Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
50<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
49<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
<strong>Sicherheit</strong> ideale Konzelation (ideal secrecy) – e<strong>in</strong>e sehr unglückliche Begriffsbildung. Die<br />
<strong>in</strong>formationstheoretische <strong>Sicherheit</strong>, die <strong>in</strong> dieser Arbeit zugr<strong>und</strong>e gelegt <strong>und</strong> def<strong>in</strong>iert wird, nennt<br />
Claude Shannon perfekte Konzelation (perfect secrecy). In neuerer Literatur wird diese perfekte<br />
Konzelation auch als unbed<strong>in</strong>gte Konzelation (unconditional secrecy) bezeichnet.)<br />
Beispiel: Wir nehmen an, wir wollen 2 Bits verschlüsseln <strong>und</strong> haben 2 Schlüsselbits. Die<br />
Verschlüsselungsfunktion ist Addition mod 2 (= bitweises XOR). Nun sehe der Angreifer z.B. den<br />
Schlüsseltext S=01. Dies kann nun entweder der Klartext x=00 mit dem Schlüssel k=01 gewesen<br />
se<strong>in</strong>, oder x=01 <strong>und</strong> k=00, oder x=10 <strong>und</strong> k=11, oder x=11 <strong>und</strong> k=10, vgl. Bild 3-13. Alle Klartexte<br />
s<strong>in</strong>d also gleich gut möglich.<br />
Klartext<br />
x<br />
Schlüssel<br />
k<br />
Schlüsseltext<br />
S<br />
Klartext<br />
x<br />
Schlüssel<br />
k<br />
Schlüsseltext<br />
S<br />
Klartext<br />
x<br />
0 0<br />
0 0<br />
0 0<br />
0 0<br />
Schlüssel<br />
k<br />
0 0<br />
0 1<br />
Schlüsseltext<br />
S<br />
0 1<br />
0 1<br />
0 1<br />
0 1<br />
0 1<br />
0 0<br />
1 1<br />
0 1<br />
1 0<br />
1 0<br />
1 0<br />
1 0<br />
1 0<br />
1 0<br />
1 1<br />
1 1<br />
1 1<br />
1 1<br />
1 1<br />
Vernam-Chiffre unsichere Chiffre<br />
Subtraktion von e<strong>in</strong>em Schlüsselbit<br />
mod 4 von zwei Textbits<br />
Bild 3-13: Schlüsseltext kann allen möglichen Klartexten entsprechen<br />
Bild 3-14: Jeder Schlüsseltext sollte allen möglichen Klartexten entsprechen können<br />
Vernam-Chiffre allgeme<strong>in</strong>: Will man die Vernam-Chiffre <strong>in</strong> e<strong>in</strong>er Gruppe G benutzen <strong>und</strong> e<strong>in</strong>e<br />
Zeichenkette der Länge n (von Zeichen aus G) verschlüsseln, so muß man vorweg als Schlüssel<br />
ebenfalls e<strong>in</strong>e Zeichenkette der Länge n zufällig wählen <strong>und</strong> vertraulich austauschen40 , etwa k =<br />
(k1 ,…,kn ). Das i-te Klartextzeichen xi wird verschlüsselt als<br />
Si := xi + ki Entschlüsselt werden kann es durch<br />
xi := Si – ki. Für den <strong>Sicherheit</strong>sbeweis siehe Aufgabe 3-7 b). (Es ist klar, daß man jedes Klartextzeichen e<strong>in</strong>zeln<br />
betrachten kann, da sie alle unabhängig verschlüsselt werden.) Auch ist klar, daß diese Chiffre<br />
selbst gegen aktive Angriffe sicher ist (vgl. Aufgabe 3-7 e)): Selbst wenn der Angreifer zunächst<br />
e<strong>in</strong>ige Klartext-Schlüsseltext-Paare se<strong>in</strong>er Wahl erhält, so erfährt er damit nur etwas über die dort verwendeten<br />
Schlüsselbits, die aber später (also wenn er wirklich etwas entschlüsseln will) nie wieder<br />
vorkommen41 .<br />
Dies war die b<strong>in</strong>äre Vernam-Chiffre für 2 Bit. Man kann dies auf beliebig viele Bits erweitern38 , <strong>und</strong><br />
auf andere Additionen statt modulo 2. (Beispielsweise mod 26 für buchstabenweise Chiffrierung von<br />
Hand.)<br />
Bild 3-14 zeigt l<strong>in</strong>ks den <strong>in</strong> Bild 3-13 dargestellten Sachverhalt für alle möglichen Schlüsseltexte,<br />
wobei aus Platzmangel die Werte des Schlüssels weggelassen wurden.<br />
Rechts <strong>in</strong> Bild 3-14 ist e<strong>in</strong>e unsichere Chiffre dargestellt. Dies ist daran erkennbar, daß nicht jeder<br />
Schlüsseltext auf jeden Klartext abgebildet werden kann. E<strong>in</strong> Angreifer, der z.B. den Schlüsseltext 10<br />
beobachtet, erfährt dadurch, daß z.B. der Klartext 11 gerade nicht übertragen wird. (Natürlich ist<br />
auch die unsichere Chiffre <strong>in</strong> Bild 3-14 rechts besser als nichts. Wird der 1-bit-Schlüsselabschnitt<br />
jeweils nur e<strong>in</strong>mal zum Ver- bzw. Entschlüsseln e<strong>in</strong>es nichtred<strong>und</strong>ant codierten39 2-bit-Textabschnitts<br />
verwendet, wird e<strong>in</strong> Angreifer nie erfahren, welcher Klartext genau übertragen wird. Er kann<br />
rechnen, solange er will. In diesem e<strong>in</strong>geschränkten S<strong>in</strong>n ist dann auch diese Chiffre <strong>in</strong>formationstheoretisch<br />
sicher: Der Angreifer kann zwar Information über den Klartext gew<strong>in</strong>nen, aber nicht<br />
genug, um ihn genau zu bestimmen. In se<strong>in</strong>er bahnbrechenden Arbeit über <strong>in</strong>formationstheoretisch<br />
sichere Konzelation [Sha1_49] nennt Claude Shannon diese e<strong>in</strong>geschränkte <strong>in</strong>formationstheoretische<br />
40<br />
Um die Frage „Was br<strong>in</strong>gt denn die Vernam-Chiffre überhaupt, wenn ich, um e<strong>in</strong>e Nachricht vertraulich austauschen<br />
zu können, vorher e<strong>in</strong>en Schlüssel gleicher Länge vertraulich austauschen muß? Da könnte ich doch gleich die<br />
Nachricht vertraulich austauschen!“ gleich zu beantworten: Bzgl. der Länge br<strong>in</strong>gt die Vernam-Chiffre gar nichts,<br />
aber der Schlüssel kann zu e<strong>in</strong>em beliebigen, d.h. für beide Kommunikationspartner günstigen, Zeitpunkt ausgetauscht<br />
werden, bevor die Nachricht vertraulich ausgetauscht werden soll. Wenn die Situation für vertrauliche<br />
Kommunikation günstig ist, wird die Nachricht üblicherweise noch nicht vorliegen. Also wird die günstige<br />
Situation zur vertraulichen Kommunikation „auf Vorrat“, sprich Schlüsselaustausch, genutzt.<br />
41 „Nie wieder vorkommen“ bezieht sich auf die konkreten, gegenständlich gedachten Schlüsselbits, nicht etwa ihre<br />
Werte. Denn natürlich kann, ja muß jedes Bit, wenn nur se<strong>in</strong> Wert als das Charakteristische betrachtet wird, <strong>in</strong> e<strong>in</strong>er<br />
zufällig gewählten, unendlichen Bitfolge immer wieder vorkommen. Entsprechendes gilt nicht nur für e<strong>in</strong>zelne Bits,<br />
sondern auch für jede endliche Bitkette.<br />
38<br />
Er<strong>in</strong>nert sei an e<strong>in</strong>e Warnung aus §3.1: Eigentlich sollte perfekte Konzelation (<strong>und</strong> <strong>in</strong> gewissem S<strong>in</strong>ne ist die<br />
Vernam-Chiffre die bestmögliche Konzelation) unabhängig von der Wahrsche<strong>in</strong>lichkeitsverteilung des Klartextraumes<br />
<strong>und</strong> der für den Klartextraum gewählten (Quell-)Codierung funktionieren. Die b<strong>in</strong>äre Vernam-Chiffre zeigt<br />
nun besonders deutlich, daß dies erschreckenderweise nicht der Fall ist: Werden die Klartextnachrichten unär codiert,<br />
dann ist die b<strong>in</strong>äre Vernam-Chiffre vollkommen wirkungslos. Also müßte eigentlich zusätzlich zur Beschreibung<br />
der Vernam-Chiffre auch noch die Nachrichtenlänge (genauer: die Schlüsseltextlänge) a-priori festgelegt werden,<br />
damit sie nichts über den Nachrichten<strong>in</strong>halt verraten kann. Dann bleibt nur noch das Problem, daß, wenn diese<br />
Länge zu kurz gewählt wird, lange Nachrichten <strong>in</strong> mehrere kurze aufgeteilt werden <strong>und</strong> dann die Nachrichtenhäufigkeit<br />
Information über den Nachrichten<strong>in</strong>halt verraten könnte. Bei genügend groß gewählter Schlüsseltextlänge<br />
sollte dieses Problem aber nun wirklich e<strong>in</strong> vernachlässigbares Problem se<strong>in</strong> ...<br />
39 Enthält der 2-bit-Textabschnitt genügend Red<strong>und</strong>anz, so kann die unsichere Chiffre vollständig gebrochen werden.<br />
Ist bekannt, daß die Klartexte 00 <strong>und</strong> 10 nicht vorkommen, dann verbirgt sich h<strong>in</strong>ter dem Schlüsseltext 00 immer<br />
der Klartext 11, h<strong>in</strong>ter 01 immer 01, h<strong>in</strong>ter 10 immer 01 <strong>und</strong> h<strong>in</strong>ter 11 immer 11.