Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
80<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
79<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
Signatur für Signatur zu „verbrauchen“. Dieses Vorgehen hätte den Nachteil, daß die öffentliche<br />
Referenzenliste sehr lang würde. 71<br />
R<br />
R<br />
0 R<br />
1 R2 f m<br />
f m*<br />
• • •<br />
• • •<br />
• • •<br />
s(m)<br />
s(m*)<br />
• • •<br />
f<br />
präf(m<br />
2<br />
)<br />
f<br />
präf(m<br />
1<br />
)<br />
f<br />
präf(m<br />
0<br />
)<br />
Bild 3-23: Pr<strong>in</strong>zip der Gr<strong>und</strong>signatur von GMR<br />
s(m 2 )<br />
s(m )<br />
1<br />
s(m 0 )<br />
Bild 3-24: Gr<strong>und</strong>idee, wie mit GMR viele Nachrichten signiert werden<br />
Nun kann man natürlich nicht jede der vielen Funktionen fm e<strong>in</strong>zeln angeben. Deswegen werden sie<br />
aus e<strong>in</strong>em Permutationenpaar konstruiert:<br />
Von dieser Idee bleibt, daß tatsächlich für jede auszugebende Signatur e<strong>in</strong>e andere, zufällig gewählte<br />
Referenz verwendet wird, also etwa R0 , R1 , ... für die 1-te, 2-te usw. Signatur. (Dadurch wird<br />
erreicht, daß e<strong>in</strong> aktiver Angreifer se<strong>in</strong>e Signatur jedesmal zu e<strong>in</strong>er anderen Referenz erhält. Dies<br />
erschwert die Zielgerichtetheit e<strong>in</strong>es aktiven Angriffs; dies ist e<strong>in</strong>e der Gr<strong>und</strong>ideen von GMR.)<br />
Die e<strong>in</strong>zelnen Ri können aber auch nicht erst mit der Nachricht bekanntgegeben werden –<br />
andernfalls könnte e<strong>in</strong> Angreifer zu e<strong>in</strong>er Nachricht m se<strong>in</strong>er Wahl e<strong>in</strong>e Signatur Sig zufällig wählen<br />
<strong>und</strong> von dort mittels f0 <strong>und</strong> f1 die passende Referenz R := fpräf(m) (Sig) berechnen.<br />
Es liegt also nahe, die Referenzen selbst mittels Signaturen zu authentisieren. Hierzu wäre wieder<br />
die e<strong>in</strong>fachste Idee, e<strong>in</strong>e e<strong>in</strong>zige Referenz rε <strong>in</strong> den öffentlichen Schlüssel aufzunehmen. Dann signiert<br />
man die Liste der Referenzen R0 , R1 , ... bezüglich rε , <strong>und</strong> nun kann man das passende Ri zum<br />
Signieren der eigentlichen Nachricht verwenden. Der Nachteil hierbei wäre, daß man jeder Signatur<br />
die Liste aller Referenzen beilegen müßte.<br />
Deswegen geht man zu baumförmiger Authentikation der Referenzen über, d.h. mit jeder<br />
authentisierten Referenz werden zwei neue signiert. Man legt vorweg die Anzahl 2b an Referenzen<br />
fest, die man so erhalten möchte.<br />
Gr<strong>und</strong>konstruktion der Funktionen fm aus e<strong>in</strong>em Paar f0, f1: Hat man e<strong>in</strong> kollisionsresistentes<br />
Permutationenpaar (f0 , f1 ) gewählt, so läßt sich zu jeder Nachricht m e<strong>in</strong>e Funktion fm konstruieren, <strong>in</strong>dem f0 <strong>und</strong> f1 bitweise <strong>in</strong> Abhängigkeit von m komponiert werden.<br />
Beispiel: m=100101, f 100101 (x) := f 1 (f 0 (f 0 (f 1 (f 0 (f 1 (x)))))).<br />
Mit Kenntnis des Geheimnisses lassen sich die f –1<br />
0 <strong>und</strong> f1<br />
–1 berechnen <strong>und</strong> damit auch fm<br />
–1 ; die<br />
Auswertungsrichtung von m kehrt sich dabei um.<br />
Beispiel: m=100101, f 100101 –1 (x) := f1 –1 (f0 –1 (f1 –1 (f0 –1 (f0 –1 (f1 –1 (x)))))).<br />
E<strong>in</strong> Vorteil dieses Vorgehens ist, daß fm für beliebig lange Nachrichten m existiert. Es ist also ke<strong>in</strong>e<br />
Aufteilung von m <strong>in</strong> Blöcke oder der E<strong>in</strong>satz e<strong>in</strong>er Hashfunktion notwendig.<br />
Die Komposition von f0 <strong>und</strong> f1 birgt jedoch e<strong>in</strong>e Gefahr: Der „zurückrechnende“ Empfänger, der die<br />
Signatur mit fm testet, erhält mit jeder Anwendung von f0 <strong>und</strong> f1 wieder e<strong>in</strong>e gültige Signatur zu der<br />
um jeweils das letzte Bit verkürzten Nachricht.<br />
Beispiel: f 1 (Sig 100101 ) = f 1 (f 100101 –1 (R)) = f10010 –1 (R) = Sig10010.<br />
Nur e<strong>in</strong>e Referenz rε wird veröffentlicht. Die 2b für Nachrichtensignaturen (im weiteren kurz N-<br />
Signaturen genannt) vorgesehenen Referenzen R0 , R1 , ... werden nun an die Blätter e<strong>in</strong>es<br />
B<strong>in</strong>ärbaumes der Tiefe b angehängt; jeder Knoten des Baumes enthält wiederum e<strong>in</strong>e zufällig<br />
gewählte Referenz rj . Der Baum wird im folgenden Referenzenbaum genannt (Bild 3-25).<br />
Dies läßt sich verh<strong>in</strong>dern, <strong>in</strong>dem die Form e<strong>in</strong>er „gültigen Nachricht“ durch e<strong>in</strong>e präfixfreie<br />
Abbildung präf(•) festgelegt wird: Ke<strong>in</strong> Präfix, d.h. Anfangsstück, e<strong>in</strong>er so abgebildeten Nachricht<br />
darf gleichzeitig präfixfreie Abbildung e<strong>in</strong>er anderen Nachricht se<strong>in</strong>. Die ursprüngliche Nachricht<br />
erhält so e<strong>in</strong>en „Gültigkeitsvermerk“, der bei Verlust des (oder der) letzten Bits automatisch erlischt.<br />
Signiert wird nun präf(m) mit f –1<br />
präf(m) (R).<br />
Aus der Kollisionsresistenz der Paare (f0 , f1 ) kann man herleiten, daß die Familie der fpräf(m) <strong>in</strong><br />
ähnlichem S<strong>in</strong>ne kollisionsresistent ist, d.h. daß es schwer ist, zwei Nachrichten m, m* <strong>und</strong><br />
„Signaturen“ S, S* zu f<strong>in</strong>den mit fpräf(m)(S) = fpräf(m*)(S*). (s. Aufgabe 3-15 c)).<br />
Präfixfreie Abbildung: E<strong>in</strong>e effiziente präfixfreie Abbildung läßt sich durch Voranhängen e<strong>in</strong>es<br />
Längenprädikates vor die Nachricht m erreichen, also e<strong>in</strong>es Feldes fester Länge (etwa e<strong>in</strong><br />
Rechnerwort), das die Länge der eigentlichen Nachricht enthält. 70<br />
Im Fall, daß die Länge der Nachricht a priori feststeht, erübrigt sich e<strong>in</strong>e zusätzliche präfixfreie<br />
Abbildung.<br />
3.5.4 Gesamt-GMR: Authentisierung vieler Referenzen<br />
Die e<strong>in</strong>fachste Idee, wie man erreichen könnte, daß mehrere Nachrichten signiert werden können,<br />
wäre, im öffentlichen Schlüssel e<strong>in</strong>e bestimmte Anzahl von Referenzen bekanntzugeben <strong>und</strong> später<br />
71 Für diesen vere<strong>in</strong>fachten Fall, daß die Referenzen dem Angreifer vor se<strong>in</strong>er Wahl der zu signierenden Nachrichten bekannt<br />
s<strong>in</strong>d, ist die <strong>Sicherheit</strong> von GMR außerdem nicht bewiesen; wir sehen auch nicht, wie sie bewiesen werden<br />
könnte.<br />
70 Der Vorzug des GMR-Signatursystems, Nachrichten beliebiger Länge signieren zu können, geht dabei nicht<br />
verloren, wenn z.B. über e<strong>in</strong> „Erweiterungsbit“ das E<strong>in</strong>fügen weiterer Längenfelder ermöglicht wird. Konkret kann<br />
man dazu das Vorzeichenbit des Längenfeldes wählen.