Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

40 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 39 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr richtung ein separater Schlüssel verwendet wird, vgl. die Lösung von Aufgabe 3-7 e). Teilnehmer werden also oftmals jeweils gleich 2 symmetrische Schlüssel austauschen, so daß Schlüsselaustausch nur n • (n-1)/2 mal stattfindet. 3.1.2.1 Wem werden Schlüssel zugeordnet? Insbesondere für IT-Systeme mit vielen Teilnehmern stellt sich die Frage, wann diese Schlüssel(paare) generiert und ausgetauscht werden sollen? Bei asymmetrischen kryptographischen Systemen kann die Erzeugung problemlos vor dem eigentlichen Betrieb des IT-Systems oder – bei wechselnden Teilnehmern – der Registrierung des einzelnen Teilnehmers erfolgen. Die Verteilung der öffentlichen Schlüssel kann dann nach Bedarf erfolgen. Bei symmetrischen kryptographischen Systemen kann aufgrund der wesentlich größeren Zahl der nötigen Schlüssel deren Erzeugung oder gar Verteilung nicht für alle möglichen Kommunikationsbeziehungen vorgenommen werden – zumindest für IT-Systeme mit vielen Teilnehmern. Bei ihnen werden daher nur die Schlüssel zwischen Teilnehmer und Schlüsselverteilzentrale(n) bei der Registrierung des Teilnehmers erzeugt und ausgetauscht. Alle anderen Schlüssel können und müssen dann bei Bedarf erzeugt und verteilt werden. Dies spart erheblichen Aufwand, da in IT-Systemen mit vielen Teilnehmern üblicherweise nur ein winziger Bruchteil aller möglichen Kommunikationsbeziehungen überhaupt jemals wahrgenommen wird. Interessant ist die Unterscheidung von drei möglichen Antworten: 1. einzelnen Teilnehmern, 2. Paarbeziehungen oder 3. Gruppen von Teilnehmern. Bei asymmetrischen kryptographischen Systemen werden Schlüsselpaare normalerweise einzelnen Teilnehmern zugeordnet. Der geheimzuhaltende Schlüssel (d bzw. s) ist dann nur einem einzelnen Teilnehmer, der öffentliche Schlüssel (c bzw. t) potentiell allen bekannt, vgl. Bild 3-9. Bei symmetrischen kryptographischen Systemen werden Schlüssel üblicherweise zwei Teilnehmern, d.h. einer Paarbeziehung, zugeordnet: Vernachlässigt man den für die Schlüsselverteilung pathologischen (d.h. extrem gebildeten, krankhaften) Fall, daß jemand Nachrichten an sich selbst schickt, vgl. Aufgabe 3-6 c), so müssen bei symmetrischen Systemen immer mindestens zwei Teilnehmer den Schlüssel kennen. Da symmetrische Schlüssel vertraulich bleiben müssen, sollten sie nur möglichst wenigen bekannt sein. Hieraus folgt, daß jeder symmetrische Schlüssel genau zwei Teilnehmern bekannt ist. Außer unter speziellen Umständen werden Schlüssel also keinen Gruppen, sondern entweder einzelnen oder Paarbeziehungen zugeordnet. 3.1.2.3 Sicherheit des Schlüsselaustauschs begrenzt kryptographisch erreichbare Sicherheit einer zwei alle Kenntnis des Schlüssels (öffentlich bekannt) c Chiffrierschlüssel kryptographische Da im folgenden meist von einem sicheren Ur-Schlüsselaustausch außerhalb des zu schützenden Kommunikationssystems ausgegangen wird, sei dessen Wichtigkeit hier deutlich hervorgehoben: (beide Partner) (Generierer) d Dechiffrierschlüssel Systeme und ihre Ziele Die durch Verwendung eines kryptographischen Systems erreichbare Sicherheit ist höchstens so gut wie die des Ur-Schlüsselaustauschs! asymmetrisches Konzelationssystem: Vertraulichkeit Deshalb ist es sinnvoll und – wie in §3.1.1.1 sowie den Aufgaben 3-4 c) und d) gezeigt – möglich, nicht auf einem einzigen Ur-Schlüsselaustausch aufzubauen, sondern auf mehreren. Hierdurch kann die erreichbare Sicherheit erheblich gesteigert werden. k geheimer Schlüssel symmetrisches kryptographisches System: Vertraulichkeit und / oder Integrität s t Anmerkung: Auch die Sicherheit der Schlüsselgenerierung begrenzt die kryptographisch erreichbare Sicherheit: Ein geheimer Schlüssel (k, d, oder s) kann höchstens so geheim sein wie die Zufallszahl, aus der er erzeugt wird. Diese muß – wenn irgend möglich – also beim zukünftigen Inhaber des Schlüssels erzeugt werden und darf für einen Angreifer nicht zu raten sein. Auf keinen Fall darf man Datum und Uhrzeit als Zufallszahl wählen oder die einfache Funktion random seiner Programmierumgebung benutzen. Gute Zufallszahlenerzeugung ist nicht trivial. Zum einen kann man physikalische Phänomene verwenden. Hierzu braucht man Spezialhardware, die nicht jeder persönliche Rechner hat. Beispiele sind Rauschdioden, radioaktive Prozesse oder Turbulenzen im Lüfter eines normalen Rechners [GlVi_88, DaIF_94]. Braucht man nur wenige echte Zufallszahlen, können sie auch vom Benutzer kommen. Erstens kann dieser würfeln. Das ist etwas mühsam, aber für die Erzeugung eines Signierschlüssels, mit dem man wirklich wichtige Dinge tun kann, vielleicht immer noch die beste Idee. Zweitens kann man den Benutzer einfach „zufällig“ tippen lassen und die Eingabe im Rechner komprimieren. Drittens werden manchmal statt der Eingabezeichen die niederwertigen Bits der Abstände zwischen den Tastendrücken genommen, weil man hofft, daß diese zufälliger sind. Zumindest in Kombination mit der zu niedrigen Abtastrate mancher Betriebssysteme ist dies aber problematisch. Vertraut man keinem vorhandenen Verfahren ganz, sollte man mehrere Zufallszahlen nach verschiedenen Verfahren erzeugen und ihr XOR verwenden (Bild 3-10). Ist auch nur eine zufällig Testschlüssel digitales Signatursystem: Integrität Signierschlüssel Bild 3-9: Übersichtsmatrix der Ziele und zugehörigen Schlüsselverteilungen von asymmetrischem Konzelationssystem, symmetrischem kryptographischem System und digitalem Signatursystem 3.1.2.2 Wieviele Schlüssel müssen ausgetauscht werden? Möchten n Teilnehmer miteinander vertraulich kommunizieren, benötigen sie bei Verwendung eines asymmetrischen kryptographischen Systems hierfür n Schlüsselpaare. Möchten sie ihre Nachrichten digital signieren, sind n zusätzliche Schlüsselpaare nötig. Insgesamt werden also 2n Schlüsselpaare benötigt. (Sollen Teilnehmer anonym bleiben können und ihre öffentlichen Schlüssel keine Personenkennzeichen sein, vgl. §6, so benötigt jeder Teilnehmer nicht nur zwei, sondern viele digitale Pseudonyme, sprich: öffentliche Schlüssel.) Verwenden n Teilnehmer symmetrische kryptographische Systeme, so benötigen sie n • (n-1) Schlüssel, wenn jeder mit jedem gesichert kommunizieren können soll. Hierbei ist unterstellt, daß Schlüssel Paaren von Teilnehmern zugeordnet sind, vgl. §3.1.2.1, und für jede Kommunikations-
42 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 41 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr c2) für irgendeine Nachricht (existentielles Brechen, existential break). 31 Es ist klar, daß Brechen im Sinne von a), b) und c1) nicht akzeptabel ist. Schließt man auch c2) aus, ist man auf der sicheren Seite. Es gibt aber schwächere kryptographische Systeme, wo man nur hofft, daß die sinnvollen und den Angreifer interessierenden Nachrichten in der Gesamtnachrichtenmenge so selten sind, daß er mit seinem Erfolg im Sinne von c2) nie eine davon erwischt. und geheim, so ist bewiesenermaßen auch das XOR zufällig und geheim. Insbesondere sollte man so vorgehen, wenn staatliche Stellen an der Zufallszahlenerzeugung beteiligt werden möchten, weil sie befürchten, daß manche Benutzer zu schlechte Zufallszahlen eingeben, denn man kann andererseits nicht verlangen, daß Benutzer fremden Zufallszahlen vertrauen. Bei Konzelationssystemen kann bzgl. b) und c) noch jeweils unterschieden werden: Benutzergerät 1. Komplette Entschlüsselung, d.h. der Angreifer erfährt den ganzen Klartext. ← 2. Partielle Information: Der Angreifer erfährt nur manche Eigenschaften, z.B. einzelne Bits oder die Quersumme des Klartextes. z1 z2 z3 ⊕ ⊕ gfjjbz 3.1.3.2 Angriffstypen z n ⊕ z →gen Nach zunehmender Stärke: a) Passiv. Bei Konzelationssystemen heißt das, daß der Angreifer die ganze Zeit nur zuschaut. Bei Authentikationssystemen heißt es, daß der Angreifer solange nur zuschaut, bis er eine Nachricht zu fälschen versucht. Bei Konzelationssystemen unterscheidet man noch: a1) Reiner Schlüsseltext-Angriff (ciphertext-only attack): Der Angreifer sieht die ganze Zeit nur Schlüsseltexte. a2) Klartext-Schlüsseltext-Angriff (known-plaintext attack): Der Angreifer sieht zu einigen Schlüsseltexten auch die zugehörigen Klartexte, z.B. weil manche Nachrichten nach einer Weile veröffentlicht werden. In abgeschwächter Weise kommt es vor, wenn der Angreifer Teile der Klartexte mit großer Wahrscheinlichkeit raten kann (z.B. anhand der Reaktion des Empfängers oder gerade geschehener Ereignisse beim Sender, oder weil es typische Briefanfänge sind); so wurden viele klassische Konzelationssysteme gebrochen. Bild 3-10 Erzeugung einer Zufallszahl z für die Schlüsselgenerierung: XOR aus einer im Gerät erzeugten, einer vom Hersteller gelieferten, einer vom Benutzer gewürfelten und einer aus Zeitabständen errechneten 3.1.3 Grundsätzliches über Sicherheit 3.1.3.1 Angriffsziele und -Erfolge b) Aktiv. Der Angreifer greift schon vor dem eigentlichen Brechen in das System ein, z.B. bringt er einen Unterzeichner dazu, ihm zunächst einmal einige harmlos aussehende Nachrichten zu unterzeichnen. Man kann noch unterscheiden, bei welchem Kommunikationspartner der Angreifer angreift: Bei asymmetrischen Systemen lohnt sich ein Angriff natürlich nur auf den Partner mit Geheimnis; Verschlüsseln bzw. Signaturen testen kann der Angreifer ja selbst. Bei der Etablierung eines kryptographischen Systems können 4 Phasen unterschieden werden: 1. Definition des kryptographischen Systems 2. Wahl des Sicherheitsparameters 3. Wahl des Schlüssel(paare)s 4. Bearbeiten von Nachrichten Während mit allgemeinen Aufwandsparametern ein Brechen schon nach der 1. Phase untersucht werden kann, lohnt sich eine Untersuchung für konkreten vom Angreifer erbringbaren Aufwand erst nach der 2. Phase. Bei den folgenden Angriffen ist unterstellt, daß sie nach der 3. oder auch erst nach der 4. Phase stattfinden. In absteigender Reihenfolge der Angriffserfolge wird unterschieden: Beim symmetrischen Konzelationssystem unterscheidet man: b1) Klartext → Schlüsseltext (gewählter Klartext-Schlüsseltext-Angriff, chosenplaintext attack): Der Angreifer kann Klartexte wählen, die der Sender dann verschlüsselt verschickt. Bsp.: Er besucht als Kunde eine Bankfiliale und führt gewisse Transaktionen durch, die dann verschlüsselt an die Zentrale gesendet werden. b2) Schlüsseltext → Klartext (gewählter Schlüsseltext-Klartext-Angriff, chosenciphertext attack): Der Angreifer läßt dem Empfänger Schlüsseltexte zukommen32 und sieht die Entschlüsselungen. Bsp.: Der Angreifer ist Mitarbeiter in der Bankzentrale, soll aber a) Finden des Schlüssels (vollständiges Brechen, total break) b) Finden eines zum Schlüssel äquivalenten Verfahrens (universelles Brechen, universal break) c) Brechen (also Fälschen bzw. Entschlüsseln) nur für manche einzelne Nachrichten28 (nachrichtenbezogenes Brechen) c1) für eine selbst gewählte29 Nachricht (selektives Brechen, selective break) 30 bzw. 31 Bei Konzelationssystemen ist nur selektives nachrichtenbezogenes Brechen sinnvoll – denn es ist sinnlos, irgendwelche Chiffretexte zu entschlüsseln, die niemand geschickt hat. Letzteres genau tut existentielles Brechen. 32 Damit der Empfänger beim Entschlüsseln den passenden Schlüssel verwendet, muß der Angreifer hierzu im allgemeinen einen passenden, von ihm also gefälschten Absender angeben (können). Denn würde der Empfänger bei einem symmetrischen Konzelationssystem beim Entschlüsseln den mit dem Angreifer ausgetauschten Schlüssel verwenden, erführe der Angreifer durch seinen aktiven Angriff nichts - mit dem ihm bekannten Schlüssel könnte er die Aktion auch selbst durchführen. 28 Beim „Fälschen“ ist die „einzelne Nachricht“ üblicherweise ein Klartext, beim „Entschlüsseln“ ein Schlüsseltext. 29 Bei Konzelationssystemen ist dies typischerweise eine abgehörte verschlüsselte Nachricht, deren Klartext den Angreifer interessiert, der sie also in diesem Sinne auswählt. Denn generierte der Angreifer den Schlüsseltext selbst, dann verriete ihm der zugehörige Klartext nichts über andere. Bei Authentikationssystemen hingegen kann er einen Klartext zum Authentisieren völlig frei wählen. Dessen Authentikation kann ihm gegenüber anderen nützen. 30 Ein klarer Unterschied zum universellen Brechen besteht nur, wenn das selektive Brechen einen aktiven Angriff beinhaltet, siehe §3.1.3.2.
Seite 1 und 2: A. Pfitzmann: Datensicherheit und K
Seite 3 und 4: VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6: X A. Pfitzmann: Datensicherheit und
Seite 7 und 8: 2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10: 6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12: 10 A. Pfitzmann: Datensicherheit un
Seite 25: 38 A. Pfitzmann: Datensicherheit un
Seite 57 und 58: 102 A. Pfitzmann: Datensicherheit u
Seite 77 und 78:
142 A. Pfitzmann: Datensicherheit u
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?