Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

44 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 43 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Klartext herauszubekommen versucht (passiver Angriff). 36 Ist der verändernde Angreifer aber ein legaler Benutzer des IT-Systems und sei das Kopieren der Paßwortdatei (verändernder Angriff) auch ihm verboten, so ist er als aktiver Angreifer zu betrachten, da er sein Paßwort beliebig ändern kann. Die Beispiele sind in Bild 3-11 dargestellt. nicht den Schlüssel wissen. Nun schickt er mit fingierter Absenderangabe seltsame Schlüsseltexte, und beobachtet, was der Entschlüsselungsrechner damit anfängt. Beim asymmetrischen Konzelationssystem ist entsprechend obiger Bemerkung nur b2) relevant. passiv aktiv Angreifer Beim symmetrischen Authentikationssystem kann b1) Klartext → MAC (gewählter Klartext-MAC-Angriff, chosen-plaintext attack33 ) und b2) MAC → (ein möglicher34 ) Klartext (gewählter MAC-Klartext-Angriff, chosen- MAC attack) 35 unterschieden werden. Beim digitalen Signatursystem ist nur b1) Klartext → Signatur (gewählter Klartext- Signatur-Angriff, chosen-plaintext attack) relevant. Erlaubte Wahl von Klartexten, die dann mit einem ihm unbekannten Schlüssel verschlüsselt übertragen werden und ihm zum Brechen des Kryptosystems dienen Interesse an Kommunikationsinhalten einer fremden Kommunikationsbeziehung ohne Eingriff in diese Beziehung beobachtend Zugriffskontrolle brechen und verschlüsselte Datei mit partiell selbst gewählten Klartextwerten zu entschlüsseln versuchen Zugriffskontrolle brechen und verschlüsselte fremde Datei zu entschlüsseln versuchen verändernd Bild 3-11 Kombinationen der Angreiferattribute beobachtend/verändernd und passiv/aktiv 3.1.3.4 Grundsätzliches über „kryptographisch stark“ Adaptivität: • Nicht adaptiv (d.h. der Angreifer muß alle seine Nachrichten zu Beginn wählen) • Adaptiv (d.h. der Angreifer kann zunächst einige Nachrichten wählen, dann je nach dem Ergebnis einige weitere, usw.) Ein Beispiel möge den Sinn dieser Unterscheidung verdeutlichen: Ein Angreifer gehe mit einem Kasten Bier zu einem trinkfreudigen Fernmelder und gieße ihm kräftig solange ein, bis er auf's Klo muß. In aller Regel wird der Fernmelder, schon angetrunken, das Kryptogerät entgegen der Dienstanweisung nicht mit auf's Örtchen nehmen. Nun hat der Angreifer die Gelegenheit, schnell ein paar Texte mit dem Kryptogerät zu bearbeiten – aber auch bei anfangs gut gefüllter Fernmelderblase sicherlich nicht die Ruhe und Zeit, sich in Abhängigkeit von den Ausgaben des Kryptogerätes clevere neue Eingaben auszudenken. Unser Bierkasten-Toiletten-Angriff ist also ein nichtadaptiver aktiver Angriff. Ersetzen wir Bier durch Schlafmittel, so erhalten wir einen adaptiven aktiven Angriff – zumindest für Angreifer mit guten Nerven und Konzentrationsfähigkeit auch in ungemütlichen Umgebungen. Wenn möglich, wird man unter dem Gesichtspunkt Sicherheit des kryptographischen Systems informationstheoretisch sichere verwenden, also das in §3.2 beschriebene symmetrische Konzelationssystem „Vernam-Chiffre“ (one-time pad) oder die in §3.3 beschriebenen Authentikationscodes. Dann kann ein Angreifer so viel rechnen wie er will – es wird ihm nichts nützen. 37 Drei Gründe können erzwingen, auf lediglich komplexitätstheoretisch sichere kryptographische Systeme auszuweichen: • Der benötigte Sicherheitsdienst ist durch informationstheoretisch sichere kryptographische Systeme nicht zu erbringen, etwa eine digitale Signatur im strengen Sinn, vgl. §3.1.1.2. • Das Risiko der unbefugten Kenntnisnahme der ausgetauschten Schlüssel ist höher als die zusätzliche Sicherheit eines informationstheoretisch sicheren kryptographischen Systems gegenüber einem alternativen asymmetrischen (und damit zwangsläufig nur komplexitätstheoretisch sicheren, s.u.). • Der Aufwand des Austauschs der für informationstheoretisch sichere kryptographische Systeme nötigen, mit der Gesamtlänge der zu schützenden Nachrichten unbegrenzt wachsenden Schlüssel ist zu groß. Wünschenswert ist, daß ein kryptographisches System selbst bei sehr starken Angriffen keine oder nur minimale Angriffserfolge erlaubt. Am besten bedient ist man also mit einem kryptographischen System, das selbst bei adaptiven aktiven Angriffen nicht einmal existentiell brechbar ist. 3.1.3.3 Zusammenhang zwischen beobachtendem/veränderndem und passivem/aktivem Angreifer „Kryptographisch stark“ nennt man die nach den informationstheoretisch sicheren nächstsicheren Systeme. Man kann hier, unabhängig vom Systemtyp, schon einiges sagen, was Sicherheit im kryptographischen Sinne bedeutet: Während in §1.2.5 bei der informellen Definition der Angreiferattribute beobachtend/verändernd die Erlaubnis für Handlungen entscheidend ist, unterscheidet passiv/aktiv Handlungen unabhängig davon, ob sie dem Angreifer erlaubt oder verboten sind. Beobachtender und passiver Angreifer meinen also, ebenso wie verändernder und aktiver Angreifer, nicht genau dasselbe. Beispielsweise kann ein beobachtender Angreifer ein passiver Angreifer sein, wenn er sich für Kommunikationsinhalte einer durch ein symmetrisches Konzelationssystem geschützten Kommunikationsbeziehung interessiert, an der er nicht teilnehmen darf. Oder er kann ein aktiver Angreifer sein, indem er – wie im Beispiel oben – als Kunde eine Bankfiliale besucht und erlaubte, aber von ihm gewählte Transaktionen durchführt, die dann verschlüsselt an die Zentrale gesendet werden. Umgekehrt kann ein verändernder Angreifer ein passiver Angreifer sein, wenn er sich durch Umgehen der Zugangskontrolle und Brechen der Zugriffskontrolle in einem fremden IT-System unerlaubterweise Kopien der verschlüsselten Paßwortdatei verschafft (verändernder Angriff) und den 36 In einem gewissen Sinne wird hier gemogelt, da sich „verändernd“ und „passiv“ auf unterschiedliche Dinge beziehen: „Verändernd“ auf das Beschaffen der Paßwortdatei und „passiv“ auf das Entschlüsseln der verschlüsselten Paßworte. Will man diese Verschiebung des Bezugs vermeiden, dann sind passive verändernde Angriffe genau solche, wo etwas geschehen sollte (verändernd), aber nicht geschieht (passiv). Beispielsweise verweigert ein Trojanisches Pferd innerhalb einer Komponente auf einmal den Dienst der Komponente an ihre Außenwelt (denial of service attack). 37 Die Sicherheit ist also (soweit es die algorithmischen Teile des Systems betrifft) absolut. 33 Bisher wird dieser englische Begriff in der Literatur nur bei Konzelationssystemen verwendet. 34 Bei kurzen MACs aber potentiell langen Klartexten müssen einzelnen MACs im Mittel viele Klartexte entsprechen. 35 Ein gewählter MAC-Klartext-Angriff ist zugegeben etwas theoretisch: Denn ein entwendetes Authentikationsgerät erwartet als Eingabe den Klartext und generiert dazu den MAC – und nicht umgekehrt. Aber es geht doch nichts über eine durchgehaltene Systematik ...
46 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 45 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr c) Vernünftige Berechnungsmodelle (Turing-, RAM-Maschine) sind polynomial äquivalent, man muß sich also nicht auf ein genaues Maschinenmodell festlegen. Für die Praxis würde ein Polynom von hohem Grad als untere Schranke für Angreiferalgorithmus auf RAM-Maschine reichen. (Und die leichten Algorithmen gehen in der Praxis meist höchstens bis l3 .) Anmerkung zu: nicht polynomial in l ≈ exponentiell in l Hier steht kein Gleichheitszeichen, da es zwischen polynomial (lk mit festem k) und exponentiell (2l ) weitere Funktionen gibt, z.B. 2√⎺ l . 4) Warum braucht man komplexitätstheoretische Annahmen? (z.B. „Faktorisierung schwer“, s. §3.4.1) Die Komplexitätstheorie kann bisher keine brauchbaren unteren Schranken beweisen. Für Kenner: Genauer liegt das Brechen bei vielen solchen Systemen offensichtlich innerhalb von NP. (Im Prinzip heißt NP gerade: Wenn man eine Lösung geraten hat, kann man schnell testen, ob sie richtig ist. So war das z.B. in 1) mit der zu fälschenden Signatur.) Damit ist für solche Fälle klar, daß ein Beweis, daß das Brechen eines solchen Systems exponentiell ist, P≠NP implizieren würde. Mit solch einem Beweis ist also zunächst nicht zu rechnen, da seit vielen Jahren viele Wissenschaftler P≠NP zu beweisen oder zu widerlegen versuchen. Innerhalb von NP sind keine passenden unteren Schranken bekannt, also würde es auch hier nichts nützen, wenn man sich z.B. mit einer unteren Schranke l100 zufriedengäbe. 1) Viele kryptographische Systeme sind im Prinzip brechbar: Wenn Schlüssel der festen Länge l verwendet werden, und genügend Information zur Verfügung steht, daß der Schlüssel im Prinzip eindeutig ist, kann ein Angreiferalgorithmus im Prinzip immer alle 2l Schlüssel durchprobieren und damit das System vollständig brechen. (Dies betrifft die meisten asymmetrischen Systeme, sowohl bzgl. Konzelation als auch Authentikation, weil i.allg. bei bekanntem c bzw. t nur ein d bzw. s möglich ist, und außer der Vernam-Chiffre auch symmetrische Konzelationssysteme bei Klartext-Schlüsseltext-Angriff mit genügend viel „Material“. Außerdem gilt analoges z.B. für das Fälschen der Signatur zu einer bestimmten Nachricht: Der Angreifer weiß, daß seine gefälschte Signatur Sig zur Nachricht x gut genug ist, wenn sie den Test test(t, x, Sig) besteht. Da es i.allg. eine Obergrenze für die Länge von Signaturen gibt, muß er wieder nur endlich viele Sigs probieren.) Dieses erschöpfende Durchprobieren erfordert aber exponentiell viele Operationen, ist also z.B. für l > 100 nicht realistisch. Es bedeutet aber, daß das Beste im Sinne der Komplexitätstheorie, was der Entwerfer kryptographischer Systeme erhoffen kann, ein für den Angreiferalgorithmus in l exponentieller Aufwand ist. 2) Nicht nur asymptotische „worst-case“-Komplexität: Komplexitätstheorie liefert hauptsächlich asymptotische Resultate. " behandelt hauptsächlich „worst-case“-Komplexität. 5) Was für Annahmen macht man gern? Je kompakter und je länger (und von je mehr Leuten) untersucht, desto vertrauenswürdiger. In gewisser Hinsicht werden also kryptographische Systeme, wenn sie nicht informationstheoretisch sicher sind, mit zunehmendem Alter entweder gebrochen oder vertrauenswürdiger. Allerdings muß man, schon wegen des Fortschritts der Rechnerleistungen, die Parameter l allmählich erhöhen. (Vorsicht, wenn Sachen lange geheim bleiben sollen, oder Signaturen für Jahre gültig, also auch unfälschbar, sein sollen!) Ein NP-vollständiges Problem wäre natürlich besonders nett, aber man hat bisher keins entdeckt, das auch im Sinne von 2) hart wäre. Es ist schön zu wissen, wie sich die Sicherheit verhält, wenn der Sicherheitsparameter l (Verallgemeinerung der Schlüssellänge; praktisch nützlich) genügend groß ist. Beim praktischen Einsatz kryptographischer Systeme muß man die Werte aller Parameter aber konkret festlegen. Was einen dann interessiert ist: Wie sicher ist das System bei konkreten Parameterwerten? Oder anders formuliert: Wo beginnt „genügend groß“? Die „worst-case“-Komplexität ist für Sicherheit ungenügend, ebenso „average-case“-Komplexität. (Denn es soll ja nicht nur ein paar Schlüssel geben, die nicht gebrochen werden können, sondern die meisten sollen nicht gebrochen werden.) Man wünscht sich: Das Problem soll fast überall, d.h. bis auf einen verschwindenden Bruchteil der Fälle, schwer sein. (D.h. wenn ein braver Benutzer seinen Schlüssel zufällig wählt, soll die Wahrscheinlichkeit überwältigend sein, daß er nicht gebrochen wird.) 6) Was, wenn sich Annahme als falsch herausstellt? a) Andere Annahme treffen. b) Genauere Analyse, z.B. Berechnungsmodell genau fixieren (RAM- oder Turingmaschine? Wie viele Bänder bei der Turingmaschine? usw.) und dann untersuchen, ob Polynom von genügend hohem Grad. Ist der Sicherheitsparameter l , so verlangt man: Wenn l → ∞, dann Brechwahrscheinlichkeit → 0. Man hofft: Die Brechwahrscheinlichkeit sinkt schnell, so daß man l nicht allzu groß machen muß. 7) Beweisziel: Wenn der Angreiferalgorithmus das kryptographische System brechen kann, dann kann er auch das als schwer angenommene Problem lösen. 3) Wie definiert man leicht und schwer? Im wesentlichen braucht man bei einem kryptographischen System 2 Komplexitätsklassen: Die Dinge, die die Benutzer tun müssen, müssen leicht gehen; hingegen muß das Brechen schwer sein. Formal faßt man dies meist durch den Unterschied zwischen polynomial und nicht polynomial, also: 3.1.3.5 Überblick über im folgenden vorgestellte kryptographische Systeme Zu den durchgestrichenen Feldern in Bild 3-12: Mit den Spezifikationen aus den Bildern 3-4 bzw. 3-7 gibt es solche Systeme nicht, wie in Punkt 1) oben begründet wurde. (Allerdings gibt es mittlerweile ein System, das fast die Eigenschaften von digitalen Signaturen hat und informationstheoretisch sicher ist. Von der Effizienz her ist es aber derzeit wohl nicht praktikabel. Vgl. §3.9.3 und [ChRo_91].) Das Feld 3 ist seit 1998 nicht mehr vollständig leer. Bis dahin war gegen aktive Angriffe kein praktikables und gegen adaptive aktive Angriffe überhaupt kein System bekannt ist [BlFM_88, Schlüsselgenerierung, Ver-/Entschlüsseln: leicht = polynomial in l Brechen: schwer = nicht polynomial in l ≈ exponentiell in l Warum gerade diese Trennung? (Die Punkte b und c gelten ganz allgemein für die Komplexitätstheorie.) a) Schwerer als exponentiell geht nicht, siehe 1). b) Abgeschlossen: Einsetzen von Polynomen in Polynome ergibt Polynome, d.h. vernünftige Kombinationen polynomialer Algorithmen sind wieder polynomial (ohne daß man etwas Genaues rechnen muß).
Seite 1 und 2: A. Pfitzmann: Datensicherheit und K
Seite 3 und 4: VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6: X A. Pfitzmann: Datensicherheit und
Seite 7 und 8: 2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10: 6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12: 10 A. Pfitzmann: Datensicherheit un
Seite 27: 42 A. Pfitzmann: Datensicherheit un
Seite 57 und 58: 102 A. Pfitzmann: Datensicherheit u
Seite 79 und 80:
146 A. Pfitzmann: Datensicherheit u
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?