Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

408 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 407 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr a) Die Wahrscheinlichkeit, daß das kryptographische System innerhalb dieser Zeit gebrochen wird, muß hinreichend klein sein. Wenn man ein informationstheoretisch sicheres System verwendet (also beim One-time-pad oder geeigneten Authentikationscodes), sind die folgenden 3 Punkte irrelevant. Andernfalls ist zu beachten: • Trivialerweise wächst mit der Länge der Zeit, die der Schutz wirksam sein soll, auch die Zeit, die dem Angreifer für eine Kryptoanalyse zur Verfügung steht. • Vermutlich steigt die Rechenleistung/DM weiterhin exponentiell mit einer Verdoppelungszeit etwa jedes Jahr, bis irgendwann technologische Grenzen erreicht werden. Diese steigende Rechenleistung wird dem Angreifer zur Verfügung stehen. • Außerdem können in dieser Zeit effizientere Algorithmen entdeckt werden. (Denn bei all den nicht informationstheoretisch sicheren Systemen gibt es ja noch keine brauchbaren unteren Schranken für die Komplexität des Brechens.) In den beiden Beispielen muß man die Systeme so überdimensionieren, daß sie hoffentlich mindestens 80 Jahre sicher sind. ( x p-1 q-1 p ) ≡ x 2 x mod p und ( q ) ≡ x 2 mod q berechnen. x ist ein Quadrat gdw. ( x ) = (x) = +1. Da das Auswerten der Formeln höchstens p q kubischen Aufwand (in der Länge von n) verursacht, insbesondere also polynomial in der Länge von n ist, kann der Angreifer somit für einen nichtvernachlässigbaren Anteil aller Moduli die Quadratheit beliebiger x entscheiden. Dies widerspricht der Quadratische-Reste- Annahme. Um den Umgang mit den formalen Definitionen der Faktorisierungs- und der Quadratische- Reste-Annahme zu üben, wird jetzt der „nichtvernachlässigbare Anteil“ formal hingeschrieben: Es gibt einen (probabilistischen) polynomialen Algorithmus F, so daß für ein Polynom Q gilt: Für jedes L existiert ein l ≥ L, so daß gilt: Wenn p, q als unabhängig zufällige Primzahlen der Länge l gewählt werden und n := p•q W(F (n) = (p; q)) > 1 Q(l) . Um ein Gefühl zu bekommen, was das bedeutet, ein Beispiel: Nehmen wir an, das Wachsen der Rechenleistung hielte solange an. (Das dürfte allerdings mit physikalischen Grenzen schon knapp werden, vgl. [Paul_78 Seite 236f., DaPr_89 Seite 41].) Dann ist es so, als ob der Angreifer bei heutiger Rechenleistung etwa 281 Jahre zur Verfügung hätte. Könnte man das System nicht schneller als durch vollständige Suche im Schlüsselraum brechen, so müßte dieser um den Faktor 281 zu groß gewählt werden, also die Schlüssel um 81 bit zu lang, falls sie optimal codiert sind. Das wäre nicht einmal sehr viel. Anders ist es schon bei auf Faktorisierung beruhenden Systemen. Um einerseits die Fortschritte bei den Faktorisierungsalgorithmen und andererseits die bei der Rechenleistung zu verdeutlichen, werden zwei Beispielrechnungen durchgeführt: Nehmen wir an, die Komplexität sei und bliebe genau L1990 (n) = exp(√⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺ ln(n) ln ln(n)), Aus diesem Algorithmus F konstruieren wir nun einen ebenfalls (probabilistischen) polynomialen Algorithmus R . R ruft F auf. Faktorisiert F, so berechnet R , wie gerade beschrieben, ( x ) und (x). Sind beide +1, so gibt R „true“ aus, andernfalls „false“. R ist genau p q dann erfolgreich, wenn es F ist. Also gilt: Es gibt einen (probabilistischen) polynomialen Algorithmus R , so daß für das obige Polynom Q gilt: Für jedes L existiert ein l ≥ L, so daß gilt: Wenn p, q als zufällige Primzahlen der Länge l gewählt werden, n := p•q, und x zufällig unter den Restklassen mit Jacobi-Symbol +1, so gilt: W(R (n, x) = qr(n, x)) > 1 1 2 + Q(l) . Dies widerspricht der Quadratische-Reste-Annahme. 3 L1995(n) = exp(1,923• √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺ ln(n) (ln ln(n)) 2 ), dies ist die Komplexität des besten 1990 bzw. 1995 bekannten Faktorisierungsalgorithmus, vgl. [Schn_96 Seite 256]. Im Jahre 1995 verwendeten wir n der Länge 512 bit und das wurde etwa damit begründet, daß diese Zahlen in einem Jahr nicht zu faktorisieren waren (was heutzutage anders ist, vgl. [Riel_99]). Also sollten wir aus der Perspektive von 1995 für die Zukunft n* vorsehen mit L(n*) = 281 • L(n) Aus der algorithmischen Sicht von 1990 bedeutet dies: L1990 (n*) = 281 • L1990 (n) ⇔ exp(√⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺ ln(n*) ln ln(n*)) = 281 • exp(√⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺ ln(n) ln ln(n)) ⇔ √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺ ln(n*) ln ln(n*) = 81 ln(2) + √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺ ln(n) ln ln(n). Außerdem wissen wir ln(n) = 512•ln(2) ≈ 360 und ln ln(n) ≈ 6, sowie √⎺⎺⎺⎺⎺ 360•6 ≈ 44, also etwa ⇔ √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺ ln(n*) ln ln(n*) = 56 + 44 ⇔ ln(n*) ln ln(n*) = 1002 Ein bißchen Taschenrechnerakrobatik ergibt, daß diese Ungleichung für ln(n*) ≈ 1400 erfüllt ist. Also log2 (n*) ≈ 1400 / ln(2) ≈ 2020. 3-10 Welche Angriffe sind auf welche kryptographischen Systeme zu erwarten? a) Der Notar muß ein digitales Signatursystem verwenden. Da er bis auf den Zeitstempel (z.B. Anhängen von Datum und Uhrzeit an die Nachricht) beliebige ihm vorgelegte Nachrichten damit signiert, muß das digitale Signatursystem adaptiven aktiven Angriffen widerstehen. Das Nachrichtenformat könnte folgendermaßen sein: , Datum, Uhrzeit, sNotar (, Datum, Uhrzeit). b) Es können symmetrische oder asymmetrische Konzelationssysteme verwendet werden. Erstere müssen mindestens einem Klartext-Schlüsseltext-Angriff (known-plaintext attack) standhalten, da der Angreifer den Klartext zum beobachteten Artikel demnächst in der Zeitung nachlesen kann. Wenn der Angreifer sensationelle Dinge tut, kann er zumindest teilweise einen gewählten Klartext-Schlüsseltext-Angriff erreichen, z.B. kann er den Text, den er gerne verschlüsselt sähe, ans Rathaus sprühen. (Diese beiden Angriffe sind beim asymmetrischen System irrelevant, weil der Angreifer da ja sowieso beliebige Texte selbst verschlüsseln kann.) Würde die Zeitung auch beliebig unsinnige Artikel drucken (vielleicht weil der Korrespondent auch Chiffreanzeigen entgegennimmt), muß das Konzelationssystem (symmetrisch oder asymmetrisch) sogar einem gewählten Schlüsseltext-Klartext-Angriff (chosen-ciphertext attack) standhalten, da der aktive Angreifer den Klartext zum von ihm geschickten Schlüsseltext demnächst in der Zeitung nachlesen kann. 3-11 Wie lange sind Daten zu schützen? Dimensionierung kryptographischer Systeme; Reaktion auf falsche Dimensionierung; Öffentlichen Schlüssel eines Signatursystems oder asymmetrischen Konzelationssystems veröffentlichen?
410 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 409 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Konzelierte Daten müssen mit dem stärkeren Konzelationssystem verschlüsselt werden. Dies kann je nach Anwendung, d.h. gibt es für diese neue Verschlüsselung eine sichere Umgebung mit Kenntnis der zur Entschlüsselung der vorliegenden Schlüsseltexte nötigen Schlüssel oder nicht, durch Entschlüsseln der vorliegenden Schlüsseltexte mit dem demnächst zu schwachen Konzelationssystem und dem anschließenden Verschlüsseln des Klartextes mit dem stärker dimensionierten Konzelationssystem geschehen oder durch eine zusätzliche Verschlüsselung der vorliegenden Schlüsseltexte. Bei asymmetrischen Konzelationssystemen dürfte der letztere Fall der häufigere sein. Unabhängig von der Verwendung symmetrischer oder asymmetrischer Konzelationssysteme bedeutet das Vorgehen nach dem letzteren Fall, daß die Implementierung des demnächst zu schwachen Konzelationssystems und die verwendeten Schlüssel weiterhin verfügbar bleiben müssen. Das Vermeiden des Risikos des Umschlüsselns (es liegt für kurze Zeit der Klartext vor) hat seinen Preis. Leider ist man nie sicher, ob alle Kopien des Schlüsseltextes, wie beschrieben, stärker verschlüsselt werden. Das skizzierte Vorgehen hilft also nur gegen Angreifer, die nach der stärkeren Verschlüsselung auf den Plan treten und ggf. auch Schwierigkeiten haben, eine weitere Kopie des nur schwach verschlüsselten Schlüsseltextes zu finden. Das skizzierte Vorgehen ist also kein Ersatz für richtige Dimensionierung von Anfang an, aber natürlich besser, als einfach nur abzuwarten und die entstehende Unsicherheit des zu schwach dimensionierten Konzelationssystems geheim halten zu wollen. Signierte Daten müssen mit einer zusätzlichen Signatur im stärker dimensionierten Signatursystem versehen werden, am besten vom ursprünglichen Signierer. Hierzu könnte man in einer Übergangszeit jeden verpflichten: Jeder publiziert stärker dimensionierte Testschlüssel (zur zumindest zeitweisen Authentikation jeweils mit dem noch nicht gebrochenen Signatursystem signiert) und ist bei Vorlage einer von ihm im schwächeren alten System signierten Nachricht verpflichtet, diese Nachricht im stärkeren neuen System zu signieren. Diese Übergangszeit muß natürlich enden, bevor das Brechen des alten Signatursystems preiswert genug wird. Ist der ursprüngliche Signierer zum zusätzlichen Signieren nicht in der Lage oder nicht willens, so kann ein Zeitstempeldienst in Anspruch genommen werden: Jeder, der eine von einem anderen signierte Nachricht hat und den Verfall dieses seines Beweismittels aufhalten will, legt die Nachricht samt Signatur (im alten Signatursystem) einem Zeitstempeldienst vor. Dieser signiert im neuen, stärker dimensionierten Signatursystem "Nachricht, Signatur im alten Signatursystem, Datum, Zeit". Wird dies später vorgelegt, so ist diese zeitgestempelte Signatur so authentisch, wie sie zu "Datum, Zeit" im alten Signatursystem war, wie der Zeitstempeldienst gegen Korrumpierung geschützt ist und wie kryptographisch sicher die neue Signatur zum Vorlagezeitpunkt ist. Der Schutz des Zeitstempeldienstes gegen Korrumpierung kann durch die übliche Technik erhöht werden: Statt einer Signatur im neuen Signatursystem wird von unabhängig implementierten und betriebenen Rechnern jeweils eine (von allen anderen unabhängige) Signatur im neuen Signatursystem angebracht. Eine Nachricht gilt nur dann als korrekt zeitgestempelt, wenn genügend viele (unabhängige) Signaturen im neuen Signatursystem vorgelegt werden. Da beim Nachsignieren jeder autonom seine eigenen Interessen wahren kann, ist das hierfür skizzierte Vorgehen weitaus zufriedenstellender, als das bzgl. Konzelation. Dies gilt insbesondere, wenn durch die Verwendung von Fail-Stop-Signaturen das Ende der kryptographischen Sicherheit von digitalen Signaturen (und damit auch das Ende jeder Übergangszeit) sicher ermittelt werden kann. Man müßte also die Zahlen etwa 3,95 mal so lang wählen wie bisher. Der Berechnungsaufwand erhöht sich dadurch um den Faktor 3,95 3 ≈ 61. Aus der algorithmischen Sicht von 1995 bedeutet dies: L1995 (n*) = 281 • L1995 (n) 3 3 ⇔ exp(1,923• √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺ ln(n*) (ln ln(n*)) 2 ) = 281 • exp(1,923•√⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺ ln(n) (ln ln(n)) 2 ) 3 3 ⇔ 1,923• √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺ ln(n*) (ln ln(n*)) 2 = 81 ln(2) + 1,923• √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺ ln(n) (ln ln(n)) 2 3 3 ⇔ √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺ ln(n*) (ln ln(n*)) 2 = 42,12 ln(2) + √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺ ln(n) (ln ln(n)) 2 3 3 ⇔ √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺ ln(n*) (ln ln(n*)) 2 = 29 + √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺ ln(n) (ln ln(n)) 2 . Außerdem wissen wir ln(n) = 512•ln(2) ≈ 360 und (ln ln(n)) 2 3 ≈ 36, sowie √⎺⎺⎺⎺⎺⎺ 360•36 ≈ 23, also etwa 3 ⇔ √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺ ln(n*) (ln ln(n*)) 2 = 52 ⇔ ln(n*) (ln ln(n*)) 2 = 523 Ein bißchen Taschenrechnerakrobatik ergibt, daß diese Ungleichung für ln(n*) ≈ 2400 erfüllt ist. Also log2(n*) ≈ 2400 / ln(2) ≈ 3462. Man müßte also die Zahlen etwa 6,76 mal so lang wählen wie bisher. Der Berechnungsaufwand erhöht sich dadurch um den Faktor 6,763 ≈ 309. Wir sehen: Der algorithmische Fortschritt innerhalb von 5 Jahren hat „genausoviel“ Einfluß auf die notwendige Länge der Zahlen wie die innerhalb von 80 Jahren erwartete Erhöhung der Rechenleistung. Beides erzwingt eine Verlängerung um je etwa 1500 Bit für den betrachteten Zeitraum. (Zum Glück gibt es aber viele Anwendungen, wo Signaturen nur kurz gelten müssen, z.B. in einem digitalen Zahlungssystem, wenn man jedes Vierteljahr einen Kontoabschluß erhält und gegen diesen noch wenige Monate Widerspruchsrecht hat.) c) Ich gebe den Testschlüssel eines asymmetrischen Signatursystems weiter. Denn dann kann mein Partner später mit seiner Hilfe prüfen, ob mein ihm dann übermittelter öffentlicher Schlüssel eines asymmetrischen Konzelationssystems authentisch ist, indem ich diesen hierfür signiere. b) Klar ist, daß man bei beiden Systemtypen hinfort für alle neu zu verschlüsselnden bzw. zu signierenden Daten nur noch stärker dimensionierte Systeme verwendet, dazu neue Schlüssel austauschen muß, etc. Vertraut man darauf, daß das demnächst brechbare digitale Signatursystem noch nicht gebrochen ist, kann man es zum Austausch von öffentlichen Schlüsseln der stärkeren asymmetrischen kryptographischen Systeme benutzen. Andernfalls ist – wie auch bei Verwendung symmetrischer kryptographischer Systeme für den Schlüsselaustausch – ein neuer Ur- Schlüsselaustausch außerhalb des zu schützenden Rechnernetzes notwendig. Möchte man mit dem digitalen Signatursystem rechtlich Verbindliches regeln, sollte der öffentliche Testschlüssel neu registriert werden. In jedem Fall ist es günstig, sich zumindest den Wechsel öffentlicher Schlüssel von den Schlüsselregistern bestätigen zu lassen. Damit Schlüsselregister nicht willkürlich von sich aus Schlüssel für ungültig erklären können, sollten sie hierzu eine digitale Signatur (ggf. im alten kryptographischen System) des Inhabers unter eine diesbezügliche Nachricht (Schlüssel ungültig ab: Datum, Uhrzeit) vorweisen. Unterschiedlich ist das Vorgehen bzgl. der Daten, die mit dem alten, demnächst zu schwachen System konzeliert/signiert wurden:
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160: 306 A. Pfitzmann: Datensicherheit u
Seite 209: 406 A. Pfitzmann: Datensicherheit u
Seite 231 und 232: A. Pfitzmann: Datensicherheit und K
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?