Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

80 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 79 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Signatur für Signatur zu „verbrauchen“. Dieses Vorgehen hätte den Nachteil, daß die öffentliche Referenzenliste sehr lang würde. 71 R R 0 R 1 R2 f m f m* • • • • • • • • • s(m) s(m*) • • • f präf(m 2 ) f präf(m 1 ) f präf(m 0 ) Bild 3-23: Prinzip der Grundsignatur von GMR s(m 2 ) s(m ) 1 s(m 0 ) Bild 3-24: Grundidee, wie mit GMR viele Nachrichten signiert werden Nun kann man natürlich nicht jede der vielen Funktionen fm einzeln angeben. Deswegen werden sie aus einem Permutationenpaar konstruiert: Von dieser Idee bleibt, daß tatsächlich für jede auszugebende Signatur eine andere, zufällig gewählte Referenz verwendet wird, also etwa R0 , R1 , ... für die 1-te, 2-te usw. Signatur. (Dadurch wird erreicht, daß ein aktiver Angreifer seine Signatur jedesmal zu einer anderen Referenz erhält. Dies erschwert die Zielgerichtetheit eines aktiven Angriffs; dies ist eine der Grundideen von GMR.) Die einzelnen Ri können aber auch nicht erst mit der Nachricht bekanntgegeben werden – andernfalls könnte ein Angreifer zu einer Nachricht m seiner Wahl eine Signatur Sig zufällig wählen und von dort mittels f0 und f1 die passende Referenz R := fpräf(m) (Sig) berechnen. Es liegt also nahe, die Referenzen selbst mittels Signaturen zu authentisieren. Hierzu wäre wieder die einfachste Idee, eine einzige Referenz rε in den öffentlichen Schlüssel aufzunehmen. Dann signiert man die Liste der Referenzen R0 , R1 , ... bezüglich rε , und nun kann man das passende Ri zum Signieren der eigentlichen Nachricht verwenden. Der Nachteil hierbei wäre, daß man jeder Signatur die Liste aller Referenzen beilegen müßte. Deswegen geht man zu baumförmiger Authentikation der Referenzen über, d.h. mit jeder authentisierten Referenz werden zwei neue signiert. Man legt vorweg die Anzahl 2b an Referenzen fest, die man so erhalten möchte. Grundkonstruktion der Funktionen fm aus einem Paar f0, f1: Hat man ein kollisionsresistentes Permutationenpaar (f0 , f1 ) gewählt, so läßt sich zu jeder Nachricht m eine Funktion fm konstruieren, indem f0 und f1 bitweise in Abhängigkeit von m komponiert werden. Beispiel: m=100101, f 100101 (x) := f 1 (f 0 (f 0 (f 1 (f 0 (f 1 (x)))))). Mit Kenntnis des Geheimnisses lassen sich die f –1 0 und f1 –1 berechnen und damit auch fm –1 ; die Auswertungsrichtung von m kehrt sich dabei um. Beispiel: m=100101, f 100101 –1 (x) := f1 –1 (f0 –1 (f1 –1 (f0 –1 (f0 –1 (f1 –1 (x)))))). Ein Vorteil dieses Vorgehens ist, daß fm für beliebig lange Nachrichten m existiert. Es ist also keine Aufteilung von m in Blöcke oder der Einsatz einer Hashfunktion notwendig. Die Komposition von f0 und f1 birgt jedoch eine Gefahr: Der „zurückrechnende“ Empfänger, der die Signatur mit fm testet, erhält mit jeder Anwendung von f0 und f1 wieder eine gültige Signatur zu der um jeweils das letzte Bit verkürzten Nachricht. Beispiel: f 1 (Sig 100101 ) = f 1 (f 100101 –1 (R)) = f10010 –1 (R) = Sig10010. Nur eine Referenz rε wird veröffentlicht. Die 2b für Nachrichtensignaturen (im weiteren kurz N- Signaturen genannt) vorgesehenen Referenzen R0 , R1 , ... werden nun an die Blätter eines Binärbaumes der Tiefe b angehängt; jeder Knoten des Baumes enthält wiederum eine zufällig gewählte Referenz rj . Der Baum wird im folgenden Referenzenbaum genannt (Bild 3-25). Dies läßt sich verhindern, indem die Form einer „gültigen Nachricht“ durch eine präfixfreie Abbildung präf(•) festgelegt wird: Kein Präfix, d.h. Anfangsstück, einer so abgebildeten Nachricht darf gleichzeitig präfixfreie Abbildung einer anderen Nachricht sein. Die ursprüngliche Nachricht erhält so einen „Gültigkeitsvermerk“, der bei Verlust des (oder der) letzten Bits automatisch erlischt. Signiert wird nun präf(m) mit f –1 präf(m) (R). Aus der Kollisionsresistenz der Paare (f0 , f1 ) kann man herleiten, daß die Familie der fpräf(m) in ähnlichem Sinne kollisionsresistent ist, d.h. daß es schwer ist, zwei Nachrichten m, m* und „Signaturen“ S, S* zu finden mit fpräf(m)(S) = fpräf(m*)(S*). (s. Aufgabe 3-15 c)). Präfixfreie Abbildung: Eine effiziente präfixfreie Abbildung läßt sich durch Voranhängen eines Längenprädikates vor die Nachricht m erreichen, also eines Feldes fester Länge (etwa ein Rechnerwort), das die Länge der eigentlichen Nachricht enthält. 70 Im Fall, daß die Länge der Nachricht a priori feststeht, erübrigt sich eine zusätzliche präfixfreie Abbildung. 3.5.4 Gesamt-GMR: Authentisierung vieler Referenzen Die einfachste Idee, wie man erreichen könnte, daß mehrere Nachrichten signiert werden können, wäre, im öffentlichen Schlüssel eine bestimmte Anzahl von Referenzen bekanntzugeben und später 71 Für diesen vereinfachten Fall, daß die Referenzen dem Angreifer vor seiner Wahl der zu signierenden Nachrichten bekannt sind, ist die Sicherheit von GMR außerdem nicht bewiesen; wir sehen auch nicht, wie sie bewiesen werden könnte. 70 Der Vorzug des GMR-Signatursystems, Nachrichten beliebiger Länge signieren zu können, geht dabei nicht verloren, wenn z.B. über ein „Erweiterungsbit“ das Einfügen weiterer Längenfelder ermöglicht wird. Konkret kann man dazu das Vorzeichenbit des Längenfeldes wählen.
82 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 81 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr r ε (öffentlich bekannt) r ε r 0 r 1 r 1 r 0 -1 ( r r ( r ε ) 0 1 ) r r 00 01 ƒ präf KSig = r 1 r 0 ••• b K-Signaturen r 01 r 11 r 10 r 01 r 00 Hilfsreferenzen r j r 00 r r 010 011 ••• ••• r 011 r 010 010 R R-Signatur: -1 RSig = ƒ präf ( R ) ( r ) 010 010 r 011 r 010 R 010 m N-Signatur: -1 NSig = ƒ ( präf ( m ) R ) 010 R 011 R 010 R i Referenzen Bild 3-25: Referenzenbaum Bild 3-26: Signatur unter m bezüglich Referenz R 2 Effizienzverbesserungen: Zunächst muß man beachten, daß der Signierer nicht den ganzen Referenzenbaum vorweg generieren muß, sondern immer nur die Referenz Ri , die er gerade braucht, und die im Baum darüberliegenden Hilfsreferenzen und deren Geschwister (da diese jeweils zusammen authentisiert werden). Was zu einer Zeit zu speichern ist, sieht man am Beispiel R2 also gerade in Bild 3-26. Der Unterzeichner kann für jede Signatur aus der jeweils vorigen den gemeinsamen Anfangsabschnitt des Pfades im Referenzenbaum mit allen zugehörigen, bereits berechneten K-Signaturen in den neuen Signaturkopf übernehmen. Es empfiehlt sich daher, nicht nur die weiterhin benötigten Hilfsreferenzen, sondern den gesamten Signaturkopf der vorherigen Signatur im „Gedächtnis“ zu behalten. Für jede Signatur wird nun ein Signaturkopf berechnet, der die aktuelle Referenz Ri bezüglich des öffentlichen rε authentisiert. Dies geschieht folgendermaßen: Beginnend mit der öffentlichen Referenz rε, der Wurzel des Referenzenbaumes also, wird jede Hilfsreferenz rj auf dem Pfad von rε nach Ri benutzt, um ihre beiden Nachfolgeknoten rj0 und rj1 zu signieren (Beispiel in Bild 3-26): rj0 und rj1 werden dazu (mit Trennzeichen) konkateniert, als „Nachricht“ interpretiert und präfixfrei abgebildet. Dann wird die Signatur KSig := f –1 präf( rj0| rj1) (rj) gebildet. Diese Knotensignaturen werden im folgenden kurz K-Signaturen genannt. Schließlich wird die angehängte Referenz Ri mit RSig := fpräf(Ri ) –1 (ri ) authentisiert; diese Referenzsignatur wird im folgenden als R-Signatur bezeichnet. 72 Da alle Referenzen rj an den Knoten des Referenzenbaumes, die im Signaturkopf zu authentisieren sind, etwa die gleiche Länge haben, kann hier eine feste Länge angenommen werden (kürzere Referenzen werden durch führende Nullen auf die korrekte Länge gebracht). Als Länge wird sinnvollerweise gerade der Sicherheitsparameter l gewählt, der die Länge des Modulus n (in Bit) festlegt. Eine zusätzliche präfixfreie Abbildung erübrigt sich also. Da die Berechnung der Umkehrfunktionen (f –1 0 , f1 –1 ) aufwendiger ist als das Rechnen mit f0 und f1 , sollte auf f –1 0 , f1 –1 weitestmöglich verzichtet werden. Es zeigt sich, daß tatsächlich nur einmal je Signatur eine Authentisierung mit f –1 , also f –1 0 und f1 –1 erfolgen muß: Bei jeder neuen Signatur kann der Signaturkopf zunächst „von unten“ mittels f0 und f1 berechnet werden: Die N-Signatur NSig für die Nachricht m wird zufällig gewählt und die Referenz als Ri := fpräf(m) (NSig) berechnet. (Da f0 und f1 Permutationen sind, garantiert die Zufälligkeit von NSig auch die von Ri.) Anschließend wird die R-Signatur RSig zufällig gewählt und ri berechnet usw., bis ein „Verbindungsknoten“ erreicht ist, an dem der übernommene Pfadteil mit dem soeben neu berechneten verknüpft werden muß. Hier ist ein einziges Mal mit f –1 0 und f1 –1 zu rechnen (Bild 3-27). Beim Testen ist also nicht nur die N-Signatur zu überprüfen, sondern auch die b K-Signaturen zu sämtlichen Knoten rj des Pfades durch den Referenzenbaum und die R-Signatur der Referenz Ri . Der dadurch entstehende zusätzliche Aufwand fällt jedoch, wie Aufwandsabschätzungen zeigen, bei längeren Nachrichten kaum ins Gewicht. 72 Für K- und R-Signaturen ist ein anderes Geheimnis zu verwenden als für die N-Signaturen; dies wird im Sicherheitsbeweis benötigt und ist in Bild 3-28 gezeigt. Im folgenden wird diese Unterscheidung aus Übersichtlichkeitsgründen meist nicht erwähnt, z.B. schreiben wir einfach p und q, obwohl es für N-Signaturen andere sind als für K- und R-Signaturen. Welche gemeint sind, ist aus dem Kontext klar. Auch die Notwendigkeit der R-Signaturen wird nur im Beweis klar.
Seite 1 und 2: A. Pfitzmann: Datensicherheit und K
Seite 3 und 4: VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6: X A. Pfitzmann: Datensicherheit und
Seite 7 und 8: 2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10: 6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12: 10 A. Pfitzmann: Datensicherheit un
Seite 45: 78 A. Pfitzmann: Datensicherheit un
Seite 57 und 58: 102 A. Pfitzmann: Datensicherheit u
Seite 97 und 98:
182 A. Pfitzmann: Datensicherheit u
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?