmetrische Konzelationssystem weniger Aufwand macht, wenn die Signatur sS (k) nicht mit ihm konzeliert wird, kann das Nachrichtenformat cE(k), k(sS(k),Datei) günstiger sein.) Empfänger E entschlüsselt ersten Teil mit seinem Dechiffrierschlüssel dE , erhält so das signierte k, prüft die Signatur mit dem ihm bekannten Testschlüssel tS . Ist die Signatur in Ordnung, benutzt E den Schlüssel k, um die Datei zu entschlüsseln und ihre Authentizität zu prüfen. (Für die reinrassigen kryptographischen Systeme: Sei k1 Schlüssel eines symmetrischen Konzelationssystems, k2 Schlüssel eines symmetrischen Authentikationssystems. Dann wird bei der oben erwähnten Ersetzung von k durch k1 ,k2 übertragen: cE (k1 ,k2 ,sS (k1 ,k2 )), k1 (Datei,k2 (Datei)). Mensch sieht, daß die Authentikation von k1 nicht nötig ist. cE(k1,k2,sS(k2)), k1(Datei,k2(Datei)) tut es also auch.) c) Wie b), nur daß das symmetrische kryptographische System hier lediglich Authentikation bewirken muß. Fall 2: Hier kann S natürlich genauso verfahren wie bei Fall 1, d.h. für jede Datei einen neuen Schlüssel k erzeugen, ihn asymmetrisch verschlüsseln, usw. E muß dann auch genauso wie bei Fall 1 verfahren. Alternativ kann S den bei der ersten Dateiübertragung generierten Schlüssel k wiederverwenden – und dies E mitteilen. So kann erheblicher Aufwand gespart werden: Keine zusätzliche Schlüsselgenerierung, Schlüsselverschlüsselung, Schlüsselübertragung und Schlüsselentschlüsselung – und bei b) und c) auch kein Schlüsselsignieren, keine Signaturübertragung und auch kein Signaturtest. Fall 3: Hier kann E genauso verfahren wie S in Fall 1, d.h. einen neuen Schlüssel k erzeugen, ihn für S asymmetrisch verschlüsseln, usw. Möchte E wie S in Fall 2 den bei der allerersten Dateiübertragung verwendeten symmetrischen Schlüssel k wiederverwenden, ist Vorsicht geboten: E hat k nicht selbst erzeugt und muß sich also vergewissern, daß k nur dem intendierten Empfänger seiner Datei bekannt ist. Bei b) und c) ist dies E durch die digitale Signatur von S klar. Bei a) kann E nicht sicher sein, wer k generiert hat, denn hier ist k in keiner Form authentisiert, insbesondere nicht durch S. Wenn bei a) E nun nicht einen neuen symmetrischen Schlüssel k' erzeugt, sondern den alten Schlüssel k nimmt, dann könnte ein Angreifer A , der ursprünglich k generierte und die allererste Datei an E schickte, die an S adressierte Nachricht k(Datei von E) abfangen und mit dem Schlüssel k entschlüsseln.
398 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 397 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Schlüsseltext 0101 1101 −(16) Schlüssel 1001 1011 Klartext 1100 0010 falls zeichenweise (4-Bit-weise) von links, sonst ergibt sich Schlüsseltext 1011 1010 −(16) Schlüssel 1101 1001 Klartext 1110 0001 nach unserer Konvention bitweise geschrieben 1000 0111. d) Rechnung modulo 2: Da jedes Bit einzeln ver- bzw. entschlüsselt wird, gilt: Invertiere drittes Bit von rechts, d.h. übertrage 01011101 01011101 01011001. (Modulo jeder Zahl bewirkt eine Änderung des Schlüsseltextes von S zu S' eine Änderung des Klartextes um die gleiche Differenz d := S' – S, denn S' wird entschlüsselt als x' = S'–k = (S+d)–k = (S–k)+d = x+d.) Die folgenden Rechnungen gehen davon aus, daß zeichenweise von links nach rechts geschrieben wird. Rechnung modulo 4: Da immer Zweiergruppen von Bits ver- bzw. entschlüsselt werden, ist zu klären, was mit dem dritt- und viertletzten Bit zu geschehen hat. Wird zu ihnen 01 modulo 4 addiert, so wird das drittletzte Bit sicher invertiert, aber auch das viertletzte, sofern ein Übertrag auftritt. Kennt der Angreifer das drittletzte Klartextbit nicht, kann er die Änderung des viertletzten Klartextbits nicht deterministisch vermeiden. Da in der Aufgabenstellung über das viertletzte Bit nichts gesagt wurde, kann man folgendes als Lösung akzeptieren: Der Angreifer überträgt 01011101 01011101 01010001. Soll bei unbekanntem drittletzten Klartextbit die Änderung des viertletzten deterministisch vermieden werden, ist die Aufgabe modulo 4 unlösbar. Rechnung modulo 8: Da immer Dreiergruppen von Bits ver- bzw. entschlüsselt werden, ist zu klären, was mit den drei letzten Bits zu geschehen hat. Wird zu ihnen 100 modulo 8 addiert, so wird das drittletzte Bit sicher invertiert. Der Angreifer überträgt also 01011101 01011101 01011001. Rechnung modulo 16: Da immer Vierergruppen von Bits ver- bzw. entschlüsselt werden, ist zu klären, was mit den vier letzten Bits zu geschehen hat. Wird zu ihnen 0100 modulo 16 addiert, so wird das drittletzte Bit sicher invertiert, aber auch das viertletzte, sofern ein Übertrag auftritt. Kennt der Angreifer das drittletzte Klartextbit nicht, kann er die Änderung des viertletzten Klartextbits nicht deterministisch vermeiden. Da in der Aufgabenstellung über das viertletzte Bit nichts gesagt wurde, kann man folgendes als Lösung akzeptieren: Der Angreifer überträgt 01011101 01011101 01010001. Soll bei unbekanntem drittletzten Klartextbit die Änderung des viertletzten deterministisch vermieden werden, ist die Aufgabe modulo 16 unlösbar. e) Da jeder Abschnitt des Schlüssels vom Angegriffenen nur einmal verwendet wird und alle Abschnitte stochastisch unabhängig voneinander generiert werden, kann ein Angreifer aus früheren Reaktionen nichts über zukünftige lernen. (Im Prinzip gibt's natürlich den Angriff, nur nützt er nichts.) Gleiches gilt bzgl. (nicht adaptiven) aktiven Angriffen. Es sei allerdings angemerkt, daß beide Sorten aktiver Angriffe bezogen auf Nachrichten erfolgreich sein können: Durch einen aktiven Angriff (gewählter Schlüsseltext-Klartext-Angriff) auf den Empfänger ermittelt der Angreifer den Wert des für den Sender gerade aktuellen Schlüsselabschnitts kakt. Dann kann er die nächste vom Sender verschlüsselte Nachricht Nnächste entschlüsseln. Die Lehre hieraus ist: Der Partner, der entschlüsselt, darf entschlüsselte Nachrichten (Klartexte) nicht einfach ausgeben und hierdurch einen aktiven Angriff ermöglichen. Von dieser Einschränkung kann abgewichen werden, wenn die empfangene Nachricht sicher gefallen), dann ist der Einsatz eines hybriden Konzelationssystems (vgl. §3.1.4) nötig. Die Sicherheit von RSA und DES dürfte für die nicht sehr sicherheitskritische Anwendung vollkommen ausreichen. Wird auf Authentikation gänzlich verzichtet, so kann mit folgendem Angriff die Wahrung von Geschäftsgeheimnissen auch bei perfektem Konzelationssystem vereitelt werden: Um die Preise von Konkurrenten in Erfahrung zu bringen, sendet ein Angreifer ihnen einfach eine entsprechende Anfrage (inkl. Schlüssel des Konzelationssystems). Werden Netzadressen allein als „Absender“ und damit Authentikation verwendet, so muß der Angreifer nur die Antwortnachricht abfangen, damit der vorgebliche Empfänger keinen Verdacht schöpft und der Angreifer selbst den Schlüsseltext erhält. Wird der „Absender“ vom Netz generiert, dann muß der Angreifer ihn halt passend auf die Leitung des Angegriffenen aufmodulieren. Bei der Antwort ist zusätzlich zur Konzelation asymmetrische Authentikation nötig, damit das Angebot rechtsverbindlich ist, vgl. d). 3-7 Vernam-Chiffre a) Ausgetauscht sei der Schlüssel 0 0 1 1 1 0 0 1. Zu verschlüsseln sei der Klartext 1 0 0 0 1 1 1 0. Durch Addition modulo 2 berechnet der Verschlüsseler hieraus den Schlüsseltext: 1 0 1 1 0 1 1 1. Durch Addition von Schlüssel und Schlüsseltext modulo 2 erhält der Entschlüsseler wieder den Klartext. Als Rechnung geschrieben lautet dies: Verschlüsseler: Entschlüsseler: Klartext 1 0 0 0 1 1 1 0 Schlüsseltext 1 0 1 1 0 1 1 1 ⊕ Schlüssel 0 0 1 1 1 0 0 1 ⊕ Schlüssel 0 0 1 1 1 0 0 1 Schlüsseltext 1 0 1 1 0 1 1 1 Klartext 1 0 0 0 1 1 1 0 b) Seien Klartext x, Schlüsseltext S und Schlüssel k Elemente der Gruppe. Nach Definition der Vernam-Chiffre gilt: Der Verschlüsseler berechnet x+k =: S. Der Entschlüsseler berechnet S–k =: x (hierbei werde die Addition des inversen Elementes als Subtraktion geschrieben). Erfährt ein Angreifer S, so gibt es für jeden Klartext x' genau einen passenden Schlüssel k', da in jeder Gruppe die Gleichung x'+k' = S nach k' aufgelöst werden kann: k' = –x'+S. Da die Schlüssel aus Sicht des Angreifers alle gleich wahrscheinlich sind, erfährt er durch den Schlüsseltext S also nichts über den Klartext x. Anmerkungen: 1. Der Beweis verwendet keine Kommutativität, gilt also für beliebige Gruppen. Prüfen Sie, ob Ihrer evtl. nur für abelsche Gruppen gilt. 2. Der Beweis ignoriert, daß je nach Kommunikationsprotokoll der Angreifer durchaus etwas über den Klartext erfährt: Üblicherweise seine Länge, zuallermindest seine maximale Länge. Ersteres kann vermieden werden, indem Nachrichten auf Standardlängen aufgefüllt und/oder durch bedeutungslose Nachrichten ergänzt werden, vgl. §5.4.3, am besten wird ein gleichmäßiger Zeichenstrom übertragen, damit ein Abhörer nicht beobachten kann, wann keine Nachrichten übertragen werden, vgl. §5.2.1.1. c) Das Ergebnis ist nur dann eindeutig, wenn die Verschlüsselungsoperation als vereinbart unterstellt wird. (Diese Vereinbarung kann als Teil der Festlegung des Konzelationssystems oder des Schlüssels betrachtet werden.) Ist als Operation Addition modulo 2 unterstellt, ergibt sich als Klartext Schlüsseltext 0 1 0 1 1 1 0 1 ⊕ Schlüssel 1 0 0 1 1 0 1 1 Klartext 1 1 0 0 0 1 1 0 Ist hingegen als Operation Addition modulo 16 unterstellt, ergibt sich ein anderer Klartext
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154: 294 A. Pfitzmann: Datensicherheit u
Seite 203: 394 A. Pfitzmann: Datensicherheit u
Seite 231 und 232: A. Pfitzmann: Datensicherheit und K
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?