Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

400 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 399 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr x) = S gilt. Um zu zeigen, daß auch alle x gleichwahrscheinlich sind, brauchen wir wieder, daß wegen der gleichen Größe der Räume ver(k, x) = S nur für ein k gelten kann. richtig authentisiert ist (sinnvollerweise mit einem informationstheoretisch sicheren Authentikationscode). Für den binären Fall der Vernam-Chiffre suchen wir also 2x2-Funktionstafeln, in denen in jeder Zeile und Spalte eine 0 und eine 1 steht. Es gibt genau zwei, die die Funktionen XOR und NOT XOR darstellen. (Daß es genau zwei sind, sieht man z.B. so: Legt man für eine Wertekombination der beiden Eingabeparameter den Funktionswert fest, ist die Funktion klar, da durch Änderung eines Parameterwertes sich das Funktionsergebnis jeweils ändern muß. Da man für den ersten Funktionswert zwei Möglichkeiten hat, gibt es also zwei Funktionen.) k akt 1. unsinnige Nachricht: S – k akt 2. unsinnige Nachricht: k nächste k 3 . akt N nächste + kakt Empfänger Sender N nächste – k nächste N nächste + k akt 2 . S S – k akt 1 . x x x Angreifer 0 1 S = k(x) 0 1 S = k(x) 0 1 S = k(x) (S – k ) akt k akt := S – 0 1 0 0 y y 0 0 1 k k k 1 y y 1 1 0 N nächste + k akt – k akt N nächste := 1 0 1 Für y = 1: NOT XOR Für y = 0: XOR y sei das Inverse zu y. g) Lieber jüngerer Freund! Erstens kannst Du, wenn es Dir nicht intuitiv klar ist, in historischen Quellen [Sha1_49] nachlesen, daß natürliche Sprache zu weit mehr als der Hälfte aus Redundanz besteht und deshalb kein Ersatz für einen rein zufällig gewählten Schlüssel, d.h. einen maximaler Entropie, ist. Deshalb kann man, wenn natürliche Sprache auf diese Art und Weise verschlüsselt wird, den Sinn längerer Schlüsseltexte verstehen, ohne Buch, Seite und Zeile bestimmen zu müssen. Ja man kann sogar den Sinn der zur Verschlüsselung verwendeten Buchpassage verstehen und sie ggf. so ermitteln. (Ein genaues Verfahren zum vollständigen Brechen mittels eines reinen Schlüsseltext-Angriffs ist in [Hors_85 Seite 107 f.] skizziert. Vollständiges Brechen mittels eines Klartext-Schlüsseltext-Angriffs ist noch wesentlich einfacher.) Zweitens solltest Du, wenn Du es in letzter Zeit nicht getan hast, Dich über die momentane und in Zukunft zu erwartende Rechenleistung und Speicherkapazität von PCs informieren. Dann wirst auch Du befürchten, daß man demnächst die gesamte Weltliteratur auf einigen optischen Speicherplatten speichern und dann durch vollständige Suche in einigen Stunden jeden maschinell erkennbare Redundanz enthaltenden Klartext, der nach Deinem Verfahren verschlüsselt wurde, automatisch entschlüsseln kann. (Sehr defensive Plausibilitätsrechnung: Weltliteratur habe 108 Bände zu im Mittel 1 MByte. Also werden bei 1990 üblichen 5,25"optischen Platten mit je 600 MByte insgesamt 108/600, also ungefähr 160 000 optische Platten benötigt. Deren Durchsuchen ab jeder Bitposition erfordert 108•220•8 ≈ 8•1014 Schritte, die je etwa 10-6 s dauern dürften. Also dauert das vollständige Durchsuchen längstens 8•108 s, also längstens 92593 Tage bei einem Rechner heutiger Leistung. Beginnt man mit den wahrscheinlichen Werken der Weltliteratur, endet die Suche im Mittel weit schneller.) Zum Schluß noch ein kleiner Trost: Du bist nicht der erste, dem solch ein Fehler unterläuft. Außerdem hattest Du Glück, durch Veröffentlichung Deines Verfahrens einen Freund zu finden, der Dich auf Deinen Fehler hinweist. Viele Deiner Kollegen, die entweder nichts mehr dazulernen wollen oder deren Auftraggeber Urheberrechte sichern wollen, halten Ihre Verfahren geheim. Du kannst Dir denken, was dann oft passiert. h) Nein, denn man kann sich einen beliebigen anderen Klartext derselben Länge ausdenken und dann den Schlüssel so ausrechnen, daß er zu jenem Klartext und dem vorhandenen Schlüsseltext paßt. Die Strafverfolgungsbehörde erhält also keine sinnvolle Information. Eine zusätzliche Anmerkung: Bei der Vernam-Chiffre müssen Schlüssel (oder zumindest Schlüsselabschnitte) vom einen Partner nur zum Ver- und vom andern nur zum Entschlüsseln verwendet werden. Keinesfalls genügt es, daß zwei Partner einen gemeinsamen Schlüssel haben und immer der, der dem anderen gerade eine Nachricht senden will, verwendet hierfür als „Schlüssel“ den nächsten Schlüsselabschnitt. Sonst kann es passieren, daß beide Partner gleichzeitig eine Nachricht senden, so daß ein Angreifer die Differenz ihrer Klartexte erfährt. f) Da es hier um Eigenschaften der Ver-/Entschlüsselungsfunktion an sich, d.h. unabhängig von einzelnen Schlüsseln, geht, ist die in §3.1.1.1 eingeführte abgekürzte Schreibweise ungeschickt (in ihr kommt die Ver-/Entschlüsselungsfunktion an sich ja gerade nicht vor), so daß wir zur ebenfalls dort erläuterten ausführlicheren Notation übergehen. Zunächst sei die Definition (1) in der ausführlicheren Notation hingeschrieben: Definition für informationstheoretische Sicherheit für den Fall, daß alle Schlüssel mit gleicher Wahrscheinlichkeit gewählt werden: ∀S ∈ S ∃ const ∈ IN ∀x ∈ X: |{k ∈ K | ver(k,x) = S}| = const. (1) Wir zeigen: Zumindest wenn, wie bei allen Vernam-Chiffren, Schlüsselraum = Klartextraum = Schlüsseltextraum ist143 , ist notwendig und hinreichend: Die Funktion ver muß bei Festhalten eines der beiden Eingabeparameter und Variation des anderen den gesamten Wertebereich durchlaufen. 1 (k festgehalten) Bei festem k muß jeder Schlüsseltext eindeutig entschlüsselt werden können, also nur bei einem Klartext vorkommen (d.h. ver(k, •) injektiv). Da es genausoviele Schlüsseltexte wie Klartexte gibt, ist äquivalent, daß jeder Schlüsseltext mindestens einmal vorkommt (d.h. ver(k, •) surjektiv). 2a (x festgehalten, Durchlaufen ist notwendig) Aus Definition (1) folgt, daß hinter jedem überhaupt je vorkommenden Schlüsseltext S jeder Klartext stecken kann. Aus 1. folgt, daß jeder Wert S des Schlüsseltextraums überhaupt je vorkommt. Zusammen lautet dies formal geschrieben: ∀S ∀x ∃k: ver(k, x) = S. Dies ist äquivalent zu ∀x ∀S ∃k: ver(k, x) = S, d.h. daß bei festgehaltenem x alle S vorkommen müssen. 2b (x festgehalten, Durchlaufen ist hinreichend) Kommen umgekehrt bei festgehaltenem x alle S vor, so folgt die Sicherheit: Ist S gegeben, so gibt es also zu jedem x ein k, so daß ver(k, 143 Klartextzeichen, Schlüsselzeichen und Schlüsseltextzeichen sind Elemente der gleichen Gruppe, und zusätzlich sind Klartext, Schlüssel und Schlüsseltext jeweils gleich lang.
402 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 401 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Aus der Prüfziffer und ihrer ebenfalls abgefangenen Verschlüsselung mit der Vernam- Chiffre kann jeder durch Differenzbildung den aktuellen Schlüsselabschnitt bestimmen. Zu jeder (vom Angreifer frei wählbaren) Nachricht kann mittels des öffentlich bekannten Verfahrens die Prüfziffer berechnet werden und diese dann mittels des aktuellen Schlüsselabschnitts zu einem „authentischen“ MAC verschlüsselt werden. Erreicht wird durch diesen passiven Angriff ein selektives Brechen, was wie schon in §3.1.3.1 angemerkt, nicht akzeptabel ist. b) Für die üblichen kollisionsresistenten Hashfunktionen ist dies nach heutigem Wissen eine sichere Konstruktion. Allerdings sind diese nicht nur kollisionsresistent, sondern sie haben noch eine darüber hinausgehende, für die Sicherheit der bei TLS verwendeten Konstruktion wesentliche Eigenschaft: Ihr Funktionswert verrät nichts über die Eingabe. Um zu verdeutlichen, warum dies wesentlich ist, nehmen wir das Gegenteil an: Die kollisionsresistente Hashfunktion gäbe 80 Bit ihrer Eingabe als Teil ihres Funktionswertes aus. Sind sowohl die Funktionswerte lang genug als auch die Eingaben, so kann solch eine Hashfunktion prima kollisionsresistent sein. Bei der bei TLS verwendeten Konstruktion eingesetzt verkürzt sie allerdings die Schlüssellänge um 80 Bit, wenn der Schlüssel „dummerweise“ an der passenden Stelle der Eingabe steht. Wird mit einer Schlüssellänge von 128 Bit gearbeitet, was normalerweise mehr als ausreichend ist, dann muß ein Angreifer höchstens 248 mal probieren, um den Schlüssel zu bestimmen. Dazu ist heute nahezu jeder relevante Angreifer in der Lage. c) Ja: Hashe (, , ) und übertrage die Funktionswerte (ggf. zusammen mit , falls der Empfänger nicht mitzählt oder das Kommunikationsmedium unzuverlässig ist). Der Empfänger muß nun nur noch die Werte des Byte durchprobieren, indem er (, , ) hasht und mit dem übermittelten Funktionswert vergleicht, um den Funktionswert zum Klartextbyte zu entschlüsseln. Außer Sender und Empfänger kann dies niemand, da niemand sonst den Schlüssel kennt. Die Numerierung der Bytes verhindert, daß gleiche Bytes gleiche Funktionswerte ergeben, es wird so eine synchrone Stromchiffre erzeugt, vgl. §3.8.2. Im Beispiel wird angenommen, daß ein Byte einen sinnvollen Kompromiß zwischen der Anzahl der Versuche bei der Entschlüsselung durch den Empfänger und der Nachrichtenexpansion durch die wesentlich längeren Funktionswerte der Hashfunktion (typischerweise 160 Bit) und Nummer des Bytes (typischerweise 64 Bit) ist. Es ist klar, daß statt Bytes vom Bit bis (bei heutiger Technologie etwa) zum Langwort von 4 Bytes alles genommen werden kann. i) Das eine ausgetauschte Speichermedium werde für Zweiwegkommunikation genutzt, so daß für jede Richtung nur die Hälfte der Speicherkapazität genutzt werden kann. Dann ergibt sich Hochauflösende Bewegtbildkommunikation (140 Mbit/s) Sprachkommunikation (normale ISDN- Codierung: 64 kbit/s) Textkommunikation (Tippgeschwindigkeit 40 bit/s) 1,62 Tage 87,5 s 0,04 s 694 Tage 10,4 h 17 s 5787 Tage 3,6 Tage 143 s 139 Tage 2,1 h 3,4 s 3009 Tage 1,9 Tage 74 s 19676 Tage 12,3 Tage 486 s 3,5"-Diskette (1,4 MByte) optische 5,25"-Platte (600 MByte) Video-8-Streamertape (5 GByte) 3,5"-Diskette (120 MByte) DVD-RAM einseitig (2,6 GByte) Dual-Layer-DVD beidseitig (17 GByte) Austausch einer 1,4 MByte Diskette reicht also für Textkommunikation für die meisten Anwendungen bereits „auf Lebenszeit“ (denn nur wenige werden Ihnen so am Herzen liegen, daß Sie insgesamt 1,62 Tage nonstop für sie tippen), entsprechend reicht Austausch einer optischen 600 MByte Platte für viele Sprachkommunikations-Anwendungen (auch wenn viele Menschen ausdauernder reden als tippen). Für unkomprimierte hochauflösende Bewegtbildkommunikation sind die heutigen Massenspeicher noch zu klein, aber für komprimierte Bewegtbildkommunikation niedriger Auflösung wie im ISDN vorgesehen (ein zusätzlicher Kanal von 64 kbit/s für das Bild) durchaus brauchbar: Mit Hilfe eines Video-8-Streamertapes 1,8 Tage informationstheoretisch sicher seine(n) TelefonpartnerIn zu sprechen und zu betrachten, dürfte auch hier „auf Lebenszeit“ reichen. Für flüchtige Bekanntschaften tut's neuerdings eine 120 MByte Diskette – und für intensive Telebeziehungen künftig eine Dual-Layer-DVD. 3-8 Authentikationscodes a) Ausgetauscht sei der Schlüssel 00 11 10 01. Zu sichern sei der Klartext H T T T. Beim Authentikationscode wird dann H,0 T,1 T,0 T,1 als „Schlüsseltext“ generiert und übertragen. b) Fängt ein Angreifer eine Kombination aus H oder T sowie MAC ab, so bleiben für ihn immer zwei (der vier) Schlüsselwerte ununterscheidbar, da H bzw. T in jeder Spalte der Tabelle, in der sie vorkommen, genau zweimal vorkommen. Genau diese zwei Werte unterscheiden sich aber darin, ob für den anderen Wert des „Münzwurfs“ der MAC den Wert 0 oder 1 haben muß. (Behauptung kann in dem einfachen Authentikationscode leicht durch vollständige Betrachtung aller Möglichkeiten verifiziert werden.) Deshalb hat der Angreifer keine bessere Strategie als Raten, was mit der Wahrscheinlichkeit 0,5 dazu führt, daß der Empfänger die Verfälschung des Angreifers erkennt. Einfachere Darstellung: Wenn k = k1k2, so ist k(H) = k1 und k(T) = k2. (Dies ist im folgenden, der Aufgabenstellung entnommenen Bild veranschaulicht, in dem k1 fett gezeichnet Eine ganz andere Frage ist, ob der Lesezugriff auf die Medien schnell genug geht, um in Realzeit auf den Schlüssel zugreifen zu können. Für Text- und Sprachkommunikation kein Problem. Für hochauflösende Bewegtbildkommunikation mit 140 Mbit/s für alle Medien bisher nicht möglich – ein weiterer Grund, weshalb Bewegtbildsignale nicht nur verlustfrei, sondern sogar verlustbehaftet komprimiert werden. Ersteres bringt etwa den Faktor 4, bei letzterem kommt es darauf an, welche Qualitätseinbuße man gewillt ist, in Kauf zu nehmen. Wenn Sie Ihren Taschenrechner noch ausgepackt haben, dann können Sie die Zahlen für hochauflösende Bewegtbildkommunikation noch mal mit den typischen Werten von 34 Mbit/s für verlustfreie und 2 Mbit/s für verlustbehaftete Kompression durchrechnen. Was ergibt sich? Video-8-Streamertape und DVD sind für hochauflösende Bewegtbildkommunikation bei verlustbehafteter Kompression durchaus geeignet – sowohl für die Speicherung des One-Time Pads wie auch für die Speicherung des Bewegtbildsignals. Kein Wunder: Schlüssel, Schlüsseltext und Klartext sind gleich lang – und für letzteres wurden die Medien konzipiert. 3-7a Symmetrisch konzelierter Message Digest = MAC ? a) Das Rezept ist vollkommen unsicher, wie das in der Aufgabenstellung genannte Beispiel zeigt: Aus der abgefangenen Nachricht kann jeder mittels des öffentlich bekannten Verfahrens die Prüfziffer berechnen.
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156: 298 A. Pfitzmann: Datensicherheit u
Seite 205: 398 A. Pfitzmann: Datensicherheit u
Seite 231 und 232: A. Pfitzmann: Datensicherheit und K
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?