Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

404 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 403 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Vektoren C und X ist bei vorgegebenem C und M genau dann eindeutig lösbar, wenn M regulär ist. M ist dann und nur dann regulär, wenn sich durch Zeilen und Spaltenoperationen aus M eine Dreiecksmatrix machen läßt (d.h. alle Diagonalelemente sind ≠ 0 und entweder alle Werte unter der Diagonale oder alle Werte oberhalb der Diagonale sind 0). Dies wird für ist.) Also kann der Authentikationscode wie rechts im Bild gezeichnet dargestellt werden: Hier ist der Wert des MAC in Abhängigkeit vom Schlüssel und Text dargestellt. Offensichtlich erfährt man also durch den aktuellen MAC für H nichts über den für T und umgekehrt. 1 m ( 1 m' ) unsere Matrix Text H T Text mit MAC H,0 H,1 T,0 T,1 kurz vorgeführt: Subtraktion der ersten Zeile von der zweiten ergibt: 1 m ( 0 m'– m ) Dies ist genau dann eine Diagonalmatrix, wenn m ≠ m' ist. 0 0 00 – T – H 00 0 1 01 T – – H 01 Um einen subtilen Beweisfehler zu zeigen, wird nachfolgend noch ein anderer Beweis angegeben: 1 0 10 Schlüssel – T H – 10 Schlüssel MAC := a + b•m ⇔ a := MAC – b•m Also kann b beliebig gewählt werden, da durch a die Gleichung erfüllt werden kann. Also erfährt der Angreifer nichts über b. Bei Authentikation einer anderen Nachricht m' müßte er aber b kennen, um das MAC zu MAC' korrigieren zu können {, da b•m bei Variation von m seinen Wert beliebig und gleichverteilt ändert}. Ohne den Zusatz der geschweiften Klammer im „Beweis“ wäre der Authentikationscode MAC := a + b•m2 ein nettes Gegenbeispiel: Denn der „Beweis“ trifft auch auf ihn zu, bei ihm kann aber jede Nachricht m durch -m ersetzt werden, ohne daß das MAC geändert werden muß. 3-9 Mathematische Geheimnisse a) Ganz klar ist es nicht, da man die Primzahlen nun nicht mehr mit gleicher Wahrscheinlichkeit wählt, sondern solche, die nach langen Lücken in der Primzahlfolge kommen, mit größerer, solche, die nur zwei größer sind als eine andere Primzahl, nur, wenn sie am Anfang als Zufallszahl gewählt wurden. Für Spezialisten: Zumindest unter der Cramerschen Vermutung ist das Verfahren aber trotzdem sicher: Diese Vermutung (die ich aus [GoKi_86] kenne), besagt π(x + log2x) - π(x) > 0. Danach erhält man die Primzahlen nach den längsten Lücken nur bis zu einem Faktor von log2x ≈ l 2 häufiger als die oberen aus Primzahlzwillingen. Für die Produkte n ergeben sich also Wahrscheinlichkeitsunterschiede bis zu l 4 . Wenn es für diese Verteilung einen erfolgreichen Faktorisierungsalgorithmus gäbe, so wäre er bei der korrekten Verteilung höchstens um den Faktor l 4 weniger erfolgreich. Damit sinkt auch dessen Erfolgswahrscheinlichkeit nicht schneller als jedes Polynom, im Widerspruch zur echten Faktorisierungsannahme. (Ohne Cramersche Vermutung käme man künstlich wieder zu demselben Ergebnis, wenn man das Suchen in 2-er-Schritten nicht beliebig lange macht, sondern ein Abbruchkriterium verwendet, etwa nach l 2 2-er-Schritten.) b) Man kann erwarten, daß die beiden Primzahlen sehr nah beieinanderliegen, also beide etwa √⎺ n groß sind. Deswegen kann man die Zahlen in der Umgebung von √⎺ n durchsuchen (d.h. n durch jede von ihnen teilen.) Genauer: Es gilt in den meisten Fällen z.B. q ≤ p + 16l (Primzahlsatz mit etwas Spielraum, da im Mittel der Abstand zur nächsten Primzahl l•ln(2) ist. Die besonders schöne Zahl 16 wurde gewählt, um das folgende Rechnen zu erleichtern). In diesen Fällen ist also p2 < n < p(p + 16l) < (p + 8l) 2 , d.h. p < √⎺ n und hat mit signifikanter, sogar großer Wahrscheinlichkeit faktorisiert. c) 19 = (10011) 2 . Mod 101 gilt: 11 – H – T 11 1 1 c) Nein, weil der Empfänger seine Schlüsselabschnitte ja in einer festen Reihenfolge verwendet. d) Beispiel: Ausgetauscht sei der Schlüssel 00 11 10 01. Zu sichern sei der Klartext H T T T. Dann wird 00 11 01 00 als Schlüsseltext generiert und übertragen. Bzgl. Authentikation gilt die obige Argumentation sinngemäß: Für jeden der nach einer Beobachtung des Angreifers möglichen beiden Schüsselwerte muß er bei der angestrebten Änderung des Klartextes unterschiedliche Schlüsseltexte nehmen. Er hat also wieder keine bessere Erfolgsmöglichkeit, als mit der Wahrscheinlichkeit 0,5 richtig zu raten. Führt ein Angreifer einen verändernden Angriff durch, kann er allerdings in jedem Fall an der Reaktion des Angegriffenen (akzeptiert gefälschte Nachricht oder nicht) erkennen, welcher der beiden nach seiner ersten Beobachtung noch möglichen Schlüsselwerte vorliegt, und dadurch den Schlüsselwert genau bestimmen. Aus ihm und dem beobachteten Schlüsseltext ergibt sich der Klartext. Das sei an einem Beispiel erläutert: Der Angreifer fange den Schlüsseltext 00 ab und tippe von den möglichen zwei Schlüsselwerten auf den Wert 00, also auf den Klartext H. Er ändere den Klartext in T ab, indem er den Schlüsseltext 10 weiterschickt. Akzeptiert der Empfänger, war der Tipp des Angreifers richtig, der ursprünglich gesendete Klartext also in der Tat H. Akzeptiert der Empfänger nicht, war der Wert des Schlüssels 01 und damit der ursprünglich gesendete Klartext T. e) Es wird ein zusätzliches Schlüsselbit verwendet. Ist es 0, bleibt alles wie bisher. Ist es 1, werden in der Tabelle genau alle H durch T ersetzt und umgekehrt. Selbst nach dem oben beschriebenen, bzgl. Informationsgewinn über den Schlüssel optimalen Angriff weiß der Angreifer den Wert des zusätzlichen Schlüsselbits nicht. Dieses Schlüsselbit wirkt als Vernam- Chiffre, so daß die Konzelation auch nach dem Angriff noch perfekt ist. Leider ist das kombinierte System nun nicht mehr effizienter als Authentikationscode und Vernam-Chiffre, sofern erst das Nutzbit konzeliert und danach authentisiert wird. Macht man es andersherum, braucht man statt 3 Schlüsselbits 4. f) Zu zeigen ist, daß es zu jedem möglichen Wert MAC' (d.h. MAC' ∈ K) genau einen mit der Beobachtung (m, MAC) verträglichen Wert (a, b) gibt. Das Gleichungssystem MAC = a + b•m MAC' = a + b•m' mit den Unbekannten a, b hat genau dann genau eine Lösung, wenn m ≠ m' ist. m ≠ m' aber ist genau das Ziel des Angreifers. Für diejenigen, die sich nicht mehr so genau an die Lineare Algebra erinnern, eine etwas ausführlichere Begründung: Ein Gleichungssystem C = M•X mit der Matrix M und den
406 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 405 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr i) Es ist 58 ≡ 2 mod 7 ∧ 58 ≡ 3 mod 11. Für p = 7, 11 gilt p ≡ 3 mod 4, und es ist 7–1 11–1 2 2 ≡ 8 ≡ 1 mod 7 und 3 2 ≡ 9•9•3 ≡ (-2)•(-2)•3 ≡ 1 mod 11, 2 und 3 sind also quadratische Reste mod 7 bzw. 11. Also können wir den einfachen Wurzelziehalgorithmus anwenden, um Wurzeln w7 mod 7 und w11 mod 11 zu erhalten: 7+1 w7 = 2 4 = 22 = 4 mod 7. 11+1 w11 = 3 4 = 33 = 27 ≡ 5 mod 11. Mit dem chinesischen Restsatz und den schon in Teil g) berechneten „Basisvektoren“ erhalten wir: w = –21•w11 + 22•w7 = –21•5 + 22•4 = (22–21)•4 – 21= –17 ≡ 60 mod 77. (Probe: (–17) 2 = 289 = 3•77+58.) Setzen wir jeweils die „andere“ Wurzel mod 7 oder mod 11 ein, erhalten wir die anderen 3 Wurzeln: z.B. w' = –21•5 + 22•(-4) = -105 – 88 = –193 ≡ 38 mod 77. (Probe: 382 = 1444 = 18•77+58.) Statt so weiterzurechnen, nehmen wir jetzt jeweils das Inverse der beiden schon bekannten Wurzeln: w'' = 17 w''' = 39. j) Man kennt noch eine weitere, wesentlich verschiedene Wurzel von 4, nämlich 2. Also kann man einen Faktor p als ggT(2035+2, 10379) erhalten. Euklidscher Algorithmus: 10379 = 5•2037 + 194 2037 = 10•194 + 97 194 = 2• 97 + 0 Also ist p = 97. Die vollständige Faktorisierung erhält man als q = 10379 div 97 = 107; und p und q sind prim. (Für Liebhaber: Man beginnt mit den Faktoren, hier p=97 und q=107. Die Wurzeln von 4 mod p und q sind jeweils ±2. Um eine von 2 wesentlich verschiedene Wurzel mod p•q zu erhalten, für die also +2 mod p und –2 mod q oder aber –2 mod p und +2 mod q gilt, muß man also CRA(+2, –2) oder CRA(–2, +2) bilden.) p+1 q+1 k) Sei wp := x 4 und wq := x 4 . Nach §3.4.1.8 ist klar, daß x mod n vier Wurzeln w, w', w'', w''' hat, die aus wp und wq von x folgendermaßen errechnet werden können: w = CRA( wp , wq ) w ' = CRA( wp , -wq ) w ' ' = CRA(-wp , wq ) w ''' = CRA(-wp , -wq ). Nach §3.4.1.6 ist wp ∈ QRp und wq ∈ QRq, aber -wp ∉ QRp und -wq ∉ QRq. Nach §3.4.1.7 gilt 3 (1) 2 = 3; 3 (10) 2 = 3 2 = 9; 3 (100) 2 = 9 2 = 81 ≡ –20; 3 (1001) 2 = (–20) 2 •3 = 1200 ≡ –12; 3 (10011) 2 2 = (–12) • 3 = 144 • 3 ≡ 43 • 3 ≡ 129 ≡ 28. d) 77 = 7•11; φ(77) = 6•10 = 60 und 3 ∈ ZZ * 77 , da ggT(3,77) = 1. Also sagt der kleine Fermatsche Satz: 360 ≡ 1 mod 77. Also gilt: 3123 ≡ (360 ) 2 • 33 ≡ 12 • 27 ≡ 27. e) Euklidscher Algorithmus: 101 = 4 •24 + 5; 24 = 4 • 5 + 4; 5 = 1 • 4 + 1. Rückwärts: 1 = 5 – 1•4 (Jetzt 4 durch 5 und 24 ersetzen) = 5 – 1•(24–4•5) = –24 + 5•5 (Jetzt 5 durch 24 und 101 ersetzen) = –24 + 5•(101–4•24) = 5•101 – 21•24. (Probe: 5•101 = 505, –21•24 = –504) Also: (24) –1 ≡ –21 ≡ 80. f) Ein Inverses von 21 mod 77 gibt's nicht, weil ggT(21, 77) = 7 ≠ 1. g) Zunächst wenden wir wieder den erweiterten Euklidschen Algorithmus an, um u und v mit u•7 + v•11 = 1 zu suchen. (Auch wenn man es evtl. sofort sieht: –21+22=1): 11 = 1 • 7 + 4; 7 = 1 • 4 + 3; 4 = 1 • 3 + 1. Rückwärts: 1 = 4 – 1•3 = 4 – 1•(7–1•4) = –7 + 2•4 = –7 + 2•(11–1•7) = 2•11 – 3•7. Damit sind für p = 7 und q = 11 die „Basisvektoren“: up = –21 ≡ 56, vq = 22. Mit der Formel y = up yq + vq yp ergibt sich: y = –21•3 + 22•2 = (22–21)•2 – 21 = –19 ≡ 58. (Probe: 58 ≡ 2 mod 7 ∧ 58 ≡ 3 mod 11.) Für z können wir in die gleiche Formel einsetzen (up und vq muß man ja nur einmal berechnen). Wir vereinfachen vorher: 6 ≡ –1 mod 7 und 10 ≡ –1 mod 11. Also: z = –21•(–1) + 22•(–1) = –1 ≡ 76 mod 77. Wir hätten das auch noch einfacher haben können: Nach Formel (❋) aus §3.4.1.3 ist z ≡ –1 mod 7 ∧ z ≡ –1 mod 11 ⇔ z ≡ –1 mod 77. x ∈ QRn ⇔ x ∈ QRp ∧ x ∈ QRq. Also ist w ∈ QRn und w', w'', w''' ∉ QRn . l) Ist die Faktorisierungsannahme falsch, kann ein Angreifer einen nichtvernachlässigbaren Anteil der Moduli n = p•q faktorisieren. Für solche Moduli kann er dann das Euler-Kriterium anwenden und für x, dessen Quadratheit zu prüfen ist, h) Da alles modulo Primzahlen ist, kann man das Euler-Kriterium anwenden: ( 13 19–1 19 ) ≡ 13 2 ≡ (–6) 9 mod 19; (–6) 2 ≡ 36 ≡ –2 ⇒ (–6) 4 ≡ 4; (–6) 8 ≡ 16 ≡ –3; (–6) 9 ≡ –3•(–6) ≡ 18 ≡ –1: kein Quadrat. ( 2 23 ) ≡ 211 ≡ 2048 ≡ 1 mod 23: Quadrat. ( –1 89 ) ≡ (–1)44 ≡ 1 mod 89: Quadrat. Der einfache Fall p ≡ 3 mod 4 liegt von den beiden Quadraten nur bei p = 23 vor. Also kann man hier selbst mit unseren Algorithmenkenntnissen Wurzelziehen: Eine Wurzel ist 23+1 w = 2 4 = 26 = 64 ≡ –5 ≡ 18 mod 23. (Probe: (–5) 2 ≡ 25 ≡ 2) (Die andere Wurzel ist also +5.)
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158: 302 A. Pfitzmann: Datensicherheit u
Seite 207: 402 A. Pfitzmann: Datensicherheit u
Seite 231 und 232: A. Pfitzmann: Datensicherheit und K
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?