Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
454<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
453<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
gehängt. An den Rest der Nachricht wird dann entsprechend viel (genauer: wenig) „zufälliger<br />
Inhalt“ angehängt, wodurch die Umcodierung längentreu wird.<br />
Jede Nachricht Nj besteht aus b Bits <strong>und</strong> wird von MIXj-1 gebildet.<br />
Wie im Bild gezeigt, entschlüsselt jeder MIXj die ersten bj Bits der Nachricht Nj mit<br />
se<strong>in</strong>em geheimgehaltenen Dechiffrierschlüssel dj <strong>und</strong> f<strong>in</strong>det als Ergebnis dieser Entschlüsselung<br />
1. e<strong>in</strong>en Schlüssel kj e<strong>in</strong>er symmetrischen, beliebig lange Informationse<strong>in</strong>heiten verschlüsselnden<br />
Stromchiffre (zum Umcodieren der restlichen b-bj Bits der Nachricht),<br />
2. die Adresse Aj+1 des nächsten MIXes (oder Empfängers) <strong>und</strong><br />
3. nj mit chiffrierter Nutz<strong>in</strong>formation belegte Bits Cj. Mit kj verschlüsselt MIXj die restlichen b-bj Bits der Nachricht <strong>und</strong> erhält so den Mittelteil Mj der auszugebenden Nachricht Nj+1 . Danach hängt er vor Mj die nj mit Nutz<strong>in</strong>formation<br />
belegten Bits Cj, h<strong>in</strong>ter Mj hängt er, um die Länge der Nachricht nicht zu ändern, bj-nj Bits<br />
zufälligen Inhalts Zj . Danach sendet MIXj die Nachricht Nj+1 = Cj ,Mj ,Zj an die Station mit<br />
Adresse Aj+1 .<br />
Mit den <strong>in</strong> §5.4.6.5 verwendeten Bezeichnungen besteht jede Nachricht Nj aus dem<br />
(Rück-)Adreßteil Rj <strong>und</strong> dem Nachrichten<strong>in</strong>haltsteil Ij . N1 wird vom Sender (auch MIX0 genannt) entsprechend den <strong>in</strong> §5.4.6.5 angegebenen rekursiven Schemata gebildet. Um zu<br />
verdeutlichen, wie dies geschieht, wird hier das Bildungsschema für den (Rück-)Adreßteil R1 explizit angegeben. Im folgenden bedeute [Rj ] ≤y die Bits an den Positionen ≤y von Rj , [Rj ] >y<br />
die Bits an den Positionen >y.<br />
Insgesamt handelt es sich um e<strong>in</strong>en passiven beobachtenden Angriff.<br />
5-15 Individuelle Wählbarkeit des symmetrischen Konzelationssystems bei MIXen?<br />
Die Def<strong>in</strong>ition symmetrischer Konzelationssysteme sagt nichts darüber, wie sie jeweils Klar- <strong>und</strong><br />
Schlüsseltexte codieren, ob also <strong>in</strong>sbesondere Klartext- <strong>und</strong> Schlüsseltextraum zwischen unterschiedlichen<br />
Systemen gleich s<strong>in</strong>d. S<strong>in</strong>d im Extremfall die Räume zwischen unterschiedlichen<br />
Systemen disjunkt <strong>und</strong> wählen die Teilnehmer jeweils unterschiedliche symmetrische Konzelationssysteme,<br />
aber jeder Teilnehmer immer dasselbe, dann nützen die MIXe nicht e<strong>in</strong>mal gegenüber<br />
äußeren Beobachtern irgend etwas. Selbst wenn die Räume aller Systeme gleich s<strong>in</strong>d, die<br />
Teilnehmer die Systeme aber wie beschrieben verwenden, können der erste <strong>und</strong> letzte MIX der<br />
von e<strong>in</strong>em Teilnehmer spezifizierten Umcodierungen die Nachrichten verketten. Folglich sollte<br />
jeder MIX nicht nur das asymmetrische, sondern auch das symmetrische Konzelationssystem<br />
vorgeben.<br />
5-15a Weniger Speicheraufwand beim Generierer von anonymen Rückadressen<br />
Der Generierer wählt den e<strong>in</strong>deutigen Namen e der Rückadresse zufällig <strong>und</strong> bildet dann alle<br />
symmetrischen Schlüssel hieraus unter Benutzung e<strong>in</strong>es e<strong>in</strong>zigen Geheimnisses pseudozufällig,<br />
d.h. determ<strong>in</strong>istisch <strong>und</strong> für ihn reproduzierbar. Dann muß er sich nur dieses e<strong>in</strong>e Geheimnis<br />
merken <strong>und</strong> kann, wenn immer ihn e<strong>in</strong> e<strong>in</strong>deutiger Name e<strong>in</strong>er se<strong>in</strong>er Rückadressen erreicht,<br />
dieselben symmetrischen Schlüssel nochmals erzeugen.<br />
Für die <strong>Sicherheit</strong> des Verfahrens ist essentiell, daß selbst aus e <strong>und</strong> m-1 symmetrischen<br />
Schlüsseln zusammen nichts über den m-ten symmetrischen Schlüssel errechnet werden kann.<br />
E<strong>in</strong>e mögliche Implementierung ist, e als Startwert <strong>und</strong> das Geheimnis als Schlüssel für e<strong>in</strong>en<br />
Pseudozufallsbitfolgengenerator zu nehmen, vgl. §3.4.2.<br />
Rm+1 = e<br />
Rj = cj(kj,Aj+1,[Rj+1] ≤nj ),kj -1 ([Rj+1] >nj<br />
) für j= m,...,1<br />
Da die Instanz, die kj generiert, nämlich Sender bzw. Empfänger, jeweils k -1<br />
j ([Rj+1 ] >nj )<br />
kennt, kann sie den, wie <strong>in</strong> §5.4.6.5 gebildeten, Nachrichten<strong>in</strong>haltsteil Ij jeweils mit der<br />
synchronen Stromchiffre passend vor dem Senden bzw. nach dem Empfangen entschlüsseln.<br />
Rj<br />
Nachrichten<strong>in</strong>halt zufälliger Inhalt<br />
1 bj<br />
b<br />
5-16 Warum längentreue Umcodierung?<br />
Der Angreifer hört die E<strong>in</strong>- <strong>und</strong> Ausgaben der MIXe ab. Falls er nicht sowieso weiß, um wie viel<br />
Bit jede Nachricht durch das Umcodieren kürzer wird, wird er dies leicht erraten: Bildet er<br />
Differenzen der Längen von E<strong>in</strong>- <strong>und</strong> Ausgabenachrichten, treten manche Werte besonders häufig<br />
auf – oder er berechnet e<strong>in</strong>fach die durchschnittliche Nachrichtenverkürzung, falls zu vermuten<br />
ist, daß alle Nachrichten um gleich viele Bits kürzer werden. Damit ist dann <strong>in</strong> Bild 5-26 unten<br />
alles klar: Zur E<strong>in</strong>gabenachricht paßt längenmäßig nur <strong>und</strong> entsprechend<br />
paßt zu nur . Bei MIX 2 <strong>und</strong> 3 kann genauso argumentiert werden.<br />
j<br />
N<br />
5-17 M<strong>in</strong>imal längenexpandierendes längentreues Umcodierungsschema für MIXe<br />
Z j<br />
M j<br />
k , A ,C<br />
j j +1 j<br />
a) Der Kommunikations- <strong>und</strong> Verschlüsselungsaufwand pro Informationse<strong>in</strong>heit ist direkt proportional<br />
zum Produkt aus der jeweiligen Länge der Informationse<strong>in</strong>heit <strong>und</strong> der Zahl der pro<br />
Kommunikationsbeziehung benutzten MIXe, da die Informationse<strong>in</strong>heit natürlich zwischen<br />
MIXen jeweils übertragen <strong>und</strong> von ihnen jeweils umcodiert werden muß.<br />
b-b j n b<br />
Nachrichten<strong>in</strong>halt zufälliger Inhalt<br />
+<br />
nj j<br />
1<br />
j +1<br />
N<br />
Deshalb ist e<strong>in</strong> bei vorgegebenem asymmetrischem Konzelationssystem m<strong>in</strong>imal längenexpandierendes<br />
(<strong>und</strong> für allgeme<strong>in</strong>e Anwendungen zusätzlich noch längentreues) Umcodierungsschema<br />
von großer Bedeutung.<br />
R<br />
j +1<br />
entschlüsseln mit d j umcodieren mit k j<br />
b) Mittels OFB kann man aus der symmetrischen Blockchiffre e<strong>in</strong>e symmetrische Stromchiffre<br />
für E<strong>in</strong>heiten beliebiger Länge erhalten, die die Eigenschaften k-1 (k(x)) = x <strong>und</strong> k(k-1 (x)) = x<br />
besitzt.<br />
„Überflüssige“ Bits im mit dem asymmetrischen Konzelationssystem verschlüsselten<br />
ersten Block werden vom Verschlüsseler mit Nutz<strong>in</strong>formation belegt <strong>und</strong> vom entschlüsselnden<br />
MIX vor den mit e<strong>in</strong>er symmetrischen Stromchiffre entschlüsselten Rest der Nachricht<br />
M<strong>in</strong>imal längenexpandierendes längentreues Umcodierungsschema