Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
108<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
107<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
CBC<br />
Alle L<strong>in</strong>ien führen der Blocklänge entsprechend viele Alphabetzeichen<br />
Addition, z.B. bitweise modulo 2<br />
Subtraktion, z.B. bitweise modulo 2<br />
chiffren werden Muster im Schlüsseltext auf entsprechende Muster im Klartext abgebildet, aber dies<br />
dürfte <strong>in</strong> der Praxis so gut wie nie vorkommen, während regelmäßige Muster <strong>in</strong> nicht komprimierten<br />
Klartexten durchaus häufig s<strong>in</strong>d <strong>und</strong> deshalb <strong>in</strong>s Kalkül gezogen werden müssen. 83<br />
Speicher für<br />
Blockgrenzen<br />
Schlüsseltextblock<br />
n -1<br />
Speicher für<br />
Schlüsseltextblock<br />
n -1<br />
z.B. 64 Bits<br />
bei DES<br />
Klartextblöcke<br />
Schlüssel<br />
Schlüssel<br />
ECB<br />
Entschlüsselung<br />
Verschlüsselung<br />
KlartextSchlüsseltextKlartextblock<br />
n block n block n<br />
Schlüsseltextblöcke<br />
Bild 3-42: Konstruktion e<strong>in</strong>er symmetrischen bzw. asymmetrischen selbstsynchronisierenden Stromchiffre<br />
aus e<strong>in</strong>er symmetrischen bzw. asymmetrischen Blockchiffre: Blockchiffre mit Blockverkettung<br />
Bei der Betriebsart ECB werden gleiche Klartextblöcke auf gleiche Schlüsseltextblöcke abgebildet.<br />
Muster, die Blockgrenzen überschreiten, werden i.allg. auf andere Muster im Schlüsseltext<br />
abgebildet, wie dies am Beispiel der Blöcke unterhalb der Blockfolgen gezeigt ist.<br />
Diese Konstruktion kann sowohl zum Zwecke der Konzelation als auch zum Zwecke der Authentikation<br />
verwendet werden. Sie hat folgende Vor- <strong>und</strong> Nachteile bzw. ambivalente Eigenschaften bei der<br />
Konzelation:<br />
+ Die Verwendung e<strong>in</strong>er <strong>in</strong>determ<strong>in</strong>istischen Blockchiffre ist möglich. Da bei e<strong>in</strong>er <strong>in</strong>determ<strong>in</strong>istischen<br />
Blockchiffre Schlüsseltextblöcke länger als Klartextblöcke s<strong>in</strong>d, muß dann vor der<br />
Addition bzw. Subtraktion e<strong>in</strong>e geeignete Auswahl getroffen werden.<br />
+ Wird e<strong>in</strong>e asymmetrische Blockchiffre verwendet, so ist die entstehende Stromchiffre ebenfalls<br />
asymmetrisch.<br />
– Die Länge der verschlüsselbaren E<strong>in</strong>heiten ist durch die Blocklänge der verwendeten Blockchiffre<br />
bestimmt <strong>und</strong> kann deshalb nicht e<strong>in</strong>fach auf die E<strong>in</strong>heiten des Übertragungs- oder<br />
Speichersystems abgestimmt werden. Deshalb müssen die Blockgrenzen für die Selbstsynchronisation<br />
ggf. gesondert kenntlich gemacht werden.<br />
* Bei e<strong>in</strong>er noch so kle<strong>in</strong>en Verfälschung e<strong>in</strong>er e<strong>in</strong>em Block entsprechenden E<strong>in</strong>heit des Schlüsseltextstromes<br />
(oder auch e<strong>in</strong>em transienten Fehler im Ver- oder Entschlüsseler) s<strong>in</strong>d alle<br />
Zeichen des Klartextes dieser E<strong>in</strong>heit jeweils mit der Wahrsche<strong>in</strong>lichkeit<br />
Alphabetgröße - 1<br />
Alphabetgröße<br />
Bild 3-41: Blockmuster bei ECB<br />
3.8.2.2 Blockchiffre mit Blockverkettung (CBC)<br />
Blockchiffre mit Blockverkettung ist <strong>in</strong> Bild 3-42 gezeigt: Vor dem Verschlüsseln jedes (außer des<br />
ersten) Blocks wird zu se<strong>in</strong>em Klartext der Schlüsseltext des vorherigen modular addiert <strong>und</strong><br />
entsprechend nach dem Entschlüsseln jedes Blocks der Schlüsseltext des vorherigen von se<strong>in</strong>em<br />
„Klartext“ modular subtrahiert.<br />
gestört. Andernfalls taugt die verwendete Blockchiffre nichts. Zusätzlich ist die der Verfälschung<br />
entsprechende Stelle im nächsten Klartextblock gestört, da die Verfälschung im<br />
Schlüsseltextstrom gespeichert <strong>und</strong> <strong>in</strong> der folgenden R<strong>und</strong>e nochmals, allerd<strong>in</strong>gs anders,<br />
verwendet wird. Danach kann sich die Verfälschung nicht weiter auswirken, die folgenden<br />
Klartextblöcke werden richtig entschlüsselt, der Entschlüsseler hat sich aufgr<strong>und</strong> se<strong>in</strong>er<br />
beschränkten Speichertiefe automatisch auf den Verschlüsseler synchronisiert.<br />
Dies ist auch dann der Fall, wenn es sich nicht um e<strong>in</strong>en Übermittlungsfehler außerhalb<br />
des Verschlüsselungsprozesses handelt, sondern um e<strong>in</strong>en transienten Fehler bei der Verschlüsselung.<br />
Dies ist deshalb bemerkenswert, weil dann ab der Fehlerstelle e<strong>in</strong> ganz anderer<br />
Schlüsseltext erzeugt wird: Die Fehlerauswirkungen beim Verschlüsseler werden von Schlüs-<br />
Kommandos an alle Schiffe wie: "Schwenk nach Steuerbord", "volle Kraft voraus", "Masch<strong>in</strong>en stoppen", etc.<br />
Werden diese Kommandos jeweils unabhängig von der Vorgeschichte, d.h. ohne Seriennummer, Zeitstempel etc.<br />
determ<strong>in</strong>istisch verschlüsselt, entspricht jedem dieser Kommandos genau e<strong>in</strong> Schlüsseltext. Nach kurzer Zeit kann<br />
e<strong>in</strong> Angreifer die Bedeutung der Schlüsseltexte für die reale Welt lernen – ganz egal wie supersicher das<br />
Konzelationssystem ist <strong>und</strong> ob es symmetrisch oder asymmetrisch arbeitet. Um dieses nichtkryptographische<br />
Brechen durch Lernen zu verh<strong>in</strong>dern, müssen semantische E<strong>in</strong>heiten zum<strong>in</strong>dest kontextabhängig, besser aber noch<br />
<strong>in</strong>determ<strong>in</strong>istisch verschlüsselt werden.<br />
83<br />
Nehmen wir an, Telefax wird mit e<strong>in</strong>er 64-Bit-Blockchiffre mit ECB verschlüsselt. Wir nehmen an, daß die<br />
häufigste Komb<strong>in</strong>ation von Pixeln „alle weiß“ bedeutet <strong>und</strong> ordnen also dem häufigsten Schlüsseltextblock 64<br />
weiße Pixel <strong>und</strong> allen anderen Schlüsseltextblöcken 64 schwarze Pixel zu. Nehmen wir an, unser Faxgerät hat e<strong>in</strong>e<br />
Auflösung von 300 dpi, also r<strong>und</strong> 12 Pixel pro mm. Dann vergröbert Verschlüsselung mit 64-Bit-ECB die<br />
horizontale Auflösung des Faxes lediglich von 0,08 auf 5,3 mm – zum<strong>in</strong>dest große Schriften dürften problemlos<br />
lesbar bleiben. Werden die Pixel nicht horizontal, sondern etwa quadratweise mit 8•8 Pixel codiert, dann ergibt sich<br />
für das Beispiel e<strong>in</strong>e Vergröberung der Auflösung des Faxes horizontal wie vertikal von 0,08 auf 0,67 mm. Da<br />
dürften auch kle<strong>in</strong>ere Schriften noch zu entziffern se<strong>in</strong>.