Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
38<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
37<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
als bequeme Form gegenseitiger Authentikation benutzt. Will man aber sicher se<strong>in</strong>, daß e<strong>in</strong>e Signatur<br />
später ggf. vor Gericht anerkannt wird, muß man sich versichern, daß man den richtigen Testschlüssel<br />
hat, d.h. zum<strong>in</strong>dest zur Kontrolle bei e<strong>in</strong>em Schlüsselregister nachfragen.<br />
Wieder hätte e<strong>in</strong> e<strong>in</strong>zelnes Schlüsselregister Möglichkeiten zu verändernden Angriffen, vgl.<br />
Aufgabe 3-4 c).<br />
Die Beglaubigung des öffentlichen Testschlüssels bezieht sich – wie bei den öffentlichen Chiffrierschlüsseln<br />
– nicht auf den Schlüssel alle<strong>in</strong>, sondern auf den Zusammenhang zwischen Schlüssel<br />
<strong>und</strong> Teilnehmer. Ignorieren wir sonstige Information, etwa Zeitstempel, vgl. Aufgabe 3-4 f), so lautet<br />
die Beglaubigung des Schlüsselregisters R für tA (<strong>in</strong> Bild 3-8 Schritt 3.): A,tA , sR(A,tA ). Diese<br />
Beglaubigung des öffentlichen Schlüssels wird Zertifizierung des öffentlichen Schlüssels genannt,<br />
die Instanz, die sie durchführt, Zertifizierungs<strong>in</strong>stanz (certification authority, CA).<br />
Zusammenfassend besteht an die Schlüsselverteilung e<strong>in</strong>e Forderung mehr als bei asymmetrischen<br />
Konzelationssystemen: Sie muß konsistent se<strong>in</strong>. Dies ist e<strong>in</strong> geme<strong>in</strong>sames Ziel mehrerer Empfänger,<br />
bzgl. dessen Erfüllung sie der Zertifizierungs<strong>in</strong>stanz nicht vertrauen: Selbst wenn diese betrügt,<br />
müssen alle Empfänger denselben Wert t erhalten. Man stelle sich vor, e<strong>in</strong> Empfänger prüft mit e<strong>in</strong>em<br />
Schlüssel t, später das Gericht aber mit e<strong>in</strong>em ganz anderen t’! Daneben muß die Verteilung weiterh<strong>in</strong><br />
<strong>in</strong>teger se<strong>in</strong>, d.h., wenn die Zertifizierungs<strong>in</strong>stanz nicht betrügt, erhalten alle das von ihr zertifizierte<br />
t.<br />
Die Konsistenz der Schlüsselverteilung sollte dadurch unterstützt werden, daß derjenige, der sich<br />
e<strong>in</strong>en öffentlichen Schlüssel zertifizieren läßt, die Kenntnis des zugehörigen geheimen Schlüssels<br />
nachweist. Andernfalls könnte e<strong>in</strong> Angreifer fremde öffentliche Schlüssel e<strong>in</strong>er Zertifizierungs<strong>in</strong>stanz<br />
vorlegen <strong>und</strong> sie sich als se<strong>in</strong>e öffentlichen Schlüssel zertifizieren lassen. Zwar kann er die geheime<br />
Operation nicht ausführen, aber die Zertifizierung des gleichen öffentlichen Schlüssels für mehrere<br />
unterschiedliche Teilnehmer kann Verwirrung <strong>und</strong> Irritationen auslösen. E<strong>in</strong>e elegante Möglichkeit bei<br />
digitalen Signatursystemen, all dies zu vermeiden, ist, daß im Beispiel der Teilnehmer A nicht tA zur<br />
Zertifizierung vorlegt, sondern den Zusammenhang zwischen se<strong>in</strong>em Namen A <strong>und</strong> se<strong>in</strong>em öffentlichen<br />
Schlüssel tA zunächst mit dem zugehörigen geheimen Schlüssel sA selbst zertifiziert. Er<br />
legt der Zertifizierungs<strong>in</strong>stanz also A,tA , sA (A,tA ) vor <strong>und</strong> erhält als Beglaubigung A,tA , sA (A,tA ),<br />
sR(A,tA , sA(A,tA )). Oftmals wird dies als Schlüsselzertifikat bezeichnet.<br />
der signierten Nachricht im Konfliktfall mit dem Sender daraus, daß die Nachricht signiert ist, ke<strong>in</strong>e<br />
Vorteile ziehen, da er niemand hiervon überzeugen könnte. Mehr über diesen Typ digitaler Signatursysteme<br />
steht <strong>in</strong> §3.9.4.<br />
Zufallszahl<br />
Schlüsselgenerierung<br />
t<br />
Schlüssel zum Testen<br />
der Signatur,<br />
öffentlich bekannt<br />
Schlüssel zum<br />
Signieren,<br />
geheimgehalten<br />
s<br />
Text<br />
x<br />
Signieren<br />
Text mit<br />
Signatur<br />
x, s(x)<br />
Testen<br />
Zufallszahl '<br />
Text mit Signatur<br />
<strong>und</strong> Testergebnis<br />
x, s(x),<br />
„ok“ oder<br />
„falsch“<br />
Bild 3-7: Signatursystem<br />
(≈ Glasvitr<strong>in</strong>e mit Schloß, es gibt nur e<strong>in</strong>en Schlüssel, um etwas h<strong>in</strong>e<strong>in</strong>zutun)<br />
Anmerkung 1: In ausführlicher Schreibweise könnten die Signier- <strong>und</strong> Testalgorithmen sign <strong>und</strong> test<br />
heißen. Dann ist die Signatur Sig:= sign(s, x), <strong>und</strong> der Empfänger e<strong>in</strong>er Nachricht (x, Sig)<br />
berechnet test(t, x, Sig) ∈ {ok, falsch}.<br />
Anmerkung 2: Die Zufallszahl unten rechts wird unabhängig von der Zufallszahl oben gewählt. Wozu<br />
man sie braucht, wird erst <strong>in</strong> §3.5 e<strong>in</strong>sichtig.<br />
Man beachte, daß hier im Gegensatz zur symmetrischen Authentikation e<strong>in</strong> eigener Testalgorithmus<br />
benötigt wird, weil der Empfänger dort den Schlüssel k hat, mit dem er aus x selbst den korrekten<br />
Wert MAC bestimmen kann; hier hat er aber s nicht.<br />
Zusammenfassend hat die Zertifizierungs<strong>in</strong>stanz also folgende Aufgaben:<br />
1. Überprüfung der Identität des Teilnehmers. (Wie gründlich dies genau geschieht, legt die<br />
Zertifizierungs<strong>in</strong>stanz <strong>in</strong> e<strong>in</strong>er sogenannten certification policy fest. Oftmals geschieht es durch<br />
Vorlage e<strong>in</strong>es amtlichen Ausweises.)<br />
2. Überprüfung des Antrags des Teilnehmers. (Wie gründlich dies genau geschieht, legt die<br />
Zertifizierungs<strong>in</strong>stanz ebenfalls <strong>in</strong> ihrer certification policy fest. Oftmals geschieht es durch<br />
e<strong>in</strong>en schriftlichen Vertrag mit eigenhändiger, ggf. sogar notariell beglaubigter Unterschrift<br />
des Teilnehmers.)<br />
3. Prüfung der E<strong>in</strong>deutigkeit des Namens des Teilnehmers, so wie er im Schlüsselzertifikat<br />
ersche<strong>in</strong>en soll.<br />
4. Prüfung, daß der Teilnehmer den zugehörigen geheimen Schlüssel anwenden kann.<br />
5. Digitales Signieren von Namen des Teilnehmers <strong>und</strong> öffentlichem Schlüssel, ggf. unter<br />
Beifügung des öffentlichen, selbst wieder zertifizierten Schlüssels der Zertifizierungs<strong>in</strong>stanz.<br />
öffentliches<br />
Schlüsselregister R<br />
3.<br />
B erhält von R t A,<br />
den<br />
Schlüssel zum Testen<br />
der Signatur von A,<br />
beglaubigt durch die<br />
Signatur von R.<br />
1.<br />
A läßt t A , den Schlüssel zum<br />
Testen se<strong>in</strong>er Signatur,<br />
(ggf. anonym) e<strong>in</strong>tragen.<br />
2.<br />
B bittet das Schlüsselregister<br />
R um den<br />
Schlüssel zum Testen<br />
der Signatur von A.<br />
Nachricht von A, s (Nachricht von A)<br />
A<br />
Teilnehmer Teilnehmer<br />
A B<br />
3.1.2 Weitere Anmerkungen zum Schlüsselaustausch<br />
Bild 3-8: Schlüsselverteilung mit öffentlichem Register bei Signatursystem<br />
In §3.1.1 wurden die wichtigen Klassen kryptographischer Systeme zusammen mit ihrer Schlüsselverteilung<br />
vorgestellt. Bevor <strong>in</strong> §3.1.3 genauer diskutiert wird, was unter der <strong>Sicherheit</strong> e<strong>in</strong>es kryptographischen<br />
Systems zu verstehen ist, werden hier drei Aspekte des Schlüsselaustauschs vertieft.<br />
Man beachte, daß die Möglichkeit, den Testschlüssel privat mit se<strong>in</strong>em Kommunikationspartner auszutauschen,<br />
nur <strong>in</strong> dem Fall genügt, daß man diesem Partner vertraut, d.h. das Signatursystem nur