Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
426<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
425<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
Kle<strong>in</strong>er Denkfehler – große Unsicherheit. (Entsprechendes gilt für den „Taschenrechner“, wenn er<br />
auch als Zweiter im Protokoll agiert, das Protokoll also auch bzgl. der Rollen <strong>in</strong> ihm symmetrisch<br />
ist. Vorstellbar wäre dies etwa, wenn Teilnehmer sich gleichzeitig <strong>in</strong> mehreren Großrechnern<br />
e<strong>in</strong>loggen können.)<br />
1. Sitzung 2. Sitzung<br />
z<br />
k(z), z'<br />
k(z') k<br />
k(z'), z''<br />
?<br />
z'<br />
?<br />
Angriff wiederholen<br />
oder LOGIN abbrechen.<br />
2. gilt, da von h<strong>in</strong>ten bis zum ersten Bit des festen Wertes, z.B. 1, zurückgegangen werden<br />
kann. Alle diese Bits s<strong>in</strong>d angehängt – ihr Abhängen ergibt den ursprünglichen Klartext.<br />
3. erfordert zunächst, daß def<strong>in</strong>iert wird, was "m<strong>in</strong>imale Längenexpansion" bedeutet.<br />
S<strong>in</strong>nvolle Def<strong>in</strong>itionen könnten lauten:<br />
• Die Expansion über alle möglichen Klartexte ist m<strong>in</strong>imal.<br />
• Die Expansion über alle möglichen Klartexte, gewichtet mit der Wahrsche<strong>in</strong>lichkeit<br />
ihres Auftretens, ist m<strong>in</strong>imal. Bei Gleichverteilung ist diese Def<strong>in</strong>ition gleich der<br />
vorherigen.<br />
• Im ungünstigsten Fall, d.h. für den ungünstigsten Klartext, ist die Expansion m<strong>in</strong>imal.<br />
Für die letzte Def<strong>in</strong>ition etwa gilt die Behauptung für die angegebene Codierung, da jede<br />
solche Codierung bei zum<strong>in</strong>dest e<strong>in</strong>em Klartext immer m<strong>in</strong>destens e<strong>in</strong> Bit h<strong>in</strong>zufügen muß<br />
(um zwischen "aufgefüllt" <strong>und</strong> "nicht aufgefüllt" zu unterscheiden) <strong>und</strong> die angegebene<br />
Codierung, wenn möglich, nur genau e<strong>in</strong> Bit h<strong>in</strong>zufügt. Vermutlich erfüllt die angegebene<br />
Codierung auch die erste Def<strong>in</strong>ition (Sie können es ja mal versuchen zu beweisen). Bei der<br />
zweiten Def<strong>in</strong>ition kann man für jede feste Codierung die Verteilung des Auftretens der<br />
Klartexte so wählen, daß die Codierung nicht m<strong>in</strong>imal längenexpandierend ist.<br />
Richtige Protokolle kann man erhalten, <strong>in</strong>dem entweder die beteiligten Instanzen e<strong>in</strong> Gedächtnis<br />
bekommen <strong>und</strong> an die Zufallszahlen Bed<strong>in</strong>gungen stellen (was der Idee Zufallszahl eigentlich<br />
widerspricht) oder sich beide nicht symmetrisch verhalten. Dies können sie, <strong>in</strong>dem entweder<br />
• vor dem Verschlüsseln z.B. die eigene Identität (etwa T für Taschenrechner <strong>und</strong> G für<br />
Großrechner) mit der Zufallszahl konkateniert wird oder<br />
f) Das Schieberegister <strong>und</strong> die Rückkopplung wird durch e<strong>in</strong>en Zähler ersetzt, der ausgehend<br />
von e<strong>in</strong>em Initialisierungswert für jede Ausgabee<strong>in</strong>heit hochzählt. Um Ausgabee<strong>in</strong>heit i zu<br />
bearbeiten, wird also zum Initialisierungswert i-1 addiert – dann kann's losgehen. Naheliegenderweise<br />
heißt diese Betriebsart Counter Mode [Schn_96 Seite 205].<br />
G<br />
T<br />
z, T<br />
k(z, T), z', G<br />
k k<br />
k(z', G)<br />
3-18a Spiegelangriff<br />
Der Großrechner implementiere (neben anderen nützlichen Funktionen) dieselbe sichere Blockchiffre.<br />
Zwischen Großrechner <strong>und</strong> jedem Teilnehmer (genauer: „Taschenrechner“) sei jeweils e<strong>in</strong><br />
unabhängig gewählter Schlüssel ausgetauscht. Beim LOGIN führen sie jeweils folgendes Identifikationsprotokoll<br />
durch: Sende Zufallszahl, erwarte Verschlüsselung, entschlüssele, vergleiche.<br />
All dies <strong>in</strong> beiden Richtungen, d.h. Großrechner identifiziert Teilnehmer <strong>und</strong> Teilnehmer<br />
identifiziert Großrechner. (Der E<strong>in</strong>fachheit halber ist im folgenden Bild die mit zu übermittelnde<br />
Identität des Teilnehmers, damit der Großrechner unter vielen ihm bekannten den richtigen<br />
Schlüssel auswählen kann, nicht gezeichnet.)<br />
• der e<strong>in</strong>e nur ver- <strong>und</strong> der andere nur entschlüsselt oder<br />
• statt e<strong>in</strong>em Schlüssel je Paarbeziehung zwei verwendet werden. Mit dem e<strong>in</strong>en verschlüsselt<br />
der Großrechner <strong>und</strong> der „Taschenrechner“ entschlüsselt mit ihm nur, <strong>und</strong> mit dem anderen<br />
verschlüsselt nur der „Taschenrechner“ <strong>und</strong> der Großrechner entschlüsselt mit ihm nur.<br />
z<br />
k(z), z'<br />
k k<br />
k(z')<br />
z<br />
k'<br />
k<br />
k '(z), z'<br />
k' -1<br />
-1<br />
k(z')<br />
k<br />
Wenig geschickt, aber auch sicher, wäre es, wenn – wie <strong>in</strong> 3-4 e) – jeder selbst erst dann auf<br />
Zufallszahlen reagiert, wenn er auf alle von ihm selbst ausgesendeten schon Antwort erhalten hat.<br />
Damit könnte der Großrechner dann ke<strong>in</strong>e LOGINs mehr parallel abwickeln.<br />
Verhalten sich „Taschenrechner“ <strong>und</strong> Großrechner absolut gleich (wie <strong>in</strong> der bisherigen<br />
Beschreibung <strong>und</strong> im Bild unterstellt), so ist dies Protokoll unabhängig von der Stärke der<br />
Blockchiffre noch unsicher: Erlaubt der Großrechner mehrere Sitzungen gleichzeitig, so kann die<br />
von ihm generierte, zweite Zufallszahl <strong>in</strong> der ersten Sitzung als erste Zufallszahl <strong>in</strong> der zweiten<br />
Sitzung verwendet werden. Wenn der Großrechner dies nicht merkt (etwa durch die restriktive<br />
Maßnahme: nur e<strong>in</strong> LOGIN pro Teilnehmer gleichzeitig) <strong>und</strong> <strong>in</strong> Sitzung zwei richtig antwortet,<br />
kann ihm die <strong>in</strong> Sitzung zwei gegebene richtige Antwort auf se<strong>in</strong>e eigene Frage <strong>in</strong> Sitzung e<strong>in</strong>s als<br />
richtige Antwort gegeben werden. Mit diesem Spiegelangriff erkennt der Großrechner also nicht<br />
den symmetrisch gleichen „Taschenrechner“, sondern im Spiegel nur sich selbst. Pech gehabt!