Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

428 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 427 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr bzw. Entschlüsseln und/oder Authentisieren der Nachricht genommen. Ein Angreifer muß dann zu vielen verschiedenen Zeiten an vielen verschiedenen Orten präsent sein, um alle Pads und die verschlüsselte Nachricht abzuhören bzw. die authentisierte Nachricht zu verfälschen. Die Maßnahme erschwert zwar Angriffe auf die Vertraulichkeit und Integrität, erleichtert aber aktive Angriffe auf die Verfügbarkeit: Es genügt, daß der Angreifer eines der pads (oder natürlich auch die eigentliche Nachricht) abfängt oder verfälscht. Als kryptographische Systeme können das One-time pad und informationstheoretisch sichere Authentikationscodes verwendet werden. Ersteres geht nun wirklich einfach und auch letzteres mit vertretbarem Aufwand ohne Rechnerhilfe. b) Nachdem wieder beide je ein Kryptogerät haben, können sie auch asymmetrische kryptographische Systeme verwenden. Hierzu müssen alle Kryptogeräte, die ihre geheimen Schlüssel gelöscht haben, neue Schlüsselpaare erzeugen. Zusätzlich zu a) sagt einer dem andern z.B. am Telefon noch die öffentlichen Schlüssel – denn Alice Kryptogerät hat auch Bobs öffentliche Schlüssel gelöscht, da es beim besten Willen nicht vorhersehen konnte, ob nur die geheimen Schlüssel ausgeforscht oder auch die öffentlichen unbefugt geändert werden sollten. (Heutzutage wird durch die Erkennung des Sprechers beim Telefonieren der Inhalt authentifiziert. Klappt demnächst Sprachsynthese auch in der Variante Sprecherimitation gut, fällt dieses Argument weg. Man sollte sich also nicht allein auf diese Authentikation verlassen.) Danach werden mit den öffentlichen Schlüsseln noch ein oder mehrere zusätzliche pads ausgetauscht oder signierte Nachrichten direkt geprüft. Haben Großrechner und „Taschenrechner“ eine genügend genaue Uhr, so kann man sich einmal Abtippen vom Terminal ersparen, indem statt Zufallszahlen Datum und Uhrzeit verwendet werden. (Hier sei an Aufgabe 2-3 erinnert und die dortige Bemerkung, möglichst schwache Annahmen über die Zufallszahlenerzeugung zu machen.) Nicht toleriert wird, daß ein Angreifer z.B. nach dem LOGIN „einsteigt“. Um diesen Angriff abzuwehren, ist kontinuierliche Authentikationsprüfung nötig. (Man beachte aber, daß in dieser Aufgabe eine Blockchiffre mit ziemlich starken Sicherheitseigenschaften benötigt wird. Sie wird ja hier eher als Authentikations- als als Konzelationssystem verwendet, und nicht jedes Konzelationssystem eignet sich auch zur Authentikation, s. Aufg. 3-7 d). Es muß z.B. gelten, wenn man die Uhrzeit verwendet, daß ein Angreifer nicht aus der Verschlüsselung einer Nachricht die Verschlüsselung anderer, ähnlicher Nachrichten erraten kann.) Haben Alice und Bob Vorsorge für den Fall eines Schlüsselverlustes getroffen und ein gemeinsames Geheimnis vereinbart, das beide in ihrem Kopf (und folglich immer dabei) haben, können sie natürlich auch dieses Geheimnis als Startwert für die Generierung eines gemeinsamen Schlüssels verwenden. Insbesondere interessant ist dies für Fall b). Aus einem von beiden leicht zu merkenden Passphrase (einer relativ langen Zeichenkette mit wenig Entropie pro Zeichen) kann durch Anwenden einer kryptographischen Hashfunktion (die allgemein bekannt sein kann) ein kürzerer Funktionswert mit mehr Entropie pro Zeichen gewonnen werden. Dieser Funktionswert kann dann als Startwert für die Schlüsselgenerierung oder auch direkt als symmetrischer Schlüssel verwendet werden. 3-21 Identifikation und Authentikation mittels asymmetrischem Konzelationssystem a) U generiert eine Zufallszahl z und verschlüsselt diese so, daß nur T sie entschlüsseln kann: cT (z). U sendet cT (z) an die Instanz, die T sein soll, und erwartet, daß sie ihm – je nach Protokoll – entweder z zurückschickt oder z in einer weiteren kryptographischen Operation verwendet und das Operationsergebnis zurückschickt. Tut sie das, so war (unter der Annahme, daß cT authentisch und das asymmetrische Konzelationssystem sicher ist und z wirklich zufällig gewählt wurde) das „richtige“ T (mit durch die Länge von z bestimmter Wahrscheinlichkeit) involviert. Hiermit hat U den Teilnehmer T identifiziert. Aber Vorsicht: Wird so naiv vorgegangen, funktioniert der in Aufgabe 3-18a beschriebene verändernde Angriff auch hier. Will sich ein Angreifer A als Teilnehmer T ausgeben, schickt er cT(z) einfach an T weiter und das, was er von T erhält, danach an U. Kurzum: Das Protokoll identifiziert nicht den direkten Kommunikationspartner, sondern stellt nur sicher, daß T auch involviert ist, insbesondere z erfährt. Codiert U die Botschaft, die er T zukommen lassen möchte, also in diese erste Nachricht, etwa z := cT(Botschaft), so erfüllt das Protokoll seinen Zweck doch. U weiß nach Erhalt von z, daß T die Botschaft Botschaft erhalten hat. (Warnung: Wenn sie eine wesentlich andere Lösung haben, dann prüfen Sie, ob sie T seinen geheimen Schlüssel dT haben auf etwas anwenden lassen, das vorher nicht mit cT verschlüsselt wurde. Solch eine Operation, d.h. erst dT (zum Signieren) und danach cT (zum Prüfen der 3-19 Ende-zu-Ende-Verschlüsselung Egal ob mit symmetrischer oder asymmetrischer Kryptographie gearbeitet wird: Jeder Benutzer benötigt zumindest einen geheimen Schlüssel. Das Hauptproblem ist bei einem von mehreren Personen genutzten Rechner also, wo jeder seine geheimen Schlüssel so aufheben kann, daß die anderen legitimen Benutzer des Rechners sie nicht unbefugt nutzen können. Traut man dem Betriebssystem, daß es verschiedene legitime Benutzer bezüglich des Zugriffs auf vertrauliche Daten voneinander isoliert, und dem Hardwareschutz (Gehäuse etc.) des Rechners bzgl. der Vereitelung von Eindringversuchen physischer Art, so ist das Problem per Definition gelöst. Vertraut man dem Rechner gar nicht, so muß nicht nur die Schlüsselspeicherung, sondern auch die Verschlüsselung, Entschlüsselung, das Testen von Signaturen und vor allem das Signieren in einem separaten, persönlichen Rechner geschehen. Dieser sollte, damit er mit seinem Benutzer direkt kommunizieren kann, zumindest über eine kleine Tastatur und ein kleines Display verfügen. Physische Ausprägungen reichen von sogenannter „Super smart card“ (Chipkarte mit Display und Tatstatur), über sogenannte Smart Diskettes (Rechner in Diskettenform, die mit anderen über deren Laufwerk kommunizieren, so daß kein Chipkartenleser benötigt wird und mehr Platz als in einer Chipkarte mit den genormten Magnetstreifenkartenabmessungen zur Verfügung steht) bis Notebookcomputer. Ein Kompromiß bzgl. Aufwand und Sicherheit besteht darin, daß jeder Benutzer beim LOGIN ein Paßwort solcher Länge (genauer: Entropie) eingibt, daß aus ihm ein Schlüssel eines symmetrischen Konzelationssystems gebildet werden kann. Mit diesem Schlüssel werden dann die eigentlich für die Ende-zu-Ende-Verschlüsselung benötigten Schlüssel zu Sitzungsbeginn ent- und am Sitzungsende wieder verschlüsselt. Dieses Verfahren ist natürlich zu brechen, wenn entweder die Paßworte doch zu wenig Entropie enthalten oder das symmetrische Konzelationssystem gebrochen werden kann oder andere Benutzer durch ein Anwendungs-Programm, was das LOGIN simuliert (so daß der nächste Benutzer glaubt, er kommuniziere mit dem Betriebssystem), an eine Kopie des Paßwortes gelangen können. Letzteres kann etwa dadurch verhindert werden, daß vor dem LOGIN der Rechner grundsätzlich auf Hardwaremanipulationen untersucht und mit dem authentischen Betriebssystem gebootet wird. Damit sind „nur“ noch Eindringversuche erkennende Gehäuse, vgl. §2.1, und authentisches Booten nötig, vgl. [Cles_88, ClPf_91, Groß_91]. 3-20 Ende-zu-Ende-Verschlüsselung ohne vorher ausgetauschten Schlüssel a) Wer dem andern eine Nachricht senden will, generiert viele One-time pads. Er sendet dann die pads einzeln über verschiedene Wege (z.B. via Umweg über einem Bekannten und möglichst von unterschiedlichen Orten aus, z.B. Wohnung, Büro, Telefonzellen) und Medien (z.B. Telefon, Telex, Datex) und dies möglichst noch zu unterschiedlichen Zeiten (sofern der Dienst dies zuläßt, d.h. keine Realzeitforderungen stellt). Die Summe aller pads wird dann zum Ver-
430 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 429 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Sender A Empfänger B Kennt kAB Kennt kAB Zu übertragen sei Nachricht b1, ... bn mit bi ∈ {0, 1} Berechnet MAC1 := code(kAB,b1) ... MACn := code(kAB,bn) Überträgt MAC1 ... MACn ––––––––––––––––––––––––––––> Probiert, ob MAC1 = code(kAB,0) oder MAC1 = code(kAB ,1) und empfängt den passenden Wert b1 ... probiert, ob MACn = code(kAB ,0) oder MACn = code(kAB,1) und empfängt den passenden Wert bn Signatur) ist zwar bei manchen Konzelationssystemen, z.B. RSA, möglich – aber eben nicht bei allen. Ist es möglich, so können Sie das Konzelationssystem auch als Signatursystem verwenden, wodurch die Aufgabe natürlich trivial lösbar ist.) b) Das asymmetrische Konzelationssystem muß gegen adaptive Angriffe mit gewählten Schlüsseltexten sicher sein. Sonst können die Antworten des sich Identifizierenden zum Brechen seines asymmetrischen Konzelationssystems verwendet werden. c) Konstruktion eines symmetrischen Authentikationsprotokolls aus einem asymmetrischen Konzelationssystem: 1. T schickt Nachricht Ni an U. 2. U generiert Zufallszahl z, verschlüsselt Ni und z und schickt cT(Ni,z) an T. 3. T entschlüsselt mit dT und prüft, ob sein Ni aus Schritt 1 dem in Schritt 2 erhaltenen entspricht. Wenn ja, schickt er z an U, ansonsten gibt er z nie aus. 4. Erhält U die von ihm generierte Zufallszahl z, so weiß er, daß Ni von T und authentisch ist. Das Authentikationssystem ist nur symmetrisch, da die Zufallszahl z für andere keinerlei Aussagekraft, insbesondere also keinerlei Beweiswert hat – schließlich wurde z von U und nicht etwa T generiert. Also kann U sich z beliebig selbst zuschicken. Der Nachteil gegenüber normalen Authentikationssystemen ist, daß das Protokoll drei Nachrichten statt einer braucht. Es auszuführen dauert also einerseits länger und belastet andererseits das Kommunikationsnetz mehr. Damit der Empfänger ausprobieren kann, welches Bit zum MAC paßt, müssen die MACs lang genug sein. Der kleine Authentikationscode aus Bild 3-15 beispielsweise ist ungeeignet: Bei Schlüssel 00 kann mit dem MAC 0 sowohl H wie auch T authentisiert werden – der Empfänger kann also nicht entscheiden, ob H oder T übermittelt wird. Entsprechendes gilt für den Schlüssel 11 für MAC 1. Ist der MAC genügend lang, so tritt solch ein Fall nur mit vernachlässigbarer Wahrscheinlichkeit auf. Die Nachricht ist mit dem beschriebenen Verfahren perfekt konzeliert, da außer Sender und Empfänger niemand prüfen kann, welche Bits zu den MACs passen und welche nicht. Denn könnte das jemand mit einer besseren Wahrscheinlichkeit als 0,5, dann wäre dies ein Ansatz zum Brechen des Authentikationssystems. Sind die MACs genügend lang, dann ist die konzeliert übertragene Nachricht sogar noch authentisiert: Ändert ein Angreifer einen MAC, so paßt der geänderte MAC mit überwältigender Wahrscheinlichkeit entweder weder zu 0 noch zu 1 oder aber weiterhin zum gleichen Bitwert. Wäre es anders, so könnte das Authentikationssystem mit nichtvernachlässigbarer Wahrscheinlichkeit gebrochen werden: Der Angreifer würde den MAC in gleicher Weise ändern und das bei normaler Verwendung des Authentikationssystems explizit übertragene Nachrichtenbit invertieren. Statt einzelne Bits zu authentisieren, kann es effizienter sein, dies jeweils mit einem MAC für mehrere Bits gleichzeitig zu tun. Dies spart Übertragungsbandbreite (mehr Bits pro MAC), erfordert aber bei l gleichzeitig authentisierten Bits pro MAC bei vollständigem Durchprobieren 2l und bei Abbruch nach Erfolg im Mittel 2l-1 Probierschritte des Empfängers. Werden l Bits einzeln übermittelt, so ist der Aufwand bei vollständigem Durchprobieren l•2, wird bei Fehlschlagen des ersten Probierens einfach der andere Bitwert genommen, so ist der Aufwand l. Vergleichen wir den Aufwand zwischen l Bits zusammen und l Bits einzeln übermittelt: Da für l=2 sowohl 2l = l•2 wie auch 2l-1 = l ist, hat l Bits zusammen nur Vorteile, während danach der Rechenaufwand pro Bit empfängerseitig stark steigt. Vielleicht ist l=8 für viele Anwendungen ein sinnvoller Kompromiß. Tabellarische Darstellung: Symmetrische Authentikation mittels asymm. Konzelationssystem Vorwissen: U kennt den öffentlichen Chiffrierschlüssel cT von T. T –––– Ni –––> U T U Nachwissen: Wenn das asymmetrische Konzelationssystem die Eigenschaft hat, daß jede vom Angreifer effektiv durchführbare Änderung von cT (Ni ,z) auch z ändert, was bei einer Blockchiffre im allgemeinen gegeben sein sollte, dann gilt nach der dritten Nachricht: U weiß, daß Nachricht Ni von T stammt. Dies entspricht: Symmetrische Authentikation mittels symm. Authentikationssystem Vorwissen: U und T kennen k, Schlüssel eines symm. Authentikationssystems. T –––– Ni ,k(Ni ) –––> U d) Da hier T die Nachricht Ni bildet und U nur einen Anteil, nämlich z liefert und T nicht reagiert, wenn Ni nicht enthalten ist, muß hier das asymmetrische Konzelationssystem keinem adaptiven aktiven Angriff in seiner schärfsten Form standhalten. 3-22 Konzelation mittels symmetrischem Authentikationssystem Statt jedes Bits der zu konzelierenden Nachricht wird jeweils nur ein passender MAC übertragen. Der Empfänger probiert dann jeweils aus, welches Bit zum MAC paßt. 3-23 Diffie-Hellman Schlüsselaustausch a) Kernidee: Die Kernidee ist, daß die Exponentiation kommutativ ist:
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170: 326 A. Pfitzmann: Datensicherheit u
Seite 219: 426 A. Pfitzmann: Datensicherheit u
Seite 231 und 232: A. Pfitzmann: Datensicherheit und K
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?