Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

116 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 115 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 3.8.2.5 Blockchiffre mit Blockverkettung über Schlüssel- und Klartext (PCBC) OFB b Blocklänge Länge der Ausgabeeinheit, a ≤ b Länge der Rückkopplungseinheit, r ≤ b a r Erfordert eine Anwendung, daß anders als bei Ergebnisrückführung auch ab einem verfälschten Schlüsseltextstromzeichen alle folgenden Klartextzeichen mit der oben angegebenen Wahrscheinlichkeit gestört sind, so kann man bei der Blockchiffre mit Blockverkettung (Bild 3-42) zusätzlich zum Schlüsseltext des vorherigen Blocks auch über dessen Klartext verketten (Bild 3-49) und erhält so eine Blockchiffre mit Blockverkettung über Schlüssel- und Klartext (plain cipher block chaining, abgekürzt PCBC). Es ist bemerkenswert, daß zur Entschlüsselung eine Invertierung der Funktion h, die den vorherigen Schlüssel- und Klartextblock verknüpft, nicht nötig ist. Damit diese Konstruktion aus einer sicheren symmetrischen oder asymmetrischen Blockchiffre eine sichere symmetrische oder asymmetrische synchrone Stromchiffre gewinnt, muß die Funktion h in Abhängigkeit vom für die Addition bzw. Subtraktion gewählten Modulus geeignet gewählt werden, vgl. [MeMa_82 Seite 69-71]. Insbesondere ist es wichtig, daß h nicht einfach gleich der verwendeten Additions- bzw. Subtraktionsoperation gewählt wird88 . Die in Bild 3-49 als Beispiel angegebene Wahl wird in [MeMa_82] empfohlen. Addition bezüglich passend gewähltem Modulus Subtraktion bezüglich passend gewähltem Modulus Schieberegister Schieberegister 1 b 1 b r r b b Schlüssel Verschlüsselung Wähle aus oder ergänze Wähle aus oder ergänze Verschlüsselung Schlüssel Diese Konstruktion hat folgende Vor- und Nachteile bzw. ambivalente Eigenschaften: + Die Verwendung einer indeterministischen Blockchiffre ist möglich. Da bei einer indeterministischen Blockchiffre Schlüsseltextblöcke länger als Klartextblöcke sind, muß dann vor der Addition bzw. Subtraktion eine geeignete Auswahl getroffen werden. + Wird eine asymmetrische Blockchiffre verwendet, so ist die entstehende Stromchiffre ebenfalls asymmetrisch. – Die Länge der verschlüsselbaren Einheiten ist durch die Blocklänge der verwendeten Blockchiffre bestimmt und kann deshalb nicht einfach auf die Einheiten des Übertragungs- oder Speichersystems abgestimmt werden. * Bei geeigneter Wahl der Funktion h, z.B. Addition mod 2Blocklänge , sind ab einer noch so kleinen Verfälschung einer einem Block entsprechenden Einheit des Schlüsseltextstromes ab diesem Block einschließlich alle Zeichen jeweils mit der Wahrscheinlichkeit Alphabetgröße - 1 Alphabetgröße b b Wähle aus Wähle aus a a a a a a Klartextstrom Klartextstrom Schlüsseltextstrom Bild 3-48: Konstruktion einer symmetrischen synchronen Stromchiffre aus einer deterministischen Blockchiffre: Ergebnisrückführung gestört. Fehler pflanzen sich also unbegrenzt fort. Die unbegrenzte Fehlererweiterung kann dazu verwendet werden, in einem Verschlüsselungsdurchgang sowohl Konzelation als auch Authentikation zu erreichen, indem an den Klartext ein Klartextblock festen Inhalts, z.B. alle Bits 0, gehängt wird. Beim Entschlüsseln wird dann geprüft, ob als letzter Klartextblock einer dieses Inhalts entsteht. + Da im allgemeinen der Aufwand für die Blockchiffre groß gegenüber Addition, Subtraktion und h ist, spart PCBC gegenüber separater Konzelation und Authentikation (etwa mit CBC), 88 Der Angriff bezieht sich auf Authentikation durch PCBC, die im Haupttext wenige Absätze weiter noch genauer erklärt wird. Es sei h gleich ⊕ gewählt. Der Initialisierungswert IK für den Speicher für Klartextblock n-1 sowie der erwartete Wert RK des Redundanzblocks am Ende des Klartextes seien nicht fest vereinbart, sondern es sei lediglich abgesprochen, daß sie gleich sein sollen. Dann kann ein Angreifer den Empfänger einer Klartextnachricht N dazu bekommen, daß er eine andere Klartextnachricht als authentisch akzeptiert: Sei N aus den Blöcken N1, N2, N3, ... zusammengesetzt. Der Angreifer möchte alle Klartextblöcke um den Wert W ändern, den er beliebig wählen kann. Der Angreifer fängt IK und den Schlüsseltext ab, ersetzt IK durch IK⊕W und schickt beides weiter an den Empfänger. Der erhält beim Entschlüsseln die Blöcke N1 W, N2⊕W, N3 W, usw. Bei geradzahliger Blockanzahl (inkl. RK) hat RK den „richtigen“ Wert IK⊕W. Wird als Operation die bitweise Addition mod 2 verwendet, klappt dieser Angriff auch bei ungeradzahliger Blockanzahl. (Angriff leicht verallgemeinert nach [MeMa_82 Seite 416].) Pathologisches Gegenbeispiel zu Ergebnisrückführung: Es finde keine Auswahl oder Ergänzung statt. Die Blockchiffre (Verschlüsselung in Bild 3-48) bilde Klartextblöcke in Schlüsseltextblöcke gleicher Länge b ab und werde wie folgt definiert: Wähle einen Klartextblock K, dem noch kein Schlüsseltextblock zugeordnet ist, aus und ordne ihm als Verschlüsselung zufällig einen Schlüsseltextblock S zu, der bisher noch keinem Klartextblock zugeordnet wurde. Ordne danach dem Klartextblock S als Verschlüsselung den Schlüsseltextblock K zu. Wiederhole beide Schritte, bis allen Klartextblöcken Schlüsseltextblöcke und allen Schlüsseltextblöcken Klartextblöcke zugeordnet sind. Diese Konstruktion erzeugt eine sichere Blockchiffre, da die Zuordnung Klartextblöcke – Schlüsseltextblöcke „zufällig“ ist. Man beachte, daß sich die gerade erwähnten Klartextblöcke in Bild 3-48 im Schieberegister befinden und mit der geheimzuhaltenden Nachricht, in Bild 3-48 Klartextstrom genannt, nichts zu tun haben. Die aus Ergebnisrückführung resultierende Stromchiffre ist aber trotz der sicheren Blockchiffre unsicher: Sie wurde so konstruiert, daß von ihr abwechselnd immer dieselben zwei Blöcke verschlüsselt werden, so daß zum Klartextstrom abwechselnd immer dasselbe addiert wird.
118 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 117 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr • Die Konstruktionen sind sehr ähnlich – beide verwenden nur die Verschlüsselung der Blockchiffre zur Erzeugung eines pseudozufälligen Zeichenstromes mit dem durch modulare Addition verschlüsselt und durch modulare Subtraktion entschlüsselt wird. In Bild 3-50 ist eine allgemeine Konstruktion Schlüsseltext- und Ergebnisrückführung angegeben (output cipher feedback, abgekürzt OCFB), die durch geeignete Wahl der Funktion h „Schlüsseltextrückführung“ und „Ergebnisrückführung“ umfaßt. Wie in Bild 3-49 ist für die Entschlüsselung eine Invertierung der Funktion h nicht nötig. • Aus dieser Ähnlichkeit resultieren gleiche Vor- und Nachteile. Die ambivalente Eigenschaft der Fehlererweiterung unterscheidet sich darin, ob sie begrenzt (selbstsynchronisierende Stromchiffre) oder potentiell unbegrenzt ist (synchrone Stromchiffre). Die Fehlererweiterung kann dadurch potentiell unbegrenzt sein, daß die Funktion h das Ergebnis der Blockverschlüsselung verwenden kann, das wiederum vom gesamten vorherigen Schlüsseltextstrom abhängen kann. wo jeder Block in jedem der zwei Durchgänge jeweils mit der Blockchiffre transformiert werden muß, etwa die Hälfte des Aufwands ein. PCBC Alle Linien führen der Blocklänge entsprechend viele Alphabetzeichen Addition, z.B. bitweise modulo 2 Subtraktion, z.B. bitweise modulo 2 h beliebige Funktion, z.B. Addition mod 2 Blocklänge Speicher für Speicher für Speicher für Speicher für KlartextSchlüsseltextSchlüsseltextKlartextblock n -1 block n -1 block n -1 block n -1 OCFB b Blocklänge a Länge der Ausgabeeinheit, a ≤ b r Länge der Rückkopplungseinheit, r ≤ b Schlüssel h Schlüssel h Addition bezüglich passend gewähltem Modulus Subtraktion bezüglich passend gewähltem Modulus Entschlüsselung Verschlüsselung h beliebige Funktion KlartextSchlüsseltextKlartextblock n block n block n Schieberegister Schieberegister 1 b 1 b r r Bild 3-49: Konstruktion einer symmetrischen bzw. asymmetrischen synchronen Stromchiffre aus einer symmetrischen bzw. asymmetrischen Blockchiffre: Blockchiffre mit Blockverkettung über Schlüssel- und Klartext b b Schlüssel Verschlüsselung Wähle aus oder ergänze Wähle aus oder ergänze Verschlüsselung Schlüssel h h b b Wähle aus Wähle aus a a Vergleicht man „Blockchiffre mit Blockverkettung“ mit „Blockchiffre mit Blockverkettung über Schlüssel- und Klartext“ so fällt zweierlei auf: • Die Konstruktionen sind sehr ähnlich – beide verwenden Ver- und Entschlüsselung der Blockchiffre und operieren invertierbar auf dem „Klartext“. Genauer gesagt umfaßt die letztere Konstruktion die erstere (man wähle die Funktion h so, daß sie den eingegebenen Schlüsseltextblock ausgibt und den Klartextblock ignoriert). • Aus dieser Ähnlichkeit resultieren gleiche Vor- und Nachteile. Die ambivalente Eigenschaft der Fehlererweiterung unterscheidet sich darin, ob sie begrenzt (selbstsynchronisierende Stromchiffre) oder potentiell unbegrenzt ist (synchrone Stromchiffre). Die Fehlererweiterung kann dadurch potentiell unbegrenzt sein, daß die Funktion h den vorherigen Klartextblock verwenden kann, der beim Entschlüsseler wiederum von allen vorherigen Schlüsseltextblöcken abhängen kann. a a a a Klartextstrom Klartextstrom Schlüsseltextstrom Bild 3-49 ist so gezeichnet, daß PCBC und CBC möglichst leicht vergleichbar sind. Für eine Implementierung würde sinnvollerweise nicht sowohl Klartext- und Schlüsseltextblock n-1 gespeichert, sondern stattdessen das Ergebnis der auf diese Werte angewendeten Funktion h. Dies spart einerseits Speicherplatz und andererseits Übertragungsaufwand bei der Initialisierung der Speicherglieder. Bild 3-50: Konstruktion einer synchronen symmetrischen Stromchiffre aus einer deterministischen Blockchiffre: Schlüsseltext- und Ergebnisrückführung89 3.8.2.6 Schlüsseltext- und Ergebnisrückführung (OCFB) Entsprechendes wie für „Blockchiffre mit Blockverkettung“ und „Blockchiffre mit Blockverkettung über Schlüssel- und Klartext“ gilt für „Schlüsseltextrückführung“ und „Ergebnisrückführung“: 89 Die Konstruktion würde dadurch, daß man h als Eingabe auch noch den Klartext gibt, nicht allgemeiner, sondern nur unübersichtlicher: Die Funktion h kann aus ihren beiden Parametern jeweils den Klartext berechnen.
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14: 14 A. Pfitzmann: Datensicherheit un
Seite 57 und 58: 102 A. Pfitzmann: Datensicherheit u
Seite 63: 114 A. Pfitzmann: Datensicherheit u
Seite 115 und 116:
218 A. Pfitzmann: Datensicherheit u
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?