Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

412 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 411 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Und weil es so schön war, ein zweites Beispiel: Für n = 7•11 = 77, s = 13 ergibt sich als Folge si: 15 71 36 64 15 ... Folge bi : 1 1 0 0 1 ... und damit für den Klartext 0 1 0 1 der Schlüsseltext 1 0 0 1. b) Zunächst müssen wir aus s4=25 die Folge der anderen si zurückberechnen. Wir brauchen den CRA, also berechnen wir zuerst die „Basisvektoren“ dafür: Euklidscher Algorithmus: 11 = 3 • 3 + 2; 3 = 1 • 2 + 1; Rückwärts: 1 = 3 – 1 • 2 = 3 – 1 • (11–3•3) = –11 + 4•3 Damit sind up = 12, vq = -11, und wir haben die Formel s = 12sq – 11sp = 11(sq –sp ) + sq . Außerdem können wir (p+1)/4 = 1 und (q+1)/4 = 3 vorwegberechnen. d) Ja, denn ein „Upgrade“ von Signatursystemen ist leichter sicher durchführbar als eins von Konzelationssystemen. Außerdem muß für rechtliche Verbindlichkeit der Testschlüssel sowieso registriert sein. s3 : (Merke: Hier können wir nicht einfach 5 (die vom Rechnen mit den ganzen Zahlen bekannte Wurzel) nehmen, weil wir von den 4 Wurzeln aus 25 mod 33 ja diejenige brauchen, die selbst quadratischer Rest ist.) Modulo 3: s4 ≡ 1 ⇒ s3 ≡ 11 ≡ 1. Modulo 11: s4 ≡ 3 ⇒ s3 ≡ 33 ≡ 5. ⇒ s3 = 11(5–1) + 5 = 49 ≡ 16 mod 33. 3-12 Kryptopolitik durch Wahl einer geeigneten Schlüssellänge? Dieses Vorgehen ist prinzipiell aussichtslos: Selbst wenn Staaten deutlich mehr Geld als große Konzerne haben (was alles andere als klar ist), so können Konzerne (wie auch neugierige NachbarInnen) ihre kryptanalytischen Anstrengungen sehr stark auf einzelne Sender und Empfänger fokussieren, während Verbrechensbekämpfung (und auch Spionage) Kryptoanalyse in einer gewissen Breite, d.h. von vielen Sendern und Empfängern, wünscht. Pro zu brechendem Schlüssel dürften Staaten eher weniger als mehr Rechenleistung als große Konzerne haben. Neben diesem aus meiner Sicht grundlegenden Argument gibt es natürlich eine Reihe weiterer Argumente, warum ein solcher „Schlüssellängenkompromiß“ unsinnig ist: Mit dem Zuwachs an allgemein verfügbarer Rechenleistung müßte die Schlüssellänge fortwährend angepaßt werden (vgl. Aufgabe 3-11 a)), was aber bzgl. Konzelation für zurückliegende Nachrichten nicht sinnvoll zu bewerkstelligen ist (vgl. Aufgabe 3-11 b)). Verbrecher werden nicht allein auf solch schwache kryptographische Konzelationssysteme setzen, sondern ggf. zusätzlich noch mit stärkeren verschlüsseln und ggf. noch zusätzlich steganographische Konzelationssysteme einsetzen, vgl. §4 und §9. s2: Modulo 3: s3 ≡ 1 ⇒ s2 ≡ 11 ≡ 1. (Man sieht, daß das immer so bleibt.) Modulo 11: s3 ≡ 5 ⇒ s2 ≡ 53 ≡ 25•5 ≡ 4. ⇒ s2 = 11(4–1) + 4 ≡ 4 mod 33. s1 : Modulo 11: s2 ≡ 4 ⇒ s1 ≡ 43 ≡ 16•4 ≡ 9. ⇒ s1 = 11(9–1) + 9 ≡ 31 mod 33. s0: Modulo 11: s1 ≡ 9 ≡ –2 ⇒ s0 ≡ (–2) 3 ≡ –8 ≡ 3. ⇒ s0 = 11(3–1) + 3 = 25. Die letzten Bits davon sind b0 = 1, b1 = 1, b2 = 0, b3 = 0. Der Klartext ist also 1001 ⊕ 1100 = 0101. c) Was hier passiert, hängt gar nicht speziell vom s2-mod-n-Generator ab, sondern passiert immer, wenn man ein One-time-pad (vgl. Aufgabe 3-7 d)) oder ein mehr oder weniger sicheres Pseudo-One-time-pad bitweise zur Nachricht addiert (Stromchiffre im engeren Sinn, vgl. §3.8.1): Wenn ein Bit des Schlüsseltextes kippt, ist nach dem Entschlüsseln mittels Addition modulo 2 auch genau dieses eine Bit des Klartextes falsch. Wenn hingegen ein Bit verlorengeht, ist ab dieser Stelle der gesamte Klartext unleserlich: Sei das i-te Bit des Klartexts xi . Das i-te Schlüsseltextbit ist dann Si := xi ⊕ bi . Kommt statt Si beim Empfänger Si* = Si ⊕ 1 an, so entschlüsselt er es als Si* ⊕ bi = xi ⊕ 1. Fällt dagegen Si aus, so entschlüsselt er ab da jedes Bit mit dem falschen bi : Er hält Si+1 für Si und entschlüsselt es mit bi usw. d) Der s2-mod-n-Generator garantiert in seiner normalen Verwendung als symmetrisches (und erst recht als asymmetrisches) Konzelationssystem natürlich genausowenig Authentizität wie die Vernam Chiffre (vgl. Teil c)). Trotzdem lautet die Antwort auf die Frage: Ja. Man nehme einen informationstheoretisch sicheren Authentikationscode und verwende die durch den s2-mod-n-Generator generierte Folge als Schlüssel des Authentikationscodes. (Der wirklich auszutauschende Schlüssel ist also nur noch der Startwert für den s2-mod-n-Generator.) 3-13 Authentikation und Konzelation in welcher Reihenfolge? Sei x die Nachricht. Wenn asymmetrische Authentikation gewünscht ist, also eine digitale Signatur, sollte man zuerst signieren und dann verschlüsseln, so daß der Empfänger nach dem Entschlüsseln eine signierte Klartextnachricht zum Aufbewahren hat. Die Signatur muß mitverschlüsselt werden, weil sie i.allg. Information über die Nachricht enthält. Also: Sender bildet k(x, s(x)) bzw. c(x, s(x)), je nachdem ob das Konzelationssystem symmetrisch oder asymmetrisch ist. Wenn symmetrische Authentikation genügt, ist die Reihenfolge bzgl. Nützlichkeit egal: Man kann es machen wie oben, also k(x, MAC) bilden. (In diesem Fall wird man wohl kein asymmetrisches Konzelationssystem haben.) Oder man kann die verschlüsselte Nachricht authentisieren, also einen MAC zu k(x) bilden. Letzteres hat bzgl. Aufwand und Leistung 3 Vorteile: • Es „verbraucht“ bei Verwendung eines One-time-pads zur Konzelation weniger Schlüssel sowie immer weniger Rechenaufwand, da Konzelation die Länge der Nachricht nicht erhöhen muß, während Authentikation dies immer tut – und der Aufwand der zweiten Operation steigt mit der Länge ihrer Eingabe, d.h. der Ausgabe der ersten Operation. • Prüft man erst die Authentikation und schlägt dieser Test fehl, kann mensch sich das Entschlüsseln (und somit Aufwand) sparen. • Authentikationsprüfung und Entschlüsselung können parallel erfolgen, so daß die Antwortzeit verkürzt werden kann. 3-14 s2-mod-n-Generator a) Für n = 7•11 = 77, s = 2 ergibt sich als Folge si: 4 16 25 9 4 ... Folge bi: 0 0 1 1 0 ... und damit für den Klartext 0 1 0 1 bei Addition modulo 2 der Schlüsseltext 0 1 1 0. Der Entschlüsseler bildet auf genau die gleiche Art die Folge bi und errechnet durch Addition modulo 2 aus dem Schlüsseltext 0 1 1 0 den Klartext 0 1 0 1.
414 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 413 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr ziehen aus w wieder mod p und q einzeln rechnen. Wir hätten also auch w nicht mit dem QRA zusammensetzen müssen, d.h. die ganzen eingeklammerten Teile auslassen können.) Also: Wurzel w* aus dem Ergebnis von Schritt 1: Modulo 11: 4 (11+1)/4 = 43 ≡ 9; Modulo 7: 2 (7+1)/4 = 22 ≡ 4; Als nächstes muß durch 2 dividiert werden. Auch das geht mod p, q einzeln: (Erweiterter Euklidscher Algorithmus zur Bestimmung des multiplikativen Inversen von 2 und anschließende Multiplikation hiermit, oder Halbieren in ZZ von w* oder w*+p bzw. w*+q.) Modulo 11: w*/2 ≡ 10; Modulo 7: w*/2 ≡ 2; Die gesuchte Signatur S ist also eine der 4 Zahlen CRA(±10, ±2). Vor dem QRA müssen wir wieder für das Jacobi-Symbol +1 sorgen. Statt des Euler-Kriteriums können wir verwenden, daß (§3.5.1) ) ≡ +1. ( 2 ) = –1 und (2 p q Danach ist, da die Jacobi-Symbole von w* mod p und q jeweils 1 waren, ( w*/2 ) = –1 und (w*/2) ≡ +1. p q Also bilden wir CRA(–10, 2). (Man könnte auch CRA(10, –2) nehmen.) CRA(–10, 2) = CRA(1, 2) = –21•1 + 22•2 = 23. Wieder haben wir zufällig bereits diejenige der Zahlen ±S erwischt, die < 77/2 ist ⇒ S = 23. Das resultierende Authentikationssystem könnte gebrochen werden, wenn der Angreifer entweder den Authentikationscode oder den s2-mod-n-Generator brechen kann. Der Authentikationscode ist aber informationstheoretisch sicher, also bleibt der s2-mod-n-Generator. Für Spezialisten: Man müßte beweisen können, daß der Angreifer, um das System zu brechen, wirklich die QRA (Quadratische-Reste-Annahme) brechen muß, d.h. daß das resultierende System kryptographisch sicher ist. Skizze: Wenn man den Authentikationscode brechen kann, wenn die Schlüssel vom s2-mod-n-Generator gewählt werden, während er mit zufälligen Schlüsseln unbrechbar ist, ist das ein meßbarer Unterschied zwischen den Pseudozufallsfolgen und den echten Zufallsfolgen. Es ist aber bewiesen, daß unter der QRA beim s2-mod-n- Generator die Folgen durch keinen statistischen Test von echten Zufallsfolgen zu unterscheiden sind. e) Der Schlüsselaustausch bleibt gleich. Allerdings muß sich jeder der beiden nach der ersten Nachricht nicht mehr den Startwert s, sondern jeweils das aktuelle si merken. {Dies setzt voraus, daß der Empfänger die Schlüsseltexte jeweils genau einmal und in der gleichen Reihenfolge entschlüsselt, wie sie der Verschlüsseler verschlüsselt hat. Andernfalls muß sich der Entschlüsseler mehr merken. Vergleiche auch §3.8.2.) f) Nach §3.4.1.7 und §3.4.1.8 sowie Aufgabe 3-9 k) hat mod n (mit n=p•q, p, q ≡ 3 mod 4, p≠q) jedes Quadrat genau vier Wurzeln, von denen genau eine selbst ein Quadrat ist. Die Wurzel aus 1, die selbst wieder ein Quadrat ist, ist 1. Also gilt: Ist s0 ≠ 1, so sind auch alle folgenden inneren Zustände ≠ 1, denn 1 entsteht eben nur aus dem Quadrat 1. Also ist die Wahrscheinlichkeit, nach i Schritten den inneren Zustand 1 erreicht zu haben, gleich der Wahrscheinlichkeit, als Startwert s zufällig eine der vier Wurzeln der 1 zu wählen, also 4 / |ZZ * n |. Anmerkungen: 1. Es ist egal, ob erst durch 2 dividiert und dann der CRA angewandt wird oder umgekehrt. 2. Wenn Sie als Signatur 12 erhalten, dann haben Sie vergessen, die Jacobi-Symbole zu beachten. 12 hat das Jacobi-Symbol ) = (12) • (12 11 7 ) = 125 mod 11 • 123 mod 7 = 15 mod 11 • (-2) 3 mod 7 = -1. 3-15 GMR a) R = 28 liegt nicht im Definitionsbereich des Permutationenpaares, denn ggT(R, n) = ggT(28, 77) = 7. Also kann man daran auch nichts signieren. Deswegen folgt jetzt das Beispiel mit R = 17. (Dabei ist 17 ≡ 28 mod 11, also kann jemand, der mit 28 gerechnet hat, seine Rechnung ( 12 77 12 liegt also nicht im Definitionsbereich der Permutationen. Das Vertrackte ist, daß der Test der Signatur scheinbar trotzdem klappt: f0(f1(12)) = 17, denn f1(12)= 4•122 mod 77 = 4•144 mod 77 = 4 • -10 mod 77 = 37. f0 (37) = -(372 ) mod 77 = 17. Also muß die Prüfung, ob die Signatur im Definitionsbereich der Permutationen liegt, Teil des Tests der Signatur sein. mod 11 hier wiederfinden.) Da ggT(17, 77) = 1 und ( 17 6 ) = (17) • (17) = ( ) • (3 77 11 7 11 7 ) = (6(11–1)/2 mod 11) • (3 (7– 1)/2 mod 7) = (-1) • (-1) = 1, liegt R = 17 im Definitionsbereich des Permutationenpaares. Da die Nachrichten immer 2 bit lang sind, braucht man keine präfixfreie Abbildung. Es ist also direkt S := f –1 m (R) zu bilden. Dies ist (vgl. §3.5.3) S = f –1 01 (17) = f1 –1 (f0 –1 (17)). b) Da 8 Nachrichten signiert werden sollen, hat der Referenzenbaum die Tiefe b = 3, wie in den Bildern in §3.5.4. Analog zu Bild 3-26 besteht die 4. Signatur, d.h. die an R011 hängende, aus folgenden Teilen: („Teile“ sind dabei genau die Punkte: Die schwarzen Referenzen und die grauen Signaturen.) Schritt 1: Zunächst wird x := f –1 0 (17) benötigt. Nach §3.5.2 ist zunächst zu testen, ob 17 oder –17 das Quadrat ist. (Vgl. §3.4.1.7) Modulo p = 11: 17 ≡ 6; Euler-Kriterium: 6 (11–1)/2 = 65 ; 62 ≡ 3; 64 ≡ 32 ≡ 9; 65 ≡ 9•6 ≡ –1 ⇒ 17 ∉ QRp ⇒ 17 ∉ QRn . Also ist die Wurzel w aus –17 ≡ 60 zu ziehen. Modulo p = 11: 60 ≡ 5; 5 (11+1)/4 = 53 ≡ 4; Modulo q = 7: 60 ≡ 4; 4 (7+1)/4 = 42 ≡ 2; (Man kann das folgende abkürzen, aber der Vollständigkeit halber sei es zunächst vorgeführt: Mit dem QRA und den „Basisvektoren“ aus Aufg. 3-9 g) ergibt sich w = –21•4 + 22•2 = – 40 ≡ 37. Dies w ist diejenige der 4 Wurzeln, die selbst Quadrat ist. x soll die mit Jacobi- Symbol +1 sein (also ±w), die < 77/2 ist. Das trifft auf w zu, also x = 37.) Schritt 2: Jetzt wird S = f –1 1 (x) = f1 –1 (37) berechnet, also S ∈ Dn mit (2S) 2 ≡ ±37. (Als erstes müßten wir wieder testen, ob x oder –x das Quadrat ist. Das wissen wir aber noch aus dem ersten Schritt: Wir hatten ja sowieso erst die Wurzel w berechnet, die das Quadrat war. Man kann also gleich mit w weitermachen. Außerdem müssen wir jetzt zum Wurzel-
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162: 310 A. Pfitzmann: Datensicherheit u
Seite 211: 410 A. Pfitzmann: Datensicherheit u
Seite 231 und 232: A. Pfitzmann: Datensicherheit und K
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?