Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

112 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 111 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr CFB b Blocklänge a Länge der Ausgabeeinheit, a ≤ b r Länge der Rückkopplungseinheit, r ≤ b Addition bezüglich passend gewähltem Modulus Subtraktion bezüglich passend gewähltem Modulus 3.8.2.3 Schlüsseltextrückführung (CFB) Schieberegister Schieberegister b 1 b 1 b b Verschlüsselung Schlüsseltextrückführung ist in Bild 3-46 gezeigt: Es wird nicht der Klartext, sondern der Inhalt eines Schieberegisters mit der Blockchiffre verschlüsselt und ein Teil des Ergebnisses vom Verschlüsseler zum Klartext modular addiert (wodurch der Schlüsseltext entsteht) und vom Entschlüsseler vom Schlüsseltext modular subtrahiert wird (wodurch wiederum der Klartext entsteht). In die Schieberegister wird jeweils der Schlüsseltext geschoben, also rückgeführt, weshalb diese Konstruktion Schlüsseltextrückführung genannt wird. Werden die Schieberegister gleich initialisiert und wird der Schlüsseltext richtig übermittelt, enthalten die Schieberegister beim Ver- und Entschlüsseler jeweils dieselben Werte. Dann (und nur dann) ergibt sich beim Entschlüsseler wieder der ursprüngliche Klartext. In Bild 3-46 ist der allgemeine Fall gezeigt, daß der Schlüsseltext nicht direkt in das Schieberegister übernommen, sondern einer Auswahl unterworfen oder gar um feste Werte ergänzt wird. Letzteres ist zwar in der Norm [DINISO8372_87] vorgesehen, erscheint mir aber bezüglich der kryptographischen Sicherheit nicht sinnvoll, da dadurch die Zahl möglicher Werte im Schieberegister verkleinert wird. Da die Funktion „Wähle aus oder ergänze“ öffentlich festgelegt sein dürfte, kann ein Angreifer bezüglich Konzelation gleiche Werte in den Schieberegistern erkennen und durch Differenzbildung der Schlüsseltexte die Differenz zweier Klartexte erhalten. Bezüglich Authentikation ist insbesondere die Auswahl problematisch85 , da dann einzelne Zeichen des Schlüsseltextstromes (und damit auch des Klartextstromes) geändert werden können, ohne daß dies in das Schieberegister und damit den weiteren Verschlüsselungsprozeß eingeht. Damit hat diese Änderung auch keinen Einfluß auf die Bildung des weiter unten beschriebenen Authentikators und wird deshalb bei Prüfung der Authentizität nicht erkannt. Schlüssel Verschlüsselung r r Schlüssel b b Wähle aus Wähle aus oder ergänze Wähle aus oder ergänze Wähle aus a a a a a a a a Klartextstrom Klartextstrom Schlüsseltextstrom Bild 3-46: Konstruktion einer symmetrischen selbstsynchronisierenden Stromchiffre aus einer deterministischen Blockchiffre: Schlüsseltextrückführung Schlüsseltextrückführung hat gegenüber Blockchiffre mit Blockverkettung folgende Vor- und Nachteile bzw. ambivalente Eigenschaften bei der Konzelation: + Es können kleinere Einheiten als die durch die Blocklänge der verwendeten Blockchiffre bestimmten ver- und entschlüsselt werden. Wird die elementare Einheit des Übertragungsoder Speichersystems als Verschlüsselungseinheit verwendet, so ist Selbstsynchronisation immer, insbesondere auch ohne Kenntlichmachen der „Blockgrenzen“, gegeben. – Die verwendete Blockchiffre muß deterministisch sein. – Unabhängig davon, ob eine symmetrische oder asymmetrische Blockchiffre verwendet wird, entsteht eine symmetrische Stromchiffre, da die bei einer asymmetrischen Blockchiffre von der Verschlüsselungsfunktion verschiedene Entschlüsselungsfunktion bei der Konstruktion überhaupt nicht verwendet wird. * Bei einer noch so kleinen Verfälschung einer Einheit des Schlüsseltextstromes (oder auch einem transienten Fehler im Verschlüsseler) sind alle Zeichen des Klartextes dieser und der Aus den bei CBC erläuterten Gründen kann der linke Teil von CFB zur Authentikation verwendet werden, vgl. Bild 3-47: + Der einen Klartext Authentizierende verschlüsselt ihn mit CFB. Den Inhalt des Schieberegisters verschlüsselt er noch einmal zusätzlich mit der Blockchiffre86 und hängt die Ausgabe der Blockchiffre an den Klartext. Der die Authentizität Prüfende verschlüsselt in gleicher Weise und vergleicht. Bei Übereinstimmung ist der Klartext authentisch. Hält man einen kürzeren Authentikator als die ganze Ausgabe der Blockchiffre für hinreichend, kann man Anhängen und Vergleich auf einen Teil beschränken. * Die verwendete Blockchiffre muß deterministisch sein. + Es können kleinere Einheiten als die durch die Blocklänge der verwendeten Blockchiffre bestimmten authentiziert werden. folgenden Blocklänge - δ Länge der Rückkopplungseinheit⎤ ⎡ Rückkopplungseinheiten gestört (δ bezeichnet den Abstand des Fehlers vom rechten Rand der Rückkopplungseinheit; ⎡x⎤ bezeichnet die kleinste ganze Zahl z mit z ≥ x). Die erste Einheit ist genau an der Störungsstelle gestört, bei letzteren sind alle Zeichen jeweils mit der Wahrscheinlichkeit Alphabetgröße - 1 Alphabetgröße gestört. 86 Würde der Inhalt des Scheiberegisters nicht noch einmal zusätzlich mit der Blockchiffre verschlüsselt, sondern direkt als Authentikator an die Nachricht gehängt, könnte ein Angreifer die letzte Ausgabeeinheit unerkannt ändern, indem er zum Authentikator die Differenz zwischen gefälschter Einheit und Originaleinheit hinzuaddiert. 85 weshalb in Bild 3-47 die ganze Funktion „Wähle aus oder ergänze“ weggelassen wurde – denn auch hier ist Ergänzung wegen der Verkleinerung der Zahl möglicher Werte im Schieberegister nicht sinnvoll.
114 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 113 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr + Die Länge der ver- und entschlüsselbaren Einheiten ist nicht durch die Blocklänge der verwendeten Blockchiffre bestimmt und kann deshalb einfach auf die Einheiten des Übertragungsoder Speichersystems abgestimmt werden. – Die verwendete Blockchiffre muß deterministisch sein. – Unabhängig davon, ob eine symmetrische oder asymmetrische Blockchiffre verwendet wird, entsteht eine symmetrische Stromchiffre, da die bei einer asymmetrischen Blockchiffre von der Verschlüsselungsfunktion verschiedene Entschlüsselungsfunktion bei der Konstruktion überhaupt nicht verwendet wird. * Bei Verfälschung von Zeichen des Schlüsseltextstromes ist immer nur das entsprechende Zeichen des Klartextes gestört, es findet also keine Fehlererweiterung (error extension [DaPr_89]) statt. Je nach Anwendung kann dies günstig, z.B. bezüglich Konzelation, oder ungünstig, z.B. bezüglich Integrität, sein. Um einem falschen Eindruck vorzubeugen, sei an dieser Stelle noch an eine generelle Eigenschaft von synchronen Stromchiffren (und damit auch von Ergebnisrückführung) erinnert: Nur bei Verfälschung von Zeichen des Schlüsseltextstromes findet keine Fehlererweiterung statt. Bei verlorenen oder hinzugefügten Schlüsseltextstromzeichen (oder auch nur einem transienten Fehler in der Rückkopplungsschleife des Ver- oder Entschlüsselers) sind bis zur Wiederherstellung der Synchronisation alle folgenden Klartextzeichen jeweils mit der Wahrscheinlichkeit Alphabetgröße - 1 Alphabetgröße gestört. CFB zur Authentikation a Länge der Ausgabeeinheit, a ≤ b b Blocklänge Addition bezüglich passend gewähltem Modulus Schieberegister Schieberegister 1 b 1 b b b Schlüssel Verschlüsselung Letzter Schieberegisterinhalt verschlüsselt Verschlüsselung Schlüssel Vergleich ok? Letzter Schiebe- b b registerinhalt verschlüsselt Wähle aus Wähle aus a a a a a a Klartextstrom Klartextstrom Bild 3-47: Schlüsseltextrückführung zur Authentikation: Konstruktion aus einer deterministischen Blockchiffre 3.8.2.4 Ergebnisrückführung (OFB) Ergebnisrückführung ist in Bild 3-48 gezeigt: Im Gegensatz zur Schlüsseltextrückführung wird nicht der Schlüsseltext, sondern das Ergebnis (output) der Blockverschlüsselung in das Schieberegister rückgeführt. Entsprechend heißt diese Konstruktion Ergebnisrückführung (output feedback, abgekürzt OFB). 87 Wie in Bild 3-46 ist auch in Bild 3-48 der allgemeine Fall gezeigt, daß das Ergebnis der Blockverschlüsselung erst einer Auswahl unterworfen oder, kombiniert damit, um feste Werte ergänzt wird. Letzteres ist zwar möglich, erscheint aber bezüglich der kryptographischen Sicherheit nicht sinnvoll, da dadurch die Zahl möglicher Werte im Schieberegister und damit die Periode des Pseudozufallszahlengenerators verkleinert wird. Ist die Funktion „Wähle aus oder ergänze“ wie in [DaPa_83] empfohlen und in [DINISO8372_87] vorgesehen die Identität, so kann statt einem Schieberegister ein normaler Speicher verwendet werden. Diese Konstruktion hat folgende Vor- und Nachteile bzw. ambivalente Eigenschaften: 87 Eine andere Erklärung der Konstruktion OFB wäre: Im oberen Teil wird aus einer Blockchiffre ein Pseudozufallsgenerator konstruiert, dessen Pseudozufallsfolge im unteren Teil zum Klartextstrom addiert bzw. vom Schlüsseltextstrom subtrahiert wird. In §3.4.2 haben wir dies Pseudo-one-time-pad genannt.
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12: 10 A. Pfitzmann: Datensicherheit un
Seite 57 und 58: 102 A. Pfitzmann: Datensicherheit u
Seite 61: 110 A. Pfitzmann: Datensicherheit u
Seite 113 und 114:
214 A. Pfitzmann: Datensicherheit u
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?