Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

104 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 103 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 3.8 Zum praktischen Betrieb kryptographischer Systeme Zum praktischen Betrieb kryptographischer Systeme ist es nützlich, • Begriffe wie Blockchiffre vs. Stromchiffre, synchron vs. selbstsynchronisierend, • Betriebsarten von Blockchiffren, d.h. die wichtigen Konstruktionen von selbstsynchronisierenden und synchronen Stromchiffren aus Blockchiffren, und • wenigstens eine effiziente Konstruktion von kollisionsresistenten Hashfunktionen aus Blockchiffren zu kennen. Dies wird jeweils in den folgenden Unterkapiteln behandelt. 3.8.1 Blockchiffre, Stromchiffre Bei einem gegebenen endlichen Alphabet ver-/entschlüsselt eine • Blockchiffre nur Zeichenketten fester Länge, während eine • Stromchiffre Zeichenketten variabler Länge bearbeiten kann. Sekunden zur Ermittlung eines DES-Schlüssels etwa 10 10 . Für 105 US$ kann man also eine Maschine bauen, die in 35 Stunden einen Schlüssel ermittelt, für 106 US$ dauert es nur noch 3,5 Stunden, usw. In der Vergangenheit verdoppelte sich die Rechenleistung bei gleichen Kosten etwa alle 18 Monate. Obiges Produkt ist also vermutlich auch zukünftig etwa alle 18 Monate zu halbieren und beträgt im Jahr 2000 dann etwa 109 . Im Juli 1998 veröffentlichte Electronic Frontier Foundation (EFF), daß sie innerhalb eines Jahres mit einem Gesamtaufwand von weniger als 250000 US$ eine Spezialmaschine zum Brechen von DES gebaut haben, die DES-Schlüssel in weniger als 3 Tagen ermittelt [EFF_98]. Unter Verwendung dieser oberen Schranken liegt das tatsächlich erzielte Produkt von 250000 • 3•24•60•60 = 6,48 • 10 10 leicht oberhalb der am Schreibtisch ermittelten Angaben für die 1995 verfügbare Technologie. • Die Entwurfskriterien für die speziellen Werte der Substitutionen und Permutationen (hier nicht beschrieben, bei Interesse im Standard nachzulesen) werden weiterhin geheimgehalten. In [Copp_92, Copp2_94] findet sich allerdings die weitgehende Aufdeckung des Rätsels. Legt man das Alphabet {0, 1} zugrunde, sind die Vernam-Chiffre (one-time pad), der s2-mod-n- Generator und GMR Stromchiffren, während RSA und DES dann Blockchiffren sind. Legt man jedoch als Alphabet {0, 1, 2, 3, ..., 264-1} zugrunde und unterstellt, daß mehrere Zeichen jeweils unabhängig voneinander verschlüsselt werden, dann ist DES nach obiger Definition eine Stromchiffre. Die Unterscheidung Blockchiffre-Stromchiffre nach obiger Definition hängt also wesentlich vom unterstellten Alphabet ab und ist deshalb in sich nur relativ. Bei vielen Anwendungen ist das Alphabet aber vorgegeben (oder zumindest kanonisch) und damit die Unterscheidung präzise. (Anmerkung: Manche Autoren definieren die Klasse der Stromchiffre restriktiver: Bei ihnen ist bei jeder Stromchiffre ein Schlüsselstrom entweder vorgegeben (one-time pad) oder wird generiert (pseudo one-time pad, z.B. s2-mod-n-Generator) und zum Klartext- bzw. Schlüsseltextstrom addiert bzw. subtrahiert. Mir erscheint diese restriktivere Definition für das folgende jedoch unnötig.) Bei einer Stromchiffre (im Deutschen auch als kontinuierliche Chiffre [Hors_85] oder Stromsystem [HeKW_85], im Englischen als stream cipher bezeichnet) werden Nachrichten als eine Folge von Zeichen codiert, so daß einzelne Zeichen des Alphabets verschlüsselt werden. Diese Zeichen werden jedoch nicht notwendigerweise unabhängig voneinander verschlüsselt, sondern ihre Verschlüsselung kann auch entweder 1. von ihrer Position innerhalb der Nachrichten oder allgemeiner von allen vorhergehenden Klartext- und/oder Schlüsseltextzeichen abhängen oder 2. nur von einer beschränkten Anzahl direkt vorhergehender Schlüsseltextzeichen. Unter kryptographischen und Implementierungsgesichtspunkten bieten sich folgende Verallgemeinerungen an, die diesen zwei Kritikpunkten Rechnung tragen: 1. Die je 48 Schlüsselbits der 16 Teilschlüssel werden direkt eingegeben statt aus 56 Bit erzeugt. Der Schlüssel ist damit 16•48 = 768 Bit statt 56 Bit lang. 2. Die Inhalte der Substitutionsboxen Sj (j = 1,..., 8) werden variabel. Dies verlängert den Schlüssel um maximal 8•2 6 •4 = 2048 Bits. 3. Die Permutationen P und IP werden variabel. Dies verlängert den Schlüssel um maximal 32•⎡ld 32⎤ + 64•⎡ld 64⎤ = 160 + 384 = 544 Bits. 4. Die Expansionspermutation E wird variabel. Dies verlängert den Schlüssel um maximal 48•⎡ld 32⎤ = 240 Bits. Zusammen ergibt dies maximal 3600 Bit. Bezüglich des Aufwandes der Speicherung ist dies bereits heute weniger als 56 Bit im Jahre 1977. Während wie bei DES bei der 1. Verallgemeinerung eine zufällige Wahl des Schlüssels angebracht ist, gilt dies bei der 2., 3. und 4. Verallgemeinerung nicht unbedingt [BiSh_93]. Damit hier keine falschen Erwartungen an den Sicherheitsgewinn entstehen: Während der „normale“ DES mittels eines gewählten Klartext-Schlüsseltext-Angriffs, genannt differentielle Kryptoanalyse (differential cryptanalysis), mittels 247 Klartext-Schlüsseltext-Blöcken gebrochen werden kann, sind hierfür bei der 1. Verallgemeinerung 261 Klartext-Schlüsseltext-Blöcke nötig [BiSh3_91, BiSh4_91, BiSh_93]. Dies ist zwar vom naiv erhofften Aufwand von 2768-1 weit entfernt, aber schon sehr nahe an der optimalen Schwierigkeit von 264-1: Jede permutierende Blockchiffre mit Blocklänge b kann mittels aktivem Angriff mit Aufwand 2b-1 gebrochen werden – der Angreifer läßt sich einfach alle anderen Blöcke als den, der ihn interessiert, ver- bzw. entschlüsseln. Im ersten Fall spricht man von synchronen Stromchiffren (synchronous stream ciphers), da Verund Entschlüsselung streng synchron erfolgen muß: bei Verlust oder Hinzufügen eines Schlüsseltextzeichens, d.h. bei Verlust der Synchronisation, kann nicht mehr ohne weiteres entschlüsselt werden, Ver- und Entschlüsseler müssen sich neu synchronisieren. Sofern Ver- und Entschlüsselung nicht nur von der Position innerhalb der Nachrichten abhängt, sondern auch von allen vorhergehenden Klartext und/oder Schlüsseltextzeichen, müssen Ver- und Entschlüsseler sich auch bei Verfälschung eines Schlüsseltextzeichens neu synchronisieren. Im zweiten Fall spricht man von selbstsynchronisierenden Stromchiffren (self-synchronous stream ciphers), da sich bei ihnen der Entschlüsseler auch bei Verlust oder Hinzufügen beliebig vieler zusätzlicher Schlüsseltextzeichen spätestens nach Entschlüsselung der oben erwähnten beschränkten Anzahl Schlüsseltextzeichen wieder auf den Verschlüsseler synchronisiert hat. 3.7.8 Verschlüsselungsleistung Mittels einer Software-Implementierung werden auf dem Apple Macintosh Classic (MC68000, 8 MHz) mit einem gemäß 1., 2. und 3. verallgemeinerten DES über 100 kbit/s ver-/entschlüsselt, auf dem PowerBook 180 (MC 68030, 33 MHz) über 900 kbit/s [PfAß1_90, PfAß_93]. Mittels einer Hardware-Implementierung (Standardzellen-Entwurf, 7155 Gatteräquivalente, 2 μm Technologie) werden mit einem gemäß 1. verallgemeinerten DES auf dem Chip 40 Mbit/s ver-/entschlüsselt. Da die Ein-/Ausgabe aber nur byteweise und asynchron (2-Weg-Handshake) erfolgt, können nur 10 Mbit/s ein-/ausgegeben werden [KFBG_90].
106 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 105 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr eine selbstsynchronisierende Stromchiffre gewonnen werden. Hierbei wird bei ECB und CBC das den Begriffen Block- bzw. Stromchiffre zugrundeliegende Alphabet gewechselt – bei CFB kann es gewechselt werden. (Anmerkung: Nach obigen Definitionen ist jede Stromchiffre entweder synchron oder selbstsynchronisierend. 80 Manche Autoren definieren synchron jedoch restriktiver, z.B. [Denn_82 Seite 136]: Der Schlüsselstrom – siehe obige Anmerkung – wird unabhängig vom Klartextstrom erzeugt. Dann gibt es Stromchiffren, die weder synchron noch selbstsynchronisierend sind, z.B. Schlüsseltext- und Ergebnisrückführung in Bild 3-50. Mir erscheint diese feinere Aufteilung in drei Klassen für das folgende jedoch unnötig.) Aus jeder symmetrischen oder asymmetrischen deterministischen Blockchiffre kann mittels der Konstruktionen • Ergebnisrückführung (output feedback, abgekürzt OFB [DaPr_89]), • Blockchiffre mit Blockverkettung über Schlüssel- und Klartext (hier plain cipher block chaining, abgekürzt PCBC, genannt, in der Literatur plaintext-ciphertext feedback oder block chaining using plaintext and ciphertext feedback, [EMMT_78 Seite 110, 111, MeMa_82 Seite 69]) oder • Schlüsseltext- und Ergebnisrückführung (output cipher feedback, abgekürzt OCFB) eine synchrone Stromchiffre gewonnen werden. Hierbei wird bei PCBC das den Begriffen Blockbzw. Stromchiffre zugrundeliegende Alphabet gewechselt – bei OFB und OCFB kann es gewechselt werden. Für jede symmetrische bzw. asymmetrische deterministische Stromchiffre und beliebige nichtleere Texte x1, x2 und Schlüsselpaare (c,d) bzw. Schlüssel k gilt demnach: Werden zwei Texte separat, aber direkt hintereinander verschlüsselt, so ist das Gesamtergebnis das gleiche, wie wenn die zwei Texte erst konkateniert und dann verschlüsselt werden. In der eingeführten Notation und bei kollateraler (d.h. paralleler, sich gegenseitig nicht beeinflussender) Auswertung beider Seiten der Gleichungen jeweils von links lautet dies: k(x1 ),k(x2 ) = k(x1 ,x2 ) bzw. c(x1 ),c(x2 ) = c(x1 ,x2 ). Werden zwischen den separat verschlüsselten Texten noch weitere verschlüsselt oder wird nach den beiden separaten Verschlüsselungen die der konkatenierten Texte als dritte ausgeführt (also nicht kollateral!), so gelten die obigen Gleichungen mit sehr großer Wahrscheinlichkeit nicht. Jeder der 6 Konstruktionen ist ein eigenes Unterkapitel gewidmet. An diese schließt sich ein Unterkapitel mit Anmerkungen zur Verwendung expandierender Blockchiffren (in den Unterkapiteln vorher wird nur der Fall behandelt, daß die Blockchiffre längentreu ist) und zur Initialisierung der Speicherglieder an. Im letzten Unterkapitel wird ein Überblick über die wesentlichen Eigenschaften aller beschriebenen Konstruktionen gegeben. 3.8.2 Betriebsarten für Blockchiffren 3.8.2.1 Elektronisches Codebuch (ECB) Die einfachste Betriebsart einer Blockchiffre ist, lange Nachrichten so in Blöcke aufzuspalten, daß jeder Block unabhängig von allen andern mit der Blockchiffre verund entschlüsselt werden kann, vgl. Bild 3-40. Diese Betriebsart wird elektronisches Codebuch genannt (electronic codebook, abgekürzt ECB). ECB Schlüssel Schlüssel Um Zusammenhänge zwischen Block- und Stromchiffren aufzuzeigen und da sie für viele Anwendungen praktisch sind81 , werden im folgenden die in der Literatur beschriebenen und teilweise genormten wichtigen Betriebsarten für Blockchiffren (sprich: Konstruktionen von selbstsynchronisierenden oder synchronen Stromchiffren aus Blockchiffren) angegeben. Auch wenn heute allgemein davon ausgegangen wird, daß in allen Konstruktionen die Verwendung einer sicheren Blockchiffre üblicherweise den Erhalt einer sicheren Stromchiffre impliziert, erscheinen mir zwei einschränkende Bemerkungen notwendig: 1. Selbst unter einer sehr starken Definition, was eine sichere Blockchiffre ist, sind mir weder (Reduktions-)Beweise für die Sicherheit der erhaltenen Stromchiffren noch eine Quantifizierung des „üblicherweise“ bekannt. 2. Zumindest für manche dieser Konstruktionen konnten pathologische (d.h. extrem gebildete, krankhafte) Gegenbeispiele hergeleitet werden, die ich im folgenden beschreibe. Ich überlasse es dem Leser zu entscheiden, ob die hergeleitete Blockchiffre von ihm als „sicher“ betrachtet wird. VerEntschlüsseschlüsselunglungKlartextSchlüsseltextKlartextblock n block n block n Zunächst werden die standardisierten Betriebsarten ECB, CBC, CFB und OFB beschrieben. Danach zwei Verallgemeinerungen, nämlich PCBC und OCFB: Bild 3-40: Betriebsart elektronisches Codebuch Aus jeder symmetrischen oder asymmetrischen deterministischen Blockchiffre kann mittels der Konstruktionen • Elektronisches Codebuch (electronic codebook, abgekürzt ECB [DaPr_89]), • Blockchiffre mit Blockverkettung (cipher block chaining, abgekürzt CBC [DaPr_89]) oder • Schlüsseltextrückführung (cipher feedback, abgekürzt CFB [DaPr_89]) Ihre Eigenschaften sind kanonisch und deshalb nur kurz in Bild 3-51 tabelliert. Nachteilig ist, daß bei deterministischen Blockchiffren Muster im Klartext, die ganze Blöcke umfassen, auf entsprechende Muster im Schlüsseltext abgebildet werden82 , vgl. Bild 3-41. Selbst bei indeterministischen Block- 82 In einem gewissen Sinne gibt es bei nichtkontextbezogener (d.h. nicht von der Vorgeschichte abhängiger) deterministischer Verschlüsselung semantischer Einheiten immer folgendes Brechen durch Lernen: Ein Angreifer beobachtet Nachrichten (Schlüsseltexte) und was dann in der realen Welt passiert. Wenn die gleiche Nachricht, d.h. der gleiche Schlüsseltext noch mal auftritt, liegt die Vermutung nahe, daß in der realen Welt auch das gleiche wie damals passieren wird. Dies sei an einem kleinen Beispiel veranschaulicht: Der Admiral eines Flottenverbandes gebe 80 Um auch die Möglichkeit zuzulassen, daß jeweils zeichenweise unabhängig verschlüsselt wird, kann im zweiten Fall die Anzahl direkt vorhergehender Schlüsseltextzeichen, von denen die Verschlüsselung abhängt, auf 0 beschränkt werden. Dann ist auch das erwähnte Beispiel abgedeckt, bei dem DES als Stromchiffre auf dem Alphabet {0, 1, 2, 3, ..., 264-1} betrachtet wird. 81 Bis hierher ist unklar, ob man beispielsweise mit DES auch Nachrichten konzelieren kann, die nicht genau 64 Bit lang sind. Ebenso ist bis hierher unklar, ob mit DES Nachrichten auch authentisiert werden können.
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8: 2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10: 6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12: 10 A. Pfitzmann: Datensicherheit un
Seite 57: 102 A. Pfitzmann: Datensicherheit u
Seite 61 und 62: 110 A. Pfitzmann: Datensicherheit u
Seite 109 und 110:
206 A. Pfitzmann: Datensicherheit u
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?