Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
408<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
407<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
a) Die Wahrsche<strong>in</strong>lichkeit, daß das kryptographische System <strong>in</strong>nerhalb dieser Zeit gebrochen<br />
wird, muß h<strong>in</strong>reichend kle<strong>in</strong> se<strong>in</strong>. Wenn man e<strong>in</strong> <strong>in</strong>formationstheoretisch sicheres System verwendet<br />
(also beim One-time-pad oder geeigneten Authentikationscodes), s<strong>in</strong>d die folgenden 3<br />
Punkte irrelevant. Andernfalls ist zu beachten:<br />
• Trivialerweise wächst mit der Länge der Zeit, die der Schutz wirksam se<strong>in</strong> soll, auch die Zeit,<br />
die dem Angreifer für e<strong>in</strong>e Kryptoanalyse zur Verfügung steht.<br />
• Vermutlich steigt die Rechenleistung/DM weiterh<strong>in</strong> exponentiell mit e<strong>in</strong>er Verdoppelungszeit<br />
etwa jedes Jahr, bis irgendwann technologische Grenzen erreicht werden. Diese steigende<br />
Rechenleistung wird dem Angreifer zur Verfügung stehen.<br />
• Außerdem können <strong>in</strong> dieser Zeit effizientere Algorithmen entdeckt werden. (Denn bei all den<br />
nicht <strong>in</strong>formationstheoretisch sicheren Systemen gibt es ja noch ke<strong>in</strong>e brauchbaren unteren<br />
Schranken für die Komplexität des Brechens.)<br />
In den beiden Beispielen muß man die Systeme so überdimensionieren, daß sie hoffentlich<br />
m<strong>in</strong>destens 80 Jahre sicher s<strong>in</strong>d.<br />
( x<br />
p-1<br />
q-1<br />
p<br />
) ≡ x 2 x<br />
mod p <strong>und</strong> (<br />
q<br />
) ≡ x 2 mod q<br />
berechnen. x ist e<strong>in</strong> Quadrat gdw. ( x<br />
) = (x)<br />
= +1. Da das Auswerten der Formeln höchstens<br />
p q<br />
kubischen Aufwand (<strong>in</strong> der Länge von n) verursacht, <strong>in</strong>sbesondere also polynomial <strong>in</strong> der<br />
Länge von n ist, kann der Angreifer somit für e<strong>in</strong>en nichtvernachlässigbaren Anteil aller<br />
Moduli die Quadratheit beliebiger x entscheiden. Dies widerspricht der Quadratische-Reste-<br />
Annahme.<br />
Um den Umgang mit den formalen Def<strong>in</strong>itionen der Faktorisierungs- <strong>und</strong> der Quadratische-<br />
Reste-Annahme zu üben, wird jetzt der „nichtvernachlässigbare Anteil“ formal h<strong>in</strong>geschrieben:<br />
Es gibt e<strong>in</strong>en (probabilistischen) polynomialen Algorithmus F, so daß für e<strong>in</strong> Polynom Q gilt:<br />
Für jedes L existiert e<strong>in</strong> l ≥ L, so daß gilt: Wenn p, q als unabhängig zufällige Primzahlen der<br />
Länge l gewählt werden <strong>und</strong> n := p•q<br />
W(F (n) = (p; q)) > 1<br />
Q(l) .<br />
Um e<strong>in</strong> Gefühl zu bekommen, was das bedeutet, e<strong>in</strong> Beispiel: Nehmen wir an, das Wachsen der<br />
Rechenleistung hielte solange an. (Das dürfte allerd<strong>in</strong>gs mit physikalischen Grenzen schon knapp<br />
werden, vgl. [Paul_78 Seite 236f., DaPr_89 Seite 41].) Dann ist es so, als ob der Angreifer bei<br />
heutiger Rechenleistung etwa 281 Jahre zur Verfügung hätte. Könnte man das System nicht<br />
schneller als durch vollständige Suche im Schlüsselraum brechen, so müßte dieser um den Faktor<br />
281 zu groß gewählt werden, also die Schlüssel um 81 bit zu lang, falls sie optimal codiert s<strong>in</strong>d.<br />
Das wäre nicht e<strong>in</strong>mal sehr viel.<br />
Anders ist es schon bei auf Faktorisierung beruhenden Systemen. Um e<strong>in</strong>erseits die Fortschritte<br />
bei den Faktorisierungsalgorithmen <strong>und</strong> andererseits die bei der Rechenleistung zu verdeutlichen,<br />
werden zwei Beispielrechnungen durchgeführt:<br />
Nehmen wir an, die Komplexität sei <strong>und</strong> bliebe genau<br />
L1990 (n) = exp(√⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺ ln(n) ln ln(n)),<br />
Aus diesem Algorithmus F konstruieren wir nun e<strong>in</strong>en ebenfalls (probabilistischen)<br />
polynomialen Algorithmus R . R ruft F auf. Faktorisiert F, so berechnet R , wie gerade<br />
beschrieben, ( x<br />
) <strong>und</strong> (x).<br />
S<strong>in</strong>d beide +1, so gibt R „true“ aus, andernfalls „false“. R ist genau<br />
p q<br />
dann erfolgreich, wenn es F ist.<br />
Also gilt: Es gibt e<strong>in</strong>en (probabilistischen) polynomialen Algorithmus R , so daß für das obige<br />
Polynom Q gilt: Für jedes L existiert e<strong>in</strong> l ≥ L, so daß gilt: Wenn p, q als zufällige Primzahlen<br />
der Länge l gewählt werden, n := p•q, <strong>und</strong> x zufällig unter den Restklassen mit Jacobi-Symbol<br />
+1, so gilt:<br />
W(R (n, x) = qr(n, x)) > 1 1<br />
2<br />
+<br />
Q(l) .<br />
Dies widerspricht der Quadratische-Reste-Annahme.<br />
3<br />
L1995(n) = exp(1,923• √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺<br />
ln(n) (ln ln(n)) 2 ),<br />
dies ist die Komplexität des besten 1990 bzw. 1995 bekannten Faktorisierungsalgorithmus,<br />
vgl. [Schn_96 Seite 256].<br />
Im Jahre 1995 verwendeten wir n der Länge 512 bit <strong>und</strong> das wurde etwa damit begründet, daß<br />
diese Zahlen <strong>in</strong> e<strong>in</strong>em Jahr nicht zu faktorisieren waren (was heutzutage anders ist, vgl.<br />
[Riel_99]). Also sollten wir aus der Perspektive von 1995 für die Zukunft n* vorsehen mit<br />
L(n*) = 281 • L(n)<br />
Aus der algorithmischen Sicht von 1990 bedeutet dies:<br />
L1990 (n*) = 281 • L1990 (n)<br />
⇔ exp(√⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺<br />
ln(n*) ln ln(n*)) = 281 • exp(√⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺ ln(n) ln ln(n))<br />
⇔ √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺<br />
ln(n*) ln ln(n*) = 81 ln(2) + √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺ ln(n) ln ln(n).<br />
Außerdem wissen wir ln(n) = 512•ln(2) ≈ 360 <strong>und</strong> ln ln(n) ≈ 6, sowie √⎺⎺⎺⎺⎺ 360•6 ≈ 44, also etwa<br />
⇔ √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺<br />
ln(n*) ln ln(n*) = 56 + 44<br />
⇔ ln(n*) ln ln(n*) = 1002 E<strong>in</strong> bißchen Taschenrechnerakrobatik ergibt, daß diese Ungleichung für ln(n*) ≈ 1400 erfüllt ist.<br />
Also log2 (n*) ≈ 1400 / ln(2) ≈ 2020.<br />
3-10 Welche Angriffe s<strong>in</strong>d auf welche kryptographischen Systeme zu erwarten?<br />
a) Der Notar muß e<strong>in</strong> digitales Signatursystem verwenden. Da er bis auf den Zeitstempel (z.B.<br />
Anhängen von Datum <strong>und</strong> Uhrzeit an die Nachricht) beliebige ihm vorgelegte Nachrichten damit<br />
signiert, muß das digitale Signatursystem adaptiven aktiven Angriffen widerstehen. Das<br />
Nachrichtenformat könnte folgendermaßen se<strong>in</strong>:<br />
, Datum, Uhrzeit, sNotar (, Datum, Uhrzeit).<br />
b) Es können symmetrische oder asymmetrische Konzelationssysteme verwendet werden.<br />
Erstere müssen m<strong>in</strong>destens e<strong>in</strong>em Klartext-Schlüsseltext-Angriff (known-pla<strong>in</strong>text attack)<br />
standhalten, da der Angreifer den Klartext zum beobachteten Artikel demnächst <strong>in</strong> der Zeitung<br />
nachlesen kann. Wenn der Angreifer sensationelle D<strong>in</strong>ge tut, kann er zum<strong>in</strong>dest teilweise e<strong>in</strong>en<br />
gewählten Klartext-Schlüsseltext-Angriff erreichen, z.B. kann er den Text, den er gerne verschlüsselt<br />
sähe, ans Rathaus sprühen. (Diese beiden Angriffe s<strong>in</strong>d beim asymmetrischen System<br />
irrelevant, weil der Angreifer da ja sowieso beliebige Texte selbst verschlüsseln kann.)<br />
Würde die Zeitung auch beliebig uns<strong>in</strong>nige Artikel drucken (vielleicht weil der Korrespondent<br />
auch Chiffreanzeigen entgegennimmt), muß das Konzelationssystem (symmetrisch oder<br />
asymmetrisch) sogar e<strong>in</strong>em gewählten Schlüsseltext-Klartext-Angriff (chosen-ciphertext<br />
attack) standhalten, da der aktive Angreifer den Klartext zum von ihm geschickten Schlüsseltext<br />
demnächst <strong>in</strong> der Zeitung nachlesen kann.<br />
3-11 Wie lange s<strong>in</strong>d Daten zu schützen? Dimensionierung kryptographischer<br />
Systeme; Reaktion auf falsche Dimensionierung; Öffentlichen Schlüssel e<strong>in</strong>es<br />
Signatursystems oder asymmetrischen Konzelationssystems veröffentlichen?