Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
410<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
409<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
Konzelierte Daten müssen mit dem stärkeren Konzelationssystem verschlüsselt werden. Dies<br />
kann je nach Anwendung, d.h. gibt es für diese neue Verschlüsselung e<strong>in</strong>e sichere Umgebung mit<br />
Kenntnis der zur Entschlüsselung der vorliegenden Schlüsseltexte nötigen Schlüssel oder nicht,<br />
durch Entschlüsseln der vorliegenden Schlüsseltexte mit dem demnächst zu schwachen Konzelationssystem<br />
<strong>und</strong> dem anschließenden Verschlüsseln des Klartextes mit dem stärker dimensionierten<br />
Konzelationssystem geschehen oder durch e<strong>in</strong>e zusätzliche Verschlüsselung der vorliegenden<br />
Schlüsseltexte. Bei asymmetrischen Konzelationssystemen dürfte der letztere Fall der häufigere<br />
se<strong>in</strong>. Unabhängig von der Verwendung symmetrischer oder asymmetrischer Konzelationssysteme<br />
bedeutet das Vorgehen nach dem letzteren Fall, daß die Implementierung des demnächst zu<br />
schwachen Konzelationssystems <strong>und</strong> die verwendeten Schlüssel weiterh<strong>in</strong> verfügbar bleiben<br />
müssen. Das Vermeiden des Risikos des Umschlüsselns (es liegt für kurze Zeit der Klartext vor)<br />
hat se<strong>in</strong>en Preis. Leider ist man nie sicher, ob alle Kopien des Schlüsseltextes, wie beschrieben,<br />
stärker verschlüsselt werden. Das skizzierte Vorgehen hilft also nur gegen Angreifer, die nach der<br />
stärkeren Verschlüsselung auf den Plan treten <strong>und</strong> ggf. auch Schwierigkeiten haben, e<strong>in</strong>e weitere<br />
Kopie des nur schwach verschlüsselten Schlüsseltextes zu f<strong>in</strong>den. Das skizzierte Vorgehen ist<br />
also ke<strong>in</strong> Ersatz für richtige Dimensionierung von Anfang an, aber natürlich besser, als e<strong>in</strong>fach<br />
nur abzuwarten <strong>und</strong> die entstehende Unsicherheit des zu schwach dimensionierten Konzelationssystems<br />
geheim halten zu wollen.<br />
Signierte Daten müssen mit e<strong>in</strong>er zusätzlichen Signatur im stärker dimensionierten Signatursystem<br />
versehen werden, am besten vom ursprünglichen Signierer. Hierzu könnte man <strong>in</strong> e<strong>in</strong>er<br />
Übergangszeit jeden verpflichten: Jeder publiziert stärker dimensionierte Testschlüssel (zur zum<strong>in</strong>dest<br />
zeitweisen Authentikation jeweils mit dem noch nicht gebrochenen Signatursystem signiert)<br />
<strong>und</strong> ist bei Vorlage e<strong>in</strong>er von ihm im schwächeren alten System signierten Nachricht verpflichtet,<br />
diese Nachricht im stärkeren neuen System zu signieren. Diese Übergangszeit muß natürlich<br />
enden, bevor das Brechen des alten Signatursystems preiswert genug wird. Ist der ursprüngliche<br />
Signierer zum zusätzlichen Signieren nicht <strong>in</strong> der Lage oder nicht willens, so kann e<strong>in</strong><br />
Zeitstempeldienst <strong>in</strong> Anspruch genommen werden: Jeder, der e<strong>in</strong>e von e<strong>in</strong>em anderen signierte<br />
Nachricht hat <strong>und</strong> den Verfall dieses se<strong>in</strong>es Beweismittels aufhalten will, legt die Nachricht samt<br />
Signatur (im alten Signatursystem) e<strong>in</strong>em Zeitstempeldienst vor. Dieser signiert im neuen, stärker<br />
dimensionierten Signatursystem "Nachricht, Signatur im alten Signatursystem, Datum, Zeit".<br />
Wird dies später vorgelegt, so ist diese zeitgestempelte Signatur so authentisch, wie sie zu<br />
"Datum, Zeit" im alten Signatursystem war, wie der Zeitstempeldienst gegen Korrumpierung<br />
geschützt ist <strong>und</strong> wie kryptographisch sicher die neue Signatur zum Vorlagezeitpunkt ist. Der<br />
Schutz des Zeitstempeldienstes gegen Korrumpierung kann durch die übliche Technik erhöht<br />
werden: Statt e<strong>in</strong>er Signatur im neuen Signatursystem wird von unabhängig implementierten <strong>und</strong><br />
betriebenen Rechnern jeweils e<strong>in</strong>e (von allen anderen unabhängige) Signatur im neuen<br />
Signatursystem angebracht. E<strong>in</strong>e Nachricht gilt nur dann als korrekt zeitgestempelt, wenn<br />
genügend viele (unabhängige) Signaturen im neuen Signatursystem vorgelegt werden. Da beim<br />
Nachsignieren jeder autonom se<strong>in</strong>e eigenen Interessen wahren kann, ist das hierfür skizzierte<br />
Vorgehen weitaus zufriedenstellender, als das bzgl. Konzelation. Dies gilt <strong>in</strong>sbesondere, wenn<br />
durch die Verwendung von Fail-Stop-Signaturen das Ende der kryptographischen <strong>Sicherheit</strong> von<br />
digitalen Signaturen (<strong>und</strong> damit auch das Ende jeder Übergangszeit) sicher ermittelt werden kann.<br />
Man müßte also die Zahlen etwa 3,95 mal so lang wählen wie bisher. Der Berechnungsaufwand<br />
erhöht sich dadurch um den Faktor 3,95 3 ≈ 61.<br />
Aus der algorithmischen Sicht von 1995 bedeutet dies:<br />
L1995 (n*) = 281 • L1995 (n)<br />
3 3<br />
⇔ exp(1,923• √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺<br />
ln(n*) (ln ln(n*)) 2 ) = 281 • exp(1,923•√⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺<br />
ln(n) (ln ln(n)) 2 )<br />
3 3<br />
⇔ 1,923• √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺<br />
ln(n*) (ln ln(n*)) 2 = 81 ln(2) + 1,923• √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺<br />
ln(n) (ln ln(n)) 2<br />
3 3<br />
⇔ √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺<br />
ln(n*) (ln ln(n*)) 2 = 42,12 ln(2) + √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺<br />
ln(n) (ln ln(n)) 2<br />
3 3<br />
⇔ √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺<br />
ln(n*) (ln ln(n*)) 2 = 29 + √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺<br />
ln(n) (ln ln(n)) 2 .<br />
Außerdem wissen wir ln(n) = 512•ln(2) ≈ 360 <strong>und</strong> (ln ln(n)) 2 3<br />
≈ 36, sowie √⎺⎺⎺⎺⎺⎺ 360•36 ≈ 23, also<br />
etwa<br />
3<br />
⇔ √⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺⎺<br />
ln(n*) (ln ln(n*)) 2 = 52<br />
⇔ ln(n*) (ln ln(n*)) 2 = 523 E<strong>in</strong> bißchen Taschenrechnerakrobatik ergibt, daß diese Ungleichung für ln(n*) ≈ 2400 erfüllt ist.<br />
Also log2(n*) ≈ 2400 / ln(2) ≈ 3462.<br />
Man müßte also die Zahlen etwa 6,76 mal so lang wählen wie bisher. Der Berechnungsaufwand<br />
erhöht sich dadurch um den Faktor 6,763 ≈ 309.<br />
Wir sehen: Der algorithmische Fortschritt <strong>in</strong>nerhalb von 5 Jahren hat „genausoviel“ E<strong>in</strong>fluß auf<br />
die notwendige Länge der Zahlen wie die <strong>in</strong>nerhalb von 80 Jahren erwartete Erhöhung der<br />
Rechenleistung. Beides erzw<strong>in</strong>gt e<strong>in</strong>e Verlängerung um je etwa 1500 Bit für den betrachteten<br />
Zeitraum.<br />
(Zum Glück gibt es aber viele Anwendungen, wo Signaturen nur kurz gelten müssen, z.B. <strong>in</strong><br />
e<strong>in</strong>em digitalen Zahlungssystem, wenn man jedes Vierteljahr e<strong>in</strong>en Kontoabschluß erhält <strong>und</strong><br />
gegen diesen noch wenige Monate Widerspruchsrecht hat.)<br />
c) Ich gebe den Testschlüssel e<strong>in</strong>es asymmetrischen Signatursystems weiter. Denn dann kann<br />
me<strong>in</strong> Partner später mit se<strong>in</strong>er Hilfe prüfen, ob me<strong>in</strong> ihm dann übermittelter öffentlicher Schlüssel<br />
e<strong>in</strong>es asymmetrischen Konzelationssystems authentisch ist, <strong>in</strong>dem ich diesen hierfür signiere.<br />
b) Klar ist, daß man bei beiden Systemtypen h<strong>in</strong>fort für alle neu zu verschlüsselnden bzw. zu<br />
signierenden Daten nur noch stärker dimensionierte Systeme verwendet, dazu neue Schlüssel<br />
austauschen muß, etc. Vertraut man darauf, daß das demnächst brechbare digitale Signatursystem<br />
noch nicht gebrochen ist, kann man es zum Austausch von öffentlichen Schlüsseln der stärkeren<br />
asymmetrischen kryptographischen Systeme benutzen. Andernfalls ist – wie auch bei Verwendung<br />
symmetrischer kryptographischer Systeme für den Schlüsselaustausch – e<strong>in</strong> neuer Ur-<br />
Schlüsselaustausch außerhalb des zu schützenden Rechnernetzes notwendig. Möchte man mit dem<br />
digitalen Signatursystem rechtlich Verb<strong>in</strong>dliches regeln, sollte der öffentliche Testschlüssel neu<br />
registriert werden. In jedem Fall ist es günstig, sich zum<strong>in</strong>dest den Wechsel öffentlicher Schlüssel<br />
von den Schlüsselregistern bestätigen zu lassen. Damit Schlüsselregister nicht willkürlich von sich<br />
aus Schlüssel für ungültig erklären können, sollten sie hierzu e<strong>in</strong>e digitale Signatur (ggf. im alten<br />
kryptographischen System) des Inhabers unter e<strong>in</strong>e diesbezügliche Nachricht (Schlüssel ungültig<br />
ab: Datum, Uhrzeit) vorweisen.<br />
Unterschiedlich ist das Vorgehen bzgl. der Daten, die mit dem alten, demnächst zu schwachen<br />
System konzeliert/signiert wurden: