Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
452<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
451<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
Bei <strong>in</strong>teraktiven Diensten ist Sender- <strong>und</strong> Empfängeranonymität jeweils nur so stark<br />
gegeben wie das Schwächere von beiden, da jede Station abwechselnd als Sender <strong>und</strong><br />
Empfänger fungiert.<br />
5-11 Vergleich „Überlagerndes Senden“ <strong>und</strong> „umcodierende MIXe“<br />
Schutzziel: Überlagerndes Senden schützt Sender <strong>und</strong> Empfänger. Dies ist mehr als nur die<br />
Beziehung zwischen Sender <strong>und</strong> Empfänger zu schützen, was die umcodierenden MIXe tun.<br />
Stärke der berücksichtigten Angreifer: Im Gegensatz zum Überlagernden Senden kann mit<br />
umcodierenden MIXen ke<strong>in</strong>e <strong>in</strong>formationstheoretische Anonymität erreicht werden – außer der<br />
Sender traut dem ersten <strong>und</strong> der Empfänger dem letzten MIX bed<strong>in</strong>gungslos.<br />
Aufwand: Wird ke<strong>in</strong> allzu großer Anteil aller Stationen als MIX verwendet, dann erfordern MIXe<br />
wesentlich weniger Übertragungsbandbreite als das Überlagernde Senden.<br />
Flexibilität: Beide Konzepte s<strong>in</strong>d flexibel, wobei die umcodierenden MIXe durch die von der<br />
Teilnehmerzahl unabhängige Wahlmöglichkeit der Zahl der MIXe noch etwas flexibler s<strong>in</strong>d.<br />
Bezüglich Übertragungsbandbreite (<strong>in</strong>sbesondere im Teilnehmeranschlußbereich, wo ihr Erhöhen<br />
besonders aufwendig ist) s<strong>in</strong>d MIXe praktikabler. Bezüglich organisatorischer Strukturen werfen<br />
MIXe größere Probleme auf: Für sie werden zum<strong>in</strong>dest <strong>in</strong> ihrer Summe vertrauenswürdige<br />
Betreiber benötigt.<br />
rungsergebnisses (22,2) <strong>in</strong> Schritt 6 (= physischer Sendeschritt 4) kann das Ergebnis von<br />
Schritt 7 (= physischer Sendeschritt 5) bereits ausgerechnet werden. Zwei Summanden, die<br />
nach dem Ergebnis von Schritt 5 jeweils höchstens 11 groß se<strong>in</strong> dürfen, haben die Summe 22.<br />
Also muß jeder der beiden Summanden den Wert 11 haben. Also wird sich als globales Überlagerungsergebnis<br />
von Schritt 7 abermals der Wert (22,2) ergeben. Folglich kann Schritt 7 virtualisiert<br />
<strong>und</strong> damit der physische Sendeschritt e<strong>in</strong>gespart werden. Ob sich der E<strong>in</strong>bau des<br />
zusätzlichen Tests „Prüfe, ob vorherige Obergrenze mal Anzahl kollidierter Nachrichten =<br />
Summe der kollidierten Nachrichten“ lohnt, ist unklar. Denn diese Situation wird üblicherweise<br />
nur sehr selten auftreten.<br />
5-8 Schlüssel-, Überlagerungs- <strong>und</strong> Übertragungstopologie beim Überlagernden<br />
Senden<br />
a) Da <strong>in</strong> jeder abelschen Gruppe Kommutativ- <strong>und</strong> Assoziativgesetz gelten, ist Reihenfolge <strong>und</strong><br />
Teilsummenbildung bei der Überlagerung egal. Deshalb hat die Überlagerungs- <strong>und</strong> erst recht<br />
die Übertragungstopologie ke<strong>in</strong>en E<strong>in</strong>fluß darauf, ob zwei Stationen e<strong>in</strong>en Schlüssel austauschen<br />
können oder nicht. Die Schlüsseltopologie kann also frei gewählt werden.<br />
b) Um Übertragungsaufwand zu sparen, sollten Teilsummen möglichst „früh“ gebildet werden,<br />
d.h. anstatt zwei Werte nache<strong>in</strong>ander über denselben Übertragungsweg zu schicken, sollten<br />
sie vorher addiert werden.<br />
5-12 Reihenfolge der Gr<strong>und</strong>funktionen von MIXen<br />
Wiederholungen sollten, um Verwaltungsaufwand zu m<strong>in</strong>imieren, möglichst früh erkannt <strong>und</strong><br />
ignoriert werden. Erfolgt dies vor dem Puffern, so ist es selbst weniger zeitkritisch. In jedem Fall<br />
muß es vor dem Test „Genügend viele Nachrichten von genügend vielen Absendern?“ erfolgen.<br />
Sonst bräuchte e<strong>in</strong> Angreifer nur Nachrichtenkopien an MIXe zu schicken, um e<strong>in</strong>e deutlich<br />
kle<strong>in</strong>ere Schubgröße zu erreichen.<br />
Umcodieren kann zwar parallel zu Puffern beg<strong>in</strong>nen, die letzte Umcodierung kann aber erst<br />
erfolgen, nachdem der E<strong>in</strong>gabeschub vollständig ist.<br />
Entsprechend kann die Umsortierung erst nach der letzten Umcodierung abgeschlossen<br />
werden.<br />
5-9 Abstimmung der Überlagerungs- <strong>und</strong> Übertragungsalphabete beim<br />
Überlagernden Senden<br />
Die Größe des Überlagerungsalphabets wurde als Potenz der Größe des m<strong>in</strong>imalen Übertragungsalphabets<br />
gewählt. Dann kann übertragungsalphabetstellenweise addiert <strong>und</strong> jedes entstehende<br />
Summenzeichen gleich übertragen werden, vgl. Bild 5-16.<br />
5-13 Reicht Ausgabenachrichten von MIXen gleichlang?<br />
Zuallererst ist zu klären, wie denn die gleiche Länge der Ausgabenachrichten entsteht:<br />
Werden alle Nachrichten, die länger als die kürzeste E<strong>in</strong>gabenachricht s<strong>in</strong>d, an dieser Stelle<br />
abgeschnitten? Dann wäre es erstens günstiger, alle Sender e<strong>in</strong>igten sich auf diese Länge – so<br />
würde Aufwand gespart. Zweitens kann es se<strong>in</strong>, daß der Empfänger der Nachricht den MIX<br />
überbrücken kann: Ist se<strong>in</strong>e Nachricht abgeschnitten <strong>und</strong> gab es nur e<strong>in</strong>e E<strong>in</strong>gabenachricht an den<br />
MIX, die länger als die kürzeste E<strong>in</strong>gabenachricht war, entspricht diese se<strong>in</strong>er.<br />
Werden alle Nachrichten an e<strong>in</strong>er – sei es vom MIX vorgegebenen oder sich aus den E<strong>in</strong>gabenachrichten<br />
ergebenden – Stelle abgeschnitten bzw. falls sie zu kurz s<strong>in</strong>d, auf diese Länge<br />
ergänzt, so kann auch hier der gerade beschriebene Fall e<strong>in</strong>treten. Auch diese Variante ist also<br />
unsicher.<br />
Werden alle Nachrichten, die nicht sowieso die Maximallänge haben, vom MIX auf diese<br />
Länge ergänzt, so ist diese Ergänzung dem Empfänger der Nachricht ersichtlich. Er kann die<br />
Länge der zugehörigen E<strong>in</strong>gabenachricht also rückrechnen <strong>und</strong> so den MIX überbrücken.<br />
5-14 Ke<strong>in</strong>e Zufallszahlen --> MIXe s<strong>in</strong>d überbrückbar<br />
Der Angreifer zeichnet alle Nachrichten im Netz auf, d.h. sowohl die Nachrichten zwischen<br />
Sendern <strong>und</strong> MIXen, zwischen MIXen <strong>und</strong> auch die zwischen MIXen <strong>und</strong> Empfängern. Danach<br />
verschlüsselt er die Ausgabenachrichten der MIXe jeweils mit deren öffentlichen Schlüssel <strong>und</strong><br />
erhält als Ergebnis jeweils die zugehörige E<strong>in</strong>gabenachricht. Damit liegen dem Angreifer alle<br />
Kommunikationsbeziehungen offen vor Augen.<br />
5-10 Vergleich „Unbeobachtbarkeit angrenzender Leitungen <strong>und</strong> Stationen sowie<br />
digitale Signalregenerierung“ <strong>und</strong> „Überlagerndes Senden“<br />
a) Stärke der berücksichtigten Angreifer: Da beim Überlagernden Senden e<strong>in</strong> Angreifer e<strong>in</strong>e Station<br />
auch dann nicht als Sender identifizieren kann, wenn er sie (bis auf den Schlüsselaustausch)<br />
physisch vollständig umz<strong>in</strong>gelt hat, s<strong>in</strong>d hier wesentlich stärkere Angreifer berücksichtigt.<br />
Aufwand: Normalerweise ist bei jedem Netz das Verlegen der Leitungen (Graben der Kabelkanäle<br />
etc.) das Aufwendigste. Wenn also für „Unbeobachtbarkeit angrenzender Leitungen<br />
<strong>und</strong> Stationen sowie digitale Signalregenerierung“ ke<strong>in</strong>e passende Leitungstopologie schon<br />
besteht bzw. sowieso erst noch auf der grünen Wiese frei festgelegt werden muß, dann ist<br />
„Überlagerndes Senden“ weniger aufwendig. Ansonsten ist Überlagerndes Senden aufwendiger,<br />
da hier zusätzlich zu Übertragung (<strong>und</strong> Überlagerung) auch Schlüssel erzeugt <strong>und</strong> ausgetauscht<br />
werden müssen.<br />
Flexibilität: Da das Überlagernde Senden von der physischen Netztopologie weitgehend<br />
unabhängig ist, ist es das flexiblere Konzept.<br />
Überlagerndes Senden ist das elegantere <strong>und</strong> schönere Konzept, da se<strong>in</strong>e Senderanonymität<br />
nicht von physischen Gegebenheiten wie Netztopologie abhängt. Kurzum: Das Angreifermodell<br />
des Überlagernden Sendens ist kürzer beschreibbar, sprich: kanonischer.<br />
b) Das Konzept „Unbeobachtbarkeit angrenzender Leitungen <strong>und</strong> Stationen sowie digitale Signalregenerierung“<br />
deckt Empfängeranonymität üblicherweise mit ab, da e<strong>in</strong> Angreifer, der an<br />
bestimmten Stellen nicht abhören kann, an ihnen plausiblerweise auch nicht die Konsistenz der<br />
Verteilung störend verändernd angreifen kann.<br />
Beim Überlagernden Senden kann durch E<strong>in</strong>beziehung der verteilten Zeichen <strong>in</strong> die<br />
Schlüsselgenerierung Empfängeranonymität erreicht werden.