Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

36 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 35 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Zufallszahl öffentliches Schlüsselregister R Schlüsselgenerierung k k geheimer Schlüssel Text mit Klartext und Klartext Testergebnis Erzeugen: Authentikation Testen: x x, k(x) x, MAC := MAC = k(x) k(x) ? „ok“ oder „falsch” 1. 3. A läßt seinen öffentlichen B erhält von R c A , den öffentli- Chiffrierschlüssel c chen Chiffrierschlüssel von A, A (ggf. anonym) ein- beglaubigt durch die tragen. Signatur von R. 2. B bittet das Schlüsselregister R um den öffentlichen Chiffrierschlüssel von A. =: MAC (message authentication code) c (Nachricht an A) A Teilnehmer Teilnehmer A B Bild 3-6: Symmetrisches Authentikationssystem (≈ Glasvitrine mit Schloß, es gibt zwei gleiche Schlüssel, um etwas hineinzutun) Bild 3-5: Schlüsselverteilung mit öffentlichem Register bei asymmetrischem Konzelationssystem Asymmetrische Authentikationssysteme, also digitale Signatursysteme, vereinfachen zunächst die Schlüsselverteilung analog zu asymmetrischen Konzelationssystemen, s. Bild 3-7 und 3-8. Ihr Hauptvorteil ist aber ein anderer: Jener ist, daß nun der Empfänger B einer signierten Nachricht von A jedem anderen, der auch A's Schlüssel tA kennt, beweisen kann, daß er diese Nachricht von A bekam. Dies geht bei einem symmetrischen Authentikationssystem nicht, selbst wenn z.B. vor Gericht die Schlüsselverteilzentrale bestätigen würde, welchen Schlüssel A und B hatten: Bei symmetrischen Authentikationssystemen kann ja B den MAC genausogut selbst erzeugt haben. Bei digitalen Signatursystemen ist jedoch A der einzige, der die Signatur erzeugen kann. Deswegen sind digitale Signatursysteme unumgänglich, wenn man rechtlich relevante Dinge digital in sicherer Weise abwickeln will, z.B. bei digitalen Zahlungssystemen. Sie entsprechen dort der Funktion der handgeschriebenen Unterschrift in heutigen Rechtsgeschäften (daher natürlich der Name). Im Folgenden verwende ich die Begriffe „Unterschrift“ und „Signatur“ weitgehend synonym. Dem gerade beschriebenen Hauptvorteil digitaler Signatursysteme bzgl. Integrität steht ein prinzipieller Nachteil bzgl. Vertraulichkeit gegenüber: Der Empfänger einer digitalen Signatur kann Nachricht und Signatur herumzeigen – und wenn der Schlüssel zum Testen der Signatur öffentlich ist, kann jeder die Gültigkeit der Signatur testen. Je nach Nachrichteninhalt kann dies demjenigen, der die Nachricht signiert hat, wesentlich unangenehmer sein, als wenn hinter seinem Rücken nur einfach seine Nachricht herumgezeigt werden könnte – beliebige Nachrichten erfinden und als nicht nachprüfbares Gerücht verbreiten kann jeder. Diese Prüfung der Integrität einer Nachricht hinter dem Rücken des Senders ist bei symmetrischen Authentikationssystemen nicht möglich: Bei ihnen könnte ja auch der Empfänger der Nachricht den Prüfteil (MAC) generiert haben, so daß Dritte die Authentizität der Nachricht bei symmetrischen Authentikationssystemen nicht prüfen können. Es sei hier schon darauf hingewiesen, daß es Authentikationssysteme gibt, die beide Vorteile kombinieren: Bei nicht herumzeigbaren Signaturen (undeniable27 signatures) ist zur Prüfung der Signatur die aktive Mithilfe des Signierers nötig, so daß ein Prüfen hinter seinem Rücken nicht möglich ist. Andererseits muß dann festgelegt werden, unter welchen Umständen der (vorgebliche) Signierer zur aktiven Mithilfe bei der Prüfung „seiner“ Signatur verpflichtet ist. Denn sonst könnte der Empfänger Man beachte, daß im Fall von Bild 3-5 das Schlüsselregister R (bzw. dessen Betreiber) die Nachricht nicht entschlüsseln kann. Allerdings gibt es eine verändernde Angriffsmöglichkeit für R, siehe Aufgabe 3-4 c). Damit Teilnehmer B sicher sein kann, daß cA auch wirklich zu Teilnehmer A gehört, beglaubigt das öffentliche Schlüsselregister durch seine Signatur nicht einfach cA , sondern den Zusammenhang zwischen A und cA. Andernfalls könnte ein Angreifer die Antwortnachricht (in Bild 3-5 Schritt 3.) des Schlüsselregisters abfangen und B einen anderen „beglaubigten“ Schlüssel schicken, etwa einen, zu dem der Angreifer den Dechiffrierschlüssel kennt. 3.1.1.2 Authentikationssysteme, Überblick Ein symmetrisches Authentikationssystem ist in Bild 3-6 dargestellt. Hier wird also die Nachricht durch den kryptographischen Algorithmus links in Bild 3-6 nicht unleserlich gemacht, sondern es wird ein Prüfteil an sie angehängt. Dieser wird nach seiner englischen Bezeichnung oft MAC genannt. Der Empfänger kann anhand von x auch den richtigen MAC bilden und prüfen, ob der mit der Nachricht mitgekommene damit übereinstimmt. Anmerkung: Wieder ist die Schreibweise k(x) nur eine Abkürzung. Heißt der kryptographische Algorithmus code, so ist MAC := code(k, x), und der Empfänger einer Nachricht (x, MAC) testet, ob MAC = code(k, x). Die Schlüsselverteilung kann wie bei symmetrischen Konzelationssystemen erfolgen. Es gibt auch die analogen Probleme, z.B. könnte eine einzelne Schlüsselverteilzentrale diesmal gefälschte Nachrichten unterschieben. 27 Da jede digitale Signatur „undeniable“, d.h. unleugbar, nicht abstreitbar, sein soll, da sie andernfalls für den Rechtsverkehr unbrauchbar ist, halte ich den vom Erfinder dieses Signatursystemtyps – David Chaum – gewählten Namen für ungeschickt. Wenigstens im Deutschen möchte ich einen aussagekräftigen etablieren.
38 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 37 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr als bequeme Form gegenseitiger Authentikation benutzt. Will man aber sicher sein, daß eine Signatur später ggf. vor Gericht anerkannt wird, muß man sich versichern, daß man den richtigen Testschlüssel hat, d.h. zumindest zur Kontrolle bei einem Schlüsselregister nachfragen. Wieder hätte ein einzelnes Schlüsselregister Möglichkeiten zu verändernden Angriffen, vgl. Aufgabe 3-4 c). Die Beglaubigung des öffentlichen Testschlüssels bezieht sich – wie bei den öffentlichen Chiffrierschlüsseln – nicht auf den Schlüssel allein, sondern auf den Zusammenhang zwischen Schlüssel und Teilnehmer. Ignorieren wir sonstige Information, etwa Zeitstempel, vgl. Aufgabe 3-4 f), so lautet die Beglaubigung des Schlüsselregisters R für tA (in Bild 3-8 Schritt 3.): A,tA , sR(A,tA ). Diese Beglaubigung des öffentlichen Schlüssels wird Zertifizierung des öffentlichen Schlüssels genannt, die Instanz, die sie durchführt, Zertifizierungsinstanz (certification authority, CA). Zusammenfassend besteht an die Schlüsselverteilung eine Forderung mehr als bei asymmetrischen Konzelationssystemen: Sie muß konsistent sein. Dies ist ein gemeinsames Ziel mehrerer Empfänger, bzgl. dessen Erfüllung sie der Zertifizierungsinstanz nicht vertrauen: Selbst wenn diese betrügt, müssen alle Empfänger denselben Wert t erhalten. Man stelle sich vor, ein Empfänger prüft mit einem Schlüssel t, später das Gericht aber mit einem ganz anderen t’! Daneben muß die Verteilung weiterhin integer sein, d.h., wenn die Zertifizierungsinstanz nicht betrügt, erhalten alle das von ihr zertifizierte t. Die Konsistenz der Schlüsselverteilung sollte dadurch unterstützt werden, daß derjenige, der sich einen öffentlichen Schlüssel zertifizieren läßt, die Kenntnis des zugehörigen geheimen Schlüssels nachweist. Andernfalls könnte ein Angreifer fremde öffentliche Schlüssel einer Zertifizierungsinstanz vorlegen und sie sich als seine öffentlichen Schlüssel zertifizieren lassen. Zwar kann er die geheime Operation nicht ausführen, aber die Zertifizierung des gleichen öffentlichen Schlüssels für mehrere unterschiedliche Teilnehmer kann Verwirrung und Irritationen auslösen. Eine elegante Möglichkeit bei digitalen Signatursystemen, all dies zu vermeiden, ist, daß im Beispiel der Teilnehmer A nicht tA zur Zertifizierung vorlegt, sondern den Zusammenhang zwischen seinem Namen A und seinem öffentlichen Schlüssel tA zunächst mit dem zugehörigen geheimen Schlüssel sA selbst zertifiziert. Er legt der Zertifizierungsinstanz also A,tA , sA (A,tA ) vor und erhält als Beglaubigung A,tA , sA (A,tA ), sR(A,tA , sA(A,tA )). Oftmals wird dies als Schlüsselzertifikat bezeichnet. der signierten Nachricht im Konfliktfall mit dem Sender daraus, daß die Nachricht signiert ist, keine Vorteile ziehen, da er niemand hiervon überzeugen könnte. Mehr über diesen Typ digitaler Signatursysteme steht in §3.9.4. Zufallszahl Schlüsselgenerierung t Schlüssel zum Testen der Signatur, öffentlich bekannt Schlüssel zum Signieren, geheimgehalten s Text x Signieren Text mit Signatur x, s(x) Testen Zufallszahl ' Text mit Signatur und Testergebnis x, s(x), „ok“ oder „falsch“ Bild 3-7: Signatursystem (≈ Glasvitrine mit Schloß, es gibt nur einen Schlüssel, um etwas hineinzutun) Anmerkung 1: In ausführlicher Schreibweise könnten die Signier- und Testalgorithmen sign und test heißen. Dann ist die Signatur Sig:= sign(s, x), und der Empfänger einer Nachricht (x, Sig) berechnet test(t, x, Sig) ∈ {ok, falsch}. Anmerkung 2: Die Zufallszahl unten rechts wird unabhängig von der Zufallszahl oben gewählt. Wozu man sie braucht, wird erst in §3.5 einsichtig. Man beachte, daß hier im Gegensatz zur symmetrischen Authentikation ein eigener Testalgorithmus benötigt wird, weil der Empfänger dort den Schlüssel k hat, mit dem er aus x selbst den korrekten Wert MAC bestimmen kann; hier hat er aber s nicht. Zusammenfassend hat die Zertifizierungsinstanz also folgende Aufgaben: 1. Überprüfung der Identität des Teilnehmers. (Wie gründlich dies genau geschieht, legt die Zertifizierungsinstanz in einer sogenannten certification policy fest. Oftmals geschieht es durch Vorlage eines amtlichen Ausweises.) 2. Überprüfung des Antrags des Teilnehmers. (Wie gründlich dies genau geschieht, legt die Zertifizierungsinstanz ebenfalls in ihrer certification policy fest. Oftmals geschieht es durch einen schriftlichen Vertrag mit eigenhändiger, ggf. sogar notariell beglaubigter Unterschrift des Teilnehmers.) 3. Prüfung der Eindeutigkeit des Namens des Teilnehmers, so wie er im Schlüsselzertifikat erscheinen soll. 4. Prüfung, daß der Teilnehmer den zugehörigen geheimen Schlüssel anwenden kann. 5. Digitales Signieren von Namen des Teilnehmers und öffentlichem Schlüssel, ggf. unter Beifügung des öffentlichen, selbst wieder zertifizierten Schlüssels der Zertifizierungsinstanz. öffentliches Schlüsselregister R 3. B erhält von R t A, den Schlüssel zum Testen der Signatur von A, beglaubigt durch die Signatur von R. 1. A läßt t A , den Schlüssel zum Testen seiner Signatur, (ggf. anonym) eintragen. 2. B bittet das Schlüsselregister R um den Schlüssel zum Testen der Signatur von A. Nachricht von A, s (Nachricht von A) A Teilnehmer Teilnehmer A B 3.1.2 Weitere Anmerkungen zum Schlüsselaustausch Bild 3-8: Schlüsselverteilung mit öffentlichem Register bei Signatursystem In §3.1.1 wurden die wichtigen Klassen kryptographischer Systeme zusammen mit ihrer Schlüsselverteilung vorgestellt. Bevor in §3.1.3 genauer diskutiert wird, was unter der Sicherheit eines kryptographischen Systems zu verstehen ist, werden hier drei Aspekte des Schlüsselaustauschs vertieft. Man beachte, daß die Möglichkeit, den Testschlüssel privat mit seinem Kommunikationspartner auszutauschen, nur in dem Fall genügt, daß man diesem Partner vertraut, d.h. das Signatursystem nur
Seite 1 und 2: A. Pfitzmann: Datensicherheit und K
Seite 3 und 4: VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6: X A. Pfitzmann: Datensicherheit und
Seite 7 und 8: 2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10: 6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12: 10 A. Pfitzmann: Datensicherheit un
Seite 23: 34 A. Pfitzmann: Datensicherheit un
Seite 57 und 58: 102 A. Pfitzmann: Datensicherheit u
Seite 75 und 76:
138 A. Pfitzmann: Datensicherheit u
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?