Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
444<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
443<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
verschlüsselten Antworten der Server modulo 2 addiert werden können <strong>und</strong> der Teilnehmer<br />
trotzdem danach die Summer der Klartexte erhalten kann. Dies ist möglich, wenn die Verschlüsselung<br />
zwischen Server <strong>und</strong> Teilnehmer mit e<strong>in</strong>er „Vernam-Chiffre“ (one-time pad),<br />
vgl. §3.2, oder e<strong>in</strong>em Pseudo-one-time-pad, vgl. §3.4.2, modulo 2 erfolgt. Dann braucht der<br />
Teilnehmer nur auf die modulo-2-Summe der verschlüsselten Nachrichten alle (pseudo-)onetime<br />
pads modulo 2 zu addieren, um die modulo-2-Summe aller Klartextnachrichten zu erhalten.<br />
Der Preis für das E<strong>in</strong>sparen von Übertragungsbandbreite ist lediglich, daß nur e<strong>in</strong>e bestimmte<br />
Klasse von Konzelationssystemen zwischen Servern <strong>und</strong> Teilnehmer verwendet<br />
werden kann.<br />
Nachricht 1: 00111010 01111100<br />
Nachricht 3: 01110000 00111111<br />
Nachricht 4: 11100111 01011110<br />
Nachricht 5: 01101011 11001000<br />
!y = 11000110 11010101<br />
⊕<br />
?z an S6 <strong>und</strong> erhält !z<br />
Nachricht 2: 10110111 11100001<br />
Nachricht 3: 01110000 00111111<br />
Teilnehmer empfängt statt s Antworten nur e<strong>in</strong>e.<br />
Nachricht 4: 11100111 01011110<br />
Nachricht 5: 01101011 11001000<br />
!z = 01001011 01001000<br />
⊕<br />
Wer die Summe der verschlüsselten Antworten der Server bildet, ist für den Schutz der Information,<br />
welche Speicherzelle der Teilnehmer abfragt, unerheblich. Beispielsweise könnte also<br />
e<strong>in</strong>er der Server die Antworten se<strong>in</strong>er Kollegen sammeln, zusammen mit se<strong>in</strong>er modulo 2 addieren<br />
<strong>und</strong> an den Teilnehmer senden. Dies eröffnet die Möglichkeit, die oben erwähnten s-1<br />
kurzen Abfragenachrichten e<strong>in</strong>zusparen: Der Teilnehmer habe mit allen Servern, die er jemals<br />
zu benutzen gedenkt, jeweils alle notwendigen Parameter für e<strong>in</strong>en <strong>in</strong>dividuellen Pseudozufallsgenerator<br />
<strong>und</strong> Schlüssel für die Verschlüsselung ihrer Antworten ausgetauscht. Dann sendet<br />
er nur noch den langen Abfragevektor (<strong>und</strong>, sofern es nicht fest vere<strong>in</strong>bart ist, e<strong>in</strong>e Liste<br />
der zu verwendenden Server) an e<strong>in</strong>en der Server. Dieser bildet se<strong>in</strong>e verschlüsselte Antwort,<br />
<strong>und</strong> sendet sie (ggf. mit der Liste) <strong>und</strong> dem Namen des Teilnehmers an den nächsten Server.<br />
Der bildet se<strong>in</strong>e verschlüsselte Antwort, <strong>in</strong>dem er den Pseudzufallsgenerator mit diesem<br />
Teilnehmer den Abfragevektor generieren läßt, entsprechend die Speicherzellen modulo 2<br />
addiert, das Ergebnis verschlüsselt <strong>und</strong> danach zur erhaltenen Nachricht modulo 2 addiert, <strong>und</strong><br />
an den nächsten Server der Liste schickt. Der letzte Server der Liste schickt das Ergebnis an<br />
den Teilnehmer.<br />
Der Teilnehmer rechnet<br />
!w = 01010011 11000010<br />
!x = 01101001 10111110<br />
!y = 11000110 11010101<br />
!z = 01001011 01001000<br />
Nachricht 2: 10110111 11100001<br />
⊕<br />
b) Zwischen Teilnehmer <strong>und</strong> Server muß jeweils verschlüsselt werden, da sonst e<strong>in</strong> Angreifer,<br />
der alle diese Nachrichten abhört, sie nur modulo 2 addieren müßte, um als Ergebnis e<strong>in</strong>e 1<br />
genau an der Stelle <strong>in</strong> der Summe der Abfragevektoren zu erhalten, die der Speicherzelle entspricht,<br />
für deren Inhalt sich der Teilnehmer <strong>in</strong>teressiert. In obigem Beispiel würde der<br />
Angreifer<br />
1001<br />
1100<br />
Teilnehmer sendet <strong>und</strong> empfängt statt s Nachrichten jeweils nur e<strong>in</strong>e.<br />
⊕ 0111<br />
0010<br />
rechnen <strong>und</strong> frohlocken: 1 an Stelle 3, siehe da, der Teilnehmer <strong>in</strong>teressiert sich also für<br />
Nachricht 3.<br />
d) Der Vorschlag ist uns<strong>in</strong>nig, d.h. er stellt e<strong>in</strong>e Verschlechterung gegen die normale Stärkung<br />
des Verfahrens durch Verwendung e<strong>in</strong>es zusätzlichen Servers dar, der nicht ignoriert wird.<br />
Begründung: Der Vorschlag verkraftet nicht e<strong>in</strong>mal e<strong>in</strong>en Angriff von beliebigen s Servern,<br />
was das normale Verfahren bei s+1 verwendeten Servern ja tut: Nehmen wir an, die angreifenden<br />
s Server seien die, deren Antworten vom Teilnehmer wirklich verwendet werden, d.h.<br />
modulo 2 addiert den Inhalt e<strong>in</strong>er der Speicherzellen ergeben. Da üblicherweise bei weitem<br />
nicht jeder mögliche Inhalt e<strong>in</strong>er Speicherzelle auch tatsächlich vorkommt, können die s Server<br />
bequem testen, ob sie den ignorierten Server unter sich haben: Ergibt die Summe modulo 2<br />
ihrer Antworten den Inhalt e<strong>in</strong>er der Speicherzellen, so ist dies mit überwältigender<br />
Wahrsche<strong>in</strong>lichkeit nicht der Fall <strong>und</strong> die Summe genau die Nachricht, für die sich der<br />
Teilnehmer <strong>in</strong>teressiert.<br />
Auch die Antwort der Server an den Teilnehmer muß verschlüsselt werden. Andernfalls<br />
addiert e<strong>in</strong> Angreifer, der alle diese Nachrichten abhört, sie genau wie der Teilnehmer <strong>und</strong><br />
erhält genau wie der die Nachricht, für die sich der Teilnehmer <strong>in</strong>teressiert.<br />
5-4b Vergleich „Verteilung“ <strong>und</strong> „Abfragen <strong>und</strong> Überlagern“<br />
a) E<strong>in</strong>e offene implizite Adresse bei „Verteilung“ sollte e<strong>in</strong>er Speicherzelle bei „Abfragen <strong>und</strong><br />
Überlagern“ entsprechen. In diese Speicherzelle wird immer die letzte an diese offene implizite<br />
Adresse gesendete Nachricht geschrieben – die Inhalte von Speicherzellen des Nachrichten-<br />
Service s<strong>in</strong>d damit nicht mehr WORM- (Write once, Read many), sondern wirklich normale<br />
RAM-Speicherzellen. Wenn dafür Sorge getragen wird, daß alle Server weiterh<strong>in</strong> zu jedem<br />
Zeitpunkt die gleichen Inhalte <strong>in</strong> ihren Speicherzellen haben, daß also zeitliche Änderungen<br />
synchron erfolgen, dann funktioniert der Nachrichten-Service auch so – <strong>und</strong> er ist weitaus<br />
flexibler <strong>und</strong> effizienter e<strong>in</strong>setzbar.<br />
c) Um die nötige Übertragungsbandbreite vom Teilnehmer zu den Servern zu m<strong>in</strong>imieren, werden<br />
statt s-1 lange Abfragevektoren zufällig zu erzeugen, diese pseudozufällig erzeugt. Dann<br />
brauchen an diese s-1 Server nicht lange Abfragevektoren, sondern nur kurze Parameter für<br />
Pseudozufallsgeneratoren verschlüsselt übertragen zu werden. Der s-te Abfragevektor wird<br />
wie üblich berechnet <strong>und</strong> übertragen. Leider sehe ich nicht, wie auch er pseudozufällig generiert<br />
werden könnte. Der Preis für das E<strong>in</strong>sparen von Übertragungsbandbreite ist, daß nun<br />
ke<strong>in</strong>e <strong>in</strong>formationstheoretische, sondern nur noch komplexitätstheoretische <strong>Sicherheit</strong> möglich<br />
ist. Der <strong>in</strong> §5.4.2 angegebene Beweis für die <strong>Sicherheit</strong> des Verfahrens „Abfragen <strong>und</strong> Überlagern“<br />
gilt weiterh<strong>in</strong>, da er nur die Symmetrie der s Abfragevektoren bzgl. aller algebraischen<br />
Gesetze verwendet, nicht aber, daß die Server nicht wissen, wer welchen wie generierten<br />
Abfragevektor erhält.<br />
Teilnehmer sendet statt s langen Abfragevektoren e<strong>in</strong>en langen <strong>und</strong> s-1 kurze.<br />
Um die nötige Übertragungsbandbreite von den Servern zum Teilnehmer zu m<strong>in</strong>imieren, wird<br />
die Verschlüsselung zwischen Server <strong>und</strong> Teilnehmer so gewählt, daß die für den Teilnehmer