Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

112
A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr
111
A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr
CFB
b Blocklänge
a Länge der Ausgabeeinheit, a ≤ b
r Länge der Rückkopplungseinheit, r ≤ b
Addition bezüglich passend gewähltem Modulus
Subtraktion bezüglich passend gewähltem Modulus
3.8.2.3 Schlüsseltextrückführung (CFB)
Schieberegister
Schieberegister
b
1
b
1
b
b
Verschlüsselung
Schlüsseltextrückführung ist in Bild 3-46 gezeigt: Es wird nicht der Klartext, sondern der Inhalt eines
Schieberegisters mit der Blockchiffre verschlüsselt und ein Teil des Ergebnisses vom Verschlüsseler
zum Klartext modular addiert (wodurch der Schlüsseltext entsteht) und vom Entschlüsseler vom
Schlüsseltext modular subtrahiert wird (wodurch wiederum der Klartext entsteht). In die Schieberegister
wird jeweils der Schlüsseltext geschoben, also rückgeführt, weshalb diese Konstruktion Schlüsseltextrückführung
genannt wird. Werden die Schieberegister gleich initialisiert und wird der Schlüsseltext
richtig übermittelt, enthalten die Schieberegister beim Ver- und Entschlüsseler jeweils dieselben
Werte. Dann (und nur dann) ergibt sich beim Entschlüsseler wieder der ursprüngliche Klartext.
In Bild 3-46 ist der allgemeine Fall gezeigt, daß der Schlüsseltext nicht direkt in das Schieberegister
übernommen, sondern einer Auswahl unterworfen oder gar um feste Werte ergänzt wird.
Letzteres ist zwar in der Norm [DINISO8372_87] vorgesehen, erscheint mir aber bezüglich der
kryptographischen Sicherheit nicht sinnvoll, da dadurch die Zahl möglicher Werte im Schieberegister
verkleinert wird. Da die Funktion „Wähle aus oder ergänze“ öffentlich festgelegt sein dürfte, kann ein
Angreifer bezüglich Konzelation gleiche Werte in den Schieberegistern erkennen und durch Differenzbildung
der Schlüsseltexte die Differenz zweier Klartexte erhalten. Bezüglich Authentikation ist
insbesondere die Auswahl problematisch85 , da dann einzelne Zeichen des Schlüsseltextstromes (und
damit auch des Klartextstromes) geändert werden können, ohne daß dies in das Schieberegister und
damit den weiteren Verschlüsselungsprozeß eingeht. Damit hat diese Änderung auch keinen Einfluß
auf die Bildung des weiter unten beschriebenen Authentikators und wird deshalb bei Prüfung der
Authentizität nicht erkannt.
Schlüssel
Verschlüsselung
r
r
Schlüssel
b
b
Wähle aus
Wähle aus
oder
ergänze
Wähle aus
oder
ergänze
Wähle aus
a
a
a
a
a a
a
a
Klartextstrom
Klartextstrom Schlüsseltextstrom
Bild 3-46: Konstruktion einer symmetrischen selbstsynchronisierenden Stromchiffre aus einer deterministischen
Blockchiffre: Schlüsseltextrückführung
Schlüsseltextrückführung hat gegenüber Blockchiffre mit Blockverkettung folgende Vor- und Nachteile
bzw. ambivalente Eigenschaften bei der Konzelation:
+ Es können kleinere Einheiten als die durch die Blocklänge der verwendeten Blockchiffre
bestimmten ver- und entschlüsselt werden. Wird die elementare Einheit des Übertragungsoder
Speichersystems als Verschlüsselungseinheit verwendet, so ist Selbstsynchronisation
immer, insbesondere auch ohne Kenntlichmachen der „Blockgrenzen“, gegeben.
– Die verwendete Blockchiffre muß deterministisch sein.
– Unabhängig davon, ob eine symmetrische oder asymmetrische Blockchiffre verwendet wird,
entsteht eine symmetrische Stromchiffre, da die bei einer asymmetrischen Blockchiffre von der
Verschlüsselungsfunktion verschiedene Entschlüsselungsfunktion bei der Konstruktion
überhaupt nicht verwendet wird.
* Bei einer noch so kleinen Verfälschung einer Einheit des Schlüsseltextstromes (oder auch
einem transienten Fehler im Verschlüsseler) sind alle Zeichen des Klartextes dieser und der
Aus den bei CBC erläuterten Gründen kann der linke Teil von CFB zur Authentikation verwendet
werden, vgl. Bild 3-47:
+ Der einen Klartext Authentizierende verschlüsselt ihn mit CFB. Den Inhalt des Schieberegisters
verschlüsselt er noch einmal zusätzlich mit der Blockchiffre86 und hängt die Ausgabe
der Blockchiffre an den Klartext. Der die Authentizität Prüfende verschlüsselt in gleicher
Weise und vergleicht. Bei Übereinstimmung ist der Klartext authentisch. Hält man einen
kürzeren Authentikator als die ganze Ausgabe der Blockchiffre für hinreichend, kann man
Anhängen und Vergleich auf einen Teil beschränken.
* Die verwendete Blockchiffre muß deterministisch sein.
+ Es können kleinere Einheiten als die durch die Blocklänge der verwendeten Blockchiffre
bestimmten authentiziert werden.
folgenden
Blocklänge - δ
Länge der Rückkopplungseinheit⎤
⎡
Rückkopplungseinheiten gestört (δ bezeichnet den Abstand des Fehlers vom rechten Rand der
Rückkopplungseinheit; ⎡x⎤ bezeichnet die kleinste ganze Zahl z mit z ≥ x). Die erste Einheit
ist genau an der Störungsstelle gestört, bei letzteren sind alle Zeichen jeweils mit der
Wahrscheinlichkeit
Alphabetgröße - 1
Alphabetgröße
gestört.
86 Würde der Inhalt des Scheiberegisters nicht noch einmal zusätzlich mit der Blockchiffre verschlüsselt, sondern direkt
als Authentikator an die Nachricht gehängt, könnte ein Angreifer die letzte Ausgabeeinheit unerkannt ändern, indem
er zum Authentikator die Differenz zwischen gefälschter Einheit und Originaleinheit hinzuaddiert.
85
weshalb in Bild 3-47 die ganze Funktion „Wähle aus oder ergänze“ weggelassen wurde – denn auch hier ist
Ergänzung wegen der Verkleinerung der Zahl möglicher Werte im Schieberegister nicht sinnvoll.