Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
54<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
53<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
1. Fall: Der Angreifer fängt H,0 ab. Dann s<strong>in</strong>d noch die Schlüssel k=00 <strong>und</strong> k=01 möglich. Bei k=00<br />
muß der Angreifer 0 als MAC für T wählen, bei k=01 h<strong>in</strong>gegen 1. Wieder rät also der Angreifer<br />
mit Wahrsche<strong>in</strong>lichkeit 1/2 falsch.<br />
2. Fall: Der Angreifer fängt H,1 ab. Analog … (Weiter s. Aufgabe 3-8 b)).<br />
1/W den richtigen MAC erwischt. (Insbesondere also bei σ-Bit-MACs mit Wahrsche<strong>in</strong>lichkeit<br />
m<strong>in</strong>destens 2 –σ .)<br />
Die beste erreichbare <strong>Sicherheit</strong> ist also die, daß es für e<strong>in</strong>en Angreifer ke<strong>in</strong>e bessere Möglichkeit<br />
gibt, als re<strong>in</strong> zufällig zu raten.<br />
Genauere <strong>Sicherheit</strong>sdef<strong>in</strong>ition: E<strong>in</strong>e präzisere Def<strong>in</strong>ition, wann e<strong>in</strong> Authentikationscode code<br />
sicher mit Fehlerwahrsche<strong>in</strong>lichkeit ε ist, beschreibt genau das, was wir im obigen Beispiel getan<br />
haben:<br />
„Selbst wenn e<strong>in</strong> Angreifer e<strong>in</strong>e richtige Nachricht (x, MAC) sieht, <strong>und</strong> diese beseitigt <strong>und</strong> statt<br />
dessen versucht, den Klartext y zu schicken, gilt, egal wie geschickt er dazu MAC' wählt: Die<br />
Fälschung wird mit Wahrsche<strong>in</strong>lichkeit ≥ 1–ε erkannt, d.h. die Wahrsche<strong>in</strong>lichkeit für MAC' =<br />
code(k, y) ist höchstens ε (wobei k der korrekte geheime Schlüssel ist).“<br />
Wir müssen nur noch präzis angeben, worüber eigentlich die Wahrsche<strong>in</strong>lichkeit gebildet wird.<br />
Dies ist genau die Menge der aus Angreifersicht noch möglichen Schlüssel. (Wie im Beispiel im 1.<br />
Fall die Menge aus 00 <strong>und</strong> 01.) Die Angreifersicht besagt, daß nur noch solche Schlüssel k <strong>in</strong> Frage<br />
kommen, für die MAC = code(k, x) ist.<br />
Anmerkung: Beachte aber, daß der Angreifer hier nicht lokal prüfen kann, ob er richtig geraten hat,<br />
d.h. es trifft nicht der Fall aus §3.1.3.4 1) zu. Hier werden wir beweisbar erreichen, daß e<strong>in</strong><br />
Fälschungsversuch fast sicher erkannt wird. Im Gegensatz dazu könnte e<strong>in</strong> Angreifer mit beliebig<br />
viel Berechnungsfähigkeit bei e<strong>in</strong>em digitalen Signatursystem im S<strong>in</strong>ne von Bild 3-7 lauter solche<br />
Signaturen erzeugen, die wirklich richtig aussehen, weil er ja den Test kennt, den sie bestehen<br />
müssen. (Vgl. aber §3.9.2 <strong>und</strong> §3.9.3.)<br />
Authentikationscodes haben also e<strong>in</strong>en pr<strong>in</strong>zipiellen <strong>Sicherheit</strong>svorteil gegenüber digitalen<br />
Signaturen; dafür s<strong>in</strong>d sie unpraktischer, s. §3.1.1.2.<br />
Ganz formal also: E<strong>in</strong> Authentikationscode code mit Schlüsselmenge K (<strong>und</strong> Wahrsche<strong>in</strong>lichkeitsverteilung<br />
W auf K ) heißt sicher mit Fehlerwahrsche<strong>in</strong>lichkeit ε, wenn gilt: ∀ x ∀ MAC ∈ code(K , x)<br />
∀ y ≠ x ∀ MAC':<br />
W(MAC' = code(k, y) | MAC = code(k, x)) ≤ ε.<br />
Beispiel 1: Bevor wir die <strong>Sicherheit</strong>saussage formalisieren, betrachten wir Bild 3-15, das e<strong>in</strong>en<br />
kle<strong>in</strong>en Authentikationscode darstellt (aus der Sicht des Angreifers). Hier soll 1 Nachrichtenbit ∈ {H,<br />
T} (von Head, Tail) authentisiert werden; der Schlüssel ist 2 Bit lang, <strong>und</strong> der MAC 1 Bit. Wie bei<br />
allen folgenden Systemen werden alle Schlüssel mit gleicher Wahrsche<strong>in</strong>lichkeit gewählt.<br />
Die möglichen Ergebnisse stehen oben; <strong>in</strong> der Tabelle sieht man, bei welchem Klartext sich dieses<br />
Ergebnis ergibt. (Man kann diesen Code übrigens sehr viel kürzer darstellen, s. Aufgabe 3-8 b).) Wie<br />
bei der Vernam-Chiffre wird jeder Schlüsselabschnitt (hier jeweils die beiden Bits) nur e<strong>in</strong>mal<br />
verwendet.<br />
Beispiel 2 (Verbesserung des Codes aus Bild 3-15): Will man die Fehlerwahrsche<strong>in</strong>lichkeit<br />
des Codes aus Bild 3-15 von 1/2 auf 1/2σ senken, so kann man an e<strong>in</strong> Nachrichtenbit σ MACs im<br />
bisherigen S<strong>in</strong>ne hängen, etwa<br />
x, MAC1 , … , MACσ .<br />
Man muß also vorher 2σ Schlüsselbits ausgetauscht haben. Jeden E<strong>in</strong>zel-MAC rät der Angreifer nur<br />
mit Wahrsche<strong>in</strong>lichkeit 1/2 richtig, <strong>und</strong> sie s<strong>in</strong>d alle unabhängig, folglich rät er nur mit Wahrsche<strong>in</strong>lichkeit<br />
(1/2) σ jedesmal richtig.<br />
Will man den Code auf Nachrichten der Länge l Bit anwenden, so braucht man l•2σ Schlüsselbits,<br />
<strong>und</strong> jedes Bit wird e<strong>in</strong>zeln <strong>in</strong> obigem S<strong>in</strong>ne authentisiert. (Die Gesamtfehlerwahrsche<strong>in</strong>lichkeit ändert<br />
sich etwas!)<br />
E<strong>in</strong> wesentlich effizienterer Code wird <strong>in</strong> Aufgabe 3-8 f) betrachtet.<br />
Text mit MAC<br />
H,0 H,1 T,0 T,1<br />
–<br />
T<br />
–<br />
H<br />
00<br />
T<br />
–<br />
–<br />
H<br />
01<br />
–<br />
T<br />
H<br />
–<br />
10<br />
Schlüssel<br />
Ausblick: Grenzen von Authentikationscodes. Wie <strong>in</strong>formationstheoretisch sichere Konzelationssysteme,<br />
so brauchen auch <strong>in</strong>formationstheoretisch sichere Authentikationscodes Schlüssel e<strong>in</strong>er<br />
gewissen M<strong>in</strong>destlänge.<br />
Wir haben schon fast gezeigt, daß man für e<strong>in</strong>e Fehlerwahrsche<strong>in</strong>lichkeit ε m<strong>in</strong>destens e<strong>in</strong>e<br />
Schlüsselmenge mit ⎡1/ε⎤ Elementen braucht: Klar war, daß ⎡1/ε⎤ MACs für die zu fälschende Nachricht<br />
y möglich se<strong>in</strong> müssen. Zu jedem möglichen MAC muß aber auch e<strong>in</strong> möglicher Schlüssel<br />
gehören.<br />
Es ist auch e<strong>in</strong>leuchtend, daß es noch mehr Schlüssel se<strong>in</strong> müssen, denn anhand der richtigen<br />
Nachricht (x, MAC) konnte der Angreifer ja i.allg. schon viele Schlüssel ausschließen. Man kann<br />
(nicht allzu schwierig) zeigen, daß es ⎡1/ε2⎤ Schlüssel se<strong>in</strong> müssen [GiMS_74].<br />
T<br />
–<br />
H<br />
–<br />
11<br />
Bild 3-15: E<strong>in</strong> kle<strong>in</strong>er Authentikationscode<br />
Wählt man ε = 2 –σ , so braucht man also m<strong>in</strong>destens Schlüssel der Länge 2σ. Dies ist lange nicht so<br />
schlimm wie die untere Schranke für Konzelationssysteme: Dort mußte der Schlüssel so lang wie die<br />
Nachricht se<strong>in</strong>. Für die Fehlerwahrsche<strong>in</strong>lichkeit wird h<strong>in</strong>gegen <strong>in</strong> der Praxis e<strong>in</strong> Wert von etwa<br />
2 –100 genügen. (Sonst wird allmählich die Wahrsche<strong>in</strong>lichkeit größer, daß der zur Prüfung des MAC<br />
benutzte Rechner unbemerkt ausfällt <strong>und</strong> gefälschte Nachrichten als gültig passieren läßt u.ä., oder<br />
überhaupt sämtliche Risiken des praktischen Lebens.)<br />
Anhand der MAC-Länge wissen wir, daß das Erkennen von Fälschungen <strong>in</strong> diesem Beispiel<br />
höchstens mit Wahrsche<strong>in</strong>lichkeit 1/2 möglich ist. Wir wollen nun zeigen, daß tatsächlich jede<br />
Fälschung mit Wahrsche<strong>in</strong>lichkeit 1/2 erkannt wird.<br />
Wir betrachten nur den Fall, daß der Angreifer gerne die Nachricht T unterschieben würde. Wenn<br />
der richtige Absender noch gar nichts gesendet hat, s<strong>in</strong>d alle 4 Schlüssel gleichwahrsche<strong>in</strong>lich, <strong>und</strong><br />
bei je zweien hat T als MAC 0 bzw. 1. Mit Wahrsche<strong>in</strong>lichkeit 1/2 wählt der Angreifer also den<br />
falschen Wert.<br />
Das <strong>in</strong>teressante an e<strong>in</strong>em Authentikationscode ist aber, daß die <strong>Sicherheit</strong> auch dann noch gilt,<br />
wenn der richtige Absender die Nachricht H mit ihrem richtigen MAC sendet, <strong>und</strong> der Angreifer diese<br />
abfängt <strong>und</strong> durch T zu ersetzen versucht.