Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 424 423 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Werden die Werte im Schieberegister nicht vor jeder Nachricht neu initialisiert, so kann der Angreifer zu einem von ihm gewählten Klartext den Schlüsseltext mittels eines aktiven Angriffs erfragen (geht sowohl bei der Betriebsart ECB, CBC, als auch CFB) und danach diesen Klartext im Schieberegister hinterlassen und geduldig auf die nächste Ausgabeeinheit warten, den ihm bekannten Wert subtrahieren, sich freuen ... selbst synchronisiert, wird der letzte Block trotzdem richtig entschlüsselt, also als lauter Nullen, und der Angriff wird nicht automatisch erkannt. CFB zur Authentikation: Es gilt das bzgl. „CBC zur Authentikation“ Gesagte. OFB: Der Angreifer muß den Wert im Schieberegister vorhersehen oder herbeiführen. Letzteres kann er nicht durch die Wahl eines geeigneten Klartextstromes, da dieser nicht in die Rückführung eingeht. Es hängt also allein von der Initialisierung des Schieberegisters ab, ob ein aktiver Angriff erfolgreich ist. c) Wenn hier ein Schlüsseltextblock geändert wird, so wird die Entschlüsselung dieses Blocks vollkommmen anders. Somit steht beim nächsten Block im Klartextblockspeicher ein ganz falscher Block. Dieser Fehler wird i.allg. nicht wegsynchronisiert, da bei jedem Block nach der Entschlüsselung eine Funktion des alten falschen Klartexts dazuaddiert wird, so daß sich wieder ein falscher Klartext ergibt und somit auch der Klartextblockspeicher wieder falsch geladen wird. {Die Begründung, PCBC sei eine synchrone Chiffre, und dies sei hinreichend, daß der Angriff nicht funktioniert, ist falsch. Hierfür ist „synchron“ in §3.8.1 zu schwach definiert, da hierfür selbst die Abhängigkeit von der Position innerhalb der Nachricht reicht. Ein Beispiel möge dies erläutern: OFB ist eine synchrone Stromchiffre, aber solange man keine Schlüsseltextbits des Authentikators ändert oder Schlüsseltextbits wegläßt, kann man im Schlüsseltext beliebig ändern.} PCBC: Um die bei CBC beschriebenen Vorteile, d.h. gleiche Erfolgswahrscheinlichkeit wie bei ECB, zu erreichen, kann ein Angreifer auch bei PCBC versuchen, die Werte in den beiden Speichern aktiv zu setzen, um einen ihm genehmen Wert von h einzustellen. Außer bei Initialisierungen hat er aber hierbei gegenüber CBC zusätzliche Schwierigkeiten, was der folgende Versuch, bei PCBC die Werte in den Speichern auf gewünschte Werte zu setzen, verdeutlicht: Sende Klartextblock K1. Danach ist der Wert im Speicher für den Klartextblock bekannt (K1) und durch Beobachtung des ausgegebenen Schlüsseltextblocks S1 auch der Wert im Speicher für den Schlüsseltextblock. Hieraus kann h(K1,S1) berechnet werden. Trotzdem ist es nun schwierig, beide Werte in den Speichern auf gewünschte Werte zu setzen. Zwar kann man den Klartextblock K2 so wählen, daß K2+h(K1,S1) einen gewünschten Wert annimmt und dadurch der diesem Wert zugeordnete Schlüsseltextblock S2 entsteht. Aber hierzu muß man den Klartextblock K2 variieren und hierdurch ändert sich der Wert im Speicher für den Klartextblock. Entsprechendes gilt, wenn man den Wert des Klartextblocks K2 wählt. Dann bewirkt die Addition von h(K1,S1) einen unerwünschten Wert S2. Für geeignete Funktionen h ist das Einstellen eines Wertes aus einer kleinen Menge von Werten also schwierig. Deshalb kann selbst eine dem Angreifer bekannte ungleichmäßige Verteilung von Klartexten vermutlich nicht zur Erzielung von Vorteilen bei aktiven Angriffen genutzt werden, wenn die Initialisierung der Speicher geeignet erfolgt, vgl. das unter „CBC zur Authentikation“ Gesagte. d) ECB: Der Angreifer kann nicht viel erreichen, da die Blockchiffre als sicher angenommen und in ECB eins-zu-eins als Blockchiffre verwendet wird. Somit verbleiben nur die bei der Definition der Blockchiffre erwähnten Nachteile und die ihnen entsprechenden Angriffe: Bei deterministischen Blockchiffren kann der Angreifer seine Möglichkeit zum aktiven Angriff nutzen und wahrscheinliche Klartexte verschlüsseln lassen. Die zugehörigen Schlüsseltexte kann er dann mit beobachteten Schlüsseltexten vergleichen. Mit Glück kann er so manche der beobachteten Schlüsseltexte „entschlüsseln“, selbst bei Pech kann er so manche Klartexte ausschließen. CBC zur Konzelation: Der Angreifer kann durch aktive Angriffe die Werte in den Speichergliedern setzen. Werden diese Werte dann einfach weiterverwendet, d.h. beginnt nicht jede Nachricht mit einem vom Sender gewählten Wert der Speicherglieder, so kann nach einem aktiven Angriff auf den ersten Block ein Angriff wie für ECB und mit gleicher Erfolgswahrscheinlichkeit durchgeführt werden. Wird der Wert der Speicherglieder nach den aktiven Angriffen jeweils wieder neu gesetzt, so kann der Angreifer zwar im Schlüsseltext nach Blöcken suchen, deren Klartext er kennt (beispielsweise von einem aktiven Angriff in der Betriebsart ECB oder CBC). Zu diesen Blöcken kann er dann den ihnen in der Betriebsart CBC entsprechenden Klartext errechnen: Er braucht nur den vorherigen Schlüsseltext zu subtrahieren. Aber dieses Suchen ist mühseliger, da der Angreifer die verschlüsselten Werte nicht so gut vorhersehen (und damit während seines aktiven Angriffs verschlüsseln lassen) kann. Seine Erfolgswahrscheinlichkeit ist also bei geeignetem Neusetzen der Werte der Speicherglieder geringer als bei dem entsprechenden Angriff auf ECB. OCFB: Im Gegensatz zu PCBC kann bei OCFB der Wert im Schieberegister vom Angreifer auch ohne Initialisierung eingestellt werden, sofern • h keine Einwegfunktion ist und • er das Ergebnis der Verschlüsselung Erg erfährt, bevor er sich auf die zugehörige Einheit des Klartextstromes festlegen muß: Mit Erg kennt der Angreifer den Wert des einen Eingabeparameters von h und kann, sofern h keine Einwegfunktion ist, zu vielen gewünschten Ergebnissen von h einen passenden Wert des zweiten Eingabeparameters ermitteln. Von diesem Wert subtrahiert der Angreifer „Wähle aus“(Erg) und erhält so die Einheit des Klartextstromes, die er eingeben muß, um das von ihm gewünschte Ergebnis von h zu erhalten. Wiederholt der Angreifer dies ⎡b/r⎤ mal, so steht im Schieberegister ein von ihm gewünschter Wert. Damit gilt das unter „CFB zur Konzelation“ Gesagte entsprechend. e) Die Codierung erfolgt folgendermaßen: Hänge an den Klartext ein Bit eines festen Wertes, z.B. 1. Entsteht hierdurch nicht ein Vielfaches der Blocklänge, so fülle danach mit Bits des anderen Wertes, z.B. 0, bis zum nächsten Vielfachen der Blocklänge auf. 1. gilt, da bis zum nächsten Vielfachen der Blocklänge aufgefüllt wird. CBC zur Authentikation: Werden einzelne Blöcke authentiziert, so gilt alles für Konzelation mit CBC Gesagte entsprechend. Bei der Authentikation mehrerer Blöcke zusammen muß der Angreifer selbst im günstigen Fall, daß die Werte der Speicherglieder nicht immer wieder neu initialisiert werden, die genauen Werte der Blöcke und ihre Folge richtig raten, eine bei sinnvoller Blocklänge fast aussichtslose Aufgabe. Vorausgesetzt wird hierbei, daß die zu authentisierenden Werte vom Angreifer nicht schon während seines aktiven Angriffes „abgefragt“ werden können, da hiergegen kein kryptographisches Verfahren Sicherheit bieten kann. Dieses „Nicht-rechtzeitig-vorher-Wissen“ sicherzustellen, ist Aufgabe des umgebenden Protokolls. Im einfachsten Fall könnte jeweils der Partner einen Teil der zu authentisierenden Nachricht erzeugen. CFB zur Konzelation: Der Angreifer ist immer dann bezüglich der folgenden Ausgabeeinheit erfolgreich, wenn er die Verschlüsselung des im Schieberegister befindlichen Wertes kennt.
426 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 425 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Kleiner Denkfehler – große Unsicherheit. (Entsprechendes gilt für den „Taschenrechner“, wenn er auch als Zweiter im Protokoll agiert, das Protokoll also auch bzgl. der Rollen in ihm symmetrisch ist. Vorstellbar wäre dies etwa, wenn Teilnehmer sich gleichzeitig in mehreren Großrechnern einloggen können.) 1. Sitzung 2. Sitzung z k(z), z' k(z') k k(z'), z'' ? z' ? Angriff wiederholen oder LOGIN abbrechen. 2. gilt, da von hinten bis zum ersten Bit des festen Wertes, z.B. 1, zurückgegangen werden kann. Alle diese Bits sind angehängt – ihr Abhängen ergibt den ursprünglichen Klartext. 3. erfordert zunächst, daß definiert wird, was "minimale Längenexpansion" bedeutet. Sinnvolle Definitionen könnten lauten: • Die Expansion über alle möglichen Klartexte ist minimal. • Die Expansion über alle möglichen Klartexte, gewichtet mit der Wahrscheinlichkeit ihres Auftretens, ist minimal. Bei Gleichverteilung ist diese Definition gleich der vorherigen. • Im ungünstigsten Fall, d.h. für den ungünstigsten Klartext, ist die Expansion minimal. Für die letzte Definition etwa gilt die Behauptung für die angegebene Codierung, da jede solche Codierung bei zumindest einem Klartext immer mindestens ein Bit hinzufügen muß (um zwischen "aufgefüllt" und "nicht aufgefüllt" zu unterscheiden) und die angegebene Codierung, wenn möglich, nur genau ein Bit hinzufügt. Vermutlich erfüllt die angegebene Codierung auch die erste Definition (Sie können es ja mal versuchen zu beweisen). Bei der zweiten Definition kann man für jede feste Codierung die Verteilung des Auftretens der Klartexte so wählen, daß die Codierung nicht minimal längenexpandierend ist. Richtige Protokolle kann man erhalten, indem entweder die beteiligten Instanzen ein Gedächtnis bekommen und an die Zufallszahlen Bedingungen stellen (was der Idee Zufallszahl eigentlich widerspricht) oder sich beide nicht symmetrisch verhalten. Dies können sie, indem entweder • vor dem Verschlüsseln z.B. die eigene Identität (etwa T für Taschenrechner und G für Großrechner) mit der Zufallszahl konkateniert wird oder f) Das Schieberegister und die Rückkopplung wird durch einen Zähler ersetzt, der ausgehend von einem Initialisierungswert für jede Ausgabeeinheit hochzählt. Um Ausgabeeinheit i zu bearbeiten, wird also zum Initialisierungswert i-1 addiert – dann kann's losgehen. Naheliegenderweise heißt diese Betriebsart Counter Mode [Schn_96 Seite 205]. G T z, T k(z, T), z', G k k k(z', G) 3-18a Spiegelangriff Der Großrechner implementiere (neben anderen nützlichen Funktionen) dieselbe sichere Blockchiffre. Zwischen Großrechner und jedem Teilnehmer (genauer: „Taschenrechner“) sei jeweils ein unabhängig gewählter Schlüssel ausgetauscht. Beim LOGIN führen sie jeweils folgendes Identifikationsprotokoll durch: Sende Zufallszahl, erwarte Verschlüsselung, entschlüssele, vergleiche. All dies in beiden Richtungen, d.h. Großrechner identifiziert Teilnehmer und Teilnehmer identifiziert Großrechner. (Der Einfachheit halber ist im folgenden Bild die mit zu übermittelnde Identität des Teilnehmers, damit der Großrechner unter vielen ihm bekannten den richtigen Schlüssel auswählen kann, nicht gezeichnet.) • der eine nur ver- und der andere nur entschlüsselt oder • statt einem Schlüssel je Paarbeziehung zwei verwendet werden. Mit dem einen verschlüsselt der Großrechner und der „Taschenrechner“ entschlüsselt mit ihm nur, und mit dem anderen verschlüsselt nur der „Taschenrechner“ und der Großrechner entschlüsselt mit ihm nur. z k(z), z' k k k(z') z k' k k '(z), z' k' -1 -1 k(z') k Wenig geschickt, aber auch sicher, wäre es, wenn – wie in 3-4 e) – jeder selbst erst dann auf Zufallszahlen reagiert, wenn er auf alle von ihm selbst ausgesendeten schon Antwort erhalten hat. Damit könnte der Großrechner dann keine LOGINs mehr parallel abwickeln. Verhalten sich „Taschenrechner“ und Großrechner absolut gleich (wie in der bisherigen Beschreibung und im Bild unterstellt), so ist dies Protokoll unabhängig von der Stärke der Blockchiffre noch unsicher: Erlaubt der Großrechner mehrere Sitzungen gleichzeitig, so kann die von ihm generierte, zweite Zufallszahl in der ersten Sitzung als erste Zufallszahl in der zweiten Sitzung verwendet werden. Wenn der Großrechner dies nicht merkt (etwa durch die restriktive Maßnahme: nur ein LOGIN pro Teilnehmer gleichzeitig) und in Sitzung zwei richtig antwortet, kann ihm die in Sitzung zwei gegebene richtige Antwort auf seine eigene Frage in Sitzung eins als richtige Antwort gegeben werden. Mit diesem Spiegelangriff erkennt der Großrechner also nicht den symmetrisch gleichen „Taschenrechner“, sondern im Spiegel nur sich selbst. Pech gehabt!
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168: 322 A. Pfitzmann: Datensicherheit u
Seite 217: 422 A. Pfitzmann: Datensicherheit u
Seite 231 und 232: A. Pfitzmann: Datensicherheit und K
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?