Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

96 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 95 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr wäre unnötiger Aufwand, der keine Sicherheit bringen kann), sind beide in etwa gleich aufwendig, wobei RSA etwas günstiger liegt, da kein Referenzenbaum erzeugt bzw. geprüft zu werden braucht. Allerdings ist es möglich, bei RSA eine wesentlich effizientere Hashfunktion zu verwenden, da diese nie umgekehrt werden muß. Dies ist bei GMR nur bzgl. der N-Signaturen nicht nötig – bei R- und K- Signaturen aber unvermeidbar, vgl. Bild 3-27. Der Rechenaufwand für die Erzeugung und Prüfung der R- und K-Signaturen kann bei GMR also nicht in gleicher Weise gesenkt werden. Die Verwendung einer wesentlich effizienteren Hashfunktion, die von niemand umgekehrt werden kann, kann einen enormen Effizienzvorteil haben, erfordert aber eine weitere kryptographische Annahme, nämlich die, daß die verwendete schnelle Hashfunktion kollisionsresistent ist. Je mehr unbewiesene Annahmen man benötigt, desto größer wird die Wahrscheinlichkeit, daß mindestens eine falsch ist und damit die Sicherheit pure Illusion. Bezüglich digitalen Signatursystemen kann (und muß) man sich also zwischen Sicherheit (GMR) und Effizienz (RSA mit schneller Hashfunktion) entscheiden. Da die Proportionalitätskonstanten78 näherungsweise gleich sind, liegt der Aufwand des CRA bereits für den kleinsten in Betracht zu ziehenden Wert von l = 300 deutlich unterhalb von 2% des Aufwands der 2 Exponentiationen halber Länge. Also reduziert Rechnen modulo p und q den Aufwand näherungsweise um den Faktor 8•l3 2•l3 = 4. 3.6.5.3 Verschlüsselungsleistung RSA ist für die USA, aber nirgends sonst patentiert. Das Patent läuft am 20. September 2000 aus [Schn_96 Seite 474]. In [Sedl_88] wird eine Hardwareimplementierung von RSA gemäß §3.6.2 mit einer Entschlüsselungsgeschwindigkeit von ca. 200 kbit/s bei einer Moduluslänge von 660 bit angegeben. Letzteres erscheint für die Sicherheit von RSA zur Zeit als ausreichend. Die Geschwindigkeit wird durch Verwendung des in §3.6.5.2 beschriebenen Verfahrens erzielt. Erfolgt die Verschlüsselung mit dem Exponenten 216 +1, vgl. §3.6.5.1, so wird sogar eine Geschwindigkeit von 3 Mbit/s erzielt. Eine entsprechende Software-Implementierung auf dem Apple Macintosh IIfx (MC68030, 40 MHz, 32 KByte cache board, 80 ns RAM) erreicht bei einer Moduluslänge von 512 bit eine Entschlüsselungsgeschwindigkeit von 2,5 kbit/s. 3.7 DES: Das bekannteste System für symmetrische Konzelation und Authentikation 3.6.6 Sicherheit und Einsatz von RSA DES ist das erste standardisierte (daher sein Name als Abkürzung von: Data Encryption Standard) und (deshalb) das am meisten eingesetzte kryptographische System. DES ist ein symmetrisches kryptographisches System, das einen nur 56 Bit langen Schlüssel hat und Blöcke von 64 Bit Länge verschlüsselt. Egal wie man RSA als asymmetrisches kryptographisches System einsetzt, es kann nicht sicherer sein als die Faktorisierung des Modulus schwer ist – und einen Beweis, daß RSA zu brechen so schwer wie den Modulus zu faktorisieren ist, gibt es (bisher) nicht, vgl. §3.6.1. Erstmals veröffentlicht wurde der DES-Algorithmus in [DES_77]. Unter anderem abgedruckt ist er in [MeMa_82]. Wo also liegen die sinnvollen Einsatzbereiche von RSA? 3.7.1 DES im Überblick Der DES-Algorithmus setzt sich zusammen aus einer – kryptographisch unbedeutenden – Eingangspermutation IP (Initial Permutation), die u.a. den Eingabeblock in die beiden 32-Bit-Blöcke L0 und R0 aufteilt, 16 Iterationsrunden, in denen die eigentliche Verschlüsselung vorgenommen wird, und einer zur Eingangspermutation inversen Ausgangspermutation IP-1, vor deren Ausführung L16 und R16, die beiden Blöcke, die man nach der Iterationsrunde 16 erhält, nochmals vertauscht werden. Aus dem Schlüssel werden die 16 Teilschlüssel K1 bis K16 erzeugt – für jede Iterationsrunde einer. Hilfreich für die folgende Diskussion ist, zu Bild 3-12 in §3.1.3.5 zurückzuschlagen. Dort sehen wir das wichtige Feld 3 nur mit einem System gefüllt, das nicht äquivalent zu einer reinrassigen Standardannahme ist. D.h. effiziente asymmetrische Konzelationssysteme, die gegen aktive Angriffe relativ zu einer reinrassigen Standardannahme kryptographisch stark sind, sind bisher nicht bekannt. Zwar ist RSA nicht als kryptographisch stark bewiesen (hier also: so sicher wie Faktorisierung schwer), aber für den in §3.6.4.1 beschriebenen Einsatz als indeterministisches asymmetrisches Konzelationssystem sind immerhin keine erfolgreichen Angriffe bekannt – und das schon seit vielen Jahren. Benötigt man ein asymmetrisches Konzelationssystem und kann man aktive Angriffe nicht ausschließen, sollte man RSA (oder CS) einsetzen. Kann man aktive Angriffe ausschließen, ist der s2-mod-n-Generator vorzuziehen: Zum einen ist er als kryptographisch stark bewiesen, d.h. wer ihn bricht, kann faktorisieren und damit auch RSA brechen. Zum andern ist für den s2-mod-n-Generator sogar bewiesen, daß ein passiver Angreifer keinerlei Information über den Klartext erhält. Auch solch einen Beweis gibt es für RSA (bisher?) nicht. Bezüglich des Rechenaufwands sind s2-mod-n-Generator und RSA vergleichbar. Dies liefert also kein hartes Unterscheidungskriterium. Für den Einsatz von RSA statt GMR als digitales Signatursystem spricht unter Sicherheitsgesichtspunkten nichts. Im Gegenteil: Wer GMR brechen kann, kann – wie bewiesen wurde – faktorisieren und damit auch RSA brechen. Man sollte, wo immer möglich, also GMR den Vorzug geben. Bezüglich des Rechenaufwands verhält es sich leider umgekehrt: Wird für RSA gemäß §3.6.4.2 eine genauso effiziente Hashfunktion wie bei GMR verwendet (eine aufwendigere zu verwenden, 78 für den kubischen Aufwand bei der Exponentiation, den quadratischen Aufwand bei der Multiplikation und den linearen Aufwand bei der Addition
98 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 97 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 3.7.3 Das Entschlüsselungsprinzip von DES 64-Bit-Block Klartext 64-Bit-Schlüssel (nur 56 Bits verwendet) In Bild 3-34 wurde dargestellt, wie in DES eine Iterationsrunde abläuft. Wesentlich für die Entschlüsselung in DES ist nun, daß dieser Prozeß umgekehrt werden kann. Als Ergebnis der Iterationsrunde i erhält man: Li := Ri-1 (1) Ri := Li-1 ⊕ f(Ri-1 , Ki ) (2) Man vertauscht nun die beiden Blöcke Li und Ri miteinander. Dies geschieht in Bild 3-35, indem die Bezeichner für die Werte der linken Bildhälfte an deren Stelle in der rechten Bildhälfte geschrieben sind, obwohl bei Wahl von neuen Bezeichnern gemäß der Regel L = links und R = rechts bei allen Bezeichnern in der rechten Bildhälfte L durch R und umgekehrt ersetzt werden müßte. Außerdem wird rechts der Index der Iterationsrunde rückwärts statt vorwärts gezählt. Führt man dann dieselbe Iteration nochmals aus, so gilt: Li =: Ri-1 (3) und Li-1 ⊕ f(Ri-1 , Ki ) ⊕ f(Li , Ki ) = Li-1 ⊕ f(Li , Ki ) ⊕ f(Li , Ki ) =: Li-1 (4) Die notwendige Vertauschung der Blöcke wird im DES-Algorithmus nach der 16. Iterationsrunde vorgenommen. Diese Vertauschung wird also vor Beginn der Entschlüsselung durchgeführt. Sie bleibt bei den einzelnen Entschlüsselungsrunden erhalten und wird nach der letzten Entschlüsselungsrunde durch eine abermalige Vertauschung rückgängig gemacht. So kann man mit einem einzigen Algorithmus Daten sowohl ver- als auch entschlüsseln. Man muß lediglich die Reihenfolge der Iterationsrunden umkehren, was man durch eine Umkehrung der Reihenfolge der Teilschlüssel erreicht. IP R 0 L 0 K 1 Teil- Iterationsrunde 1 R 1 L 1 K 2 Iterationsrunde 2 schlüssel R 2 L 2 erzeugung R 15 L 15 K 16 Iterationsrunde 16 R 16 L 16 IP -1 64-Bit-Block Schlüsseltext Bild 3-33: Ablaufstruktur von DES Verschlüsseln Iterationsrunde i Entschlüsseln Iterationsrunde i 3.7.2 Eine Iterationsrunde L i = Ri-1 R i= L i-1⊕ f(R i-1,K i) R i-1 L i-1 Jede Iterationsrunde i (s. Bild 3-34) erhält als Eingabe die Blöcke Li-1 und Ri-1 und liefert die Blöcke Li und Ri. Dabei erhält man Li direkt aus Ri-1, Ri durch Addition von Li-1 und f(Ri-1, Ki) (mit Addition ist jeweils die bitweise Addition modulo 2 gemeint): Li := Ri-1 (1) Ri := Li-1 ⊕ f(Ri-1, Ki) (2) K i f K i f f bezeichnet dabei die Verschlüsselungsfunktion. ⊕ ⊕ L i-1 R i-1 R i = L i-1 ⊕ f(R i-1 ,K i ) L i = R i-1 R i-1 L i-1 Bild 3-35: Entschlüsselungsprinzip von DES K i f Man erkennt, daß das Entschlüsselungsprinzip unabhängig ist von der Länge der Blöcke und der Wahl der Eingangspermutation IP (und damit auch von IP-1 ). Auch die Verschlüsselungsfunktion f kann frei gewählt werden. 79 ⊕ Iterationsrunde i L i:= R i-1 R i := L i-1⊕ f(R i-1,K i ) 79 Mit den im nächsten Abschnitt eingeführten Bezeichnern erklärt bedeutet dies, daß für die Expansionspermutation E, die Substitutionsboxen Si (i=1,..,8) und die Permutation P unter Beibehaltung der Grundstruktur selbstdefinierte Tabellen eingesetzt werden können und auch die Teilschlüsselerzeugung und die Art der Verknüpfung der Teilschlüssel mit dem Block Ri-1 variabel sind. Zusätzlich sei darauf hingewiesen, daß zur Entschlüsselung f selbst in keiner Weise umgekehrt werden muß. Bild 3-34: Eine Iterationsrunde von DES
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4: VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6: X A. Pfitzmann: Datensicherheit und
Seite 7 und 8: 2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10: 6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12: 10 A. Pfitzmann: Datensicherheit un
Seite 53: 94 A. Pfitzmann: Datensicherheit un
Seite 57 und 58: 102 A. Pfitzmann: Datensicherheit u
Seite 105 und 106:
198 A. Pfitzmann: Datensicherheit u
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?