Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
106<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
105<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
e<strong>in</strong>e selbstsynchronisierende Stromchiffre gewonnen werden. Hierbei wird bei ECB <strong>und</strong> CBC das<br />
den Begriffen Block- bzw. Stromchiffre zugr<strong>und</strong>eliegende Alphabet gewechselt – bei CFB kann es<br />
gewechselt werden.<br />
(Anmerkung: Nach obigen Def<strong>in</strong>itionen ist jede Stromchiffre entweder synchron oder selbstsynchronisierend.<br />
80 Manche Autoren def<strong>in</strong>ieren synchron jedoch restriktiver, z.B. [Denn_82 Seite<br />
136]: Der Schlüsselstrom – siehe obige Anmerkung – wird unabhängig vom Klartextstrom erzeugt.<br />
Dann gibt es Stromchiffren, die weder synchron noch selbstsynchronisierend s<strong>in</strong>d, z.B. Schlüsseltext-<br />
<strong>und</strong> Ergebnisrückführung <strong>in</strong> Bild 3-50. Mir ersche<strong>in</strong>t diese fe<strong>in</strong>ere Aufteilung <strong>in</strong> drei Klassen für<br />
das folgende jedoch unnötig.)<br />
Aus jeder symmetrischen oder asymmetrischen determ<strong>in</strong>istischen Blockchiffre kann mittels der<br />
Konstruktionen<br />
• Ergebnisrückführung (output feedback, abgekürzt OFB [DaPr_89]),<br />
• Blockchiffre mit Blockverkettung über Schlüssel- <strong>und</strong> Klartext (hier pla<strong>in</strong> cipher block cha<strong>in</strong><strong>in</strong>g,<br />
abgekürzt PCBC, genannt, <strong>in</strong> der Literatur pla<strong>in</strong>text-ciphertext feedback oder block cha<strong>in</strong><strong>in</strong>g<br />
us<strong>in</strong>g pla<strong>in</strong>text and ciphertext feedback, [EMMT_78 Seite 110, 111, MeMa_82 Seite 69])<br />
oder<br />
• Schlüsseltext- <strong>und</strong> Ergebnisrückführung (output cipher feedback, abgekürzt OCFB)<br />
e<strong>in</strong>e synchrone Stromchiffre gewonnen werden. Hierbei wird bei PCBC das den Begriffen Blockbzw.<br />
Stromchiffre zugr<strong>und</strong>eliegende Alphabet gewechselt – bei OFB <strong>und</strong> OCFB kann es gewechselt<br />
werden.<br />
Für jede symmetrische bzw. asymmetrische determ<strong>in</strong>istische Stromchiffre <strong>und</strong> beliebige nichtleere<br />
Texte x1, x2 <strong>und</strong> Schlüsselpaare (c,d) bzw. Schlüssel k gilt demnach:<br />
Werden zwei Texte separat, aber direkt h<strong>in</strong>tere<strong>in</strong>ander verschlüsselt, so ist das Gesamtergebnis<br />
das gleiche, wie wenn die zwei Texte erst konkateniert <strong>und</strong> dann verschlüsselt werden. In der<br />
e<strong>in</strong>geführten Notation <strong>und</strong> bei kollateraler (d.h. paralleler, sich gegenseitig nicht bee<strong>in</strong>flussender)<br />
Auswertung beider Seiten der Gleichungen jeweils von l<strong>in</strong>ks lautet dies:<br />
k(x1 ),k(x2 ) = k(x1 ,x2 ) bzw. c(x1 ),c(x2 ) = c(x1 ,x2 ).<br />
Werden zwischen den separat verschlüsselten Texten noch weitere verschlüsselt oder wird nach<br />
den beiden separaten Verschlüsselungen die der konkatenierten Texte als dritte ausgeführt (also nicht<br />
kollateral!), so gelten die obigen Gleichungen mit sehr großer Wahrsche<strong>in</strong>lichkeit nicht.<br />
Jeder der 6 Konstruktionen ist e<strong>in</strong> eigenes Unterkapitel gewidmet.<br />
An diese schließt sich e<strong>in</strong> Unterkapitel mit Anmerkungen zur Verwendung expandierender Blockchiffren<br />
(<strong>in</strong> den Unterkapiteln vorher wird nur der Fall behandelt, daß die Blockchiffre längentreu ist)<br />
<strong>und</strong> zur Initialisierung der Speicherglieder an.<br />
Im letzten Unterkapitel wird e<strong>in</strong> Überblick über die wesentlichen Eigenschaften aller beschriebenen<br />
Konstruktionen gegeben.<br />
3.8.2 Betriebsarten für Blockchiffren<br />
3.8.2.1 Elektronisches Codebuch (ECB)<br />
Die e<strong>in</strong>fachste Betriebsart e<strong>in</strong>er Blockchiffre ist, lange Nachrichten so <strong>in</strong> Blöcke aufzuspalten, daß<br />
jeder Block unabhängig von allen andern mit der Blockchiffre ver- <strong>und</strong> entschlüsselt werden kann,<br />
vgl. Bild 3-40. Diese Betriebsart wird elektronisches Codebuch genannt (electronic codebook,<br />
abgekürzt ECB).<br />
ECB<br />
Schlüssel<br />
Schlüssel<br />
Um Zusammenhänge zwischen Block- <strong>und</strong> Stromchiffren aufzuzeigen <strong>und</strong> da sie für viele Anwendungen<br />
praktisch s<strong>in</strong>d81 , werden im folgenden die <strong>in</strong> der Literatur beschriebenen <strong>und</strong> teilweise<br />
genormten wichtigen Betriebsarten für Blockchiffren (sprich: Konstruktionen von selbstsynchronisierenden<br />
oder synchronen Stromchiffren aus Blockchiffren) angegeben. Auch wenn heute allgeme<strong>in</strong><br />
davon ausgegangen wird, daß <strong>in</strong> allen Konstruktionen die Verwendung e<strong>in</strong>er sicheren Blockchiffre<br />
üblicherweise den Erhalt e<strong>in</strong>er sicheren Stromchiffre impliziert, ersche<strong>in</strong>en mir zwei e<strong>in</strong>schränkende<br />
Bemerkungen notwendig:<br />
1. Selbst unter e<strong>in</strong>er sehr starken Def<strong>in</strong>ition, was e<strong>in</strong>e sichere Blockchiffre ist, s<strong>in</strong>d mir weder<br />
(Reduktions-)Beweise für die <strong>Sicherheit</strong> der erhaltenen Stromchiffren noch e<strong>in</strong>e Quantifizierung<br />
des „üblicherweise“ bekannt.<br />
2. Zum<strong>in</strong>dest für manche dieser Konstruktionen konnten pathologische (d.h. extrem gebildete,<br />
krankhafte) Gegenbeispiele hergeleitet werden, die ich im folgenden beschreibe. Ich überlasse<br />
es dem Leser zu entscheiden, ob die hergeleitete Blockchiffre von ihm als „sicher“ betrachtet<br />
wird.<br />
VerEntschlüsseschlüsselunglungKlartextSchlüsseltextKlartextblock<br />
n block n block n<br />
Zunächst werden die standardisierten Betriebsarten ECB, CBC, CFB <strong>und</strong> OFB beschrieben. Danach<br />
zwei Verallgeme<strong>in</strong>erungen, nämlich PCBC <strong>und</strong> OCFB:<br />
Bild 3-40: Betriebsart elektronisches Codebuch<br />
Aus jeder symmetrischen oder asymmetrischen determ<strong>in</strong>istischen Blockchiffre kann mittels der<br />
Konstruktionen<br />
• Elektronisches Codebuch (electronic codebook, abgekürzt ECB [DaPr_89]),<br />
• Blockchiffre mit Blockverkettung (cipher block cha<strong>in</strong><strong>in</strong>g, abgekürzt CBC [DaPr_89]) oder<br />
• Schlüsseltextrückführung (cipher feedback, abgekürzt CFB [DaPr_89])<br />
Ihre Eigenschaften s<strong>in</strong>d kanonisch <strong>und</strong> deshalb nur kurz <strong>in</strong> Bild 3-51 tabelliert. Nachteilig ist, daß bei<br />
determ<strong>in</strong>istischen Blockchiffren Muster im Klartext, die ganze Blöcke umfassen, auf entsprechende<br />
Muster im Schlüsseltext abgebildet werden82 , vgl. Bild 3-41. Selbst bei <strong>in</strong>determ<strong>in</strong>istischen Block-<br />
82<br />
In e<strong>in</strong>em gewissen S<strong>in</strong>ne gibt es bei nichtkontextbezogener (d.h. nicht von der Vorgeschichte abhängiger) determ<strong>in</strong>istischer<br />
Verschlüsselung semantischer E<strong>in</strong>heiten immer folgendes Brechen durch Lernen: E<strong>in</strong> Angreifer<br />
beobachtet Nachrichten (Schlüsseltexte) <strong>und</strong> was dann <strong>in</strong> der realen Welt passiert. Wenn die gleiche Nachricht, d.h.<br />
der gleiche Schlüsseltext noch mal auftritt, liegt die Vermutung nahe, daß <strong>in</strong> der realen Welt auch das gleiche wie<br />
damals passieren wird. Dies sei an e<strong>in</strong>em kle<strong>in</strong>en Beispiel veranschaulicht: Der Admiral e<strong>in</strong>es Flottenverbandes gebe<br />
80 Um auch die Möglichkeit zuzulassen, daß jeweils zeichenweise unabhängig verschlüsselt wird, kann im zweiten<br />
Fall die Anzahl direkt vorhergehender Schlüsseltextzeichen, von denen die Verschlüsselung abhängt, auf 0<br />
beschränkt werden. Dann ist auch das erwähnte Beispiel abgedeckt, bei dem DES als Stromchiffre auf dem Alphabet<br />
{0, 1, 2, 3, ..., 264-1} betrachtet wird.<br />
81<br />
Bis hierher ist unklar, ob man beispielsweise mit DES auch Nachrichten konzelieren kann, die nicht genau 64 Bit<br />
lang s<strong>in</strong>d. Ebenso ist bis hierher unklar, ob mit DES Nachrichten auch authentisiert werden können.