Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
430<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
429<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
Sender A Empfänger B<br />
Kennt kAB Kennt kAB Zu übertragen sei Nachricht<br />
b1, ... bn mit bi ∈ {0, 1}<br />
Berechnet<br />
MAC1 := code(kAB,b1) ... MACn := code(kAB,bn) Überträgt<br />
MAC1 ... MACn ––––––––––––––––––––––––––––> Probiert, ob<br />
MAC1 = code(kAB,0) oder<br />
MAC1 = code(kAB ,1)<br />
<strong>und</strong> empfängt den passenden Wert b1 ...<br />
probiert, ob<br />
MACn = code(kAB ,0) oder<br />
MACn = code(kAB,1) <strong>und</strong> empfängt den passenden Wert bn Signatur) ist zwar bei manchen Konzelationssystemen, z.B. RSA, möglich – aber eben nicht<br />
bei allen. Ist es möglich, so können Sie das Konzelationssystem auch als Signatursystem<br />
verwenden, wodurch die Aufgabe natürlich trivial lösbar ist.)<br />
b) Das asymmetrische Konzelationssystem muß gegen adaptive Angriffe mit gewählten Schlüsseltexten<br />
sicher se<strong>in</strong>. Sonst können die Antworten des sich Identifizierenden zum Brechen<br />
se<strong>in</strong>es asymmetrischen Konzelationssystems verwendet werden.<br />
c) Konstruktion e<strong>in</strong>es symmetrischen Authentikationsprotokolls aus e<strong>in</strong>em asymmetrischen<br />
Konzelationssystem:<br />
1. T schickt Nachricht Ni an U.<br />
2. U generiert Zufallszahl z, verschlüsselt Ni <strong>und</strong> z <strong>und</strong> schickt cT(Ni,z) an T.<br />
3. T entschlüsselt mit dT <strong>und</strong> prüft, ob se<strong>in</strong> Ni aus Schritt 1 dem <strong>in</strong> Schritt 2 erhaltenen<br />
entspricht. Wenn ja, schickt er z an U, ansonsten gibt er z nie aus.<br />
4. Erhält U die von ihm generierte Zufallszahl z, so weiß er, daß Ni von T <strong>und</strong> authentisch<br />
ist.<br />
Das Authentikationssystem ist nur symmetrisch, da die Zufallszahl z für andere ke<strong>in</strong>erlei<br />
Aussagekraft, <strong>in</strong>sbesondere also ke<strong>in</strong>erlei Beweiswert hat – schließlich wurde z von U <strong>und</strong><br />
nicht etwa T generiert. Also kann U sich z beliebig selbst zuschicken.<br />
Der Nachteil gegenüber normalen Authentikationssystemen ist, daß das Protokoll drei Nachrichten<br />
statt e<strong>in</strong>er braucht. Es auszuführen dauert also e<strong>in</strong>erseits länger <strong>und</strong> belastet andererseits<br />
das Kommunikationsnetz mehr.<br />
Damit der Empfänger ausprobieren kann, welches Bit zum MAC paßt, müssen die MACs lang<br />
genug se<strong>in</strong>. Der kle<strong>in</strong>e Authentikationscode aus Bild 3-15 beispielsweise ist ungeeignet: Bei<br />
Schlüssel 00 kann mit dem MAC 0 sowohl H wie auch T authentisiert werden – der Empfänger<br />
kann also nicht entscheiden, ob H oder T übermittelt wird. Entsprechendes gilt für den Schlüssel<br />
11 für MAC 1. Ist der MAC genügend lang, so tritt solch e<strong>in</strong> Fall nur mit vernachlässigbarer<br />
Wahrsche<strong>in</strong>lichkeit auf.<br />
Die Nachricht ist mit dem beschriebenen Verfahren perfekt konzeliert, da außer Sender <strong>und</strong><br />
Empfänger niemand prüfen kann, welche Bits zu den MACs passen <strong>und</strong> welche nicht. Denn<br />
könnte das jemand mit e<strong>in</strong>er besseren Wahrsche<strong>in</strong>lichkeit als 0,5, dann wäre dies e<strong>in</strong> Ansatz zum<br />
Brechen des Authentikationssystems.<br />
S<strong>in</strong>d die MACs genügend lang, dann ist die konzeliert übertragene Nachricht sogar noch<br />
authentisiert: Ändert e<strong>in</strong> Angreifer e<strong>in</strong>en MAC, so paßt der geänderte MAC mit überwältigender<br />
Wahrsche<strong>in</strong>lichkeit entweder weder zu 0 noch zu 1 oder aber weiterh<strong>in</strong> zum gleichen Bitwert.<br />
Wäre es anders, so könnte das Authentikationssystem mit nichtvernachlässigbarer Wahrsche<strong>in</strong>lichkeit<br />
gebrochen werden: Der Angreifer würde den MAC <strong>in</strong> gleicher Weise ändern <strong>und</strong> das bei<br />
normaler Verwendung des Authentikationssystems explizit übertragene Nachrichtenbit <strong>in</strong>vertieren.<br />
Statt e<strong>in</strong>zelne Bits zu authentisieren, kann es effizienter se<strong>in</strong>, dies jeweils mit e<strong>in</strong>em MAC für<br />
mehrere Bits gleichzeitig zu tun. Dies spart Übertragungsbandbreite (mehr Bits pro MAC),<br />
erfordert aber bei l gleichzeitig authentisierten Bits pro MAC bei vollständigem Durchprobieren 2l <strong>und</strong> bei Abbruch nach Erfolg im Mittel 2l-1 Probierschritte des Empfängers. Werden l Bits e<strong>in</strong>zeln<br />
übermittelt, so ist der Aufwand bei vollständigem Durchprobieren l•2, wird bei Fehlschlagen des<br />
ersten Probierens e<strong>in</strong>fach der andere Bitwert genommen, so ist der Aufwand l. Vergleichen wir<br />
den Aufwand zwischen l Bits zusammen <strong>und</strong> l Bits e<strong>in</strong>zeln übermittelt: Da für l=2 sowohl 2l = l•2<br />
wie auch 2l-1 = l ist, hat l Bits zusammen nur Vorteile, während danach der Rechenaufwand pro<br />
Bit empfängerseitig stark steigt. Vielleicht ist l=8 für viele Anwendungen e<strong>in</strong> s<strong>in</strong>nvoller<br />
Kompromiß.<br />
Tabellarische Darstellung: Symmetrische Authentikation mittels asymm. Konzelationssystem<br />
Vorwissen: U kennt den öffentlichen Chiffrierschlüssel cT von T.<br />
T –––– Ni –––> U<br />
T U<br />
Nachwissen: Wenn das asymmetrische Konzelationssystem die Eigenschaft hat, daß jede<br />
vom Angreifer effektiv durchführbare Änderung von cT (Ni ,z) auch z ändert, was bei<br />
e<strong>in</strong>er Blockchiffre im allgeme<strong>in</strong>en gegeben se<strong>in</strong> sollte, dann gilt nach der dritten<br />
Nachricht: U weiß, daß Nachricht Ni von T stammt.<br />
Dies entspricht: Symmetrische Authentikation mittels symm. Authentikationssystem<br />
Vorwissen: U <strong>und</strong> T kennen k, Schlüssel e<strong>in</strong>es symm. Authentikationssystems.<br />
T –––– Ni ,k(Ni ) –––> U<br />
d) Da hier T die Nachricht Ni bildet <strong>und</strong> U nur e<strong>in</strong>en Anteil, nämlich z liefert <strong>und</strong> T nicht reagiert,<br />
wenn Ni nicht enthalten ist, muß hier das asymmetrische Konzelationssystem ke<strong>in</strong>em<br />
adaptiven aktiven Angriff <strong>in</strong> se<strong>in</strong>er schärfsten Form standhalten.<br />
3-22 Konzelation mittels symmetrischem Authentikationssystem<br />
Statt jedes Bits der zu konzelierenden Nachricht wird jeweils nur e<strong>in</strong> passender MAC übertragen.<br />
Der Empfänger probiert dann jeweils aus, welches Bit zum MAC paßt.<br />
3-23 Diffie-Hellman Schlüsselaustausch<br />
a) Kernidee:<br />
Die Kernidee ist, daß die Exponentiation kommutativ ist: