Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
112<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
111<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
CFB<br />
b Blocklänge<br />
a Länge der Ausgabee<strong>in</strong>heit, a ≤ b<br />
r Länge der Rückkopplungse<strong>in</strong>heit, r ≤ b<br />
Addition bezüglich passend gewähltem Modulus<br />
Subtraktion bezüglich passend gewähltem Modulus<br />
3.8.2.3 Schlüsseltextrückführung (CFB)<br />
Schieberegister<br />
Schieberegister<br />
b<br />
1<br />
b<br />
1<br />
b<br />
b<br />
Verschlüsselung<br />
Schlüsseltextrückführung ist <strong>in</strong> Bild 3-46 gezeigt: Es wird nicht der Klartext, sondern der Inhalt e<strong>in</strong>es<br />
Schieberegisters mit der Blockchiffre verschlüsselt <strong>und</strong> e<strong>in</strong> Teil des Ergebnisses vom Verschlüsseler<br />
zum Klartext modular addiert (wodurch der Schlüsseltext entsteht) <strong>und</strong> vom Entschlüsseler vom<br />
Schlüsseltext modular subtrahiert wird (wodurch wiederum der Klartext entsteht). In die Schieberegister<br />
wird jeweils der Schlüsseltext geschoben, also rückgeführt, weshalb diese Konstruktion Schlüsseltextrückführung<br />
genannt wird. Werden die Schieberegister gleich <strong>in</strong>itialisiert <strong>und</strong> wird der Schlüsseltext<br />
richtig übermittelt, enthalten die Schieberegister beim Ver- <strong>und</strong> Entschlüsseler jeweils dieselben<br />
Werte. Dann (<strong>und</strong> nur dann) ergibt sich beim Entschlüsseler wieder der ursprüngliche Klartext.<br />
In Bild 3-46 ist der allgeme<strong>in</strong>e Fall gezeigt, daß der Schlüsseltext nicht direkt <strong>in</strong> das Schieberegister<br />
übernommen, sondern e<strong>in</strong>er Auswahl unterworfen oder gar um feste Werte ergänzt wird.<br />
Letzteres ist zwar <strong>in</strong> der Norm [DINISO8372_87] vorgesehen, ersche<strong>in</strong>t mir aber bezüglich der<br />
kryptographischen <strong>Sicherheit</strong> nicht s<strong>in</strong>nvoll, da dadurch die Zahl möglicher Werte im Schieberegister<br />
verkle<strong>in</strong>ert wird. Da die Funktion „Wähle aus oder ergänze“ öffentlich festgelegt se<strong>in</strong> dürfte, kann e<strong>in</strong><br />
Angreifer bezüglich Konzelation gleiche Werte <strong>in</strong> den Schieberegistern erkennen <strong>und</strong> durch Differenzbildung<br />
der Schlüsseltexte die Differenz zweier Klartexte erhalten. Bezüglich Authentikation ist<br />
<strong>in</strong>sbesondere die Auswahl problematisch85 , da dann e<strong>in</strong>zelne Zeichen des Schlüsseltextstromes (<strong>und</strong><br />
damit auch des Klartextstromes) geändert werden können, ohne daß dies <strong>in</strong> das Schieberegister <strong>und</strong><br />
damit den weiteren Verschlüsselungsprozeß e<strong>in</strong>geht. Damit hat diese Änderung auch ke<strong>in</strong>en E<strong>in</strong>fluß<br />
auf die Bildung des weiter unten beschriebenen Authentikators <strong>und</strong> wird deshalb bei Prüfung der<br />
Authentizität nicht erkannt.<br />
Schlüssel<br />
Verschlüsselung<br />
r<br />
r<br />
Schlüssel<br />
b<br />
b<br />
Wähle aus<br />
Wähle aus<br />
oder<br />
ergänze<br />
Wähle aus<br />
oder<br />
ergänze<br />
Wähle aus<br />
a<br />
a<br />
a<br />
a<br />
a a<br />
a<br />
a<br />
Klartextstrom<br />
Klartextstrom Schlüsseltextstrom<br />
Bild 3-46: Konstruktion e<strong>in</strong>er symmetrischen selbstsynchronisierenden Stromchiffre aus e<strong>in</strong>er determ<strong>in</strong>istischen<br />
Blockchiffre: Schlüsseltextrückführung<br />
Schlüsseltextrückführung hat gegenüber Blockchiffre mit Blockverkettung folgende Vor- <strong>und</strong> Nachteile<br />
bzw. ambivalente Eigenschaften bei der Konzelation:<br />
+ Es können kle<strong>in</strong>ere E<strong>in</strong>heiten als die durch die Blocklänge der verwendeten Blockchiffre<br />
bestimmten ver- <strong>und</strong> entschlüsselt werden. Wird die elementare E<strong>in</strong>heit des Übertragungsoder<br />
Speichersystems als Verschlüsselungse<strong>in</strong>heit verwendet, so ist Selbstsynchronisation<br />
immer, <strong>in</strong>sbesondere auch ohne Kenntlichmachen der „Blockgrenzen“, gegeben.<br />
– Die verwendete Blockchiffre muß determ<strong>in</strong>istisch se<strong>in</strong>.<br />
– Unabhängig davon, ob e<strong>in</strong>e symmetrische oder asymmetrische Blockchiffre verwendet wird,<br />
entsteht e<strong>in</strong>e symmetrische Stromchiffre, da die bei e<strong>in</strong>er asymmetrischen Blockchiffre von der<br />
Verschlüsselungsfunktion verschiedene Entschlüsselungsfunktion bei der Konstruktion<br />
überhaupt nicht verwendet wird.<br />
* Bei e<strong>in</strong>er noch so kle<strong>in</strong>en Verfälschung e<strong>in</strong>er E<strong>in</strong>heit des Schlüsseltextstromes (oder auch<br />
e<strong>in</strong>em transienten Fehler im Verschlüsseler) s<strong>in</strong>d alle Zeichen des Klartextes dieser <strong>und</strong> der<br />
Aus den bei CBC erläuterten Gründen kann der l<strong>in</strong>ke Teil von CFB zur Authentikation verwendet<br />
werden, vgl. Bild 3-47:<br />
+ Der e<strong>in</strong>en Klartext Authentizierende verschlüsselt ihn mit CFB. Den Inhalt des Schieberegisters<br />
verschlüsselt er noch e<strong>in</strong>mal zusätzlich mit der Blockchiffre86 <strong>und</strong> hängt die Ausgabe<br />
der Blockchiffre an den Klartext. Der die Authentizität Prüfende verschlüsselt <strong>in</strong> gleicher<br />
Weise <strong>und</strong> vergleicht. Bei Übere<strong>in</strong>stimmung ist der Klartext authentisch. Hält man e<strong>in</strong>en<br />
kürzeren Authentikator als die ganze Ausgabe der Blockchiffre für h<strong>in</strong>reichend, kann man<br />
Anhängen <strong>und</strong> Vergleich auf e<strong>in</strong>en Teil beschränken.<br />
* Die verwendete Blockchiffre muß determ<strong>in</strong>istisch se<strong>in</strong>.<br />
+ Es können kle<strong>in</strong>ere E<strong>in</strong>heiten als die durch die Blocklänge der verwendeten Blockchiffre<br />
bestimmten authentiziert werden.<br />
folgenden<br />
Blocklänge - δ<br />
Länge der Rückkopplungse<strong>in</strong>heit⎤<br />
⎡<br />
Rückkopplungse<strong>in</strong>heiten gestört (δ bezeichnet den Abstand des Fehlers vom rechten Rand der<br />
Rückkopplungse<strong>in</strong>heit; ⎡x⎤ bezeichnet die kle<strong>in</strong>ste ganze Zahl z mit z ≥ x). Die erste E<strong>in</strong>heit<br />
ist genau an der Störungsstelle gestört, bei letzteren s<strong>in</strong>d alle Zeichen jeweils mit der<br />
Wahrsche<strong>in</strong>lichkeit<br />
Alphabetgröße - 1<br />
Alphabetgröße<br />
gestört.<br />
86 Würde der Inhalt des Scheiberegisters nicht noch e<strong>in</strong>mal zusätzlich mit der Blockchiffre verschlüsselt, sondern direkt<br />
als Authentikator an die Nachricht gehängt, könnte e<strong>in</strong> Angreifer die letzte Ausgabee<strong>in</strong>heit unerkannt ändern, <strong>in</strong>dem<br />
er zum Authentikator die Differenz zwischen gefälschter E<strong>in</strong>heit <strong>und</strong> Orig<strong>in</strong>ale<strong>in</strong>heit h<strong>in</strong>zuaddiert.<br />
85<br />
weshalb <strong>in</strong> Bild 3-47 die ganze Funktion „Wähle aus oder ergänze“ weggelassen wurde – denn auch hier ist<br />
Ergänzung wegen der Verkle<strong>in</strong>erung der Zahl möglicher Werte im Schieberegister nicht s<strong>in</strong>nvoll.