Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

444 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 443 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr verschlüsselten Antworten der Server modulo 2 addiert werden können und der Teilnehmer trotzdem danach die Summer der Klartexte erhalten kann. Dies ist möglich, wenn die Verschlüsselung zwischen Server und Teilnehmer mit einer „Vernam-Chiffre“ (one-time pad), vgl. §3.2, oder einem Pseudo-one-time-pad, vgl. §3.4.2, modulo 2 erfolgt. Dann braucht der Teilnehmer nur auf die modulo-2-Summe der verschlüsselten Nachrichten alle (pseudo-)onetime pads modulo 2 zu addieren, um die modulo-2-Summe aller Klartextnachrichten zu erhalten. Der Preis für das Einsparen von Übertragungsbandbreite ist lediglich, daß nur eine bestimmte Klasse von Konzelationssystemen zwischen Servern und Teilnehmer verwendet werden kann. Nachricht 1: 00111010 01111100 Nachricht 3: 01110000 00111111 Nachricht 4: 11100111 01011110 Nachricht 5: 01101011 11001000 !y = 11000110 11010101 ⊕ ?z an S6 und erhält !z Nachricht 2: 10110111 11100001 Nachricht 3: 01110000 00111111 Teilnehmer empfängt statt s Antworten nur eine. Nachricht 4: 11100111 01011110 Nachricht 5: 01101011 11001000 !z = 01001011 01001000 ⊕ Wer die Summe der verschlüsselten Antworten der Server bildet, ist für den Schutz der Information, welche Speicherzelle der Teilnehmer abfragt, unerheblich. Beispielsweise könnte also einer der Server die Antworten seiner Kollegen sammeln, zusammen mit seiner modulo 2 addieren und an den Teilnehmer senden. Dies eröffnet die Möglichkeit, die oben erwähnten s-1 kurzen Abfragenachrichten einzusparen: Der Teilnehmer habe mit allen Servern, die er jemals zu benutzen gedenkt, jeweils alle notwendigen Parameter für einen individuellen Pseudozufallsgenerator und Schlüssel für die Verschlüsselung ihrer Antworten ausgetauscht. Dann sendet er nur noch den langen Abfragevektor (und, sofern es nicht fest vereinbart ist, eine Liste der zu verwendenden Server) an einen der Server. Dieser bildet seine verschlüsselte Antwort, und sendet sie (ggf. mit der Liste) und dem Namen des Teilnehmers an den nächsten Server. Der bildet seine verschlüsselte Antwort, indem er den Pseudzufallsgenerator mit diesem Teilnehmer den Abfragevektor generieren läßt, entsprechend die Speicherzellen modulo 2 addiert, das Ergebnis verschlüsselt und danach zur erhaltenen Nachricht modulo 2 addiert, und an den nächsten Server der Liste schickt. Der letzte Server der Liste schickt das Ergebnis an den Teilnehmer. Der Teilnehmer rechnet !w = 01010011 11000010 !x = 01101001 10111110 !y = 11000110 11010101 !z = 01001011 01001000 Nachricht 2: 10110111 11100001 ⊕ b) Zwischen Teilnehmer und Server muß jeweils verschlüsselt werden, da sonst ein Angreifer, der alle diese Nachrichten abhört, sie nur modulo 2 addieren müßte, um als Ergebnis eine 1 genau an der Stelle in der Summe der Abfragevektoren zu erhalten, die der Speicherzelle entspricht, für deren Inhalt sich der Teilnehmer interessiert. In obigem Beispiel würde der Angreifer 1001 1100 Teilnehmer sendet und empfängt statt s Nachrichten jeweils nur eine. ⊕ 0111 0010 rechnen und frohlocken: 1 an Stelle 3, siehe da, der Teilnehmer interessiert sich also für Nachricht 3. d) Der Vorschlag ist unsinnig, d.h. er stellt eine Verschlechterung gegen die normale Stärkung des Verfahrens durch Verwendung eines zusätzlichen Servers dar, der nicht ignoriert wird. Begründung: Der Vorschlag verkraftet nicht einmal einen Angriff von beliebigen s Servern, was das normale Verfahren bei s+1 verwendeten Servern ja tut: Nehmen wir an, die angreifenden s Server seien die, deren Antworten vom Teilnehmer wirklich verwendet werden, d.h. modulo 2 addiert den Inhalt einer der Speicherzellen ergeben. Da üblicherweise bei weitem nicht jeder mögliche Inhalt einer Speicherzelle auch tatsächlich vorkommt, können die s Server bequem testen, ob sie den ignorierten Server unter sich haben: Ergibt die Summe modulo 2 ihrer Antworten den Inhalt einer der Speicherzellen, so ist dies mit überwältigender Wahrscheinlichkeit nicht der Fall und die Summe genau die Nachricht, für die sich der Teilnehmer interessiert. Auch die Antwort der Server an den Teilnehmer muß verschlüsselt werden. Andernfalls addiert ein Angreifer, der alle diese Nachrichten abhört, sie genau wie der Teilnehmer und erhält genau wie der die Nachricht, für die sich der Teilnehmer interessiert. 5-4b Vergleich „Verteilung“ und „Abfragen und Überlagern“ a) Eine offene implizite Adresse bei „Verteilung“ sollte einer Speicherzelle bei „Abfragen und Überlagern“ entsprechen. In diese Speicherzelle wird immer die letzte an diese offene implizite Adresse gesendete Nachricht geschrieben – die Inhalte von Speicherzellen des Nachrichten- Service sind damit nicht mehr WORM- (Write once, Read many), sondern wirklich normale RAM-Speicherzellen. Wenn dafür Sorge getragen wird, daß alle Server weiterhin zu jedem Zeitpunkt die gleichen Inhalte in ihren Speicherzellen haben, daß also zeitliche Änderungen synchron erfolgen, dann funktioniert der Nachrichten-Service auch so – und er ist weitaus flexibler und effizienter einsetzbar. c) Um die nötige Übertragungsbandbreite vom Teilnehmer zu den Servern zu minimieren, werden statt s-1 lange Abfragevektoren zufällig zu erzeugen, diese pseudozufällig erzeugt. Dann brauchen an diese s-1 Server nicht lange Abfragevektoren, sondern nur kurze Parameter für Pseudozufallsgeneratoren verschlüsselt übertragen zu werden. Der s-te Abfragevektor wird wie üblich berechnet und übertragen. Leider sehe ich nicht, wie auch er pseudozufällig generiert werden könnte. Der Preis für das Einsparen von Übertragungsbandbreite ist, daß nun keine informationstheoretische, sondern nur noch komplexitätstheoretische Sicherheit möglich ist. Der in §5.4.2 angegebene Beweis für die Sicherheit des Verfahrens „Abfragen und Überlagern“ gilt weiterhin, da er nur die Symmetrie der s Abfragevektoren bzgl. aller algebraischen Gesetze verwendet, nicht aber, daß die Server nicht wissen, wer welchen wie generierten Abfragevektor erhält. Teilnehmer sendet statt s langen Abfragevektoren einen langen und s-1 kurze. Um die nötige Übertragungsbandbreite von den Servern zum Teilnehmer zu minimieren, wird die Verschlüsselung zwischen Server und Teilnehmer so gewählt, daß die für den Teilnehmer
446 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 445 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 5-5 Überlagerndes Senden: Ein Beispiel Station A Echte Nachricht von A 10110101 Schlüssel mit B 00101011 mit C 00110110 Summe 10101000 A sendet 10101000 Station B Leere Nachricht von B 00000000 Schlüssel mit A 00101011 mit C 01100111 Summe 01001100 B sendet 01001100 Station C binäres überlagerndes Senden (Alphabet: 0, 1) Leere Nachricht von C 00000000 Schlüssel mit A 00110110 mit B 01100111 Summe 01010001 C sendet 01010001 Teilnehmer können ihre offenen impliziten Adressen effizient abfragen, indem sie in einer Abfrage die Bits mehrerer oder gar aller Speicherzellen, die ihre impliziten Adressen sind, invertieren. Sie erhalten dann die aktuelle Summe modulo 2 der Inhalte dieser Speicherzellen. Durch Differenzbildung mit der vorherigen Abfrage der gleichen Speicherzellen kann die Summe aller neuen Nachrichten gebildet werden. Ist dies mehr als eine, so werden solange Teilsummen abgefragt, bis durch Differenzbildung alle neuen Nachrichten ermittelt sind. Hat ein Teilnehmer einen festen Satz offener impliziter Adressen, dann kann es effizient sein, daß er mit den Servern vereinbart, daß sie eine Abfrage nach diesen Speicherzellen in zyklischen Abständen immer wieder beantworten sollen. Da hierzu keine neuen Abfragevektoren generiert werden müssen, sondern die alten immer wieder verwendet werden können, spart dies Bandbreite vom Teilnehmer zu den Servern. Mit dieser Art, offene implizite Adressen mittels des Nachrichten-Service zu implementieren, können auch bequem Kanäle geschaltet werden: Der Kanalaufbau ist die Vereinbarung einer Speicherzelle und der Auftrag an die Server, eine Abfrage, deren Ergebnis der Inhalt dieser Speicherzelle ist, zyklisch auszuführen. Eine offene Frage ist, ob und ggf. wie verdeckte implizite Adressen mit Hilfe des Nachrichten- Service effizient realisiert werden können. b) Unabhängig von allen Performance-Betrachtungen gilt dies immer dann, wenn Teilnehmerstationen nicht ständig eingeschaltet oder nicht ständig erreichbar sind. Beispiele sind Laptops und Mobilfunknetze. Überlagert und verteilt wird Summe 10110101 (im Bsp.: echte Nachricht von A) Station A Echte Nachricht von A B 5 Schlüssel mit B 2 B mit C 3 6 Summe 0 6 A sendet 0 6 Station B Leere Nachricht von B 0 0 Schlüssel von A E 5 mit C 6 7 Summe 4 C B sendet 4 C Station C Leere Nachricht von C 0 0 Schlüssel von A D A von B A 9 Summe 7 3 C sendet 7 3 Überlagert und verteilt wird Summe B 5 (im Bsp.: echte Nachricht von A) verallgemeinertes überlagerndes Senden (Alphabet: 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, A, B, C, D, E, F) „Abschreiben“ muß man die echten bzw. leeren Nachrichten und jeweils einen Schlüssel jedes Schlüsselpaares, da dadurch das Beispiel festgelegt ist. Als das additive Inverse muß man jeweils
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178: 342 A. Pfitzmann: Datensicherheit u
Seite 227: 442 A. Pfitzmann: Datensicherheit u
Seite 231 und 232: A. Pfitzmann: Datensicherheit und K
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?