Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

108 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 107 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr CBC Alle Linien führen der Blocklänge entsprechend viele Alphabetzeichen Addition, z.B. bitweise modulo 2 Subtraktion, z.B. bitweise modulo 2 chiffren werden Muster im Schlüsseltext auf entsprechende Muster im Klartext abgebildet, aber dies dürfte in der Praxis so gut wie nie vorkommen, während regelmäßige Muster in nicht komprimierten Klartexten durchaus häufig sind und deshalb ins Kalkül gezogen werden müssen. 83 Speicher für Blockgrenzen Schlüsseltextblock n -1 Speicher für Schlüsseltextblock n -1 z.B. 64 Bits bei DES Klartextblöcke Schlüssel Schlüssel ECB Entschlüsselung Verschlüsselung KlartextSchlüsseltextKlartextblock n block n block n Schlüsseltextblöcke Bild 3-42: Konstruktion einer symmetrischen bzw. asymmetrischen selbstsynchronisierenden Stromchiffre aus einer symmetrischen bzw. asymmetrischen Blockchiffre: Blockchiffre mit Blockverkettung Bei der Betriebsart ECB werden gleiche Klartextblöcke auf gleiche Schlüsseltextblöcke abgebildet. Muster, die Blockgrenzen überschreiten, werden i.allg. auf andere Muster im Schlüsseltext abgebildet, wie dies am Beispiel der Blöcke unterhalb der Blockfolgen gezeigt ist. Diese Konstruktion kann sowohl zum Zwecke der Konzelation als auch zum Zwecke der Authentikation verwendet werden. Sie hat folgende Vor- und Nachteile bzw. ambivalente Eigenschaften bei der Konzelation: + Die Verwendung einer indeterministischen Blockchiffre ist möglich. Da bei einer indeterministischen Blockchiffre Schlüsseltextblöcke länger als Klartextblöcke sind, muß dann vor der Addition bzw. Subtraktion eine geeignete Auswahl getroffen werden. + Wird eine asymmetrische Blockchiffre verwendet, so ist die entstehende Stromchiffre ebenfalls asymmetrisch. – Die Länge der verschlüsselbaren Einheiten ist durch die Blocklänge der verwendeten Blockchiffre bestimmt und kann deshalb nicht einfach auf die Einheiten des Übertragungs- oder Speichersystems abgestimmt werden. Deshalb müssen die Blockgrenzen für die Selbstsynchronisation ggf. gesondert kenntlich gemacht werden. * Bei einer noch so kleinen Verfälschung einer einem Block entsprechenden Einheit des Schlüsseltextstromes (oder auch einem transienten Fehler im Ver- oder Entschlüsseler) sind alle Zeichen des Klartextes dieser Einheit jeweils mit der Wahrscheinlichkeit Alphabetgröße - 1 Alphabetgröße Bild 3-41: Blockmuster bei ECB 3.8.2.2 Blockchiffre mit Blockverkettung (CBC) Blockchiffre mit Blockverkettung ist in Bild 3-42 gezeigt: Vor dem Verschlüsseln jedes (außer des ersten) Blocks wird zu seinem Klartext der Schlüsseltext des vorherigen modular addiert und entsprechend nach dem Entschlüsseln jedes Blocks der Schlüsseltext des vorherigen von seinem „Klartext“ modular subtrahiert. gestört. Andernfalls taugt die verwendete Blockchiffre nichts. Zusätzlich ist die der Verfälschung entsprechende Stelle im nächsten Klartextblock gestört, da die Verfälschung im Schlüsseltextstrom gespeichert und in der folgenden Runde nochmals, allerdings anders, verwendet wird. Danach kann sich die Verfälschung nicht weiter auswirken, die folgenden Klartextblöcke werden richtig entschlüsselt, der Entschlüsseler hat sich aufgrund seiner beschränkten Speichertiefe automatisch auf den Verschlüsseler synchronisiert. Dies ist auch dann der Fall, wenn es sich nicht um einen Übermittlungsfehler außerhalb des Verschlüsselungsprozesses handelt, sondern um einen transienten Fehler bei der Verschlüsselung. Dies ist deshalb bemerkenswert, weil dann ab der Fehlerstelle ein ganz anderer Schlüsseltext erzeugt wird: Die Fehlerauswirkungen beim Verschlüsseler werden von Schlüs- Kommandos an alle Schiffe wie: "Schwenk nach Steuerbord", "volle Kraft voraus", "Maschinen stoppen", etc. Werden diese Kommandos jeweils unabhängig von der Vorgeschichte, d.h. ohne Seriennummer, Zeitstempel etc. deterministisch verschlüsselt, entspricht jedem dieser Kommandos genau ein Schlüsseltext. Nach kurzer Zeit kann ein Angreifer die Bedeutung der Schlüsseltexte für die reale Welt lernen – ganz egal wie supersicher das Konzelationssystem ist und ob es symmetrisch oder asymmetrisch arbeitet. Um dieses nichtkryptographische Brechen durch Lernen zu verhindern, müssen semantische Einheiten zumindest kontextabhängig, besser aber noch indeterministisch verschlüsselt werden. 83 Nehmen wir an, Telefax wird mit einer 64-Bit-Blockchiffre mit ECB verschlüsselt. Wir nehmen an, daß die häufigste Kombination von Pixeln „alle weiß“ bedeutet und ordnen also dem häufigsten Schlüsseltextblock 64 weiße Pixel und allen anderen Schlüsseltextblöcken 64 schwarze Pixel zu. Nehmen wir an, unser Faxgerät hat eine Auflösung von 300 dpi, also rund 12 Pixel pro mm. Dann vergröbert Verschlüsselung mit 64-Bit-ECB die horizontale Auflösung des Faxes lediglich von 0,08 auf 5,3 mm – zumindest große Schriften dürften problemlos lesbar bleiben. Werden die Pixel nicht horizontal, sondern etwa quadratweise mit 8•8 Pixel codiert, dann ergibt sich für das Beispiel eine Vergröberung der Auflösung des Faxes horizontal wie vertikal von 0,08 auf 0,67 mm. Da dürften auch kleinere Schriften noch zu entziffern sein.
110 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 109 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Das kann man vermeiden, indem man einen zufällig gewählten Klartextblock vor den eigentlichen Klartext hängt84 : Wir sahen ja gerade, daß alle weiteren Schlüsseltextblöcke dann auch jedesmal verschieden sind. Man kann noch etwas Zeit sparen: Statt diesen Block als Klartext zu wählen und zu verschlüsseln, wodurch sich ein zufälliger Schlüsseltextblock ergibt, kann man gleich einen zufälligen Schlüsseltextblock wählen (also eine Vorbesetzung für den Speicher). Auch diesen muß man dem Entschlüsseler natürlich mitteilen – etwa als ersten Schlüsseltextblock, dessen zugehöriger Klartextblock dann ebenfalls eine Zufallszahl ist und deshalb vom Entschlüsseler weggeworfen wird. seltextblock zu Schlüsseltextblock gespeichert und führen durch die Addition auf den nächsten Klartextblock wieder zu einer verfälschten Eingabe an die Blockchiffre und damit zu einem völlig unterschiedlichen Schlüsseltextblock. Trotzdem erhält der Entschlüsseler bereits einen Block nach Ende des transienten Fehlers wieder den richtigen Klartext. Entsprechendes gilt bei transienten Fehlern im Entschlüsseler. Sowohl bei transienten Fehlern im Ver- wie im Entschlüsseler ist in obigen Beispielen natürlich jeweils unterstellt, daß der Schlüssel der Blockchiffre durch den transienten Fehler nicht verfälscht wird. In diesem Fall wäre der beim Entschlüsseler ab diesem Zeitpunkt erhaltene Klartext jeweils pseudozufällig und damit unbrauchbar. Pathologisches Gegenbeispiel zu Konzelation mittels Blockchiffre mit Blockverkettung: Addition und Subtraktion erfolge modulo 2. Die Blockchiffre verschlüssele gerade Blöcke, d.h. letztes Bit 0, sicher auf ungerade Blöcke, d.h. letztes Bit 1, und ungerade Blöcke unsicher auf gerade Blöcke, vgl. Bild 3-44. Bei Beschränkung des Klartextraumes auf gerade Blöcke, d.h. Betrachtung der Blockchiffre als um ein Bit expandierende Blockchiffre (vgl. Bild 3-45), handelt es sich also um eine sichere Blockchiffre. Die resultierende Stromchiffre ist aber auch für den beschränkten Klartextraum unsicher: Da für das letzte Bit des Blocks gilt 0⊕1 = 1, Verschlüsselung ergibt 0, 0⊕0 = 0, Verschlüsselung ergibt 1, usw., ist jeder zweite Eingabeblock in die Blockchiffre ungerade. Der Angreifer kann diese ungeraden Eingabeblöcke aus den geraden Schlüsseltextblöcken errechnen und durch Subtraktion der vorher beobachteten Schlüsseltextblöcke die zugehörigen Klartextblöcke errechnen. Die Stromchiffre ist also bezüglich jedes zweiten Klartextblocks und damit insgesamt unsicher. Klartextblock (Länge b ) x x x . . . x 1 1 2 3 b-1 x x x . . . x 0 1 2 3 b-1 unsicher sicher Da es für das Ergebnis der Addition in Bild 3-42 egal ist, ob der Klar- oder Schlüsseltextblock verfälscht ist, gilt Gleiches (wie gerade beschrieben) für den Fall einer noch so kleinen Verfälschung des Klartextstromes. Dies motiviert die Verwendung des linken Teiles der Konstruktion zur Authentikation (Bild 3-43): + Der einen Klartext Authentizierende verschlüsselt ihn mit CBC und hängt lediglich den letzten Schlüsseltextblock an den Klartext, d.h. der letzte Schlüsseltextblock ist der MAC gemäß Bild 3-6. Der die Authentizität Prüfende verschlüsselt den Klartext ebenfalls mit CBC und vergleicht den von ihm berechneten letzten Schlüsseltextblock mit dem übertragenen. Bei Übereinstimmung ist der Klartext authentisch. Hält man einen kürzeren Authentikator als einen ganzen Schlüsseltextblock für hinreichend, kann man Anhängen und Vergleich auf einen Teil des letzten Schlüsseltextblocks beschränken. * Die verwendete Blockchiffre muß deterministisch sein. – Die Länge der authentizierbaren Einheiten ist durch die Blocklänge der verwendeten Blockchiffre bestimmt. Dies Verfahren zur Authentikation ist in [ISO8731-1_87] genormt. Dort ist auch beschrieben, daß nur die linksten 32 Bit als Authentikator genommen werden sollen und daß unvollständige letzte Klartextblöcke mit binären Nullen aufgefüllt werden sollen. S S S . . . S 1 S S S . . . S 0 1 2 3 b-1 1 2 3 b-1 Schlüsseltextblock (Länge b) CBC zur Authentikation Bild 3-44: Pathologische Blockchiffre (nur sicher auf Klartextblöcken, die rechts eine 0 enthalten) Klartextblock (Länge b –1) Speicher für Speicher für Schlüsseltextblock Schlüsseltextblock n -1 n -1 SchlüsseltextSchlüsseltextblock n block n Schlüssel Schlüssel x x x . . . x 0 1 2 3 b-1 Expansion sicher Letzter Block Verschlüsselung Verschlüsselung S S S . . . S 1 1 2 3 b-1 Vergleich ok? Letzter Block Klartextblock n Schlüsseltextblock (Länge b) Klartext Bild 3-45: Um ein Bit expandierende Blockchiffre Bild 3-43: Blockchiffre mit Blockverkettung zur Authentikation: Konstruktion aus einer deterministischen Blockchiffre 84 Dadurch wird die Verschlüsselung indeterministisch. So etwas hatten wir bei asymmetrischen Konzelationssystemen schon in §3.1.1.1 Anmerkung 2 und in §3.4.4. Wie bisher beschrieben kann ein Angreifer bei der Konzelation noch erkennen, wenn zwei Klartexte mit den gleichen Blöcken anfangen: Auch die Schlüsseltexte fangen dann gleich an.
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10: 6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12: 10 A. Pfitzmann: Datensicherheit un
Seite 57 und 58: 102 A. Pfitzmann: Datensicherheit u
Seite 59: 106 A. Pfitzmann: Datensicherheit u
Seite 111 und 112:
210 A. Pfitzmann: Datensicherheit u
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?