Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

452 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 451 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Bei interaktiven Diensten ist Sender- und Empfängeranonymität jeweils nur so stark gegeben wie das Schwächere von beiden, da jede Station abwechselnd als Sender und Empfänger fungiert. 5-11 Vergleich „Überlagerndes Senden“ und „umcodierende MIXe“ Schutzziel: Überlagerndes Senden schützt Sender und Empfänger. Dies ist mehr als nur die Beziehung zwischen Sender und Empfänger zu schützen, was die umcodierenden MIXe tun. Stärke der berücksichtigten Angreifer: Im Gegensatz zum Überlagernden Senden kann mit umcodierenden MIXen keine informationstheoretische Anonymität erreicht werden – außer der Sender traut dem ersten und der Empfänger dem letzten MIX bedingungslos. Aufwand: Wird kein allzu großer Anteil aller Stationen als MIX verwendet, dann erfordern MIXe wesentlich weniger Übertragungsbandbreite als das Überlagernde Senden. Flexibilität: Beide Konzepte sind flexibel, wobei die umcodierenden MIXe durch die von der Teilnehmerzahl unabhängige Wahlmöglichkeit der Zahl der MIXe noch etwas flexibler sind. Bezüglich Übertragungsbandbreite (insbesondere im Teilnehmeranschlußbereich, wo ihr Erhöhen besonders aufwendig ist) sind MIXe praktikabler. Bezüglich organisatorischer Strukturen werfen MIXe größere Probleme auf: Für sie werden zumindest in ihrer Summe vertrauenswürdige Betreiber benötigt. rungsergebnisses (22,2) in Schritt 6 (= physischer Sendeschritt 4) kann das Ergebnis von Schritt 7 (= physischer Sendeschritt 5) bereits ausgerechnet werden. Zwei Summanden, die nach dem Ergebnis von Schritt 5 jeweils höchstens 11 groß sein dürfen, haben die Summe 22. Also muß jeder der beiden Summanden den Wert 11 haben. Also wird sich als globales Überlagerungsergebnis von Schritt 7 abermals der Wert (22,2) ergeben. Folglich kann Schritt 7 virtualisiert und damit der physische Sendeschritt eingespart werden. Ob sich der Einbau des zusätzlichen Tests „Prüfe, ob vorherige Obergrenze mal Anzahl kollidierter Nachrichten = Summe der kollidierten Nachrichten“ lohnt, ist unklar. Denn diese Situation wird üblicherweise nur sehr selten auftreten. 5-8 Schlüssel-, Überlagerungs- und Übertragungstopologie beim Überlagernden Senden a) Da in jeder abelschen Gruppe Kommutativ- und Assoziativgesetz gelten, ist Reihenfolge und Teilsummenbildung bei der Überlagerung egal. Deshalb hat die Überlagerungs- und erst recht die Übertragungstopologie keinen Einfluß darauf, ob zwei Stationen einen Schlüssel austauschen können oder nicht. Die Schlüsseltopologie kann also frei gewählt werden. b) Um Übertragungsaufwand zu sparen, sollten Teilsummen möglichst „früh“ gebildet werden, d.h. anstatt zwei Werte nacheinander über denselben Übertragungsweg zu schicken, sollten sie vorher addiert werden. 5-12 Reihenfolge der Grundfunktionen von MIXen Wiederholungen sollten, um Verwaltungsaufwand zu minimieren, möglichst früh erkannt und ignoriert werden. Erfolgt dies vor dem Puffern, so ist es selbst weniger zeitkritisch. In jedem Fall muß es vor dem Test „Genügend viele Nachrichten von genügend vielen Absendern?“ erfolgen. Sonst bräuchte ein Angreifer nur Nachrichtenkopien an MIXe zu schicken, um eine deutlich kleinere Schubgröße zu erreichen. Umcodieren kann zwar parallel zu Puffern beginnen, die letzte Umcodierung kann aber erst erfolgen, nachdem der Eingabeschub vollständig ist. Entsprechend kann die Umsortierung erst nach der letzten Umcodierung abgeschlossen werden. 5-9 Abstimmung der Überlagerungs- und Übertragungsalphabete beim Überlagernden Senden Die Größe des Überlagerungsalphabets wurde als Potenz der Größe des minimalen Übertragungsalphabets gewählt. Dann kann übertragungsalphabetstellenweise addiert und jedes entstehende Summenzeichen gleich übertragen werden, vgl. Bild 5-16. 5-13 Reicht Ausgabenachrichten von MIXen gleichlang? Zuallererst ist zu klären, wie denn die gleiche Länge der Ausgabenachrichten entsteht: Werden alle Nachrichten, die länger als die kürzeste Eingabenachricht sind, an dieser Stelle abgeschnitten? Dann wäre es erstens günstiger, alle Sender einigten sich auf diese Länge – so würde Aufwand gespart. Zweitens kann es sein, daß der Empfänger der Nachricht den MIX überbrücken kann: Ist seine Nachricht abgeschnitten und gab es nur eine Eingabenachricht an den MIX, die länger als die kürzeste Eingabenachricht war, entspricht diese seiner. Werden alle Nachrichten an einer – sei es vom MIX vorgegebenen oder sich aus den Eingabenachrichten ergebenden – Stelle abgeschnitten bzw. falls sie zu kurz sind, auf diese Länge ergänzt, so kann auch hier der gerade beschriebene Fall eintreten. Auch diese Variante ist also unsicher. Werden alle Nachrichten, die nicht sowieso die Maximallänge haben, vom MIX auf diese Länge ergänzt, so ist diese Ergänzung dem Empfänger der Nachricht ersichtlich. Er kann die Länge der zugehörigen Eingabenachricht also rückrechnen und so den MIX überbrücken. 5-14 Keine Zufallszahlen --> MIXe sind überbrückbar Der Angreifer zeichnet alle Nachrichten im Netz auf, d.h. sowohl die Nachrichten zwischen Sendern und MIXen, zwischen MIXen und auch die zwischen MIXen und Empfängern. Danach verschlüsselt er die Ausgabenachrichten der MIXe jeweils mit deren öffentlichen Schlüssel und erhält als Ergebnis jeweils die zugehörige Eingabenachricht. Damit liegen dem Angreifer alle Kommunikationsbeziehungen offen vor Augen. 5-10 Vergleich „Unbeobachtbarkeit angrenzender Leitungen und Stationen sowie digitale Signalregenerierung“ und „Überlagerndes Senden“ a) Stärke der berücksichtigten Angreifer: Da beim Überlagernden Senden ein Angreifer eine Station auch dann nicht als Sender identifizieren kann, wenn er sie (bis auf den Schlüsselaustausch) physisch vollständig umzingelt hat, sind hier wesentlich stärkere Angreifer berücksichtigt. Aufwand: Normalerweise ist bei jedem Netz das Verlegen der Leitungen (Graben der Kabelkanäle etc.) das Aufwendigste. Wenn also für „Unbeobachtbarkeit angrenzender Leitungen und Stationen sowie digitale Signalregenerierung“ keine passende Leitungstopologie schon besteht bzw. sowieso erst noch auf der grünen Wiese frei festgelegt werden muß, dann ist „Überlagerndes Senden“ weniger aufwendig. Ansonsten ist Überlagerndes Senden aufwendiger, da hier zusätzlich zu Übertragung (und Überlagerung) auch Schlüssel erzeugt und ausgetauscht werden müssen. Flexibilität: Da das Überlagernde Senden von der physischen Netztopologie weitgehend unabhängig ist, ist es das flexiblere Konzept. Überlagerndes Senden ist das elegantere und schönere Konzept, da seine Senderanonymität nicht von physischen Gegebenheiten wie Netztopologie abhängt. Kurzum: Das Angreifermodell des Überlagernden Sendens ist kürzer beschreibbar, sprich: kanonischer. b) Das Konzept „Unbeobachtbarkeit angrenzender Leitungen und Stationen sowie digitale Signalregenerierung“ deckt Empfängeranonymität üblicherweise mit ab, da ein Angreifer, der an bestimmten Stellen nicht abhören kann, an ihnen plausiblerweise auch nicht die Konsistenz der Verteilung störend verändernd angreifen kann. Beim Überlagernden Senden kann durch Einbeziehung der verteilten Zeichen in die Schlüsselgenerierung Empfängeranonymität erreicht werden.
454 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 453 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr gehängt. An den Rest der Nachricht wird dann entsprechend viel (genauer: wenig) „zufälliger Inhalt“ angehängt, wodurch die Umcodierung längentreu wird. Jede Nachricht Nj besteht aus b Bits und wird von MIXj-1 gebildet. Wie im Bild gezeigt, entschlüsselt jeder MIXj die ersten bj Bits der Nachricht Nj mit seinem geheimgehaltenen Dechiffrierschlüssel dj und findet als Ergebnis dieser Entschlüsselung 1. einen Schlüssel kj einer symmetrischen, beliebig lange Informationseinheiten verschlüsselnden Stromchiffre (zum Umcodieren der restlichen b-bj Bits der Nachricht), 2. die Adresse Aj+1 des nächsten MIXes (oder Empfängers) und 3. nj mit chiffrierter Nutzinformation belegte Bits Cj. Mit kj verschlüsselt MIXj die restlichen b-bj Bits der Nachricht und erhält so den Mittelteil Mj der auszugebenden Nachricht Nj+1 . Danach hängt er vor Mj die nj mit Nutzinformation belegten Bits Cj, hinter Mj hängt er, um die Länge der Nachricht nicht zu ändern, bj-nj Bits zufälligen Inhalts Zj . Danach sendet MIXj die Nachricht Nj+1 = Cj ,Mj ,Zj an die Station mit Adresse Aj+1 . Mit den in §5.4.6.5 verwendeten Bezeichnungen besteht jede Nachricht Nj aus dem (Rück-)Adreßteil Rj und dem Nachrichteninhaltsteil Ij . N1 wird vom Sender (auch MIX0 genannt) entsprechend den in §5.4.6.5 angegebenen rekursiven Schemata gebildet. Um zu verdeutlichen, wie dies geschieht, wird hier das Bildungsschema für den (Rück-)Adreßteil R1 explizit angegeben. Im folgenden bedeute [Rj ] ≤y die Bits an den Positionen ≤y von Rj , [Rj ] >y die Bits an den Positionen >y. Insgesamt handelt es sich um einen passiven beobachtenden Angriff. 5-15 Individuelle Wählbarkeit des symmetrischen Konzelationssystems bei MIXen? Die Definition symmetrischer Konzelationssysteme sagt nichts darüber, wie sie jeweils Klar- und Schlüsseltexte codieren, ob also insbesondere Klartext- und Schlüsseltextraum zwischen unterschiedlichen Systemen gleich sind. Sind im Extremfall die Räume zwischen unterschiedlichen Systemen disjunkt und wählen die Teilnehmer jeweils unterschiedliche symmetrische Konzelationssysteme, aber jeder Teilnehmer immer dasselbe, dann nützen die MIXe nicht einmal gegenüber äußeren Beobachtern irgend etwas. Selbst wenn die Räume aller Systeme gleich sind, die Teilnehmer die Systeme aber wie beschrieben verwenden, können der erste und letzte MIX der von einem Teilnehmer spezifizierten Umcodierungen die Nachrichten verketten. Folglich sollte jeder MIX nicht nur das asymmetrische, sondern auch das symmetrische Konzelationssystem vorgeben. 5-15a Weniger Speicheraufwand beim Generierer von anonymen Rückadressen Der Generierer wählt den eindeutigen Namen e der Rückadresse zufällig und bildet dann alle symmetrischen Schlüssel hieraus unter Benutzung eines einzigen Geheimnisses pseudozufällig, d.h. deterministisch und für ihn reproduzierbar. Dann muß er sich nur dieses eine Geheimnis merken und kann, wenn immer ihn ein eindeutiger Name einer seiner Rückadressen erreicht, dieselben symmetrischen Schlüssel nochmals erzeugen. Für die Sicherheit des Verfahrens ist essentiell, daß selbst aus e und m-1 symmetrischen Schlüsseln zusammen nichts über den m-ten symmetrischen Schlüssel errechnet werden kann. Eine mögliche Implementierung ist, e als Startwert und das Geheimnis als Schlüssel für einen Pseudozufallsbitfolgengenerator zu nehmen, vgl. §3.4.2. Rm+1 = e Rj = cj(kj,Aj+1,[Rj+1] ≤nj ),kj -1 ([Rj+1] >nj ) für j= m,...,1 Da die Instanz, die kj generiert, nämlich Sender bzw. Empfänger, jeweils k -1 j ([Rj+1 ] >nj ) kennt, kann sie den, wie in §5.4.6.5 gebildeten, Nachrichteninhaltsteil Ij jeweils mit der synchronen Stromchiffre passend vor dem Senden bzw. nach dem Empfangen entschlüsseln. Rj Nachrichteninhalt zufälliger Inhalt 1 bj b 5-16 Warum längentreue Umcodierung? Der Angreifer hört die Ein- und Ausgaben der MIXe ab. Falls er nicht sowieso weiß, um wie viel Bit jede Nachricht durch das Umcodieren kürzer wird, wird er dies leicht erraten: Bildet er Differenzen der Längen von Ein- und Ausgabenachrichten, treten manche Werte besonders häufig auf – oder er berechnet einfach die durchschnittliche Nachrichtenverkürzung, falls zu vermuten ist, daß alle Nachrichten um gleich viele Bits kürzer werden. Damit ist dann in Bild 5-26 unten alles klar: Zur Eingabenachricht paßt längenmäßig nur und entsprechend paßt zu nur . Bei MIX 2 und 3 kann genauso argumentiert werden. j N 5-17 Minimal längenexpandierendes längentreues Umcodierungsschema für MIXe Z j M j k , A ,C j j +1 j a) Der Kommunikations- und Verschlüsselungsaufwand pro Informationseinheit ist direkt proportional zum Produkt aus der jeweiligen Länge der Informationseinheit und der Zahl der pro Kommunikationsbeziehung benutzten MIXe, da die Informationseinheit natürlich zwischen MIXen jeweils übertragen und von ihnen jeweils umcodiert werden muß. b-b j n b Nachrichteninhalt zufälliger Inhalt + nj j 1 j +1 N Deshalb ist ein bei vorgegebenem asymmetrischem Konzelationssystem minimal längenexpandierendes (und für allgemeine Anwendungen zusätzlich noch längentreues) Umcodierungsschema von großer Bedeutung. R j +1 entschlüsseln mit d j umcodieren mit k j b) Mittels OFB kann man aus der symmetrischen Blockchiffre eine symmetrische Stromchiffre für Einheiten beliebiger Länge erhalten, die die Eigenschaften k-1 (k(x)) = x und k(k-1 (x)) = x besitzt. „Überflüssige“ Bits im mit dem asymmetrischen Konzelationssystem verschlüsselten ersten Block werden vom Verschlüsseler mit Nutzinformation belegt und vom entschlüsselnden MIX vor den mit einer symmetrischen Stromchiffre entschlüsselten Rest der Nachricht Minimal längenexpandierendes längentreues Umcodierungsschema
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182: 350 A. Pfitzmann: Datensicherheit u
Seite 231: A. Pfitzmann: Datensicherheit und K
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?