Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
96<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
95<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
wäre unnötiger Aufwand, der ke<strong>in</strong>e <strong>Sicherheit</strong> br<strong>in</strong>gen kann), s<strong>in</strong>d beide <strong>in</strong> etwa gleich aufwendig,<br />
wobei RSA etwas günstiger liegt, da ke<strong>in</strong> Referenzenbaum erzeugt bzw. geprüft zu werden braucht.<br />
Allerd<strong>in</strong>gs ist es möglich, bei RSA e<strong>in</strong>e wesentlich effizientere Hashfunktion zu verwenden, da diese<br />
nie umgekehrt werden muß. Dies ist bei GMR nur bzgl. der N-Signaturen nicht nötig – bei R- <strong>und</strong> K-<br />
Signaturen aber unvermeidbar, vgl. Bild 3-27. Der Rechenaufwand für die Erzeugung <strong>und</strong> Prüfung<br />
der R- <strong>und</strong> K-Signaturen kann bei GMR also nicht <strong>in</strong> gleicher Weise gesenkt werden.<br />
Die Verwendung e<strong>in</strong>er wesentlich effizienteren Hashfunktion, die von niemand umgekehrt werden<br />
kann, kann e<strong>in</strong>en enormen Effizienzvorteil haben, erfordert aber e<strong>in</strong>e weitere kryptographische<br />
Annahme, nämlich die, daß die verwendete schnelle Hashfunktion kollisionsresistent ist. Je mehr<br />
unbewiesene Annahmen man benötigt, desto größer wird die Wahrsche<strong>in</strong>lichkeit, daß m<strong>in</strong>destens<br />
e<strong>in</strong>e falsch ist <strong>und</strong> damit die <strong>Sicherheit</strong> pure Illusion. Bezüglich digitalen Signatursystemen kann (<strong>und</strong><br />
muß) man sich also zwischen <strong>Sicherheit</strong> (GMR) <strong>und</strong> Effizienz (RSA mit schneller Hashfunktion)<br />
entscheiden.<br />
Da die Proportionalitätskonstanten78 näherungsweise gleich s<strong>in</strong>d, liegt der Aufwand des CRA<br />
bereits für den kle<strong>in</strong>sten <strong>in</strong> Betracht zu ziehenden Wert von l = 300 deutlich unterhalb von 2% des<br />
Aufwands der 2 Exponentiationen halber Länge. Also reduziert Rechnen modulo p <strong>und</strong> q den<br />
Aufwand näherungsweise um den Faktor<br />
8•l3 2•l3 = 4.<br />
3.6.5.3 Verschlüsselungsleistung<br />
RSA ist für die USA, aber nirgends sonst patentiert. Das Patent läuft am 20. September 2000 aus<br />
[Schn_96 Seite 474].<br />
In [Sedl_88] wird e<strong>in</strong>e Hardwareimplementierung von RSA gemäß §3.6.2 mit e<strong>in</strong>er Entschlüsselungsgeschw<strong>in</strong>digkeit<br />
von ca. 200 kbit/s bei e<strong>in</strong>er Moduluslänge von 660 bit angegeben. Letzteres<br />
ersche<strong>in</strong>t für die <strong>Sicherheit</strong> von RSA zur Zeit als ausreichend. Die Geschw<strong>in</strong>digkeit wird durch<br />
Verwendung des <strong>in</strong> §3.6.5.2 beschriebenen Verfahrens erzielt. Erfolgt die Verschlüsselung mit dem<br />
Exponenten 216 +1, vgl. §3.6.5.1, so wird sogar e<strong>in</strong>e Geschw<strong>in</strong>digkeit von 3 Mbit/s erzielt.<br />
E<strong>in</strong>e entsprechende Software-Implementierung auf dem Apple Mac<strong>in</strong>tosh IIfx (MC68030, 40<br />
MHz, 32 KByte cache board, 80 ns RAM) erreicht bei e<strong>in</strong>er Moduluslänge von 512 bit e<strong>in</strong>e<br />
Entschlüsselungsgeschw<strong>in</strong>digkeit von 2,5 kbit/s.<br />
3.7 DES: Das bekannteste System für symmetrische<br />
Konzelation <strong>und</strong> Authentikation<br />
3.6.6 <strong>Sicherheit</strong> <strong>und</strong> E<strong>in</strong>satz von RSA<br />
DES ist das erste standardisierte (daher se<strong>in</strong> Name als Abkürzung von: Data Encryption Standard)<br />
<strong>und</strong> (deshalb) das am meisten e<strong>in</strong>gesetzte kryptographische System. DES ist e<strong>in</strong> symmetrisches<br />
kryptographisches System, das e<strong>in</strong>en nur 56 Bit langen Schlüssel hat <strong>und</strong> Blöcke von 64 Bit Länge<br />
verschlüsselt.<br />
Egal wie man RSA als asymmetrisches kryptographisches System e<strong>in</strong>setzt, es kann nicht sicherer se<strong>in</strong><br />
als die Faktorisierung des Modulus schwer ist – <strong>und</strong> e<strong>in</strong>en Beweis, daß RSA zu brechen so schwer<br />
wie den Modulus zu faktorisieren ist, gibt es (bisher) nicht, vgl. §3.6.1.<br />
Erstmals veröffentlicht wurde der DES-Algorithmus <strong>in</strong> [DES_77]. Unter anderem abgedruckt ist er <strong>in</strong><br />
[MeMa_82].<br />
Wo also liegen die s<strong>in</strong>nvollen E<strong>in</strong>satzbereiche von RSA?<br />
3.7.1 DES im Überblick<br />
Der DES-Algorithmus setzt sich zusammen aus e<strong>in</strong>er – kryptographisch unbedeutenden – E<strong>in</strong>gangspermutation<br />
IP (Initial Permutation), die u.a. den E<strong>in</strong>gabeblock <strong>in</strong> die beiden 32-Bit-Blöcke L0 <strong>und</strong><br />
R0 aufteilt, 16 Iterationsr<strong>und</strong>en, <strong>in</strong> denen die eigentliche Verschlüsselung vorgenommen wird,<br />
<strong>und</strong> e<strong>in</strong>er zur E<strong>in</strong>gangspermutation <strong>in</strong>versen Ausgangspermutation IP-1, vor deren Ausführung<br />
L16 <strong>und</strong> R16, die beiden Blöcke, die man nach der Iterationsr<strong>und</strong>e 16 erhält, nochmals vertauscht<br />
werden.<br />
Aus dem Schlüssel werden die 16 Teilschlüssel K1 bis K16 erzeugt – für jede Iterationsr<strong>und</strong>e<br />
e<strong>in</strong>er.<br />
Hilfreich für die folgende Diskussion ist, zu Bild 3-12 <strong>in</strong> §3.1.3.5 zurückzuschlagen. Dort sehen wir<br />
das wichtige Feld 3 nur mit e<strong>in</strong>em System gefüllt, das nicht äquivalent zu e<strong>in</strong>er re<strong>in</strong>rassigen<br />
Standardannahme ist. D.h. effiziente asymmetrische Konzelationssysteme, die gegen aktive<br />
Angriffe relativ zu e<strong>in</strong>er re<strong>in</strong>rassigen Standardannahme kryptographisch stark s<strong>in</strong>d, s<strong>in</strong>d bisher nicht<br />
bekannt.<br />
Zwar ist RSA nicht als kryptographisch stark bewiesen (hier also: so sicher wie Faktorisierung<br />
schwer), aber für den <strong>in</strong> §3.6.4.1 beschriebenen E<strong>in</strong>satz als <strong>in</strong>determ<strong>in</strong>istisches asymmetrisches<br />
Konzelationssystem s<strong>in</strong>d immerh<strong>in</strong> ke<strong>in</strong>e erfolgreichen Angriffe bekannt – <strong>und</strong> das schon seit vielen<br />
Jahren. Benötigt man e<strong>in</strong> asymmetrisches Konzelationssystem <strong>und</strong> kann man aktive Angriffe nicht<br />
ausschließen, sollte man RSA (oder CS) e<strong>in</strong>setzen. Kann man aktive Angriffe ausschließen, ist der<br />
s2-mod-n-Generator vorzuziehen: Zum e<strong>in</strong>en ist er als kryptographisch stark bewiesen, d.h. wer ihn<br />
bricht, kann faktorisieren <strong>und</strong> damit auch RSA brechen. Zum andern ist für den s2-mod-n-Generator sogar bewiesen, daß e<strong>in</strong> passiver Angreifer ke<strong>in</strong>erlei Information über den Klartext erhält. Auch solch<br />
e<strong>in</strong>en Beweis gibt es für RSA (bisher?) nicht.<br />
Bezüglich des Rechenaufwands s<strong>in</strong>d s2-mod-n-Generator <strong>und</strong> RSA vergleichbar. Dies liefert also<br />
ke<strong>in</strong> hartes Unterscheidungskriterium.<br />
Für den E<strong>in</strong>satz von RSA statt GMR als digitales Signatursystem spricht unter <strong>Sicherheit</strong>sgesichtspunkten<br />
nichts. Im Gegenteil: Wer GMR brechen kann, kann – wie bewiesen wurde – faktorisieren<br />
<strong>und</strong> damit auch RSA brechen. Man sollte, wo immer möglich, also GMR den Vorzug geben.<br />
Bezüglich des Rechenaufwands verhält es sich leider umgekehrt: Wird für RSA gemäß §3.6.4.2<br />
e<strong>in</strong>e genauso effiziente Hashfunktion wie bei GMR verwendet (e<strong>in</strong>e aufwendigere zu verwenden,<br />
78 für den kubischen Aufwand bei der Exponentiation, den quadratischen Aufwand bei der Multiplikation <strong>und</strong> den<br />
l<strong>in</strong>earen Aufwand bei der Addition